淺談社會(huì)工程學(xué)攻擊與防范

摘 要：盡管現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)和手段不斷發(fā)展完善，但它們對(duì)于安全所能起到的作用還是很有限的。利用社會(huì)工程學(xué)手段突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)。因此，探討社會(huì)工程學(xué)攻擊的一些方式及防范措施，可以提高廣大用戶對(duì)抗此類攻擊的能力。

關(guān)鍵詞：社會(huì)工程學(xué)；網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)安全；黑客防范

中圖分類號(hào)：TP393.08

系統(tǒng)和程序所帶來(lái)的安全問(wèn)題往往是可以避免的，但從人性以及心理的方面來(lái)說(shuō)，社會(huì)工程學(xué)往往是防不勝防的。當(dāng)前，黑客已經(jīng)由單純借助技術(shù)手段進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程攻擊，開(kāi)始轉(zhuǎn)向綜合采用包括社會(huì)工程學(xué)攻擊在內(nèi)的多種攻擊方式。由于社會(huì)工程學(xué)攻擊形式接近現(xiàn)實(shí)犯罪，隱蔽性較強(qiáng)，容易被忽視，但又極具危險(xiǎn)性，因此應(yīng)引起廣大機(jī)構(gòu)及計(jì)算機(jī)用戶的高度關(guān)注和警惕。

1 社會(huì)工程學(xué)攻擊的定義

社會(huì)工程學(xué)（Social Engineering）是把對(duì)物的研究方法全盤運(yùn)用到對(duì)人本身的研究上，并將其變成技術(shù)控制的工具。社會(huì)工程學(xué)是一種針對(duì)受害者的心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱，實(shí)施諸如欺騙、傷害等危害的方法。[1]

“社會(huì)工程學(xué)攻擊”就是利用人們的心理特征，騙取用戶的信任，獲取機(jī)密信息、系統(tǒng)設(shè)置等不公開(kāi)資料，為黑客攻擊和病毒感染創(chuàng)造有利條件。網(wǎng)絡(luò)安全技術(shù)發(fā)展到一定程度后，起決定因素的不再是技術(shù)問(wèn)題，而是人和管理。[2]面對(duì)防御嚴(yán)密的政府、機(jī)構(gòu)或者大型企業(yè)的內(nèi)部網(wǎng)絡(luò)，在技術(shù)性網(wǎng)絡(luò)攻擊不夠奏效的情況下，攻擊者可以借助社會(huì)工程學(xué)方法，從目標(biāo)內(nèi)部入手，對(duì)內(nèi)部用戶運(yùn)用心理戰(zhàn)術(shù)，在內(nèi)網(wǎng)高級(jí)用戶的日常生活上做文章。通過(guò)搜集大量的目標(biāo)外圍信息甚至隱私，側(cè)面配合網(wǎng)絡(luò)攻擊行動(dòng)的展開(kāi)。

2 社會(huì)工程學(xué)網(wǎng)絡(luò)攻擊的方式

黑客在實(shí)施社會(huì)工程學(xué)攻擊之前必須掌握一定的心理學(xué)、人際關(guān)系、行為學(xué)等知識(shí)和技能，以便搜集和掌握實(shí)施社會(huì)工程學(xué)攻擊行為所需要的資料和信息等。結(jié)合目前網(wǎng)絡(luò)環(huán)境中常見(jiàn)的黑客社會(huì)工程學(xué)攻擊方式和手段，我們可以將其主要概述為以下幾種方式：

2.1 網(wǎng)絡(luò)釣魚式攻擊

“網(wǎng)絡(luò)釣魚”作為一種網(wǎng)絡(luò)詐騙手段，主要是利用人們的心理來(lái)實(shí)現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶和口令、社保編號(hào)等內(nèi)容。[3]近幾年，國(guó)內(nèi)接連發(fā)生利用偽裝成“中國(guó)銀行”、“中國(guó)工商銀行”等主頁(yè)的惡意網(wǎng)站進(jìn)行詐騙錢財(cái)?shù)氖录?。“網(wǎng)絡(luò)釣魚”是基于人性貪婪以及容易取信于人的心理因素來(lái)進(jìn)行攻擊的，常見(jiàn)的“網(wǎng)絡(luò)釣魚”攻擊手段有：（1）利用虛假郵件進(jìn)行攻擊。（2）利用虛假網(wǎng)站進(jìn)行攻擊。（3）利用QQ、MSN等聊天工具進(jìn)行攻擊。（4）利用黑客木馬進(jìn)行攻擊。（5）利用系統(tǒng)漏洞進(jìn)行攻擊。（6）利用移動(dòng)通信設(shè)備進(jìn)行攻擊。

