社會工程學是指透過心理操控手段誘使人們洩露機密資訊。社會工程學透過網路釣魚和身份盜竊影響個人，透過企業間諜活動影響公司。駭客的動機可能是經濟利益、個人娛樂或聲名狼藉。本章將探討 2012 年對 Wired 雜誌作家 Mat Honan^[1] 的駭客攻擊，攻擊者入侵了多個帳戶，並在此過程中丟失了他的個人資料和 Twitter 帳戶。

社會工程學利用了人際互動的一個核心方面：信任。如果受害者相信攻擊者的說法，無論是他們是一個需要幫助的人，還是一個應該訪問所尋求的資訊的人，那麼受害者很可能會幫助攻擊者獲得這些資訊。此外，一旦建立了信任，受害者更有可能忽視一些警示訊號，例如對關鍵資訊的無知，因為他們認為攻擊者是合法的。這種信任可以透過多種方式建立：穿著假制服、撥打幫助熱線並使用容易獲得的資訊（如賬單地址）冒充使用者，或與受害者交談並與他們建立友誼，使他們感到安全。^[2]

1. 邊緣說服 - 與直接說服不同，直接說服依賴於邏輯論證和推理來說服聽眾，而邊緣說服則依賴於繞過邏輯思維的說服，通常是透過觸發受害者強烈的感情。當人們感受到強烈的感情，如恐懼或興奮時，他們無法理性地評估問題或情況，因此更容易被說服。^[3] 社會工程師利用這種方式，例如，撥打幫助熱線並懇求幫助，或告訴某人他們贏得了抽獎，只需要填寫表格即可領取獎品。
2. 資訊過載 - 當一個人聽到很多新的或意想不到的資訊或論點時，他們會在心理上從處理資訊轉變為簡單地接受資訊，以便接收所有資訊。^[4] 攻擊者利用這一點，向目標快速吐出一堆宣告，壓倒他們，使他們認為那些原本會質疑的宣告是真實可信的。
3. 互惠 - 如果一個人得到禮物或得到服務，他們更有可能在後來被要求時回報給禮物或服務提供者。^[3] 一個簡單的例子是，攻擊者為員工開啟一組門中的第一個，然後員工為攻擊者開啟內部的需要刷卡才能進入的門。
4. 權威 - 一個人收到來自自稱上級的人的要求或命令，很可能毫無疑問地服從，尤其是當命令看起來並不太離譜時。攻擊者利用這一點做了很多事情，包括命令將資金電匯到他們的賬戶^[5]

在短短的 22 分鐘內，Honan 的多個帳戶被駭客 Phobia 入侵，所有個人資料都被清除。Phobia 的目標是接管 Honan 的 Twitter 帳戶 @mat。利用 Honan 的 Twitter 頁面和個人域名，Phobia 發現了 Honan 的 Gmail 地址，該地址的 Apple Me 地址被設定為恢復選項。Phobia 知道可以利用 Honan 信用卡的後 4 位數字訪問 Apple 帳戶，於是他轉向亞馬遜獲取這些資訊。他使用 Honan 的姓名、電子郵件和賬單地址（所有這些都是公開資訊）在亞馬遜帳戶中添加了一個新的假信用卡號碼。接下來，他使用這張卡在亞馬遜帳戶中添加了一個新的電子郵件地址，用於重置密碼。獲得了亞馬遜帳戶的訪問許可權後，他找到了 Honan 信用卡的後 4 位數字，並能夠訪問 Apple 帳戶，重置 Gmail 帳戶，最終重置 Twitter 帳戶。

當用戶忘記登入憑據且無法再訪問其電子郵件帳戶時，線上服務必須使用其他資訊驗證其身份。這些資訊必須足夠安全，以防止他人進行欺詐，但又要足夠容易供使用者訪問，這需要做出判斷。不同的線上服務對什麼是敏感資訊有不同的看法。以 Honan 為例，亞馬遜認為信用卡的後 4 位數字並不重要，可以在網上顯示，而 Apple 認為這些資訊足夠安全，可以用作身份驗證。以下列表顯示了不同線上服務可能使用哪些資訊來證明身份。

正如預期的那樣，富國銀行和 Facebook 對客戶提出了更高的證明要求，因為它們面臨著更高的欺詐成本。但是，亞馬遜和 Apple 都是持有財務資訊的企業，它們對身份驗證的證明要求相對較低，主要使用公共領域的 information. Blizzard 作為一家遊戲服務公司，似乎過於嚴格；然而，它儲存的資料代表著客戶多年的投資。

以河南為例，唯一可能被單獨入侵的賬戶是亞馬遜。其他所有賬戶都需要來自其他賬戶的資訊或訪問許可權。連線賬戶產生的漏洞導致了其他駭客攻擊的發生。據益博睿（Experian）統計，英國人平均擁有 19 個不同的線上賬戶，其中 25-34 歲的年輕人平均擁有 28 個賬戶。^[8] 每個人建立的每個賬戶不僅有自身的漏洞，賬戶之間的互動還會產生單個賬戶中不存在的新漏洞。在系統理論中，這是線上賬戶互動的湧現特性。

