摘 要 隨著網(wǎng)絡(luò)媒體的飛速發(fā)展，微信現(xiàn)已成為人們?nèi)粘＝涣魉豢苫蛉钡墓ぞ?。一些不法分子趁機(jī)利用微信進(jìn)行詐騙，渠道各種各樣，手段層出不窮，給人們的財(cái)產(chǎn)造成了重大的損害。本文以南京工業(yè)大學(xué)在校學(xué)生為主要調(diào)查對(duì)象，利用社會(huì)工程學(xué)知識(shí)對(duì)在校生受害群體進(jìn)行研究，采用案例分析、模型構(gòu)建和實(shí)地調(diào)研等形式，從受害人特征層面進(jìn)行描述和歸納，并著力于研究相關(guān)防控策略。

關(guān)鍵詞 社會(huì)工程學(xué) 微信詐騙 群體特征 心理戰(zhàn)術(shù)

作者簡(jiǎn)介：袁祎，江蘇警官學(xué)院學(xué)生，研究方向：公安學(xué)。

中圖分類號(hào)：D924.3 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.19387/j.cnki.1009-0592.2018.05.138

隨著互聯(lián)網(wǎng)逐步的融入大眾的生活，智能手機(jī)人手一部的現(xiàn)象也成了常態(tài)，它改變了人們的生活方式，種類繁多的應(yīng)用軟件給生活帶來許多便利，微信作為大陸流行最廣的通訊軟件在人與人的日常交流中起著重要的作用。就像微信的廣告語(yǔ)所說：“微信，是一個(gè)生活方式”。確實(shí)，微信不僅作為溝通交流應(yīng)用，它還在逐步向交通出行，電商平臺(tái)，工具，生活服務(wù)，IT科技等方面發(fā)展。但是，一項(xiàng)事物的新興發(fā)展必然會(huì)帶來他的弊端。由于溝通的越來越方便，生活的越來越便利，越來越多的犯罪形式以互聯(lián)網(wǎng)為媒介而發(fā)展起來。2017年上半年獵網(wǎng)平臺(tái)共接到來自全國(guó)各地的網(wǎng)絡(luò)詐騙舉報(bào)10882起，涉案金額高達(dá)12668.5萬元，人均損失11641.7元。目前，網(wǎng)絡(luò)詐騙的金額、數(shù)據(jù)、規(guī)模還在不斷的增加，而微信就成為一種新型的違法犯罪工具。我組同學(xué)利用社會(huì)工程學(xué)相關(guān)知識(shí)對(duì)在大學(xué)生受害群體進(jìn)行研究，采用案例分析、模型構(gòu)建和實(shí)地調(diào)研等形式，力圖從受害人特征層面進(jìn)行描述和歸納，并研究相關(guān)防控策略建議。

一、社會(huì)工程學(xué)的基本理論

（一）社會(huì)工程學(xué)的基本概念

社會(huì)工程學(xué)最早是由黑客米特尼可在《反詐騙的藝術(shù)》中所提出的概念，綜合可以理解為其是藝術(shù)抑或是科學(xué)，他有技巧的操縱著人們?cè)谏钪械哪撤矫娌扇?行動(dòng)。社會(huì)工程學(xué)應(yīng)用于社會(huì)的方方面面，所以，社會(huì)工程學(xué)的概念也可理解為：一種操縱他人采取特定行動(dòng)的行為。

社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)攻擊與其他類型攻擊的最大區(qū)別是： 會(huì)與受害者進(jìn)行交互式行為建立一個(gè)陷阱讓對(duì)方掉入或是偽造身份來建立信任關(guān)系都屬于典型的社會(huì)工程學(xué)的手段。

（二）社會(huì)工程學(xué)攻擊的步驟與特點(diǎn)

社會(huì)工程學(xué)攻擊詳細(xì)的步驟可分為收集信息（收集信息→信息源→交流模型）、欺騙誘導(dǎo)（鋪墊→交流→提問）、偽裝（身份調(diào)查→愛好植入→提供邏輯結(jié)論）、心理戰(zhàn)術(shù)（思維→微表情→神經(jīng)語(yǔ)言程序→采訪審訊→共識(shí)）、操控、反偵察（預(yù)防→補(bǔ)救）。