2.2 密碼心理學(xué)攻擊

密碼心理學(xué)就是從用戶的心理入手，分析對(duì)方心理，從而更快的破解出密碼。掌握好可以快速破解、縮短破解時(shí)間，獲得用戶信息，這里說(shuō)的破解都只是在指黑客破解密碼，而不是軟件的注冊(cè)破解。[4]常見(jiàn)的密碼心理學(xué)攻擊方式：（1）針對(duì)生日或者出生年月日進(jìn)行密碼破解。（2）針對(duì)用戶移動(dòng)電話號(hào)碼或者當(dāng)?shù)貐^(qū)號(hào)進(jìn)行密碼破解。（3）針對(duì)用戶身份證號(hào)碼進(jìn)行密碼破解。（4）針對(duì)用戶姓名或者旁邊親友及朋友姓名進(jìn)行密碼破解。（5）針對(duì)一些網(wǎng)站服務(wù)器默認(rèn)使用密碼進(jìn)行破解。（6）針對(duì)“1234567”等常用密碼進(jìn)行破解。

2.3 收集敏感信息攻擊

利用網(wǎng)站或者用戶企業(yè)處得到的信息和資料來(lái)對(duì)用戶進(jìn)行攻擊，這一點(diǎn)常常被非法份子用來(lái)詐騙等。[5]常見(jiàn)的收集敏感信息攻擊手段：（1）根據(jù)搜索引擎對(duì)目標(biāo)收集信息和資料。（2）根據(jù)踩點(diǎn)和調(diào)查對(duì)目標(biāo)收集信息和資料。（3）根據(jù)網(wǎng)絡(luò)釣魚對(duì)目標(biāo)收集信息和資料。（4）根據(jù)企業(yè)人員管理缺陷對(duì)目標(biāo)收集信息和資料。

2.4 企業(yè)管理模式攻擊

專門針對(duì)企業(yè)管理模式手法進(jìn)行攻擊。[6]常見(jiàn)的企業(yè)管理模式攻擊手法：（1）針對(duì)企業(yè)人員管理所帶來(lái)的缺陷所得到的信息和資料。（2）針對(duì)企業(yè)人員對(duì)于密碼管理所帶來(lái)的缺陷所得到的信息和資料。（3）針對(duì)企業(yè)內(nèi)部管理以及傳播缺陷所得到的信息和資料。

3 社會(huì)工程學(xué)攻擊的防范

當(dāng)今，常規(guī)的網(wǎng)絡(luò)安全防護(hù)方法無(wú)法實(shí)現(xiàn)對(duì)黑客社會(huì)工程學(xué)攻擊的有效防范，因此對(duì)于廣大計(jì)算機(jī)網(wǎng)絡(luò)用戶而言，提高網(wǎng)絡(luò)安全意識(shí)，養(yǎng)成較好的上網(wǎng)和生活習(xí)慣才是防范黑客社會(huì)工程學(xué)攻擊的主要途徑。防范黑客社會(huì)工程學(xué)攻擊，可以從以下幾方面做起：

3.1 多了解相關(guān)知識(shí)