社會工程學雖然通常用於獲取金錢或特權資訊，但也可能被用來提升地位。DefCon 每年都會舉辦一場比賽，數十人參加比賽，透過社會工程學的方式進入許多公司，其中一位參與者在 2012 年 20 分鐘內從兩家不同的塔吉特商店獲得了關鍵資訊。^[9] 這項比賽讓社會工程師們可以分享他們使用的技巧，並找出誰是最好的。這種炫耀或展示在人類生活中很常見，實際上源於我們的原始祖先。根據動物行為學，動物利用展示行為嚇退潛在的競爭對手，以獲得食物或配偶，因為這比打鬥要經濟得多。雖然其目的已經改變，但人類仍然會炫耀以證明自己是最好的，許多人在有機會的情況下都會炫耀。在河南事件中，Phobia 受到了對 @mat 控制代碼的物質利益和公開聲稱對駭客攻擊負責所展示的炫耀行為的雙重驅動。^[1]

75% 的美國成年人表示客戶服務對他們很重要。優質客戶服務的特點之一是能夠快速、輕鬆地幫助使用者恢復其賬戶訪問許可權。^[10] 由於每年都有數百萬人忘記自己的賬戶詳細資訊，而公司希望客戶擁有良好的客戶服務體驗，因此需要最少的資訊來證明賬戶所有權。然而，這樣做也更容易被惡意目的利用。這就形成了便利性和安全性之間的權衡。

在許多情況下，消費者更喜歡便利性。當服務要求提供更多資訊來證明賬戶所有權時，使用者會發現難以快速、輕鬆地提供這些資訊。例如，線上數字發行服務Steam有時會要求提供與賬戶關聯的第一個產品金鑰來恢復訪問許可權。許多時候，這將非常難以提供，從而導致消費者感到沮喪，並可能導致失去未來客戶。^[11]

不同公司對賬戶檢索所需的資訊量存在差異，這取決於從賬戶中可以獲得什麼。這是因為當被入侵的賬戶遭受更大損失時，消費者更願意用便利性換取安全性。例如，蘋果只要求提供賬單地址和部分信用卡號碼，而銀行可能要求提供您的社會安全號碼。

社會工程學很大程度上依賴於人類行為以及最小化多個賬戶的複合漏洞。有不同的方法，包括技術和社會方法，可以對抗駭客使用的技術。

在馬特·霍南被駭客攻擊事件中，資訊是從另一個賬戶中獲取的，在另一個賬戶中，這些資訊被視為非敏感資訊，以獲取訪問另一個賬戶的許可權，而在另一個賬戶中，這些資訊是敏感的，足以證明所有權。為了減少連線賬戶之間漏洞的複合因素，線上服務可以標準化它們認為是敏感的資訊，這樣，一個系統中的漏洞就不會允許訪問其他賬戶。

許多社會工程學案例發生的原因是，敏感資訊被提供給了無權檢視的人員。全球資訊保障認證（GIAC）認為，這是因為員工沒有接受足夠的培訓來識別人類資訊欺詐的案例，即有人試圖透過欺騙手段獲取資訊。在培訓員工更加謹慎地處理敏感資訊方面做出額外努力，可以大大減少與信任相關的社會工程學案例。這些方法包括拒絕向不認識的人員提供資訊，或者在請求時記錄所有詢問者的資訊，以通知所有受影響方。^[12] 建議這種培訓持續進行。

有許多因素導致了社會工程學的便利性：操縱信任、敏感資訊的差異、連線賬戶的湧現特性以及消費者對便利性優於安全性的偏好。

某些因素，例如消費者對便利性或安全性的偏好，適用於社會的其他領域。有許多例子表明社會權衡便利性和安全性。美國運輸安全管理局（TSA）在登機前進行的安全檢查既耗時又侵入性，但近三分之二的美國人支援 TSA 檢查，他們說：“他們將更高的優先順序放在打擊恐怖主義上。”^[13] 另一方面，數百萬美國人駕駛機動車，儘管每年都有數千人死於交通事故。^[14] 便利性足以抵消與駕駛相關的風險。

其中一些因素只適用於針對消費者的社會工程學，需要進一步研究和解釋適用於企業社會工程學的因素。

1. ↑ ^{a b} Honan, M. (2012). 蘋果和亞馬遜的安全漏洞導致我的史詩級駭客攻擊。連線。
2. ↑ Grag, D. (2003, Dec). 多層次防禦社會工程學。SANS 研究所。
3. ↑ ^{a b} Rusch, J. (N.D). 網際網路欺詐的“社會工程學”。美國司法部。
4. ↑ Payne, J. (2011, Nov). 克服決策中的資訊過載。TED@AllianzGI 資源。
5. ↑ Krebs Security. (2015, March 13). 冒充老闆讓小偷賺取可觀的利潤。
6. ↑ 暴雪。 (2015). 無法登入？
7. ↑ Facebook. (2015). 我無法登入。
8. ↑ Beach, D. (2014, October 21). 保護您的個人資訊線上安全 [部落格文章]。益博睿英國。
9. ↑ Cowley, S. (2012, August 8). 一名撒謊的“社會工程師”如何入侵沃爾瑪。CNN。
10. ↑ Faw, L. (2015, September 9). 人們想要有幫助的品牌。媒體郵報。[文章]。
11. ↑ himmatsj. (2015, August 1). 知道為了恢復賬戶，Steam 會要求你提供在 Steam 上兌換的最早的產品金鑰，這很可怕。Reddit。[論壇帖子]。
12. ↑ Peilocik. (2004). 社會工程學 - 友好的駭客。SANS 研究所。
13. ↑ Cohen,J，和Halsey, A.（2010年11月23日）。民調：近三分之二的美國人支援機場全身掃描器。華盛頓郵報。[文章]。
14. ↑ 公路損失資料研究所。（2013）。一般統計資料。公路安全保險研究所。