（三）社會(huì)工程學(xué)的發(fā)展趨勢(shì)

隨著越來越多的硬件設(shè)備和安全軟件的引入以及網(wǎng)絡(luò)安全解決方案的不斷完備，單純地使用技術(shù)手段完成入侵的難度大大增加。而且人們的提防心理也在隨著各種反詐騙案件的出現(xiàn)而提升。所以，在巨大的商業(yè)價(jià)值等因素的驅(qū)動(dòng)下，一些人開始學(xué)習(xí)社會(huì)工程學(xué)。他們傳統(tǒng)的詐騙技術(shù)融入到社會(huì)工程學(xué)之中，就成為了新的發(fā)展方向。他們精湛的詐騙技術(shù)也給公安部門帶來了很大的壓力。

二、微信詐騙種類與其社會(huì)工程學(xué)聯(lián)系相分析

常見的詐騙形式有：代購(gòu)詐騙、二維碼詐騙、盜號(hào)詐騙、假冒身份詐騙、微信公眾號(hào)詐騙、微信紅包詐騙、幫忙砍價(jià)詐騙和點(diǎn)贊詐騙等等。

通過這多種多樣的詐騙形式分析后不難看出都有共同的方式，利用了安全體系中的人性漏洞，真正讓客戶受騙不是因?yàn)樵p騙方或者黑客有多么高超的技術(shù)破解了微信網(wǎng)銀客戶端或是破解客戶用戶密碼，而是利用了微信使用用戶防范心理低的特點(diǎn)，通過用戶信息的收集分類在進(jìn)行誘導(dǎo)詐騙最后成功實(shí)施詐騙，盡管社會(huì)工程學(xué)的微信詐騙成功率比例不高，但是通過大數(shù)據(jù)顯示，被詐騙的人數(shù)，金額還是大的驚人。

三、社會(huì)工程學(xué)實(shí)際應(yīng)用分析

在對(duì)南京工業(yè)大學(xué)進(jìn)行問卷調(diào)查之前，我們聯(lián)系了相關(guān)網(wǎng)絡(luò)安全系研究社會(huì)工程學(xué)同學(xué)，結(jié)合已有相關(guān)案件犯罪嫌疑人的供述，這位同學(xué)為我們模擬了一次社會(huì)工程學(xué)攻擊的基本流程：

首先，必須掌握某個(gè)被攻擊人的基礎(chǔ)數(shù)據(jù)，比如名字、QQ、生辰籍貫等。然后利用技術(shù)手段通過這些原始數(shù)據(jù)掌握到關(guān)于被攻擊人或是與被攻擊人共同經(jīng)歷過某段時(shí)間的中間人。一個(gè)掌握數(shù)據(jù)的社會(huì)工程師在第二個(gè)階段就基本能獲取到需要的所有信息，就避免了第三步偽造中間人。第三步作為對(duì)第二步的錯(cuò)誤信息篩選和更多信息的獲取作為跳板，通過偽造成被攻擊者認(rèn)識(shí)的人套取他的消息，這里的前提就是對(duì)中間人也要有所熟悉，所以一般社會(huì)工程中，中間人會(huì)不只一個(gè)，但是最終的指向都是認(rèn)識(shí)被攻擊者但是關(guān)系不是很親近的人。

下面針對(duì)這三個(gè)步驟進(jìn)行講解：

（一）基礎(chǔ)數(shù)據(jù)的獲取

首先，確認(rèn)目標(biāo)的姓名就可以進(jìn)行操作，如果有出生日期、身份證號(hào)、籍貫、就讀學(xué)校、學(xué)號(hào)、圈內(nèi)好友、好友資料等數(shù)據(jù)。當(dāng)獲取到的數(shù)據(jù)達(dá)到30%以上，拿到私密信息的概率就會(huì)很大。

