剖析社會工程學的心理狀況 電腦技術吧

　什麼是社會工程學？
　　
　　總體上來說，社會工程學就是使人們順從你的意願、滿足你的欲望的一門藝術與學問。它並不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識以外的行為，且學習與運用這門學問一點也不容易。
　　
　　它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候，在需要套取到所需要的信息之前，社會工程學的實施者都必須：掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似，社會工程學在實施以前都是要完成很多相關的准備工作的，這些工作甚至要比其本身還要更為繁重。
　　
　　你也許會認為我們現在的論點只是集中在證明“怎樣利用這種技術也能進行入侵行為”的一個突破口上。好了，其實這樣夠公平的了。無論怎麼說，“知道這些方法是如何運用的”也是唯一能防范和抵御這類型的入侵攻擊的手段了。從這些技術中提取而得出的知識可以幫助你或者你的機構預防這類型的攻擊。在出現社會工程學攻擊這類型攻擊的情況下，像CERT發放的、略帶少量相關信息的警告是毫無意義的。它們通常都將簡單地歸結於：“有的人通過‘假裝某些東西是真的’的方式去嘗試訪問你的系統。不要讓他們得逞。”然而，這樣的現象卻常有發生。
　　
　　那又如何呢？
　　
　　社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。我們經常講：最安全的計算機就是已經拔去了插頭（注釋：網絡接口）的那一台（注釋：“物理隔離”）。真實上，你可以去說服某人（注釋：使用者）把這台非正常工作狀態下的、容易受到攻擊的（注釋：有漏洞的）機器接上插頭（注釋：連上網絡）並啟動（注釋：提供日常的服務）。
　　
　　也可以看出，“人”這個環節在整個安全體系中是非常重要的。這不像地球上的計算機系統，不依賴他人手動干預（注釋：人有自己的主觀思維）。由此意味著這一點信息安全的脆弱性是普遍存在的，它不會因為系統平台、軟件、網絡又或者是設備的年齡等因素不相同而有所差異。
　　
　　無論是在物理上還是在虛擬的電子信息上，任何一個可以訪問系統某個部分（注釋：某種服務）的人都有可能構成潛在的安全風險與威脅。任何細微的信息都可能會被社會工程學使用者用著“補給資料”來運用，使其得到其它的信息。這意味著沒有把“人”（注釋：這裡指的是使用者/管理人員等的參與者）這個因素放進企業安全管理策略中去的話將會構成一個很大的安全“裂縫”。
　　
　　一個大問題？
　　
　　安全專家常常會不經意地把安全的觀念講得非常的含糊，這樣會導致信息安全上的不牢固性。在這樣的情況下社會工程學就是導致不安全的根本之一了。我們不應該模糊人類使用計算機或者影響計算機系統運作這個事實，原因我在之前已經聲明過了，地球上的計算機系統不可能沒有“人”這個因素的。幾乎每個人都有途徑去嘗試進行社會工程學“攻擊”的，唯一的不同之處在於使用這些途徑時的技巧高低而已。
　　
　　方法
　　
　　試圖驅使某人遵循你的意願去完成你想要完成的任務是可以有很多種方法的。第一種方法也是最簡單明了的方法，就是目標個體被問到要完成你的目的時給予其一個直接的“指引”了。毫無疑問這是最容易成功的，也是最簡單與最直觀的方法了。當然，被指引的個體也會清楚地知道你想他們干些什麼。
　　
　　第二種就是為某個個體度身訂造一個人為的（注釋：通過捏造的手段）特定情形/環境。這種方法比你僅僅需要考慮到了某個個體的相關信息狀況附帶更多的因素，例如如何說服你的對象，你可以設定（注釋：刻意安排）某個理由/動機去迫使其為你完成某個非其本身意願的行為結果。這包括了遠至於為某個特定的個體創造一個有說服力的企圖而進行的工作，與大量你想得到的“目標”的相關知識。這意味著那些特定的情況/環境必須建立在客觀事實的基礎上。少量的謊言會使效果更好一些。
　　
　　社會工程學中最精煉的手段之一就是針對現實事物的良好記憶能力。在這個問題上黑客與系統管理員會更為側重一點，特別是在某種事物與他們的領域有所關聯的情況下。為了說明上述的方法，我准備列舉一個小型的范例.......
