今后10年里,大公司和Internet个人用户面临的最大安全风险将是越来越狡滑地利用社会工程学绕过IT安全防御措施。
日前,安全研究研究公司Gartner在一项公告中将社会工程学定义为“利用人而非 机器成功地突破企业或消费者的安全系统。”。社会工程学涉及罪犯说服用户点击链接或打开他们可能知道他们不应当打开的附件。
Gartner信息安全与风险研究主任Rich Mogull在公告中说,社会工程学不是一个简单的黑客问题。他说:“人类天生存在不可猜测性,易于被欺骗和说服。研究显示,人类存在某些可通过精心的欺骗手段被利用的行为倾向。许多破坏力最大的行为是由于社会工程学而不是黑客或破解行为造成的。”
Mogull说,身份偷窃是一个大问题,因为越来越多的罪犯利用新技术“让老骗术改头换面”。
他说:“利用社会工程学,罪犯用某人的身份赢利或采用企业更多的信息。这不仅侵害了企业,而且也侵犯了用户的个人隐私。”
澳大利亚与新西兰安全专家Rob Forsyth讲述了最近发生的针对澳大利亚失业人员的“恶意并损人”的欺骗。受害人收到一封据传来自Credit Suisse银行提供就业机会的广告电子邮件。这封电子邮件要求收信人访问一个网站,网站几乎就是真正Credit Suisse网站的翻版,但假冒网站包含“工作职位”申请表。
Forsyth说,翻版网站假冒得惟妙惟肖,以致专家们花了很长时间才证实它实际是一次欺诈。
Forsyth说:“它不一定富有创造力,但的确聪明地利用了新技术。他们将目标锁定在社会中那些有着急切需要的人:那些寻找工作的人。正是这些人可能轻易受到这类花言巧语的欺骗。”
Gartner的Mogull说:“我们认为社会工程学是未来10年最大的安全风险。”
(责任编辑:zhaohb)
