基于社会工程学的攻击方法及其防范研究

刘念

摘 要：社会工程学被广泛认为是最有效的黑客攻击方法之一。各种类型的网络犯罪和网络安全威胁，都会使用社会工程学的技巧，尤其是在目标式攻击中使用的频率愈来愈高。本文通过对社会工程学攻击方法的分析， 提出对应的防范策略。

关键词：社会工程学;攻击方法;防范策略

1 引言

随着信息化进程的飞速发展，网络安全事故频出，人们逐渐发现信息泄露并非完全是由技术漏洞问题导致的。著名黑客凯文？米特尼克（Kevin David Mitnick）说过：“对网络安全的最大威胁不是计算机病毒，也不是未修补的漏洞或未正确安装的防火墙。实际上，最大的威胁可能是你。”

社会工程学（Social Engineering）维基百科的定义是：通过与他人的合法交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。

大多数网络安全专业人员都非常了解社会工程学及其危害。社会工程学攻击很大程度上就是利用人们的愚蠢大意、轻信和对信息安全的无知。

2 社会工程学的攻击方法

黑客利用社会工程学使用多种方法来获取敏感信息。但是所有技术中的一个共同要素是欺骗。无论他们是否尝试通过发送网络钓鱼电子邮件，还是冒充技术人员，或者冒充工作人员和佩戴工牌，这些全都是欺骗受害者获取敏感的信息方法。

所有社会工程学攻击都建立在使人决断产生认知偏差的基础上，有时候这些偏差被称为“人类硬件漏洞”。现代黑客已经将攻击目标由组织机构的主机系统转为人类操作系统（Human Operating System）。罗伯特？吉尔曼（Robert Gilman）对这个问题进行了大量思考，他的研究指出——人类的操作系统将物理身体视为硬件，将行为视为软件程序。社会工程学有众多攻击方式，主要包括一下几种：

2.1网络钓鱼（Phishing）。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络攻击活动，受骗者往往会泄露自己的私人资料。

例如，攻击者在电子邮件中使用银行、购物等金融网站的缩短网址（Short URL）或嵌入的链接来将用户重定向到伪造网站。

2.2鱼叉式网络钓鱼（Spear Phishing）。鱼叉式网络钓鱼与网络钓鱼攻击非常相似，主要区别是鱼叉式网络钓鱼更具针对性。通常是鱼叉式网络钓鱼攻击将专注于单个组织或是目标人群。鱼叉式网络钓鱼成功率更高。

攻击者会研究目标并收集用户信息，确定可以利用的任何漏洞。 例如，如果攻击者通过社会工程学发现攻击目标是某足球队的铁杆粉丝，他们可以编造一封球队赠票或者球迷活动的电子邮件，使得受害者泄露敏感的个人信息或公司信息。

2.3诱饵（Baiting）。攻击者利用了人们对于热门事件的关注度或者是对陌生事物的好奇心，使用某种手段或者方法来吸引受害者然后对受害者进行信息挖掘。

例如，攻击者将包含有特洛伊木马（Trojan Horse）病毒的USB设备散布在目标单位的停车场。许多员工就会将拾到的USB设备插入他们的计算机并激活USB设备的一个木马键盘记录器，攻击者顺利获得这些员工的登录账号。

2.4尾随（Piggybacking）。这类攻击涉及未经授权的个人，雇员或其他授权人员进入禁区。在常见的尾随攻击中，攻击者等待在目标建筑物外面。当内部员工打开门禁进入办公区域，攻击者抓住大门，从而尾随进入的目标区域。

2.5等价交换（Quid Pro Quo）。攻击者伪装成公司内部技术人员或者问卷调查人员，诱使受害者给出密码等关键信息。攻击者也可能伪装成公司IT技术支持人员，为受害者提供免费的IT服务，他们将承诺快速解决问题，以换取员工计算机操作权限，悄悄植入恶意软件或盗取信息。