基礎(chǔ)數(shù)據(jù)拿到后，就開始進(jìn)行技術(shù)手段強(qiáng)化了。

（二）技術(shù)手段

通過基礎(chǔ)數(shù)據(jù)獲取更多信息的方法非常多，簡(jiǎn)單分為以下兩種。

1.搜索引擎搜索

搜索引擎收錄了網(wǎng)絡(luò)上大多數(shù)的網(wǎng)頁(yè)，如果被攻擊人在這些網(wǎng)頁(yè)上留下過記錄或者被網(wǎng)站主動(dòng)紀(jì)錄在網(wǎng)頁(yè)上，就容易得到附帶的一些數(shù)據(jù)，可以驗(yàn)證基礎(chǔ)數(shù)據(jù)的正確性，也可以添加到基礎(chǔ)數(shù)據(jù)中以獲得更多數(shù)據(jù)。

2.直接搜索

這是獲取數(shù)據(jù)最簡(jiǎn)單方法，也是獲得數(shù)據(jù)比較多的辦法，比如說：搜索qq號(hào)、搜索不大眾化的網(wǎng)絡(luò)昵稱、搜索姓名或者學(xué)號(hào)、去各個(gè)社交軟件上搜索、通過github搜索等模式。這些不同的模式可以組合，也可以很容易的自己發(fā)現(xiàn)新模式應(yīng)用。

（三）篩選出開發(fā)者的邏輯錯(cuò)誤

很多學(xué)校的網(wǎng)站因?yàn)椴缓媒y(tǒng)一學(xué)生做身份驗(yàn)證和密碼修改，需要學(xué)生使用身份證號(hào)或身份證后6位登錄系統(tǒng)，這就存在著很大的安全隱患。

舉個(gè)例子來說：通過學(xué)號(hào)姓名查詢系統(tǒng)可以得到指定學(xué)號(hào)的擁有人→圖書館默認(rèn)登陸賬戶為學(xué)號(hào)，默認(rèn)密碼為學(xué)號(hào)，完成學(xué)號(hào)→姓名認(rèn)證后可以得到用戶的身份證號(hào)→教務(wù)系統(tǒng)默認(rèn)登陸密碼為身份證號(hào)→智慧校園默認(rèn)登陸密碼為身份證號(hào)后6位，于是便可以獲取用戶每天的消費(fèi)記錄。

由此可見，社會(huì)工程學(xué)攻擊一套完整的模式下來，基本已經(jīng)能確認(rèn)一個(gè)陌生人的大部分信息，接下來再逐步進(jìn)行誘導(dǎo)欺騙，突破受害人心理防線，一次詐騙就可以成功。當(dāng)然以上是一次較為復(fù)雜的社會(huì)工程學(xué)詐騙信息收集模式，能較為準(zhǔn)確的把握一個(gè)人的動(dòng)態(tài)再進(jìn)行攻破，而很多大學(xué)生不注意防范，有的詐騙犯通常只需要簡(jiǎn)單的將受害人分類再進(jìn)行框架分類，通過廣撒網(wǎng)的方法進(jìn)行詐騙，而還是有很多人會(huì)在簡(jiǎn)單的圈套中中鉤。

四、微信詐騙侵犯對(duì)象心理分析

絕大部分社會(huì)工程學(xué)的攻擊方法、手段都是建立在人的心理脆弱的基礎(chǔ)之上，即使是那些自詡謹(jǐn)慎、小心的人一般也很難逃脫。

我們團(tuán)隊(duì)就微信詐騙相關(guān)問題邀請(qǐng)了南工大1500位同學(xué)完成了我們的調(diào)查問卷。在對(duì)南京工業(yè)大學(xué)的社會(huì)問卷調(diào)查結(jié)果分析中，大學(xué)生的心理狀態(tài)可以從外部和內(nèi)部?jī)蓚€(gè)主導(dǎo)因素來分析。

（一）外部因素

外部因素主要是指大學(xué)生所生活的環(huán)境，個(gè)體由于生活經(jīng)歷、成長(zhǎng)方式以及行為習(xí)慣的不同，對(duì)自身情況與外部情境的相互關(guān)系的認(rèn)知、理解不同，對(duì)外部事物的認(rèn)識(shí)不夠深刻，對(duì)各種刺激、反應(yīng)的應(yīng)答也就不同。

