淺析社會工程學(xué)中的信息泄漏

◆金莉莎 朱翔 張雅雯

淺析社會工程學(xué)中的信息泄漏

◆金莉莎 朱翔 張雅雯

（四川傳媒學(xué)院 四川 611745）

層出不窮的數(shù)據(jù)信息隱私泄密事件，一直是全球各國安全領(lǐng)域防范的重點，如今社會工程學(xué)的興起，成了攻擊手段的最重要的一種方式，這種方式擊中了人性中最脆弱的一環(huán)，使得更輕松的竊取數(shù)據(jù)信息。文章對社會工程學(xué)的信息收集方式進(jìn)行分析與日常預(yù)防方式提出自己的見解。

信息泄漏；社會工程學(xué)；網(wǎng)絡(luò)安全

21世紀(jì)隨著信息智能化，物聯(lián)網(wǎng)，大數(shù)據(jù)分析，人工智能等新興技術(shù)興起，網(wǎng)絡(luò)數(shù)據(jù)安全的重要性逐步凸顯出來。在如今，科技與防護(hù)手段的提升中使得傳統(tǒng)攻擊手段越來越難以獲取數(shù)據(jù)信息，而在非傳統(tǒng)攻擊手段中，社會工程學(xué)是針對最薄弱的一環(huán)進(jìn)行攻擊，而這一環(huán)就是人，通過多學(xué)科交叉融會貫通，將攻擊泄露的數(shù)據(jù)信息，分析收集組裝，逐漸完善所有數(shù)據(jù)信息，以得到自己的利益。

1 社會工程學(xué)

近幾年隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人們接觸到網(wǎng)絡(luò)的方式也可謂多元化的，互聯(lián)網(wǎng)像是一個放大器，它放大了人的欲望、在人性的貪婪、弱點上做了加法。建筑、醫(yī)療有它的工程，互聯(lián)網(wǎng)也有它的工程----社會工程學(xué)。一提到信息安全隱患，我們就會想到攻擊者利傳統(tǒng)攻擊手段，層層突破我們的信息安全保護(hù)，但實質(zhì)上，他們還通過社會工程學(xué)這個途徑。社會是由千千萬萬的個人組成，而每個人的欲望、貪婪、弱點都截然不同，因此將這些異同點進(jìn)行歸納分析便會產(chǎn)生一個令人聞風(fēng)喪膽的“學(xué)問”。比方說，作為求職者的你收到了一封來自知名公司的offer，在毫無戒備的情況下，你便會點擊這個郵件，按照攻擊者預(yù)先設(shè)定的陰謀，從而獲取你的私密信息。為什么正在求職的你，剛好會收到應(yīng)聘的郵件？為什么你看到這個郵件你不會懷疑它的真假性？這便是攻擊者通過各種途徑掌握了你最近動態(tài)，利用欺騙的手段，喚醒你人性底層的欲望與弱點，并且偽造一些浮于表面的假象打消你的猜疑，建立相互信任感，引誘你自發(fā)泄露你的私密信息。當(dāng)你的信息赤裸裸的暴露在別人面前時，此時人為刀俎，我為魚肉。社會工程學(xué)便是這樣一門“學(xué)問”，人性本來脆弱，在眾多攻擊方法中，攻破人心理的防線，是最輕而易舉之事，也是成本最低的。

2 信息收集

信息收集是進(jìn)行攻擊的前提，也是關(guān)鍵的環(huán)節(jié)。一個攻擊者的攻擊方案是否優(yōu)秀絕大程度取決于前期的信息收集，但信息收集過程絕不僅僅在于前期，而是嵌套在我們攻擊的始終，這也就意味著我們的攻擊者需要根據(jù)被攻擊方的實時動態(tài)有效地進(jìn)行方案策略的更改。了解一個人包括知道他基本信息，包括姓名、年齡、出生日期、電話號碼，行為習(xí)慣、性格特點、近期活動等，這些信息收集的來源十分的廣泛，也許不經(jīng)意之間我們便泄露了重要信息。例如，大多數(shù)人都喜歡網(wǎng)購，拆了包裹就往垃圾箱里扔，殊不知，快遞盒上有我們電話和地址，而有的攻擊者會間接獲取你的重要信息。這只是信息收集方式的冰山一角，我們將信息收集的方式分為兩大類，一種是基于互聯(lián)網(wǎng)的信息收集，一種是不基于互聯(lián)網(wǎng)方式的信息收集。

