◆金莉莎 朱翔 張雅雯

淺析社會(huì)工程學(xué)中的信息泄漏

◆金莉莎 朱翔 張雅雯

（四川傳媒學(xué)院 四川 611745）

層出不窮的數(shù)據(jù)信息隱私泄密事件，一直是全球各國(guó)安全領(lǐng)域防范的重點(diǎn)，如今社會(huì)工程學(xué)的興起，成了攻擊手段的最重要的一種方式，這種方式擊中了人性中最脆弱的一環(huán)，使得更輕松的竊取數(shù)據(jù)信息。文章對(duì)社會(huì)工程學(xué)的信息收集方式進(jìn)行分析與日常預(yù)防方式提出自己的見(jiàn)解。

信息泄漏；社會(huì)工程學(xué)；網(wǎng)絡(luò)安全

21世紀(jì)隨著信息智能化，物聯(lián)網(wǎng)，大數(shù)據(jù)分析，人工智能等新興技術(shù)興起，網(wǎng)絡(luò)數(shù)據(jù)安全的重要性逐步凸顯出來(lái)。在如今，科技與防護(hù)手段的提升中使得傳統(tǒng)攻擊手段越來(lái)越難以獲取數(shù)據(jù)信息，而在非傳統(tǒng)攻擊手段中，社會(huì)工程學(xué)是針對(duì)最薄弱的一環(huán)進(jìn)行攻擊，而這一環(huán)就是人，通過(guò)多學(xué)科交叉融會(huì)貫通，將攻擊泄露的數(shù)據(jù)信息，分析收集組裝，逐漸完善所有數(shù)據(jù)信息，以得到自己的利益。

1 社會(huì)工程學(xué)

近幾年隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人們接觸到網(wǎng)絡(luò)的方式也可謂多元化的，互聯(lián)網(wǎng)像是一個(gè)放大器，它放大了人的欲望、在人性的貪婪、弱點(diǎn)上做了加法。建筑、醫(yī)療有它的工程，互聯(lián)網(wǎng)也有它的工程----社會(huì)工程學(xué)。一提到信息安全隱患，我們就會(huì)想到攻擊者利傳統(tǒng)攻擊手段，層層突破我們的信息安全保護(hù)，但實(shí)質(zhì)上，他們還通過(guò)社會(huì)工程學(xué)這個(gè)途徑。社會(huì)是由千千萬(wàn)萬(wàn)的個(gè)人組成，而每個(gè)人的欲望、貪婪、弱點(diǎn)都截然不同，因此將這些異同點(diǎn)進(jìn)行歸納分析便會(huì)產(chǎn)生一個(gè)令人聞風(fēng)喪膽的“學(xué)問(wèn)”。比方說(shuō)，作為求職者的你收到了一封來(lái)自知名公司的offer，在毫無(wú)戒備的情況下，你便會(huì)點(diǎn)擊這個(gè)郵件，按照攻擊者預(yù)先設(shè)定的陰謀，從而獲取你的私密信息。為什么正在求職的你，剛好會(huì)收到應(yīng)聘的郵件？為什么你看到這個(gè)郵件你不會(huì)懷疑它的真假性？這便是攻擊者通過(guò)各種途徑掌握了你最近動(dòng)態(tài)，利用欺騙的手段，喚醒你人性底層的欲望與弱點(diǎn)，并且偽造一些浮于表面的假象打消你的猜疑，建立相互信任感，引誘你自發(fā)泄露你的私密信息。當(dāng)你的信息赤裸裸的暴露在別人面前時(shí)，此時(shí)人為刀俎，我為魚(yú)肉。社會(huì)工程學(xué)便是這樣一門(mén)“學(xué)問(wèn)”，人性本來(lái)脆弱，在眾多攻擊方法中，攻破人心理的防線，是最輕而易舉之事，也是成本最低的。

2 信息收集

信息收集是進(jìn)行攻擊的前提，也是關(guān)鍵的環(huán)節(jié)。一個(gè)攻擊者的攻擊方案是否優(yōu)秀絕大程度取決于前期的信息收集，但信息收集過(guò)程絕不僅僅在于前期，而是嵌套在我們攻擊的始終，這也就意味著我們的攻擊者需要根據(jù)被攻擊方的實(shí)時(shí)動(dòng)態(tài)有效地進(jìn)行方案策略的更改。了解一個(gè)人包括知道他基本信息，包括姓名、年齡、出生日期、電話號(hào)碼，行為習(xí)慣、性格特點(diǎn)、近期活動(dòng)等，這些信息收集的來(lái)源十分的廣泛，也許不經(jīng)意之間我們便泄露了重要信息。例如，大多數(shù)人都喜歡網(wǎng)購(gòu)，拆了包裹就往垃圾箱里扔，殊不知，快遞盒上有我們電話和地址，而有的攻擊者會(huì)間接獲取你的重要信息。這只是信息收集方式的冰山一角，我們將信息收集的方式分為兩大類(lèi)，一種是基于互聯(lián)網(wǎng)的信息收集，一種是不基于互聯(lián)網(wǎng)方式的信息收集。

