Ⅰ 社工是指什麼
在黑客技術中社工指的是社會工程攻擊,它是一種利用"社會工程學"來實施的網路攻擊行為。
社會工程學,准確來說,不是一門科學,而是一門藝術和竅門的方術。社會工程學利用人的弱點,以順從你的意願、滿足你的慾望的方式,讓你上當的一些方法、一門藝術與學問。說它不是科學,因為它不是總能重復和成功,而且在信息充分多的情況下,會自動失效。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素。社會工程學是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
現實中運用社會工程學的犯罪很多。簡訊詐騙如詐騙銀行信用卡號碼,電話詐騙如以知名人士的名義去推銷詐騙等,都運用到社會工程學的方法。
近年來,更多的黑客轉向利用人的弱點即社會工程學方法來實施網路攻擊。利用社會工程學手段,突破信息安全防禦措施的事件,已經呈現出上升甚至泛濫的趨勢。
Gartner集團信息安全與風險研究主任Rich Mogull認為:「社會工程學是未來10年最大的安全風險,許多破壞力最大的行為是由於社會工程學而不是黑客或破壞行為造成的。」一些信息安全專家預言,社會工程學將會是未來信息系統入侵與反入侵的重要對抗領域。
凱文米特(Kevin Mitnick) 出版的《欺騙的藝術》(The Art of Deception)堪稱社會工程學的經典。書中詳細地描述了許多運用社會工程學入侵網路的方法,這些方法並不需要太多的技術基礎,但可怕的是,一旦懂得如何利用人的弱點如輕信、健忘、膽小、貪便宜等,就可以輕易地潛入防護最嚴密的網路系統。他曾經在很小的時候就能夠把這一天賦發揮到極致。像變魔術一樣,不知不覺地進入了包括美國國防部、IBM等幾乎不可能潛入的網路系統,並獲取了管理員特權。
最近流行的免費下載軟體中捆綁流氓軟體、免費音樂中包含病毒、網路釣魚、垃圾電子郵件中包括間諜軟體等,都是近來社會工程學的代表應用。
社會工程攻擊不是傳統的信息安全的范疇,也被稱為 「非傳統信息安全」(Nontraditional Information Security)。
傳統信息安全辦法解決不了非傳統信息安全的威脅。一般認為,解決非傳統信息安全威脅也要運用社會工程學來反制社會工程攻擊。中網S3主機安全系統,利用社會工程學來反制社會工程攻擊。具體的方法就是應該向用戶提供充分的反饋信息,讓用戶能做出准確的判斷,避免上當,並且增加更多的控制機制,技術即使在錯誤決策的情況下,也能防止社會工程攻擊的發生。
怎樣避免成為受害者?
小心從個人發出的詢問員工或其他內部資料的來路不明的電話,訪問或者電子郵件信息。如果一個不認識的個人聲稱來自某合法機構,請設法直接向該機構確認他或她的身份。
除非你能夠確定某人有權得到此類資料,否則不要供個人信息或者你所在機構的信息給他,包括你所在機構的組織結構和網路方面的信息。
不要在電子郵件中泄露私人的或財務方面的信息,不要回應徵求此類信息的郵件,也包括不要點擊此類郵件中的鏈接。
在檢查某個網站的安全性之前不要在網路上發送機密信息。
注意一個網站的URL地址。惡意網站可以看起來和合法網站一樣,但是它的URL地址可能使用了修改過的拼寫或域名(例如將.com變為.net)。
如果你認為已受危害該如何做?
如果你確信已經泄露了你所在機構的機密信息,請向你所在機構的適當人員報告,包括網路管理員。這樣他們就能夠對可疑的或不正常的活動提高警惕。
如果你確信你的財務賬號被侵害了,請迅速聯系你的財務機構並關閉可能被侵害的賬號。觀察你的賬號中任何無法解釋的收費。
Ⅱ 灰灰無敵社工弄出來的具體做法是什麼
「社工」即社會工程學攻擊,通過利用人性弱點、欺騙等手段獲取信息,這種行為多涉嫌違法犯罪,嚴重侵犯他人隱私和權益,因此不能對其具體做法進行介紹。
社會工程學攻擊常被不法分子用於竊取個人敏感信息、企業商業機密,進而實施詐騙、破壞系統安全等惡意活動。在網路安全和社會秩序層面,這類行為都受到法律嚴格約束和打擊。我們應當遵守法律法規,維護網路安全與個人信息安全,不參與、不探究此類非法活動的具體操作。