鄭曉夏

摘 要 社會(huì)工程學(xué)是一種通過對(duì)被攻擊者的心理弱點(diǎn)、本能反應(yīng)以及好奇心、信任、貪婪等心理陷阱進(jìn)行的主要以網(wǎng)絡(luò)攻擊為主要途徑的攻擊手段。社會(huì)工程學(xué)入侵不單單是利用計(jì)算機(jī)系統(tǒng)本身的漏洞，而是利用人的弱點(diǎn)來突破信息安全防御措施。這種手段越來越被利用在實(shí)際入侵的案例中。本文介紹了在高中校園利用社會(huì)工程學(xué)進(jìn)行網(wǎng)絡(luò)攻擊的各種手段并提出了相應(yīng)的防御策略。

關(guān)鍵詞 社會(huì)工程學(xué) 高中校園 攻擊 防范

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A?? DOI：10.16400/j.cnki.kjdkz.2015.09.068

Social Engineering Attack and Prevention

Research in High School Campus

ZHENG Xiaoxia

（Yiling High School， Yichang， Hubei 443005）

Abstract Social engineering is a kind of network attack means by using psychological trap such as the victim's psychological weakness， instinct， curiosity， trust， and greed. Social engineering invasion is not just to make use of the computer system itself， but to take advantage to people's weakness to break through the information security defense measures. This technique is more and more used in the case of actual invasion. This paper introduces network attack techniques by using social engineering in high school campus and put forward the corresponding defensive strategy.

Key words Social Engineering; High School Campus; Attack？

自人類進(jìn)入二十一世紀(jì)以來，計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)獲得了高速發(fā)展，信息全球化已成為人類發(fā)展的趨勢(shì)，這是人類科學(xué)史上的一大進(jìn)步，但是隨之而來的計(jì)算機(jī)網(wǎng)絡(luò)所受的攻擊呈顯著的增長(zhǎng)趨勢(shì)，網(wǎng)絡(luò)世界的安全問題正引起人們的廣泛關(guān)注。任何事物都不是十全十美的，都是有漏洞的，雖然人們?yōu)榱吮Ｗo(hù)網(wǎng)絡(luò)安全，不斷開發(fā)安全級(jí)別更高、技術(shù)原理更加復(fù)雜的安全產(chǎn)品，使得攻擊者入侵變得越來越困難，①但實(shí)際上絕大多數(shù)安全事件，無論是從主現(xiàn)上還是從客觀上講，都存在大量的人為因素過失，換言之，人為因素是導(dǎo)致各種入侵得以實(shí)現(xiàn)的主要原因。因此，“人”在整個(gè)信息安全保障體系中，實(shí)際上發(fā)揮著十分重要的作用。從另一角度來講，由于系統(tǒng)安全級(jí)別的提升，使得入侵者利用系統(tǒng)上的漏洞進(jìn)行入侵，在技術(shù)上的困難越來越多，他們就會(huì)更多地利用人為因素或途徑來進(jìn)行攻擊，從“人”的角度來創(chuàng)造新的漏洞。這種通過對(duì)被攻擊者的心理弱點(diǎn)、本能反應(yīng)以及好奇心、信任、貪婪等心理陷阱進(jìn)行的主要以網(wǎng)絡(luò)攻擊為主要途徑的攻擊手段，就稱為社會(huì)工程學(xué)攻擊方法。因此，研究社會(huì)工程學(xué)在網(wǎng)絡(luò)空間中的入侵中的方法、途徑、特點(diǎn)，以及如何防范和降低社會(huì)工程學(xué)攻擊的損失與風(fēng)險(xiǎn)，就變得十分的重要。②

愛因斯坦曾經(jīng)說過，只有兩種事物是無窮盡的——宇宙和人類的愚蠢。但對(duì)于前者，我不敢確定。通常，社會(huì)工程學(xué)的攻擊，其頻頻得手的主要原因，來自于人們的某種意義上的愚蠢或者說是對(duì)信息安全實(shí)踐應(yīng)用方面的無知。計(jì)算機(jī)可以按照特定的指令去運(yùn)行，自己不會(huì)思考，但是人不一樣，有太多因素影響人們的選擇，我們的生活就是在不斷地進(jìn)行選擇，這種選擇的后果我們也是無法估量的。

1社會(huì)工程學(xué)

社會(huì)工程學(xué)的概念最早是由著名黑客凱文·米特尼克在《欺騙的藝術(shù)》中提出的。目前，對(duì)于社會(huì)工程學(xué)并沒有一個(gè)規(guī)范化的定義。根據(jù)《欺騙的藝術(shù)》中的描述，可以將其總結(jié)為： 社會(huì)工程學(xué)就是通過自然的、社會(huì)的和制度上的途徑，利用人的心理弱點(diǎn)（ 如人的本能反應(yīng)、好奇心、信任、貪婪） 以及規(guī)則制度上的漏洞，在攻擊者和被攻擊者之間建立起信任關(guān)系，獲得有價(jià)值的信息，最終可以通過未經(jīng)用戶授權(quán)的路徑訪問某些敏感數(shù)據(jù)和隱私數(shù)據(jù)。③