（1）常見(jiàn)信息收集方式

基于互聯(lián)網(wǎng)的信息收集方式包括搜索引擎、社交平臺(tái)、權(quán)威網(wǎng)站、數(shù)據(jù)公司等。

我們一般都會(huì)去搜索引擎上面獲得資料，大多數(shù)的搜索引擎都會(huì)有網(wǎng)頁(yè)緩存，上面有歷史記錄、搜索時(shí)間等信息。

如今是一個(gè)互聯(lián)網(wǎng)發(fā)達(dá)的時(shí)代，我們的社交也越來(lái)越廣泛，而任何互聯(lián)網(wǎng)的社交都會(huì)存在某種程度的信息安全隱患。我們會(huì)通過(guò)微信、QQ、微博、抖音等社交平臺(tái)進(jìn)行信息的分享，如果在個(gè)性資料里面我們填寫(xiě)了真實(shí)的出生日期、郵箱、地址，那么當(dāng)攻擊者搜索到你的賬號(hào)時(shí)，同樣也獲取到了你的這些信息。

不基于互聯(lián)網(wǎng)的信息收集方式包括收集垃圾堆里面的文件、閑聊套話、潛伏在攻擊對(duì)象的環(huán)境。

企業(yè)的垃圾箱里面往往包含了許多重要資料，可也被我們很多人給忽略。比如員工的便利貼、活動(dòng)安排、電話號(hào)碼、會(huì)議記錄等，如果將這些碎片拼湊在一起會(huì)獲得一個(gè)人的最近活動(dòng)信息。一個(gè)聰明的攻擊者會(huì)從你身邊的人開(kāi)始了解你，他們會(huì)佯裝成為你的同事、朋友，利用這些信息與街坊鄰居建立信任，套出你的更多個(gè)人信息，而此刻的你完全不會(huì)察覺(jué)，同樣一些咨詢臺(tái)也成為攻擊者有跡可循的場(chǎng)所，一般咨詢臺(tái)都是向外部人員提供咨詢服務(wù)的，對(duì)于咨詢者也是盡量幫助，攻擊者就會(huì)利用咨詢臺(tái)更加方便獲取一些重要信息。

攻擊者還會(huì)潛伏在被攻擊對(duì)象的生活環(huán)境當(dāng)中，觀察他的起居生活和行為習(xí)慣，以便后期攻擊時(shí)，讓你放下戒備，慢慢成為他們的囊中之物。例如，上下班攜帶電腦的人可能是計(jì)算機(jī)行業(yè)的；能說(shuō)會(huì)道、表達(dá)能力強(qiáng)的人可能是銷(xiāo)售；下班后身上一股消毒水味道的可能是醫(yī)生。

通過(guò)與被攻擊者身處同一環(huán)境獲得的信息便是最為直接的信息，也是被攻擊者與攻擊者建立基本信任的信息。當(dāng)攻擊者提及這些信息時(shí)，仿佛就是你的某位熟人，這一層信任障礙便得到突破。

（2）信息的交叉泄露

信息的交叉泄露原意指的是數(shù)據(jù)信息通過(guò)不同的方向暴露在社會(huì)公眾面前，但現(xiàn)如今因?yàn)樵朴?jì)算、大數(shù)據(jù)分析技術(shù)興起的環(huán)境下，交叉泄露是指數(shù)據(jù)信息一旦發(fā)生泄露，將造成其他數(shù)據(jù)信息泄露在開(kāi)放網(wǎng)絡(luò)中，這毫無(wú)安全可言。

在曾經(jīng)，個(gè)人的數(shù)據(jù)資料只有國(guó)家機(jī)關(guān)才有，何況更全面的個(gè)人資料還需要自己去登記?，F(xiàn)如今，每個(gè)人都有一臺(tái)智能手機(jī)，手機(jī)號(hào)綁定身份證號(hào)，出行使用GPS定位，系統(tǒng)激活時(shí)會(huì)讓你去同意他的用戶數(shù)據(jù)使用條款，因此你的所有出行數(shù)據(jù)全部被記錄在里面。同樣，在我們使用電商平臺(tái)時(shí)，例如淘寶，京東，拼多多等，基本都為實(shí)名制，這也表示你的所有信息也被記錄在數(shù)據(jù)庫(kù)中。在云計(jì)算和大數(shù)據(jù)分析平臺(tái)上，查詢被泄露的手機(jī)號(hào)就可獲得你全部的個(gè)人信息。若攻擊者通過(guò)身份證和手機(jī)號(hào)相互交叉驗(yàn)證的方式，一個(gè)人的隱私將會(huì)被他輕易獲取。例如一個(gè)人丟失了手機(jī)，可能會(huì)出現(xiàn)第二天信用卡被盜刷，社交網(wǎng)站用戶名密碼被修改等情況。這種情況應(yīng)該給政府和我們敲響一記警鐘，如何去重視和預(yù)防如今的大數(shù)據(jù)時(shí)代隱私的泄露風(fēng)險(xiǎn)問(wèn)題。

3 信息泄露危害

在當(dāng)今這個(gè)信息互聯(lián)的時(shí)代，無(wú)論是微信的注冊(cè)，美團(tuán)的使用還是各種App的注冊(cè)都會(huì)用到我們的身份信息，而當(dāng)我們將信息公布給這些App后，其實(shí)我們的個(gè)人信息就已經(jīng)存在某種程度的安全隱患，你無(wú)法確定掌握我們信息的公司是否會(huì)有相應(yīng)技術(shù)漏洞或者間接將信息透露給攻擊者。個(gè)人信息泄漏，最輕的后果就是會(huì)長(zhǎng)時(shí)間收到騷擾電話和垃圾信息，而最恐怖的后果就是，這些攻擊者在擁有完整的個(gè)人信息后，就會(huì)利用這些身份信息去做違法的事情，不法分子可以利用你的身份證號(hào)碼、電話號(hào)碼、銀行賬號(hào)等等信息去向其他App借款，現(xiàn)在大多數(shù)的支付機(jī)構(gòu)都可以用不同的手機(jī)號(hào)注冊(cè)相同的已經(jīng)實(shí)名認(rèn)證過(guò)的支付賬號(hào)，而且還允許多個(gè)賬號(hào)綁定相同的銀行卡，甚至有些平臺(tái)在用戶使用該張銀行卡進(jìn)行貸款時(shí)，不會(huì)進(jìn)行人臉識(shí)別，這也讓犯罪分子鉆了空子，他們能更簡(jiǎn)便的利用被攻擊者的銀行卡，甚至可以讓被攻擊者銀行賬戶的錢(qián)財(cái)不翼而飛。

4 社會(huì)工程學(xué)預(yù)防

個(gè)人方面：在生活中，應(yīng)該養(yǎng)成在丟掉自己的消費(fèi)憑據(jù)、火車(chē)票、快遞單據(jù)、取款憑條之前，先將其撕毀的習(xí)慣，千萬(wàn)不能小看這些單據(jù)，很多攻擊者都是從這些看似沒(méi)用的東西上獲得我們的個(gè)人信息。例如在購(gòu)物中心等地，會(huì)通過(guò)禮品誘惑你掃碼或填表的方式收集個(gè)人信息，然后就利用這些信息去做違法的事情?？傊灰约涸谌粘Ｉ钪凶⒁獠宦┏銎凭`，這些人就不可能輕易獲得我們的個(gè)人信息。

企業(yè)方面：應(yīng)該加強(qiáng)對(duì)企業(yè)內(nèi)部管理用戶信息的存儲(chǔ)監(jiān)控，對(duì)用戶權(quán)限嚴(yán)格管控，防止攻擊者以不合法的用戶竊取相關(guān)私密信息。企業(yè)應(yīng)熟悉了解自身網(wǎng)絡(luò)環(huán)境和所處風(fēng)險(xiǎn)，建立系統(tǒng)的安全管理體系，培養(yǎng)一支自己的安全團(tuán)隊(duì)，定時(shí)對(duì)企業(yè)安全架構(gòu)進(jìn)行滲透測(cè)試，對(duì)暴露出的漏洞進(jìn)行及時(shí)修復(fù)。加強(qiáng)對(duì)相應(yīng)員工安全意識(shí)的培訓(xùn)，提升最基本安全素質(zhì)。

5 結(jié)語(yǔ)

進(jìn)入二十一世紀(jì)后，計(jì)算機(jī)的信息時(shí)代飛速發(fā)展催生了信息新時(shí)代的各行各業(yè)，但同時(shí)網(wǎng)絡(luò)中的數(shù)據(jù)信息安全問(wèn)題日益突出，層出不窮的個(gè)人數(shù)據(jù)信息泄露事件愈發(fā)嚴(yán)重，隨著大數(shù)據(jù)時(shí)代的來(lái)臨，針對(duì)個(gè)人的社會(huì)工程學(xué)的攻擊手段的興起，也為我們提出了更高的要求，研究社會(huì)工程學(xué)，了解攻擊者的手段與心理，為如何防范生活中無(wú)處不在的社會(huì)工程學(xué)攻擊與防止數(shù)據(jù)信息的交叉泄露提供有效的防御措施。

[1]李亞利.網(wǎng)絡(luò)信息安全之社會(huì)工程學(xué)[J].科技經(jīng)濟(jì)導(dǎo)刊，2020，28（26）：24-25.

[2]高小輝.社會(huì)工程學(xué)的攻擊原理及其實(shí)現(xiàn)方式[J].中阿科技論壇（中英阿文），2020（06）：147-150.

[3]廖壽豐.淺析社會(huì)工程學(xué)攻擊[J].數(shù)字通信世界，2019（08）：255.