5.3.2  社會互程學(xué)利用的人性“弱點(diǎn)”

社會工程學(xué)是網(wǎng)絡(luò)安全與心理學(xué)結(jié)合的學(xué)科，準(zhǔn)確來說，它不是一門科學(xué)，因?yàn)樗荒芸偸侵貜?fù)和成功，并且在信息充分多的情況下它會失效。基于系統(tǒng)、體系、協(xié)議等技術(shù)體系缺陷的攻擊方式，隨著時間流逝最終都會失效，因?yàn)橄到y(tǒng)的漏洞可以彌補(bǔ)，體系的缺陷可能隨著技術(shù)的發(fā)展完善或替代。社會工程學(xué)利用的是人性的“弱點(diǎn)”，而人性是永恒存在的，這使得它幾乎可以說是永遠(yuǎn)有效的攻擊方式。

社會工程學(xué)本質(zhì)上是一種心理操縱，攻擊者通過種種方式來引導(dǎo)受攻擊者的思維向攻擊者期望的方向發(fā)展。羅伯特。B。西奧迪尼（Robert B Cialclii，i）在科學(xué)美國人（2001年2月）雜志中總結(jié)對心理操縱的研究，介紹了6種“人類天性基本傾向”，這些基本傾向都是社會工程學(xué)工程師在攻擊中所依賴的（有意識或者無意識的）。

1.權(quán)威

基于對權(quán)威的信任，當(dāng)一個請求或命令來自一個“權(quán)威”人士時，這個請求就可能被毫不懷疑的執(zhí)行。在電信詐騙中，攻擊者偽裝成“公安部門”人員，要求受害者轉(zhuǎn)賬到所謂“安全賬戶”就是利用了受害者對權(quán)威的信任。在網(wǎng)絡(luò)攻擊中，攻擊者可能偽裝成監(jiān)管部門、信息系統(tǒng)管理人員等身份，去要求受害者執(zhí)行操作，例如偽裝成系統(tǒng)管理員，告訴用戶請求配合進(jìn)行一次系統(tǒng)測試，要求更改密碼等。