社会工程学是指通过心理操控手段诱使人们泄露机密信息。社会工程学通过网络钓鱼和身份盗窃影响个人，通过企业间谍活动影响公司。黑客的动机可能是经济利益、个人娱乐或声名狼藉。本章将探讨 2012 年对 Wired 杂志作家 Mat Honan^[1] 的黑客攻击，攻击者入侵了多个帐户，并在此过程中丢失了他的个人数据和 Twitter 帐户。

社会工程学利用了人际互动的一个核心方面：信任。如果受害者相信攻击者的说法，无论是他们是一个需要帮助的人，还是一个应该访问所寻求的信息的人，那么受害者很可能会帮助攻击者获得这些信息。此外，一旦建立了信任，受害者更有可能忽视一些警示信号，例如对关键信息的无知，因为他们认为攻击者是合法的。这种信任可以通过多种方式建立：穿着假制服、拨打帮助热线并使用容易获得的信息（如账单地址）冒充用户，或与受害者交谈并与他们建立友谊，使他们感到安全。^[2]

1. 边缘说服 - 与直接说服不同，直接说服依赖于逻辑论证和推理来说服听众，而边缘说服则依赖于绕过逻辑思维的说服，通常是通过触发受害者强烈的感情。当人们感受到强烈的感情，如恐惧或兴奋时，他们无法理性地评估问题或情况，因此更容易被说服。^[3] 社会工程师利用这种方式，例如，拨打帮助热线并恳求帮助，或告诉某人他们赢得了抽奖，只需要填写表格即可领取奖品。
2. 信息过载 - 当一个人听到很多新的或意想不到的信息或论点时，他们会在心理上从处理信息转变为简单地接受信息，以便接收所有信息。^[4] 攻击者利用这一点，向目标快速吐出一堆声明，压倒他们，使他们认为那些原本会质疑的声明是真实可信的。
3. 互惠 - 如果一个人得到礼物或得到服务，他们更有可能在后来被要求时回报给礼物或服务提供者。^[3] 一个简单的例子是，攻击者为员工打开一组门中的第一个，然后员工为攻击者打开内部的需要刷卡才能进入的门。
4. 权威 - 一个人收到来自自称上级的人的要求或命令，很可能毫无疑问地服从，尤其是当命令看起来并不太离谱时。攻击者利用这一点做了很多事情，包括命令将资金电汇到他们的账户^[5]

在短短的 22 分钟内，Honan 的多个帐户被黑客 Phobia 入侵，所有个人数据都被清除。Phobia 的目标是接管 Honan 的 Twitter 帐户 @mat。利用 Honan 的 Twitter 页面和个人域名，Phobia 发现了 Honan 的 Gmail 地址，该地址的 Apple Me 地址被设置为恢复选项。Phobia 知道可以利用 Honan 信用卡的后 4 位数字访问 Apple 帐户，于是他转向亚马逊获取这些信息。他使用 Honan 的姓名、电子邮件和账单地址（所有这些都是公开信息）在亚马逊帐户中添加了一个新的假信用卡号码。接下来，他使用这张卡在亚马逊帐户中添加了一个新的电子邮件地址，用于重置密码。获得了亚马逊帐户的访问权限后，他找到了 Honan 信用卡的后 4 位数字，并能够访问 Apple 帐户，重置 Gmail 帐户，最终重置 Twitter 帐户。

当用户忘记登录凭据且无法再访问其电子邮件帐户时，在线服务必须使用其他信息验证其身份。这些信息必须足够安全，以防止他人进行欺诈，但又要足够容易供用户访问，这需要做出判断。不同的在线服务对什么是敏感信息有不同的看法。以 Honan 为例，亚马逊认为信用卡的后 4 位数字并不重要，可以在网上显示，而 Apple 认为这些信息足够安全，可以用作身份验证。以下列表显示了不同在线服务可能使用哪些信息来证明身份。

正如预期的那样，富国银行和 Facebook 对客户提出了更高的证明要求，因为它们面临着更高的欺诈成本。但是，亚马逊和 Apple 都是持有财务信息的企业，它们对身份验证的证明要求相对较低，主要使用公共领域的 information. Blizzard 作为一家游戏服务公司，似乎过于严格；然而，它存储的数据代表着客户多年的投资。

以河南为例，唯一可能被单独入侵的账户是亚马逊。其他所有账户都需要来自其他账户的信息或访问权限。连接账户产生的漏洞导致了其他黑客攻击的发生。据益博睿（Experian）统计，英国人平均拥有 19 个不同的在线账户，其中 25-34 岁的年轻人平均拥有 28 个账户。^[8] 每个人创建的每个账户不仅有自身的漏洞，账户之间的交互还会产生单个账户中不存在的新漏洞。在系统理论中，这是在线账户交互的涌现特性。