（1）常見信息收集方式

基于互聯(lián)網(wǎng)的信息收集方式包括搜索引擎、社交平臺、權(quán)威網(wǎng)站、數(shù)據(jù)公司等。

我們一般都會去搜索引擎上面獲得資料，大多數(shù)的搜索引擎都會有網(wǎng)頁緩存，上面有歷史記錄、搜索時間等信息。

如今是一個互聯(lián)網(wǎng)發(fā)達(dá)的時代，我們的社交也越來越廣泛，而任何互聯(lián)網(wǎng)的社交都會存在某種程度的信息安全隱患。我們會通過微信、QQ、微博、抖音等社交平臺進(jìn)行信息的分享，如果在個性資料里面我們填寫了真實的出生日期、郵箱、地址，那么當(dāng)攻擊者搜索到你的賬號時，同樣也獲取到了你的這些信息。

不基于互聯(lián)網(wǎng)的信息收集方式包括收集垃圾堆里面的文件、閑聊套話、潛伏在攻擊對象的環(huán)境。

企業(yè)的垃圾箱里面往往包含了許多重要資料，可也被我們很多人給忽略。比如員工的便利貼、活動安排、電話號碼、會議記錄等，如果將這些碎片拼湊在一起會獲得一個人的最近活動信息。一個聰明的攻擊者會從你身邊的人開始了解你，他們會佯裝成為你的同事、朋友，利用這些信息與街坊鄰居建立信任，套出你的更多個人信息，而此刻的你完全不會察覺，同樣一些咨詢臺也成為攻擊者有跡可循的場所，一般咨詢臺都是向外部人員提供咨詢服務(wù)的，對于咨詢者也是盡量幫助，攻擊者就會利用咨詢臺更加方便獲取一些重要信息。

攻擊者還會潛伏在被攻擊對象的生活環(huán)境當(dāng)中，觀察他的起居生活和行為習(xí)慣，以便后期攻擊時，讓你放下戒備，慢慢成為他們的囊中之物。例如，上下班攜帶電腦的人可能是計算機(jī)行業(yè)的；能說會道、表達(dá)能力強(qiáng)的人可能是銷售；下班后身上一股消毒水味道的可能是醫(yī)生。

通過與被攻擊者身處同一環(huán)境獲得的信息便是最為直接的信息，也是被攻擊者與攻擊者建立基本信任的信息。當(dāng)攻擊者提及這些信息時，仿佛就是你的某位熟人，這一層信任障礙便得到突破。

（2）信息的交叉泄露

信息的交叉泄露原意指的是數(shù)據(jù)信息通過不同的方向暴露在社會公眾面前，但現(xiàn)如今因為云計算、大數(shù)據(jù)分析技術(shù)興起的環(huán)境下，交叉泄露是指數(shù)據(jù)信息一旦發(fā)生泄露，將造成其他數(shù)據(jù)信息泄露在開放網(wǎng)絡(luò)中，這毫無安全可言。

在曾經(jīng)，個人的數(shù)據(jù)資料只有國家機(jī)關(guān)才有，何況更全面的個人資料還需要自己去登記?，F(xiàn)如今，每個人都有一臺智能手機(jī)，手機(jī)號綁定身份證號，出行使用GPS定位，系統(tǒng)激活時會讓你去同意他的用戶數(shù)據(jù)使用條款，因此你的所有出行數(shù)據(jù)全部被記錄在里面。同樣，在我們使用電商平臺時，例如淘寶，京東，拼多多等，基本都為實名制，這也表示你的所有信息也被記錄在數(shù)據(jù)庫中。在云計算和大數(shù)據(jù)分析平臺上，查詢被泄露的手機(jī)號就可獲得你全部的個人信息。若攻擊者通過身份證和手機(jī)號相互交叉驗證的方式，一個人的隱私將會被他輕易獲取。例如一個人丟失了手機(jī)，可能會出現(xiàn)第二天信用卡被盜刷，社交網(wǎng)站用戶名密碼被修改等情況。這種情況應(yīng)該給政府和我們敲響一記警鐘，如何去重視和預(yù)防如今的大數(shù)據(jù)時代隱私的泄露風(fēng)險問題。