一般地，社會(huì)工程學(xué)是一種通過對(duì)被攻擊者的心理弱點(diǎn)、本能反應(yīng)以及好奇心、信任、貪婪等心理陷阱進(jìn)行的諸如欺騙、傷害等危害手段，獲取非法利益的行為，這種行為或案例近年來已經(jīng)呈現(xiàn)顯著的上升甚至于泛濫的態(tài)勢(shì)。④社會(huì)工程學(xué)與一般的欺騙手法有著顯著的區(qū)別，社會(huì)工程學(xué)的原理通常十分復(fù)雜，事實(shí)上，社會(huì)工程學(xué)整合了社會(huì)學(xué)、行為心理學(xué)、認(rèn)知科學(xué)等多個(gè)學(xué)科門類的技術(shù)與方法，往往讓人防不勝防，即使那些警惕心非常高的人，往往糊里糊涂地被高明的社會(huì)工程學(xué)手段所損害，甚至還會(huì)出現(xiàn)被人賣了還幫人數(shù)錢的現(xiàn)象。⑤社會(huì)工程學(xué)攻擊往往從通常的交談、欺騙、假冒或口語等非常普通的社會(huì)交往方式開始，從合法用戶中隱蔽地套取用戶系統(tǒng)的秘密和潛在的敏感信息，進(jìn)而為后續(xù)的網(wǎng)絡(luò)攻擊提供方便。這些通過蒙敝、影響、勸導(dǎo)來達(dá)到獲取信息的人，還有一個(gè)聽起來似乎很高大上的職業(yè)名稱，就是社會(huì)工程師。

因此，當(dāng)網(wǎng)絡(luò)安全技術(shù)發(fā)展到一定程度之后，真正能夠起決定因素和主導(dǎo)作用的，就不再是技術(shù)問題了，而是相關(guān)的人員和管理方面的問題了。近年來社會(huì)工程學(xué)攻擊逐漸泛濫的趨勢(shì)也與現(xiàn)實(shí)世界中的人員和管理方面的多種因素密切相關(guān)。⑥

2社會(huì)工程學(xué)在高中校園中的入侵手段

其實(shí)，高中可以算是我們?nèi)松械牡谝粋€(gè)轉(zhuǎn)折點(diǎn)，所以，為了讓自己的未來更明亮，我們都會(huì)很努力的埋頭學(xué)習(xí)，沒有太多的心思去想別的，每天三點(diǎn)一線的生活，算是比較封閉的，但是在這段時(shí)間，也很容易發(fā)生一些跟社會(huì)工程學(xué)扯上關(guān)系的讓我們自己非常懊惱的事情。

（1）身份被盜用。這種被欺騙手段最常見于在外地上學(xué)的孩子，家離得遠(yuǎn)，父母不在身邊;再者，在外地上學(xué)，父母肯定是花了大力氣的，就算有再大的壓力都會(huì)選擇自己一個(gè)人扛，不會(huì)跟父母說?？覆蛔〉臅r(shí)候可能就會(huì)向陌生人傾訴，似乎陌生人是最好的傾聽者。但是在學(xué)校接觸不到陌生人，只能通過網(wǎng)絡(luò)了?，F(xiàn)在上學(xué)的高中生，幾乎每個(gè)人都有手機(jī)，手機(jī)上都有聊天軟件。隨便加一個(gè)陌生人，也不會(huì)刻意去了解他，可能覺得還聊得來，我們就會(huì)傾訴自己心中的苦悶，無意間就會(huì)說出自己的一些敏感信息。這對(duì)于社會(huì)工程師來說，簡(jiǎn)直就是驚喜，不需要費(fèi)太大的力氣就能了解到很多有用的信息。而且，社會(huì)工程師盜取一個(gè)高中生的密碼不是難事。再根據(jù)他們自己說出的信息來偽裝成孩子跟他們的父母聊天，社會(huì)工程師的精明足以消除他們父母的懷疑。通過這樣的手段達(dá)到自己的目的應(yīng)該不難。

（2）身份偽裝。社會(huì)工程師現(xiàn)在扮演的就是陪讀家長(zhǎng)。我們學(xué)校有很多學(xué)生是有家長(zhǎng)陪讀的，在學(xué)校外面租房子，每天給學(xué)生送飯。而且陪讀家長(zhǎng)差不多都租在一個(gè)小區(qū)，偶爾一起聊聊天，打打麻將實(shí)在正常不過了。一個(gè)成功的社會(huì)工程師都具備很強(qiáng)的人際交往能力和人際溝通能力，他們看起來通常都非常注重禮儀、善于表達(dá)、能說會(huì)道，具有快速發(fā)展與溝通對(duì)象之間的信任程度的能力。為了孩子能考出一個(gè)非常好的成績(jī)，可能有些家長(zhǎng)就會(huì)走一些旁門左道，這樣社會(huì)工程師完全可以利用這一心理向這些家長(zhǎng)發(fā)送帶有“高考”字樣的郵件，特別是快要高考的時(shí)候，家長(zhǎng)們肯定會(huì)迫不及待地打開郵件，然后就是社會(huì)工程師們發(fā)揮作用的時(shí)候了，不知不覺中已經(jīng)獲取了自己想要的信息，脫身也是很容易的，高考過后，家長(zhǎng)們也不會(huì)再聯(lián)系。

