社会工程学在网络攻击中的应用与防范

核心提示： 生活中的社会工程学主要有以下几种典型的形式，(1)环境渗透为了获得所需要的情报或敏感信息，社会工程学在网络攻击中的应用与防范(3)，对特定的环境进行渗透是常规手段之一，攻击者大多采取各种手段进入目标内部，那么配和就很容易达成，他(她)甚至会成为攻击者的助手，然后利用各种便利条件进行观察或窃

生活中的社会工程学主要有以下几种典型的形式。

(1)环境渗透

为了获得所需要的情报或敏感信息，对特定的环境进行渗透是常规手段之一。攻击者大多采取各种手段进入目标内部，然后利用各种便利条件进行观察或窃听，得到自己所需的信息;或者与相关人员进行侧面沟通，逐步取得信任，从而获取情报。

(2)身份伪造

身份伪造是指攻击者利用各种手段隐藏真实身份，以一种目标信任的身份出现来达到获取情报的目的。攻击者大多以能够自由出入目标内部的身份出现，获取情报和信息;或者采取更高明的手段，例如：伪造身份证、ID卡等，在没有专业人士或系统检测的情况下，要识别其真伪是有一定难度的。

(3)冒名电话

冒名电话是一种简单有效的攻击手段，攻击者也不必担当很大的风险。一般情况下，攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。相对来说，冒名上司或高级官员容易一些，因为迫于一种压力，目标就算有所怀疑也不敢加以追究。利用设备转换或者模拟“正常”上司或者其他人的声音来进行电话欺骗其成功率更高。

(4)信件伪造

随着计算机应用的普及，在很多场合动笔写信被计算机所取代，于是信件伪造变得容易起来。例如伪造“中奖”信件，“被授予某某荣誉”信件，伪造“邀请参加大型活动”信件，但都需要交纳相关费用和填写详细的个人信息;或伪造“敲诈勒索”信件骗取钱财或情报等等。

(5)个体配合

个体配合是对信息安全危害较大的一种社会工程学攻击方法，它要求目标内部人员与攻击者达成某种一致，为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段，特别地，当目标的利益与攻击者的利益没有冲突，甚至与攻击者的利益一致时，这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头，那么配和就很容易达成，他(她)甚至会成为攻击者的助手，帮助攻击者获得意想不到的情报或数据。