社会工程学虽然通常用于获取金钱或特权信息，但也可能被用来提升地位。DefCon 每年都会举办一场比赛，数十人参加比赛，通过社会工程学的方式进入许多公司，其中一位参与者在 2012 年 20 分钟内从两家不同的塔吉特商店获得了关键信息。^[9] 这项比赛让社会工程师们可以分享他们使用的技巧，并找出谁是最好的。这种炫耀或展示在人类生活中很常见，实际上源于我们的原始祖先。根据动物行为学，动物利用展示行为吓退潜在的竞争对手，以获得食物或配偶，因为这比打斗要经济得多。虽然其目的已经改变，但人类仍然会炫耀以证明自己是最好的，许多人在有机会的情况下都会炫耀。在河南事件中，Phobia 受到了对 @mat 句柄的物质利益和公开声称对黑客攻击负责所展示的炫耀行为的双重驱动。^[1]

75% 的美国成年人表示客户服务对他们很重要。优质客户服务的特点之一是能够快速、轻松地帮助用户恢复其账户访问权限。^[10] 由于每年都有数百万人忘记自己的账户详细信息，而公司希望客户拥有良好的客户服务体验，因此需要最少的信息来证明账户所有权。然而，这样做也更容易被恶意目的利用。这就形成了便利性和安全性之间的权衡。

在许多情况下，消费者更喜欢便利性。当服务要求提供更多信息来证明账户所有权时，用户会发现难以快速、轻松地提供这些信息。例如，在线数字发行服务Steam有时会要求提供与账户关联的第一个产品密钥来恢复访问权限。许多时候，这将非常难以提供，从而导致消费者感到沮丧，并可能导致失去未来客户。^[11]

不同公司对账户检索所需的信息量存在差异，这取决于从账户中可以获得什么。这是因为当被入侵的账户遭受更大损失时，消费者更愿意用便利性换取安全性。例如，苹果只要求提供账单地址和部分信用卡号码，而银行可能要求提供您的社会安全号码。

社会工程学很大程度上依赖于人类行为以及最小化多个账户的复合漏洞。有不同的方法，包括技术和社会方法，可以对抗黑客使用的技术。

在马特·霍南被黑客攻击事件中，信息是从另一个账户中获取的，在另一个账户中，这些信息被视为非敏感信息，以获取访问另一个账户的权限，而在另一个账户中，这些信息是敏感的，足以证明所有权。为了减少连接账户之间漏洞的复合因素，在线服务可以标准化它们认为是敏感的信息，这样，一个系统中的漏洞就不会允许访问其他账户。

许多社会工程学案例发生的原因是，敏感信息被提供给了无权查看的人员。全球信息保障认证（GIAC）认为，这是因为员工没有接受足够的培训来识别人类信息欺诈的案例，即有人试图通过欺骗手段获取信息。在培训员工更加谨慎地处理敏感信息方面做出额外努力，可以大大减少与信任相关的社会工程学案例。这些方法包括拒绝向不认识的人员提供信息，或者在请求时记录所有询问者的信息，以通知所有受影响方。^[12] 建议这种培训持续进行。

有许多因素导致了社会工程学的便利性：操纵信任、敏感信息的差异、连接账户的涌现特性以及消费者对便利性优于安全性的偏好。

某些因素，例如消费者对便利性或安全性的偏好，适用于社会的其他领域。有许多例子表明社会权衡便利性和安全性。美国运输安全管理局（TSA）在登机前进行的安全检查既耗时又侵入性，但近三分之二的美国人支持 TSA 检查，他们说：“他们将更高的优先级放在打击恐怖主义上。”^[13] 另一方面，数百万美国人驾驶机动车，尽管每年都有数千人死于交通事故。^[14] 便利性足以抵消与驾驶相关的风险。

其中一些因素只适用于针对消费者的社会工程学，需要进一步研究和解释适用于企业社会工程学的因素。

1. ↑ ^{a b} Honan, M. (2012). 苹果和亚马逊的安全漏洞导致我的史诗级黑客攻击。连线。
2. ↑ Grag, D. (2003, Dec). 多层次防御社会工程学。SANS 研究所。
3. ↑ ^{a b} Rusch, J. (N.D). 互联网欺诈的“社会工程学”。美国司法部。
4. ↑ Payne, J. (2011, Nov). 克服决策中的信息过载。TED@AllianzGI 资源。
5. ↑ Krebs Security. (2015, March 13). 冒充老板让小偷赚取可观的利润。
6. ↑ 暴雪。 (2015). 无法登录？
7. ↑ Facebook. (2015). 我无法登录。
8. ↑ Beach, D. (2014, October 21). 保护您的个人信息在线安全 [博客文章]。益博睿英国。
9. ↑ Cowley, S. (2012, August 8). 一名撒谎的“社会工程师”如何入侵沃尔玛。CNN。
10. ↑ Faw, L. (2015, September 9). 人们想要有帮助的品牌。媒体邮报。[文章]。
11. ↑ himmatsj. (2015, August 1). 知道为了恢复账户，Steam 会要求你提供在 Steam 上兑换的最早的产品密钥，这很可怕。Reddit。[论坛帖子]。
12. ↑ Peilocik. (2004). 社会工程学 - 友好的黑客。SANS 研究所。
13. ↑ Cohen,J，和Halsey, A.（2010年11月23日）。民调：近三分之二的美国人支持机场全身扫描仪。华盛顿邮报。[文章]。
14. ↑ 公路损失数据研究所。（2013）。一般统计数据。公路安全保险研究所。