2017.W23 - 社交工程 (Social Engineering) > 不要相信别人 尤其是别人跟你说的内容 ## 前言 ## 前几天又看了(?)一部 2014 年的德国电影 Who Am I - Kein System ist sicher[0] 会在这个版上提到的电影 当然是跟网路安全有关 在这部电影中提到很多骇客的技巧 我觉得最值得一提的部分 就是关於社交工程的应用与实际效果 尤其最後一幕主角从车上离开的那一幕 ... ## 内容 ## 社交工程 (Social Engineering)[1] 涉及的部分大多於社会学、心理学有关 但是影响范围都被专注在资讯安全上面 社交工程泛指影响人们判断与产生认知偏差的一种技巧 本身不着重在有形的系统上 而是将重心放在处理系统的人上面 在一个安全无虞的系统中 会因为一个人的疏失造成很多不可抹灭的危害 对我来说 社交工程着重在影响：1) 认知 与 2) 判断 就像那知名的哲学家说 - 我思故我在 认知是人类在处理事情上的一种方式 例如在 PTT 中常见的 我这个人很简单 系列 如果要社交一个成年男性 大多不脱离：正妹、大奶、露点 (请原谅我的粗俗) 或者比较通俗的 要社交一个成年人可以使用：宠物、小孩、工作、运势等 这源自於大多数人类社交不多离这几个范畴 - 这也是社交工程的技巧 严重一点的认知 像是：穿的警察制服的人就会是警察 但是这句话用讲的很明显有问题 但实务操作上却是个不变的定律 另外 影响判断的方式 在於利用人类的大脑肌肉 下意识的判断与处理接收到的资讯 (源自於我不欣赏的网路名人) 像是... 1. 发薪日的时候 HR 寄过来的薪资明细 2. 每个月的信用卡帐单 3. 主管发来的工作日志 当我们收到一样的信件开头 一样的信件内容 一样的副档格式 下意识的就会下载附件并解开查看内容 而不会检查寄件者信箱 或者是利用相似的字词来影响正常的判断 像是常见的 apple -> app1e 或者是 ptt.cc -> ppt.cc 当然还有很多不同的社交工程技巧 但对我来说依然不脱离上述两种方式 套句台语俚语说的： 社交工程就是 给人卖了还替人数钱 [0]: https://en.wikipedia.org/wiki/Who_Am_I_(2014_film) [1]: https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1496765406.A.D05.html