常言道“知己知彼，百戰(zhàn)不殆”。人們對(duì)于網(wǎng)絡(luò)攻擊，過(guò)去更偏重于技術(shù)上的防范，而很少會(huì)關(guān)心社會(huì)工程學(xué)方面的攻擊。因此，了解和掌握社會(huì)工程學(xué)攻擊的原理、手段、案例及危害，增強(qiáng)防范意識(shí)，顯得尤為重要。除了堪稱社會(huì)工程學(xué)的經(jīng)典——?jiǎng)P文米特（Kevin Mitnick）出版的《欺騙的藝術(shù)》（The Art of Deception），還可以通過(guò)互聯(lián)網(wǎng)來(lái)找到類似的資料加以學(xué)習(xí)。此外，很多文學(xué)作品、影視節(jié)目也會(huì)摻雜社會(huì)工程學(xué)的情節(jié)，比如熱播諜戰(zhàn)劇《懸崖》，里面的主人公周乙無(wú)疑是一個(gè)社會(huì)工程學(xué)高手，讀者應(yīng)該能從中窺探到不少奧妙。

3.2 保持理性思維

很多黑客在利用社會(huì)工程學(xué)進(jìn)行攻擊時(shí)，利用的方式大多數(shù)是利用人感性的弱點(diǎn)，進(jìn)而施加影響。當(dāng)網(wǎng)民用戶在與陌生人溝通時(shí)，應(yīng)盡量保持理性思維，減少上當(dāng)受騙的概率。

3.3 保持一顆懷疑的心

當(dāng)前，利用技術(shù)手段造假層出不窮，如發(fā)件人地址、來(lái)電顯示的號(hào)碼、手機(jī)收到的短信及號(hào)碼等都有可能是偽造的，因此，要求網(wǎng)民用戶要時(shí)刻提高警惕，不要輕易相信網(wǎng)絡(luò)環(huán)境中所看到的信息。

3.4 不要隨意丟棄廢物

日常生活中，很多的垃圾廢物中都會(huì)包含用戶的敏感信息，如發(fā)票、取款機(jī)憑條等，這些看似無(wú)用的廢棄物可能會(huì)被有心的黑客利用實(shí)施社會(huì)工程學(xué)攻擊，因此在丟棄廢物時(shí)，需小心謹(jǐn)慎，將其完全銷毀后再丟棄到垃圾桶中，以防止因未完全銷毀而被他人撿到造成個(gè)人信息的泄露。

4 結(jié)語(yǔ)

當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，隨之所引發(fā)的網(wǎng)絡(luò)安全問(wèn)題將日益突出。傳統(tǒng)的計(jì)算機(jī)攻擊者在系統(tǒng)入侵的環(huán)境下存在很多局限性，而新的社會(huì)工程學(xué)攻擊則將充分發(fā)揮其優(yōu)勢(shì)，通過(guò)利用人為的漏洞缺陷進(jìn)行欺騙進(jìn)而獲取系統(tǒng)控制權(quán)。本文較為系統(tǒng)地闡述了社會(huì)工程學(xué)攻與防的相關(guān)基礎(chǔ)知識(shí)，旨在幫助關(guān)心網(wǎng)絡(luò)安全的人群能更加關(guān)注安全問(wèn)題，并且有針對(duì)性的結(jié)合防范措施避免入侵者的惡意攻擊。

參考文獻(xiàn)：

[1]姜瑜.計(jì)算機(jī)網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)研究[J].湖南經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2006，17（6）：279-280.

[2]陳小兵，錢偉.電子郵件社會(huì)工程學(xué)攻擊防范研究[J].信息網(wǎng)絡(luò)安全，2012，11：5-7.

[3]楊明，杜彥輝，劉曉娟.網(wǎng)絡(luò)釣魚郵件分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[N].中國(guó)人民公安大學(xué)學(xué)報(bào)，2012，5：61-65.

[4]清涼心.看看黑客如何來(lái)破解密碼[J].網(wǎng)絡(luò)與信息，2007，6：61.

[5]嚴(yán)芬，黃皓.攻擊行為系統(tǒng)化分析方法[J].計(jì)算機(jī)科學(xué)，2006，10：93-96.

[6]周政杰.社會(huì)工程學(xué)的攻擊防御在電子取證中的應(yīng)用探析[J].信息網(wǎng)絡(luò)安全，2010，11：46-48.

作者簡(jiǎn)介：周磊（1981-），男，上海人，助理工程師，本科，主要研究方向：網(wǎng)絡(luò)信息安全。

作者單位：上海市公安局楊浦分局網(wǎng)安支隊(duì)，上海 200090