第一，大學(xué)生自己或者身邊的人沒有經(jīng)歷過社會(huì)工程學(xué)詐騙。在針對(duì)南京工業(yè)大學(xué)的調(diào)查中，有92%的大學(xué)生在各種網(wǎng)絡(luò)軟件平臺(tái)上使用自己的真實(shí)信息來注冊(cè)。這就是因?yàn)榇髮W(xué)生意識(shí)不到自身的信息安全重要性，會(huì)有著“我的信息又不值錢，我窮學(xué)生一個(gè)”之類的想法，這就導(dǎo)致信息被釣魚網(wǎng)站、軟件盜取。此外，87%的大學(xué)生在面對(duì)親朋在微信的分享會(huì)毫無戒備的“點(diǎn)”進(jìn)去，最終結(jié)果就是你的信息資料真的進(jìn)去了。

第二，在調(diào)查報(bào)告中，77%的大學(xué)生在外經(jīng)常隨意使用微信中的掃一掃等功能，使用免費(fèi)WiFi。這就是取決于大學(xué)生的生活環(huán)境了，大學(xué)生出門拿著手機(jī)看到各種優(yōu)惠活動(dòng)都不免想去蹭一下。這就是大學(xué)生對(duì)于新型的詐騙技術(shù)手段不了解。停滯在過去的環(huán)境中，只有在自己身邊人或自己因此遭受損失后才會(huì)去了解新型詐騙。這就是大學(xué)生的滯后型心理狀態(tài)。

（二）內(nèi)部因素

自身的情感、意志這都是內(nèi)部心理因素的組成部分。內(nèi)部因素是建立在對(duì)于外部因素條件有一定認(rèn)識(shí)的情況下建立的。

第一，情感特征在一定條件下是由外部條件所帶來的情緒、感受。在情感達(dá)到一種升華的條件狀態(tài)下，感性會(huì)大于理性，這時(shí)候也是免疫能力最差的時(shí)候。大學(xué)生由于尚未完全進(jìn)入社會(huì)，沒有學(xué)習(xí)到如何正確掌控自己的情緒往往會(huì)忘記如何調(diào)節(jié)自己，在遇到一些不可控的外部因素時(shí)。其中最突出的便是焦慮、恐慌當(dāng)然也包括過于興奮。此時(shí)遇到第三方詐騙者時(shí)往往會(huì)因?yàn)閷?duì)方一些簡(jiǎn)單的話語(yǔ)而往自己所需要的那一方面來靠，而詐騙者傳遞的就只有聲音和文字內(nèi)容，其他信息則被屏蔽，此時(shí)，交互的信息量下降到一個(gè)很低甚至危險(xiǎn)的程度，高明的社會(huì)工程師會(huì)通過各種手段來隱藏痕跡，使攻擊更加隱蔽。

第二，意志也可以理解為定力或者說自制力。自制力薄弱，定力不夠，導(dǎo)致自己陷入“餡餅”的誘惑，這是社會(huì)工程學(xué)常用的攻擊手段。在針對(duì)南京工業(yè)大學(xué)的調(diào)查報(bào)告中發(fā)現(xiàn)，大部分大學(xué)生會(huì)參加微信掃一掃送禮物，以及微信特價(jià)購(gòu)買之類的。這種貪婪的心里一旦被抓住，就會(huì)被各種方法牢牢拴住，不斷地被追加費(fèi)用，直到最后發(fā)現(xiàn)自己人財(cái)兩空。

五、總結(jié)

網(wǎng)絡(luò)的迅速發(fā)展既強(qiáng)化了人在網(wǎng)絡(luò)中的可操作性，也強(qiáng)化了人的主觀思想意識(shí)，隨之而來的也就是安全問題。一個(gè)越來越強(qiáng)大的平臺(tái)，越來越靈活的平臺(tái)是不可控的，可控的只有自己。當(dāng)代大學(xué)生在使用微信的過程中應(yīng)該更加保持本心，提高警惕。信息安全以人為本，社會(huì)工程學(xué)建立在信息基礎(chǔ)之上。

注釋：

李妍.利利用社會(huì)工程學(xué)實(shí)施的詐騙案件剖析及被害預(yù)防.新疆警察學(xué)院學(xué)報(bào).2015，35（3）.1672-1195.

林晶、王天羲、石元泉、彭小寧.社會(huì)工程學(xué)背景下的網(wǎng)絡(luò)安全.懷化學(xué)院報(bào).2013，32（5）.1671-9743.