社交工程

有個社交工程運行一個叫做“詐騙遊戲（con game）”的程序。例如，當有人使用社交工程闖入計算機網絡時，他會試着獲得已認證用户的信任並引導他們泄露危害網絡安全的信息。社交工程通常依賴於人們自然性的樂於助人和他們的弱點。舉例來説，他們可能打電話給認證員工説有一些緊急問題，需要即刻的網絡訪問。呼籲虛榮、呼籲權威、呼籲貪婪，老式的竊聽是另一類典型的社交工程技術。

社交工程如果不是全部，也是很多利用類型的組成部分。病毒編寫者運用社交工程策略來勸誘人們運行裝載了惡意軟件（malware）郵件附件、釣魚人運用社交工程來説服人們泄露敏感信息，而恐嚇性軟件（scareware）廠商運用社交工程來威脅人們運行沒有用甚至是危險的軟件。

社交工程的另一方面依賴於人們不能及時跟上大比重依賴於信息技術的文化。社交工程依賴於還依賴於人們不能覺察到他們提交信息的價值且對這些信息沒有做什麼保護工作。久而久之，社交工程會在垃圾箱中搜索有價值的信息，通過查看肩窺（shoulder surfing）記住訪問代碼，或利用人們的自然偏好來選擇對他們有意義但很容易猜的密碼。

在一次社交工程攻擊中，社交工程師可能將欺騙等非技術攻擊手段與計算機技術結合，也可能完全無需使用計算機技術就可以完成一次絕妙的攻擊。

社交工程學的攻擊形式變化多端，層出不窮。然而，不管是何種攻擊，有一點卻是萬變不離其宗的——那就是欺騙。攻擊者以各種各樣的方式進行欺騙。他們通常假冒成各種身份，而且還會想方設法地使你相信他們——即取得你的信任，並讓你按照他們所要求的那樣做。而你一旦錯誤地信任了他們，你就成為了這次攻擊的犧牲者之一。

安全專家建議，由於我們的文化越來越多地依賴於信息，社交工程對任何操作系統來説都是最大的威脅。保護措施包括：告訴人們信息的價值、培訓他們保護信息並增加他們對社交工作運作方式的覺悟。 ^[1]  除此之外，有一點是極其重要的。那就是——安全是一個過程，而不是一個結果。而且，正如美國著名黑客凱文·米特尼克（Kevin D. Mitnick）所説的：“安全過程中最薄弱的環節是人。”任何的防禦措施，都不應離開這個核心的道理。