有史以来,人类相互之间就在不断地上演着一幕幕戏耍、愚弄、诱骗和欺诈的“好戏”。《圣经·创世记》记载,早在公元前 1800 年,雅各觊觎兄弟以扫即将得到的父亲的祝福。两兄弟的父亲以撒视力很差,需要依靠其他感官才能分辨跟他说话的对象。雅各穿上以扫的衣服,准备了以扫的食物。而最精彩的部分是,众所周知,以扫毛发旺盛,于是雅各把两只羔羊的皮毛固定在自己的双臂和颈项后。当以撒伸出手触摸雅各时,他的嗅觉、触觉和味觉让他认为和他在一起的是以扫。这样,雅各成功地进行了社会工程攻击,并达成了自己的“目标”!毫无疑问,社会工程行为自人类出现就一直存在。虽然吸引单身狗眼球的“如何搭讪女孩”,或者让购物党破防的“如何获得免费购物券”之类也在社会工程之列,但这类行为充其量只能算得上社会工程学的边角料。那么,今天,我们就来看看:到底什么是社会工程学,为什么每个人都应该了解社会工程学?
维基百科定义
社会工程(social engineering)是社会科学中的一门学科,是指通过政府、媒体或私人团体大规模影响特定的态度和社会行为,以便在目标人群中产生所需的特性。社会工程也可以从哲学上理解为一种实现新的社会建构的意图和目标的确定性现象。 社会工程师使用科学方法来分析和理解社会制度,以便设计适当的方法,从而在人类对象中取得期望的结果。
《社会工程:安全体系中的人性漏洞》一书给出的定义:任意一种能影响某人采取可能符合或不符合其最大利益行动的行为,称为社会工程。这个定义非常宽泛。要知道,社会工程不仅仅是负面的。
既然社会工程学是这样一门科学,那么,发表关于社会工程学的内容,是不是很容易被坏人利用呢?《社会工程:安全体系中的人性漏洞》一书作者 Christopher Hadnagy 这样解释。
李小龙在 20 世纪 60 年代来到美国。那时的种族偏见非常严重,而他又在尝试一些开创性的事情:将截拳道传授给不同种族、肤色或国籍的人。在大学里,他和那些自以为很懂格斗的同学交手,并击倒了一个又一个对手。这些对手中的一部分人最终甚至成了李小龙的朋友或学生。这告诉我们什么呢?人们必须适应新的格斗方式,不然就会一直被击败。李小龙的学生有没有可能利用李小龙的新式格斗术伤害他人、为非作歹呢?有,但李小龙觉得教育他人势在必行,因为这样他们才能得到真正的保护。因此,我对“你不担心你发表的内容被坏人利用吗”这个问题的回答一如既往:如何利用从书中学到的知识,选择权在你自己,但是那些善良的人需要有人来帮助并指导他们。要想懂得如何抵御这种新型攻击,你要学会的不仅是怎样接招。就像截拳道宣扬的那样,你需要在学习攻击、学习防守,以及掌握攻击和防守的时机这三者之间找到平衡。当你学习成为一名社会工程人员时,你需要有能力像坏人一样思考,同时又谨记自己是个好人。一个比方就是,你需要足够强大,让原力与你同在,但又不会被黑暗力量吞噬。为这本书背书的大咖中有两位极为知名,一位是世界知名极客沃兹尼亚克,另一位是全球头号黑客米特尼克。“黑客行为已经存在很久了,而社会工程行为更是自人类出现就一直存在。本书能武装你、保护你,并教你识别、抵御和降低来自社会工程的风险。” ——史蒂夫·沃兹尼亚克,苹果公司联合创始人“我从20世纪70年代后期就开始在实践中运用社会工程。然而直到今天,社会工程手段仍是进行渗透测试的利器,它对个人及组织安全影响重大。这本书涵盖从基础的OSINT到渗透测试的方方面面,任何对社会工程感兴趣的人都应该读一读。”——凯文·米特尼克,社会工程之父,《反欺骗的艺术》作者
至于作者克里斯托弗·海德纳吉(Christopher Hadnagy),正是因为其深厚的专业背景,以及多年来在社会工程领域的实践,方能成就这部经典之作。知名信息安全专家,Social-Engineer有限公司CEO,业内影响广泛的社会工程框架Social-Engineer的主要开发者,有近30年的安全和信息技术实践经验。另著有《社会工程 卷2:解读肢体语言》及《社会工程:防范钓鱼欺诈(卷3)》,深受读者欢迎。他创办了DEF CON极客大会,建立了DerbyCon安全大会中的“社会工程村”,同时参与创办了社会工程夺旗赛。各大网店有售,以下给出京东的购买链接,扫描二维码即可购买。
赠书活动
你亲身见识过或者应用过社会工程学吗?说说让你难以忘怀的社会工程学案例,最好是身边的,评论区精选 6 位读者,每人送出一本《社会工程:安全体系中的人性漏洞》。活动截止时间:2022 年 3 月 23 日 至 3 月 29 日 。本书由图灵教育提供。
发表评论
您还未登录,请先登录。
登录