网络安全需要心理学吗?
盾叔会经常收到一些朋友的提问:如果你以后是网络安全工程师,以后需要学心理学吗?
敦叔的回答是,你需要了解的是心理学相关的社会工程。
什么是社会工程?
社会工程。它在20世纪60年代左右成为一门正式的学科。
广义的社会工程的定义是建立一种理论,利用自然、社会和制度的方式,逐步解决各种复杂的社会问题。社会工程经过多年的应用和发展,逐渐产生了分支学科,如公安社会工程、网络社会工程等。
如果黑客掌握了网络社会工程,那么作为网络安全工程师,掌握社会工程就显得尤为重要。
那么到底什么是黑客领域的社工呢?
黑客凯文·米特尼克曾在《反欺骗的艺术》中提到,人的因素是安全的弱点。
很多企业、公司在信息安全上投入大量资金,最终导致数据泄露的原因往往发生在人本身。
对于黑客来说,只需要通过一个用户名,一串数字,一串英文代码,然后通过社工的攻击,就可以清楚的了解你的所有个人信息,比如家庭状况,爱好,婚姻状况,你在网上留下的所有痕迹等等。
简单来说,黑客就是利用网络泄露资源,或者与他人有人性弱点的人交流,干预他们的心理,从而收集信息,入侵系统。这个弱点可以是任何不显眼的地方。可能是你到处乱扔的个人信息,可能是你对各种技术人员的信任,也可能是你拥有的每个网站APP都是同一个密码。
凯文·米特尼克曾说过:与其费尽心思破解系统,不如直接向管理员询问密码。每一个固若金汤的系统都是由活着的人控制的,他们快乐着,悲伤着,幸福着。如果你修复了它们,你就修复了它们背后的系统。
根据权威网络安全研究机构ProfPoint的《2016年人为因素报告》,社会工程攻击是排名第一的网络攻击方式。相对于仅仅依靠数理逻辑的硬件系统,人类有一个致命的弱点——认知偏差。
攻击者使用社会工程的方式多种多样,一般分为生活中的社会工程和网络中的社会工程。目前,社会工程已经将一些最新的网络技术应用于其中,尤其是结合未公开的应用程序漏洞。在杀毒软件杀不死它之前,攻击效果100%,危害极大。
社会工程的应用主要有以下几种典型形式:
一.环境渗透
为了获取所需信息或敏感信息,渗透特定环境是常规手段之一。攻击者会通过各种手段进入目标,然后利用各种便利条件进行观察或窃听,获取所需信息;或者和边上的相关人员沟通,逐渐取得信任,从而获取信息。
第二,身份伪造
身份伪造是指攻击者使用各种手段隐藏自己的真实身份,以目标可信身份出现以获取信息。大多数攻击者以自由进入目标内部的方式出现,以获取情报和信息;或者采取更高明的手段,比如伪造身份证、身份证等。如果没有专业或系统的测试,很难识别它们的真实性。
第三,假电话
假电话是一种简单有效的攻击方法,攻击者不必冒很大的风险。一般来说,攻击者取亲戚、朋友、同学、同事、上级、下级、高级官员、名人等的名字。通过电话从目标那里获取信息。相对来说,冒充老板或者高官更容易,因为在一种压力下,即使目标存疑,也不敢去追求。利用设备转换或模拟“正常”老板或其他人的声音在电话中行骗,成功率较高。
四。个人合作
个体合作是一种对信息安全危害极大的社会工程攻击方法。它要求目标的内部人员与攻击者达成一定的协议,并为攻击提供各种便利条件。个人说服力是使某人配合或服从攻击者意图的有力手段,尤其是当目标的利益与攻击者的利益不冲突,甚至与攻击者的利益一致时。如果目标内部人员已经不满甚至有报复的想法,那么合作就很容易达成,他甚至会成为攻击者的助手,帮助攻击者获取意想不到的信息或数据。
动词 (verb的缩写)逆向社会工程
逆向社会工程(Reverse social engineering)是指攻击者通过技术或非技术手段,为网络或计算机应用制造“问题”,使其公司的员工信服,诱使员工或网络管理人员泄露或泄漏攻击者需要获取的信息。这种方法隐蔽,不易发现,危害特别大,难以防范。
第六,邮件诈骗
电子邮件欺骗是指攻击者通过发送垃圾邮件的方式,说服目标相信某个事件或者引诱目标访问某个链接,或者将电子邮件中的附件替换为木马程序,或者直接将木马程序与附件绑定,诱导目标运行,以达到某种不可告人的目的。利用应用程序漏洞绑定木马的电子邮件欺骗攻击隐蔽性强、成功率高、危害大,因此电子邮件欺骗攻击已经成为目前网络攻击的主要方式之一。
