星期二, 7月 12, 2011

白話【社交工程】

前幾天知道居然有資訊部門主管不知道何謂社交工程,讓在下敝人小弟我十分驚訝。我這個非本科系的人20年前就知道的名詞居然有資訊人不懂,所以在這裏用白話介紹一下。

先看一下維基百科的解釋好了:Social Engineering
什麼?不懂英文?沒關係,來看看 教育部的解釋ZDNet的解釋趨勢科技的解釋資安網站的說法

以上都不懂的也沒關係,用鳥毅的說法就是:假裝是你的朋友,其實是要騙你。不管是利用MSN、Email或是某個安全性更新;甚至於詐騙集團假裝檢察官,都叫做社交工程。看到這裏應該懂了吧?看一下這部電影:
神鬼交鋒
神鬼交鋒(Catch Me If You Can)就是社交工程的極致,也就是台灣常見的詐騙。
得到一個MSN帳號密碼,再騙此帳號的朋友去買點數卡,大家不是很熟嗎?

幾位高手曾經留言說好的制度比資安產品更有效,在下完全同意。假設的情境:某公司的工程師想知道他暗戀的同事是否有交往對象,於是就和同事說:『我幫妳寫了支程式,但需要遠端更新,所以開個分享給我』。接著就把自己加入同事電腦的本機管理員,再把網域管理員(domain administrator)的權限移除,他自己就透過分享看到同事的email,完全不用寫木馬程式。

要避免被社交工程欺騙,只能自己多加留意,用台語說就是【龜毛】一點,凡事多用心,不要人云亦云。還有一點,看到別人轉寄的email千萬別亂寄,搞不好裏頭有新型的木馬/後門程式,又淪為社交工程的幫兇。

沒有留言: