劉念

摘 要：社會工程學(xué)被廣泛認(rèn)為是最有效的黑客攻擊方法之一。各種類型的網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)安全威脅，都會使用社會工程學(xué)的技巧，尤其是在目標(biāo)式攻擊中使用的頻率愈來愈高。本文通過對社會工程學(xué)攻擊方法的分析， 提出對應(yīng)的防范策略。

關(guān)鍵詞：社會工程學(xué);攻擊方法;防范策略

1 引言

隨著信息化進(jìn)程的飛速發(fā)展，網(wǎng)絡(luò)安全事故頻出，人們逐漸發(fā)現(xiàn)信息泄露并非完全是由技術(shù)漏洞問題導(dǎo)致的。著名黑客凱文？米特尼克（Kevin David Mitnick）說過：“對網(wǎng)絡(luò)安全的最大威脅不是計(jì)算機(jī)病毒，也不是未修補(bǔ)的漏洞或未正確安裝的防火墻。實(shí)際上，最大的威脅可能是你?！?/p>

社會工程學(xué)（Social Engineering）維基百科的定義是：通過與他人的合法交流，來使其心理受到影響，做出某些動作或者是透露一些機(jī)密信息的方式。這通常被認(rèn)為是欺詐他人以收集信息、行騙和入侵計(jì)算機(jī)系統(tǒng)的行為。

大多數(shù)網(wǎng)絡(luò)安全專業(yè)人員都非常了解社會工程學(xué)及其危害。社會工程學(xué)攻擊很大程度上就是利用人們的愚蠢大意、輕信和對信息安全的無知。

2 社會工程學(xué)的攻擊方法

黑客利用社會工程學(xué)使用多種方法來獲取敏感信息。但是所有技術(shù)中的一個共同要素是欺騙。無論他們是否嘗試通過發(fā)送網(wǎng)絡(luò)釣魚電子郵件，還是冒充技術(shù)人員，或者冒充工作人員和佩戴工牌，這些全都是欺騙受害者獲取敏感的信息方法。

所有社會工程學(xué)攻擊都建立在使人決斷產(chǎn)生認(rèn)知偏差的基礎(chǔ)上，有時候這些偏差被稱為“人類硬件漏洞”?，F(xiàn)代黑客已經(jīng)將攻擊目標(biāo)由組織機(jī)構(gòu)的主機(jī)系統(tǒng)轉(zhuǎn)為人類操作系統(tǒng)（Human Operating System）。羅伯特？吉爾曼（Robert Gilman）對這個問題進(jìn)行了大量思考，他的研究指出——人類的操作系統(tǒng)將物理身體視為硬件，將行為視為軟件程序。社會工程學(xué)有眾多攻擊方式，主要包括一下幾種：

2.1網(wǎng)絡(luò)釣魚（Phishing）。攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)攻擊活動，受騙者往往會泄露自己的私人資料。

例如，攻擊者在電子郵件中使用銀行、購物等金融網(wǎng)站的縮短網(wǎng)址（Short URL）或嵌入的鏈接來將用戶重定向到偽造網(wǎng)站。

2.2魚叉式網(wǎng)絡(luò)釣魚（Spear Phishing）。魚叉式網(wǎng)絡(luò)釣魚與網(wǎng)絡(luò)釣魚攻擊非常相似，主要區(qū)別是魚叉式網(wǎng)絡(luò)釣魚更具針對性。通常是魚叉式網(wǎng)絡(luò)釣魚攻擊將專注于單個組織或是目標(biāo)人群。魚叉式網(wǎng)絡(luò)釣魚成功率更高。

攻擊者會研究目標(biāo)并收集用戶信息，確定可以利用的任何漏洞。 例如，如果攻擊者通過社會工程學(xué)發(fā)現(xiàn)攻擊目標(biāo)是某足球隊(duì)的鐵桿粉絲，他們可以編造一封球隊(duì)贈票或者球迷活動的電子郵件，使得受害者泄露敏感的個人信息或公司信息。

2.3誘餌（Baiting）。攻擊者利用了人們對于熱門事件的關(guān)注度或者是對陌生事物的好奇心，使用某種手段或者方法來吸引受害者然后對受害者進(jìn)行信息挖掘。

例如，攻擊者將包含有特洛伊木馬（Trojan Horse）病毒的USB設(shè)備散布在目標(biāo)單位的停車場。許多員工就會將拾到的USB設(shè)備插入他們的計(jì)算機(jī)并激活USB設(shè)備的一個木馬鍵盤記錄器，攻擊者順利獲得這些員工的登錄賬號。

2.4尾隨（Piggybacking）。這類攻擊涉及未經(jīng)授權(quán)的個人，雇員或其他授權(quán)人員進(jìn)入禁區(qū)。在常見的尾隨攻擊中，攻擊者等待在目標(biāo)建筑物外面。當(dāng)內(nèi)部員工打開門禁進(jìn)入辦公區(qū)域，攻擊者抓住大門，從而尾隨進(jìn)入的目標(biāo)區(qū)域。

2.5等價交換（Quid Pro Quo）。攻擊者偽裝成公司內(nèi)部技術(shù)人員或者問卷調(diào)查人員，誘使受害者給出密碼等關(guān)鍵信息。攻擊者也可能偽裝成公司IT技術(shù)支持人員，為受害者提供免費(fèi)的IT服務(wù)，他們將承諾快速解決問題，以換取員工計(jì)算機(jī)操作權(quán)限，悄悄植入惡意軟件或盜取信息。