（3）信息泄密?，F(xiàn)在有很多專門為高中生升學(xué)而開辦的補(bǔ)習(xí)班，家長(zhǎng)們?yōu)榱俗尯⒆涌嫉酶?，毫不猶豫地會(huì)報(bào)名，報(bào)名過程中必不可少的有信息登記這個(gè)環(huán)節(jié)，比如需要身份證號(hào)、電話號(hào)碼什么的，家長(zhǎng)們可能覺得一個(gè)補(bǔ)習(xí)班登記這些信息也只是為了以后上課好方便聯(lián)系，不會(huì)太在意。但是在臨近高考的時(shí)候，家長(zhǎng)們會(huì)接到很多騷擾電話，非常影響自己的生活。萬一有的家長(zhǎng)信了電話，受騙了都不知道找誰理論去。這個(gè)入侵手段并不高明，但是很容易實(shí)現(xiàn)，補(bǔ)習(xí)班無非也就是為了賺錢，把信息隨便的就賣給了別人，一些圖謀不軌的社會(huì)工程師很容易就掌握了家長(zhǎng)的信息。

3社會(huì)工程學(xué)的防范策略

（1）不要輕易接觸陌生人。作為高中生，不了解現(xiàn)實(shí)社會(huì)的人心險(xiǎn)惡。我們有壓力，要尋找合適的人來傾訴，最好就是找老師。老師們不僅教給我們知識(shí)，也能在生活上指導(dǎo)我們，他們更能理解我們的壓力，更能找出我們問題的有效解決辦法。而且，我們有壓力，不一定非要傾訴，我們是有自由活動(dòng)時(shí)間的。閑下來的時(shí)間里，喊上一些同學(xué)，痛痛快快地打場(chǎng)籃球，踢場(chǎng)足球，或者跑跑步也是很不錯(cuò)的壓力釋放方法。

（2）不要輕信他人。社會(huì)工程師就是會(huì)利用別人的信任來獲取一些不正當(dāng)?shù)睦?。我們要時(shí)刻警惕，越是特殊時(shí)期越不能盲目相信他人。我們要有一定的防范意識(shí)，因?yàn)槲覀儧]有辦法識(shí)別別人的好壞，只能夠控制住自己。要特別注意自己的信息安全，不能輕易就泄露給別人，后果我們沒有辦法預(yù)測(cè)，就算是看起來對(duì)我們沒有作用的信息也不可以泄露。很多看起來對(duì)我們毫無意義的信息在別人看來可不一定。

（3）別隨便留下自己的信息。就算是有一些正當(dāng)?shù)睦碛?，在填寫自己的信息時(shí)也要特別注意。在非填不可的情況下，當(dāng)被詐騙電話騷擾時(shí)，不要相信，必要的時(shí)候還可以舉報(bào)，讓大家都注意防范。我們的信息都掌握在自己手中，只要自己信息保密工作做得好，不輕易透露給別人，不法分子也就無法有別的企圖。任何信息的泄露，主要原因都在自己，我們要把握好自己這一關(guān)。

4結(jié)束語

社會(huì)工程學(xué)攻擊，從表面看，往往可能只是簡(jiǎn)單的欺騙，但是從網(wǎng)絡(luò)安全的角度來看，其攻擊效果可能會(huì)非常顯著，其危害也可能出乎人們的意料之外，可能會(huì)具有驚人的破壞力。但是，如果我們能夠全面的了解社會(huì)工程學(xué)的攻擊方法或常見途徑，在日常工作和生活中，注意落實(shí)各種有效的安全防范措施，提高防范意識(shí)，以主動(dòng)防范的心態(tài)來面對(duì)各種可能的社會(huì)工程學(xué)攻擊，也就有可能將攻擊的風(fēng)險(xiǎn)降至最低水平。⑦

注釋

① 姜瑜.計(jì)算機(jī)網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)研究[J].湖南經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2006.6：279-280.

② 黃俊強(qiáng)，孟昕，王智.信息安全領(lǐng)域社會(huì)工程學(xué)的應(yīng)用[J].信息技術(shù)與標(biāo)準(zhǔn)化，2010.7：43-44.

③ 薛晨，楊世平.基于社會(huì)工程學(xué)的入侵滲透的研究[J].貴州大學(xué)學(xué)報(bào)（自然科學(xué)版），2015.（1）：81-85.

④ 劉暉.社會(huì)工程學(xué)的入侵心理與對(duì)策[J].光盤技術(shù)，2009.3：22-24.

⑤ 小金.信息安全中的社會(huì)工程學(xué) ?信息安全必修課[J].新電腦，2005.1：124-127.

⑥⑦馮浩，李亮.社會(huì)工程學(xué)在網(wǎng)絡(luò)攻擊中的應(yīng)用與防范[J].大眾商務(wù)，2009.14：169-185.