2017.W23 - 社交工程 (Social Engineering) - 資安

2017.W23 - 社交工程 (Social Engineering)
> 不要相信別人 尤其是別人跟你說的內容

## 前言 ##
前幾天又看了(?)一部 2014 年的德國電影 Who Am I - Kein System ist sicher[0]

會在這個版上提到的電影 當然是跟網路安全有關

在這部電影中提到很多駭客的技巧 我覺得最值得一提的部分

就是關於社交工程的應用與實際效果

尤其最後一幕主角從車上離開的那一幕 ...



## 內容 ##
社交工程 (Social Engineering)[1] 涉及的部分大多於社會學、心理學有關

但是影響範圍都被專注在資訊安全上面

社交工程泛指影響人們判斷與產生認知偏差的一種技巧

本身不著重在有形的系統上 而是將重心放在處理系統的人上面

在一個安全無虞的系統中 會因為一個人的疏失造成很多不可抹滅的危害



對我來說 社交工程著重在影響：1) 認知 與 2) 判斷

就像那知名的哲學家說 - 我思故我在 認知是人類在處理事情上的一種方式

例如在 PTT 中常見的 我這個人很簡單 系列

如果要社交一個成年男性 大多不脫離：正妹、大奶、露點 (請原諒我的粗俗)

或者比較通俗的 要社交一個成年人可以使用：寵物、小孩、工作、運勢等

這源自於大多數人類社交不多離這幾個範疇 - 這也是社交工程的技巧

嚴重一點的認知 像是：穿的警察制服的人就會是警察

但是這句話用講的很明顯有問題 但實務操作上卻是個不變的定律




另外 影響判斷的方式

在於利用人類的大腦肌肉 下意識的判斷與處理接收到的資訊 (源自於我不欣賞的網路名人)

像是...

1. 發薪日的時候 HR 寄過來的薪資明細
2. 每個月的信用卡帳單
3. 主管發來的工作日誌

當我們收到一樣的信件開頭 一樣的信件內容 一樣的副檔格式

下意識的就會下載附件並解開查看內容 而不會檢查寄件者信箱

或者是利用相似的字詞來影響正常的判斷

像是常見的 apple -> app1e 或者是 ptt.cc -> ppt.cc




當然還有很多不同的社交工程技巧 但對我來說依然不脫離上述兩種方式

套句台語俚語說的：

社交工程就是 給人賣了還替人數錢


[0]: https://en.wikipedia.org/wiki/Who_Am_I_(2014_film)
[1]: https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6

--