5.3.2  社會(huì)互程學(xué)利用的人性“弱點(diǎn)”

社會(huì)工程學(xué)是網(wǎng)絡(luò)安全與心理學(xué)結(jié)合的學(xué)科，準(zhǔn)確來(lái)說(shuō)，它不是一門(mén)科學(xué)，因?yàn)樗荒芸偸侵貜?fù)和成功，并且在信息充分多的情況下它會(huì)失效。基于系統(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的攻擊方式，隨著時(shí)間流逝最終都會(huì)失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代。社會(huì)工程學(xué)利用的是人性的“弱點(diǎn)”，而人性是永恒存在的，這使得它幾乎可以說(shuō)是永遠(yuǎn)有效的攻擊方式。

社會(huì)工程學(xué)本質(zhì)上是一種心理操縱，攻擊者通過(guò)種種方式來(lái)引導(dǎo)受攻擊者的思維向攻擊者期望的方向發(fā)展。羅伯特。B。西奧迪尼（Robert B Cialclii，i）在科學(xué)美國(guó)人（2001年2月）雜志中總結(jié)對(duì)心理操縱的研究，介紹了6種“人類天性基本傾向”，這些基本傾向都是社會(huì)工程學(xué)工程師在攻擊中所依賴的（有意識(shí)或者無(wú)意識(shí)的）。

1.權(quán)威

基于對(duì)權(quán)威的信任，當(dāng)一個(gè)請(qǐng)求或命令來(lái)自一個(gè)“權(quán)威”人士時(shí)，這個(gè)請(qǐng)求就可能被毫不懷疑的執(zhí)行。在電信詐騙中，攻擊者偽裝成“公安部門(mén)”人員，要求受害者轉(zhuǎn)賬到所謂“安全賬戶”就是利用了受害者對(duì)權(quán)威的信任。在網(wǎng)絡(luò)攻擊中，攻擊者可能偽裝成監(jiān)管部門(mén)、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請(qǐng)求配合進(jìn)行一次系統(tǒng)測(cè)試，要求更改密碼等。