2.6假托（Pretexting）。假托是一種制造虛假情形，以迫使受害人吐露隱私信息的手段。假托通常冒充同事、家人、朋友、政府工作人員、銀行、警察、檢察官或其他官方機(jī)構(gòu)和企業(yè)。利用某種職務(wù)身份權(quán)威獲取受害者的信任。攻擊者只需要為受害者可能提出的問題準(zhǔn)備答案。通常，還需要一些心理學(xué)技巧來欺騙受害者。

例如，攻擊者假托成為藝人經(jīng)紀(jì)公司。他們偽造虛假的影視合約，說服受害者向他們支付大筆的包裝費(fèi)用之后，攜款逃之夭夭。

2.7垃圾搜尋 （Dumpster Diving）。垃圾搜尋是指從目標(biāo)的垃圾中搜尋有用的信息，你會發(fā)現(xiàn)這里面包含許多有用的信息。大部分員工不知道從垃圾中翻找出的信息也許對黑客而言是有用的。人們不會思考他們?nèi)恿四男〇|西。例如：通訊錄、信用卡賬單、備忘錄、醫(yī)療處方、銀行對賬單、員工花名冊、規(guī)章手冊、日程安排表、系統(tǒng)手冊、打印廢紙等等。這些東西可以為黑客假冒身份騙取信任提供大量有用的信息。如果黑客拾得未經(jīng)處理的通訊錄，可以知道員工電話號碼甚至是家庭住址和企業(yè)架構(gòu)。

2.8社交媒體（Social Media）。社交媒體要求電子設(shè)備訪問個人的信息，但利用這些信息使攻擊者受益的可能包括微信、MSN等即時通訊軟件上的消息，也包括微博、朋友圈、抖音上的評論帖子。

避免在社交媒體上共享以下類型的信息。包括：姓名、尤其是全名的拼音;出生日期;寵物的名字、貓狗的名字;家鄉(xiāng)、所在城市;學(xué)校名字、畢業(yè)學(xué)校和畢業(yè)日期;興趣、愛好和特長等。黑客利用這些信息創(chuàng)建假冒的個人資料，以獲取受害者信任。

3 防范社會工程學(xué)攻擊的策略

3.1驗(yàn)證與授權(quán)

為了保護(hù)信息安全，員工在接受操作請求或提供敏感信息之前，必須確認(rèn)請求者的身份并驗(yàn)證他的權(quán)限。通過驗(yàn)證身份和驗(yàn)證權(quán)限。核驗(yàn)請求者的合法身份，確認(rèn)請求者已被授權(quán)訪問所請求的信息，或者已被授權(quán)擁有計(jì)算機(jī)相關(guān)設(shè)備的操作權(quán)限。

3.2數(shù)據(jù)分類

數(shù)據(jù)分類策略是保護(hù)企業(yè)信息資產(chǎn)、管理敏感信息存取的基礎(chǔ)。所有員工都要了解每一種信息的敏感等級，從而提供了保護(hù)企業(yè)信息的框架。通過數(shù)據(jù)分類，員工就可以通過一套數(shù)據(jù)處理程序保護(hù)公司安全，避免因疏忽而泄漏敏感信息，這些程序降低了員工將敏感信息交給未授權(quán)者的可能性。

3.3安全意識培訓(xùn)

第一步是讓企業(yè)的每一個人都認(rèn)識到攻擊者能夠通過社會工程學(xué)操縱他們，員工們必須了解信息需要哪些保護(hù)等級與如何保護(hù)。第二步制定安全策略。讓員工知道企業(yè)的網(wǎng)絡(luò)安全策略，確保在規(guī)定時間內(nèi)所有員工都了解安全策略和安全程序。第三步將安全意識融入到日常工作中并成為企業(yè)文化的一部分，規(guī)范員工行為。實(shí)施持久化的培訓(xùn)計(jì)劃以確保安全意識已根植于每位員工心中并成為組織流程的一部分

4 結(jié)論

科技不斷的進(jìn)步，社會工程學(xué)也在不斷演進(jìn)。社會工程學(xué)攻擊比以往任何時候都更加普遍和更具威脅性。使用社會工程學(xué)對目標(biāo)敏感信息的攻擊更具有針對性且比以往任何時候都更加復(fù)雜。如何有效的防范社會工程學(xué)攻擊是全社會都值得關(guān)注的問題。本文結(jié)合社會工程學(xué)的基本知識，分析了社會工程學(xué)常見的攻擊手段，提出了防范策略。

參考文獻(xiàn) ：

[1] 凱文·米特尼克.欺騙的藝術(shù)[美] .北京：中國鐵道出版社， 2008.

[2] 社會工程：安全體系中的人性漏洞[美] Christopher Hadnagy著.陸道宏譯.北京：人民郵電出版社， 2013.

[3] 入侵的藝術(shù)[美] Kevin D .Mitnick， William L .Simon著.陳曙暉譯.北京：清華大學(xué)出版社， 2007.

（武漢警官職業(yè)學(xué)院 ?湖北 ?武漢 ?430070）