social engineering attack

什麼是社會工程攻擊（Social Engineering Attack)？

社會工程攻擊是一種利用"社會工程學"來實施的網路攻擊行為。

社會工程學，準確來說，不是一門科學，而是一門藝術和竅門的方術。社會工程學利用人的弱點，以順從你的意願、滿足你的欲望的方式，讓你上當的一些方法、一門藝術與學問。說它不是科學，因為它不是總能重複和成功，而且在信息充分多的情況下，會自動失效。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素。社會工程學是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段，獲取自身利益的手法。

現實中運用社會工程學的犯罪很多。簡訊詐欺如詐欺銀行信用卡號碼，電話詐欺如以知名人士的名義去推銷詐欺等，都運用到社會工程學的方法。

近年來，更多的黑客轉向利用人的弱點即社會工程學方法來實施網路攻擊。利用社會工程學手段，突破信息安全防禦措施的事件，已經呈現出上升甚至泛濫的趨勢。

Gartner集團信息安全與風險研究主任Rich Mogull認為：“社會工程學是未來10年最大的安全風險，許多破壞力最大的行為是由於社會工程學而不是黑客或破壞行為造成的。”一些信息安全專家預言，社會工程學將會是未來信息系統入侵與反入侵的重要對抗領域。

凱文米特(Kevin Mitnick) 出版的《欺騙的藝術》(The Art of Deception)堪稱社會工程學的經典。書中詳細地描述了許多運用社會工程學入侵網路的方法，這些方法並不需要太多的技術基礎，但可怕的是，一旦懂得如何利用人的弱點如輕信、健忘、膽小、貪便宜等，就可以輕易地潛入防護最嚴密的網路系統。他曾經在很小的時候就能夠把這一天賦發揮到極致。像變魔術一樣，不知不覺地進入了包括美國國防部、IBM等幾乎不可能潛入的網路系統，並獲取了管理員特權。

最近流行的免費下載軟體中捆綁流氓軟體、免費音樂中包含病毒、網路釣魚、垃圾電子郵件中包括間諜軟體等，都是近來社會工程學的代表套用。

社會工程攻擊不是傳統的信息安全的範疇，也被稱為 “非傳統信息安全”(Nontraditional Information Security)。

傳統信息安全辦法解決不了非傳統信息安全的威脅。一般認為，解決非傳統信息安全威脅也要運用社會工程學來反制社會工程攻擊。中網S3主機安全系統，利用社會工程學來反制社會工程攻擊。具體的方法就是應該向用戶提供充分的反饋信息，讓用戶能做出準確的判斷，避免上當，並且增加更多的控制機制，技術即使在錯誤決策的情況下，也能防止社會工程攻擊的發生。