怎么样评价社会工程学攻击?
谢妖。首先就法律层面上相较于其他类型的攻击行为,社会工程学可能会有更高的法律风险。譬如经过授权的渗透测试是完全合法的。甚至在具体实践中,如果仅尝试证明漏洞存在但不真正实施破坏、控制或获取亦是被默认许可的(如果有反馈到各种*src,还有实物奖励可以拿...没错,我说的就是白帽子)。而对于社会工程学而言,即使是运用于经过书面授权的渗透测试中亦存在一定意义上的法律风险。因为,社会工程学的目标是自然人。而就社会工程学本身的手法而言,或可概括为 主动攻击 及 被动攻击 两大类。所谓主动攻击,意即通过与目标的联系、沟通 使对方产生认知偏差,并据此达到目的。(譬如:钓鱼网站、电信欺诈)一部分较为专业的社会工程师,可能会在此过程中运用某些NLP技巧。Kevin Mitnick的《欺骗的艺术》一书中对此有极为详尽的介绍。而所谓被动攻击,实质上基本可等价于「人肉搜索」。主要通过一系列公开(比如搜索引擎及社交网络)或不公开(比如脱库)的渠道获取目标相关信息。并将这些信息予以分析汇总以达到目的。当然,有时候亦会使用与目标并无直接关联的宏观数据达到目的。(比较常见的应用场景是尝试使用常用弱口令猜解密码)...
推荐阅读
- 怎么样判断幻听,区别幻听和思考
- 究竟怎么样跳出烂好人的性格然后做一个怎么样的自己
- 长得好看却还是自卑是怎么样的体验?
- 疯狂英语李阳皈依佛门,从英语和武术BD合作的角度,合作方式有哪些以及运营要点怎样评价该跨界合作事件
- “想到啥就去做啥”给你的生活带来怎么样的改变
- 一个农村出身的孩子,心比天高命比纸薄,进入社会快一年每天很迷茫,不知道何去何从
- 想问问大家你们是怎么样选择一起出去旅游的小伙伴的
- 有一个好朋友是一种怎么样的体验
- 怎么样培养自己对读书的兴趣
- 有一个合不来的室友是怎么样的体验