社会工程学

在计算机科学，社会工程学指的是通过与他人的合法交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系，这一行为一般是被认作侵犯隐私权的。历史上，社会工程学是隶属于社会学，不过其影响他人心理的效果引起了计算机安全专家的注意。所有社会工程学攻击都创建在使人决断产生认知偏差的基础上。有时候这些偏差被称为“人类硬件漏洞”，足以产生众多攻击方式，其中一些包括：假托（pretexting）是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以创建合情合理的假象。（diversion theft）（IVR/phone phishing，IVR: interactive voice response）（Baiting）（Quid pro quo） 攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。攻击者伪装成弱者但不限于通过说话声音带哭腔等手段来骗取受害者的同情心，以此来获取想要获取的信息尾随通常是指尾随者利用另一合法受权者的识别机制，通过某些检查点，进入一个限制区域。虽然社会工程学已经流传多年，但仍一再被利用，并且不断演进。各类型的网络犯罪和信息安全威胁，都会使用社会工程学的技巧，尤其是在目标式攻击中使用的频率愈来愈高。在以往，网络罪犯只会利用标题耸动的全球性事件或新闻 (例如世界杯足球赛或情人节等) 来引诱用户，但现在，有其他犯罪手法往往也搭配使用社会工程学技巧。是一种企图从电子通信中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。电脑蠕虫不需要附在别的程序内，也可以用户不介入操作的情况下也能自我复制或运行。以电子邮件包装着恶意木马程序的电子邮件入侵受害者电脑。 例如主旨为美国总统大选结果的电子邮件附件却包含恶意木马程序。美国前头号黑客凯文·米特尼克被认为是社会工程学的大师和开山鼻祖，著有安全著作《欺骗的艺术（英语：The Art of Deception）》。