2.6假托（Pretexting）。假托是一种制造虚假情形，以迫使受害人吐露隐私信息的手段。假托通常冒充同事、家人、朋友、政府工作人员、银行、警察、检察官或其他官方机构和企业。利用某种职务身份权威获取受害者的信任。攻击者只需要为受害者可能提出的问题准备答案。通常，还需要一些心理学技巧来欺骗受害者。

例如，攻击者假托成为艺人经纪公司。他们伪造虚假的影视合约，说服受害者向他们支付大笔的包装费用之后，携款逃之夭夭。

2.7垃圾搜寻 （Dumpster Diving）。垃圾搜寻是指从目标的垃圾中搜寻有用的信息，你会发现这里面包含许多有用的信息。大部分员工不知道从垃圾中翻找出的信息也许对黑客而言是有用的。人们不会思考他们扔了哪些东西。例如：通讯录、信用卡账单、备忘录、医疗处方、银行对账单、员工花名册、规章手册、日程安排表、系统手册、打印废纸等等。这些东西可以为黑客假冒身份骗取信任提供大量有用的信息。如果黑客拾得未经处理的通讯录，可以知道员工电话号码甚至是家庭住址和企业架构。

2.8社交媒体（Social Media）。社交媒体要求电子设备访问个人的信息，但利用这些信息使攻击者受益的可能包括微信、MSN等即时通讯软件上的消息，也包括微博、朋友圈、抖音上的評论帖子。

避免在社交媒体上共享以下类型的信息。包括：姓名、尤其是全名的拼音;出生日期;宠物的名字、猫狗的名字;家乡、所在城市;学校名字、毕业学校和毕业日期;兴趣、爱好和特长等。黑客利用这些信息创建假冒的个人资料，以获取受害者信任。

3 防范社会工程学攻击的策略

3.1验证与授权

为了保护信息安全，员工在接受操作请求或提供敏感信息之前，必须确认请求者的身份并验证他的权限。通过验证身份和验证权限。核验请求者的合法身份，确认请求者已被授权访问所请求的信息，或者已被授权拥有计算机相关设备的操作权限。

3.2数据分类

数据分类策略是保护企业信息资产、管理敏感信息存取的基础。所有员工都要了解每一种信息的敏感等级，从而提供了保护企业信息的框架。通过数据分类，员工就可以通过一套数据处理程序保护公司安全，避免因疏忽而泄漏敏感信息，这些程序降低了员工将敏感信息交给未授权者的可能性。

3.3安全意识培训

第一步是让企业的每一个人都认识到攻击者能够通过社会工程学操纵他们，员工们必须了解信息需要哪些保护等级与如何保护。第二步制定安全策略。让员工知道企业的网络安全策略，确保在规定时间内所有员工都了解安全策略和安全程序。第三步将安全意识融入到日常工作中并成为企业文化的一部分，规范员工行为。实施持久化的培训计划以确保安全意识已根植于每位员工心中并成为组织流程的一部分

4 结论

科技不断的进步，社会工程学也在不断演进。社会工程学攻击比以往任何时候都更加普遍和更具威胁性。使用社会工程学对目标敏感信息的攻击更具有针对性且比以往任何时候都更加复杂。如何有效的防范社会工程学攻击是全社会都值得关注的问题。本文结合社会工程学的基本知识，分析了社会工程学常见的攻击手段，提出了防范策略。

参考文献 ：

[1] 凯文·米特尼克.欺骗的艺术[美] .北京：中国铁道出版社， 2008.

[2] 社会工程：安全体系中的人性漏洞[美] Christopher Hadnagy著.陆道宏译.北京：人民邮电出版社， 2013.

[3] 入侵的艺术[美] Kevin D .Mitnick， William L .Simon著.陈曙晖译.北京：清华大学出版社， 2007.

（武汉警官职业学院  湖北  武汉  430070）