3 信息泄露危害

在當(dāng)今這個信息互聯(lián)的時代，無論是微信的注冊，美團(tuán)的使用還是各種App的注冊都會用到我們的身份信息，而當(dāng)我們將信息公布給這些App后，其實我們的個人信息就已經(jīng)存在某種程度的安全隱患，你無法確定掌握我們信息的公司是否會有相應(yīng)技術(shù)漏洞或者間接將信息透露給攻擊者。個人信息泄漏，最輕的后果就是會長時間收到騷擾電話和垃圾信息，而最恐怖的后果就是，這些攻擊者在擁有完整的個人信息后，就會利用這些身份信息去做違法的事情，不法分子可以利用你的身份證號碼、電話號碼、銀行賬號等等信息去向其他App借款，現(xiàn)在大多數(shù)的支付機(jī)構(gòu)都可以用不同的手機(jī)號注冊相同的已經(jīng)實名認(rèn)證過的支付賬號，而且還允許多個賬號綁定相同的銀行卡，甚至有些平臺在用戶使用該張銀行卡進(jìn)行貸款時，不會進(jìn)行人臉識別，這也讓犯罪分子鉆了空子，他們能更簡便的利用被攻擊者的銀行卡，甚至可以讓被攻擊者銀行賬戶的錢財不翼而飛。

4 社會工程學(xué)預(yù)防

個人方面：在生活中，應(yīng)該養(yǎng)成在丟掉自己的消費憑據(jù)、火車票、快遞單據(jù)、取款憑條之前，先將其撕毀的習(xí)慣，千萬不能小看這些單據(jù)，很多攻擊者都是從這些看似沒用的東西上獲得我們的個人信息。例如在購物中心等地，會通過禮品誘惑你掃碼或填表的方式收集個人信息，然后就利用這些信息去做違法的事情。總之，只要自己在日常生活中注意不漏出破綻，這些人就不可能輕易獲得我們的個人信息。

企業(yè)方面：應(yīng)該加強(qiáng)對企業(yè)內(nèi)部管理用戶信息的存儲監(jiān)控，對用戶權(quán)限嚴(yán)格管控，防止攻擊者以不合法的用戶竊取相關(guān)私密信息。企業(yè)應(yīng)熟悉了解自身網(wǎng)絡(luò)環(huán)境和所處風(fēng)險，建立系統(tǒng)的安全管理體系，培養(yǎng)一支自己的安全團(tuán)隊，定時對企業(yè)安全架構(gòu)進(jìn)行滲透測試，對暴露出的漏洞進(jìn)行及時修復(fù)。加強(qiáng)對相應(yīng)員工安全意識的培訓(xùn)，提升最基本安全素質(zhì)。

5 結(jié)語

進(jìn)入二十一世紀(jì)后，計算機(jī)的信息時代飛速發(fā)展催生了信息新時代的各行各業(yè)，但同時網(wǎng)絡(luò)中的數(shù)據(jù)信息安全問題日益突出，層出不窮的個人數(shù)據(jù)信息泄露事件愈發(fā)嚴(yán)重，隨著大數(shù)據(jù)時代的來臨，針對個人的社會工程學(xué)的攻擊手段的興起，也為我們提出了更高的要求，研究社會工程學(xué)，了解攻擊者的手段與心理，為如何防范生活中無處不在的社會工程學(xué)攻擊與防止數(shù)據(jù)信息的交叉泄露提供有效的防御措施。

[1]李亞利.網(wǎng)絡(luò)信息安全之社會工程學(xué)[J].科技經(jīng)濟(jì)導(dǎo)刊，2020，28（26）：24-25.

[2]高小輝.社會工程學(xué)的攻擊原理及其實現(xiàn)方式[J].中阿科技論壇（中英阿文），2020（06）：147-150.

[3]廖壽豐.淺析社會工程學(xué)攻擊[J].數(shù)字通信世界，2019（08）：255.