　　
　　[范例如下，當你把某個個體“置於”群體/社會壓力（注釋：其類型如輿論壓力等）下的處境/形勢時，個體很有可能會做出符合群體決定的行為，盡管這個決定很明顯是錯誤的。]
　　
　　一致性
　　
　　若在某些情況下有人堅信他們群體的決定是對的話，那麼這將有可能導致他們做出不同於往常的判斷/行為。比方說如果我曾發表過某個結論，論點的理由非常充分（注釋：這裡指的是符合群體中多數人的意願），那麼往後無論我花多大的精力去嘗試說服他們，都不可能令他們再改變自己的決定了。
　　
　　另外，一個群體是由不同位置/層次的成員組成的。這個位置/層次問題被心理學者稱之為“demand charac-teristics”（注釋：“意願的特征性”），這個位置/層次問題在參與者的行為上受其濃厚的社會約束性所影響。不希望得罪其他的成員的、不想被其他人看出自己在會議中想睡覺的、不想破壞與自身關系良好的伙伴的觀點等的心態最終都會成為“隨波逐流”現象的形成因素。這種運用到特征的處理方式是引導人們行為的一種有效途徑。
　　
　　情形
　　
　　無論怎麼說，大多數的社會工程學行為都是被一些單獨的個體所運用的，因此諸如社會壓力與其它的一些影響因素都必須建立在和目標有一定的可信關系的情況下進行的。
　　
　　如果處於這樣的情形下，當有了真實或者虛構出來的固有特征時目標個體就很可能會遵循你的意願而工作了。這些固有特征包括：
　　
　　·目標個體以外的壓力問題。如讓個體相信某個行為的後果並不是他一個人的責任。
　　
　　·借助機會去迎合某人。這些行為更多取決於此個體是否認為某個決定能為某人帶來“好處”。這樣的行為可以使你與老板的關系更為融洽。
　　
　　·道德上的責任。個體會遵從你是因為他們覺得自己（注釋：在道德上）有義務這麼做。這就是利用了內疚感。人們比較願意逃避內疚感，因此如果有一個“可能”會讓他們覺得有內疚感的話他們都會盡可能地去避免這個“可能”。
　　
　　個人的說服力
　　
　　個人的聲望/說服能力是一種常被用於促使某人配合/順從你的有利手段。使用個人說服力的目的並不是要別人強行接受你所指派的“任務”，而是增強他們對完成你所指派的任務的主動順從意識。
　　
　　其實這是有些矛盾的。基本上，目標只是被我們簡單地引導到一個已經設置好的、特定的（注釋：故意安排的）思維模式上去。目標會認為他們可以控制住局面，在此同時他們也通過他們的力量幫助了你。
　　
　　事實上，目標所得到的利益與他間接幫助你得到的利益此兩者是沒有沖突的。社會工程學使用者的目的是說服目標，使其有充分的理由去相信只需花費小量的時間與精力就可以“換取”得到利益了。
　　
　　合作
　　
　　存在著多個因素可以促使一個社會工程學使用者增加與目標“合作”的機會。
　　
　　盡量少與目標發生沖突。使用平和的態度去面對對方可以提高達成目的成功幾率。拉攏關系或者發展新的關系，共同的煩惱又或者是一些比較特殊的任務都可以有效地迫使目標與你合作。
　　
　　在這裡‘走向成功’的因素往往集中在你是否有能力去掌握與處理好你的說服力。這是非常重要的，這一點常被“騙子”（注釋：常常使用欺騙手段的人）認為是萬試萬靈的手段。心理學研究指出如果人們先前曾經遵照過某個極小的指引而工作（注釋：並獲得成功）時現在他/她就更可能會去遵照一個更大的（注釋：指引）了。在這裡如果曾有過合作的前科的話，那麼這次再合作，達成的機會就很大了。
　　
　　更好的方法是讓社會工程學者給予合作對象一些比較敏感的信息。尤其是一些非常逼真的視聽感觀，目標能夠現場看到或聽到你給他們的信息要比他們僅僅可以通過電話聽到你的聲音更能令他們信服。這個觀點一點也不稀奇，以書寫形式或電子方式進行交流的信息是很難讓人信服的。這就如同拒絕某人進行某個IRC風格的通信一樣。
　　
　　關聯
　　
　　不管怎麼說，社會工程學運用是否能成功也有取決於目標個體與你的目的有多大關聯的因素的。我們可以說系統管理員、計算機安全執行官、技術研究人員、那些依靠計算機/網絡進行工作又或者通過其進行通信的人與大多數黑客使用社會工程學進行攻擊的目標都是有莫大的關聯的。
　　
　　有高度關聯性的個體大多會被強而有利的論據所說服。事實上你可以給予他們更多強而有利的論據來支持你的觀點。當然，那些觀點也有薄弱的一面。你是否將論點薄弱的一面展現給有高度關聯的人知道將極大可能地決定你是否能說服此人。當某人有可能直接被社會工程學攻擊所影響，若此時出現薄弱的論據將有可能會導致其思想上產生“相反”的意識。所以面對與你的目的有關聯的人時你必須給予強而有力的論據，而避免出現理由薄弱的論據。
　　
　　相對於對你的指引或你想得到的結果並不敢興趣的人，你可以把他們列入“低關聯的人”這個類別中去。相關的例子如：一個網絡系統機構中的保安人員、清潔工人、又或者是前台接待小姐等。因為低關聯類別的個體並不會直接對你的目的/結