利用你的弱点

《Social Engineering Hacking Systems, Nations, and Societies》

<figure></figure>

IYP有 “社交工程” 专栏,它被放到了 列表-5 “直接行动” 中。这是有目的的。

社交工程被认为是欺骗的代名词,但并非鼓励您以欺骗为武器加入行动;而是,正如所有防御方法一样,<对抗性思考方式> 能帮您获得更好的防御策划 ~ 用敌人的眼睛审视自己。

这不是说起来这么容易的。俗话说,神偷自己也可能被偷;同样,擅长欺骗的人自己也可能被骗。尤其是当对手使用专业性很强的社交工程伎俩时 — — 由于它构建在基本人性弱点上,就是那种每个人都有的脑回路bugs,稍不留神就有可能中招。

👉这是2019的新书,作者 Michael Erbschloe 已经在该领域工作了30多年,目前他的主要研究方向是社交工程在互联网和社交媒体上的作用。这本书就是该主题的一部分。

社交工程的使用范围非常大,从进攻到防御,从恶意到善意,几乎全覆盖;政府间谍渗透活动家团体时主要使用的就是社交工程,公民调查人员挖掘政府操纵内幕的过程中也很可能需要使用到这种方法,以及,医生试图安慰患者冷静下来时、您哄女朋友开心时,用的都是这种技术……

在黑客领域,社交工程学是一种非常有效的攻击手段,超过80%的网络攻击以及超过70%的来自民族国家的骇客攻击 👉都是通过利用人的弱点、而不仅仅是计算机或网络安全漏洞,来发起和执行的

👌因此,为了构建安全的网络系统,不仅需要保护组成这些系统的计算机和网络,而且,还必须教育和培训其人类用户具备充分的安全程序的所有知识 — — 弥补人性bugs。

对人的攻击称为社交工程,它们操纵或诱导用户执行攻击者所需的动作或泄露敏感信息。

*最一般* 的社交工程攻击只是试图使毫无戒心的用户点击恶意链接;而 *更具针对性* 的攻击则企图从敏感组织中获取机密信息,或者通过骗取信任来窃取特定个人的最有价值的东西。这是一种心理战的特别用法,只是它的针对性更强

社交工程攻击在互联网环境下会格外有效,是因为,在这里,攻击者可以省去传统社交工程手段所需要的很多道具和繁琐流程(从化妆到表演技艺),而互联网上的大多数人都不会亲自验证每一条通信。

👌这本书详细介绍了如何利用社交工程技术以超越黑客为渗透计算机系统所做的工作。尤其是,它解释了组织和个人如何才能通过改造其文化和使用方式,以帮助最大程度地降低诱导和操纵所造成的灾难。

也就是说,它可以帮助您构建可持续的安全性措施和战略,以响应和避免安全威胁

希望这本书能对您有用。