5.3.2  社會互程學利用的人性“弱點”

社會工程學是網絡安全與心理學結合的學科，準確來說，它不是一門科學，因為它不能總是重復和成功，并且在信息充分多的情況下它會失效。基于系統、體系、協議等技術體系缺陷的攻擊方式，隨著時間流逝最終都會失效，因為系統的漏洞可以彌補，體系的缺陷可能隨著技術的發展完善或替代。社會工程學利用的是人性的“弱點”，而人性是永恒存在的，這使得它幾乎可以說是永遠有效的攻擊方式。

社會工程學本質上是一種心理操縱，攻擊者通過種種方式來引導受攻擊者的思維向攻擊者期望的方向發展。羅伯特。B。西奧迪尼（Robert B Cialclii，i）在科學美國人（2001年2月）雜志中總結對心理操縱的研究，介紹了6種“人類天性基本傾向”，這些基本傾向都是社會工程學工程師在攻擊中所依賴的（有意識或者無意識的）。

1.權威

基于對權威的信任，當一個請求或命令來自一個“權威”人士時，這個請求就可能被毫不懷疑的執行。在電信詐騙中，攻擊者偽裝成“公安部門”人員，要求受害者轉賬到所謂“安全賬戶”就是利用了受害者對權威的信任。在網絡攻擊中，攻擊者可能偽裝成監管部門、信息系統管理人員等身份，去要求受害者執行操作，例如偽裝成系統管理員，告訴用戶請求配合進行一次系統測試，要求更改密碼等。