淺談社會工程學與信息安全

石明珠

摘 要：在如今這個充滿利益誘惑的信息社會中，信息已經成為一種資源，一種可以帶來利益和財富的數字化資源。無數雙眼睛緊盯信息系統的漏洞，無數黑客手持一把把“矛”刺向信息系統的防火墻，而社會工程攻擊則是其中最鋒利的一把“矛”。有“矛”刺就有“盾”來擋，于是以社會工程來反制社會工程攻擊以保證信息安全的機制被日益重視起來。

關鍵詞：信息安全；社會工程攻擊；社會工程學；反制

引言

信息安全分為“硬安全”和“軟安全”兩個部分。 所謂“硬安全”主要包括具體的 IT 安全技術(比如防火墻、入侵檢測、漏洞掃描、拒絕服務攻擊、緩沖區溢出攻擊等等);而“軟安全”主要涉及管理、心理學、文化、人際等方面, 與具體的IT技術無關[1]。今天所說的社會工程學,實際上就是“軟安全”的范疇。

1 社會工程攻擊案例分析

下面是一個典型的運用社會工程學的案例：

主要人物介紹：某社會工程攻擊者，簡稱小黑。某公司客服人員，簡稱小白。

背景介紹：小黑想打探這家公司某客戶（張三）的銀行帳號。小黑先進行了一些初步的信息收集（通過 Google），了解到如下信息：1、公司內部有一個商業客戶資料系統，里面包含有客戶的銀行帳號；2、該系統簡稱BCIS； 3、該公司的客戶服務人員有 BCIS 的查詢權限。準備妥當之后，小黑打電話到該公司客戶服務部。

對話過程：

小白：你好，哪位？

小黑：我是客戶資料部的，我的電腦中了該死的病毒，沒法啟動了。偏偏有個總裁辦的秘書讓我查一個客戶的資料，還催得很急。聽說你們客服部也能登錄到 BCIS，麻煩你幫我查一下吧。謝謝啦！

小白：哦。你要查什么資料？

小黑：我需要一個客戶的銀行帳號。

小白：這個客戶的 ID 是多少？

小黑：客戶 ID 在我電腦里，可是我的電腦打不開了。根據姓名進行模糊查找，應該能找到的。這個客戶叫“張三”。

小白：稍等，我查詢一下。

......

小白：找到了，你拿筆記一下，他的銀行帳號是 XXXXXXXXX。

小黑：好的，我記下了。你可幫了我大忙啦！太謝謝你了！

小白：不客氣。

案例分析：首先，攻擊者通過信息收集中打聽到“商業客戶資料系統”，該系統簡稱BCIS。另外，攻擊者還了解到“客服部門”有 BCIS 的查詢權。當小黑很自然地說出這兩個信息，就會讓小白相信自己是公司內的人員。接著，小黑通過謊稱自己的電腦中毒，來進行示弱并博取小白的同情。如果再輔助一些特定的嗓音和語調，并且在言談中流露出焦急的心情，那基本上就大功告成了。

2 社會工程學的概念及在信息安全領域的提出

社會工程學（ SocialEngineering），一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法[2]。準確來說，社會工程學不是一門科學，而是一門藝術和竅門的學問。社會工程學是利用人的弱點，以順從你的意愿、滿足你的欲望等方式，讓你上當的一些方法、一門藝術與學問。說它不是科學，因為它不是總能重復和成功，而且在受害者信息充分多的情況下，會自動失效。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素。

最近幾年，信息安全方面的問題日益嚴重，許多網民深受其害（比如QQ詐騙、網絡釣魚、盜用銀行卡、蠕蟲木馬泛濫、僵尸網絡盛行等等）。這其中便不乏社會工程攻擊的案例。社會工程攻擊已不是傳統的信息安全的范疇，而被稱為“非傳統信息安全”(Nontraditional Information Security)。傳統信息安全辦法解決不了非傳統信息安全的威脅。與此同時，社會工程學是信息安全中一個經常被忽視的偏僻角落。即便很多IT 安全領域的從業人員，往往也缺少社會工程學的相關常識。很多人都知道什么是防火墻、殺毒軟件，但是卻從來沒有聽說過社會工程學。大部分的安全廠商都把注意力集中在“硬安全”方面，很少有安全廠商把社會工程掛在嘴邊。相反的是：現有的信息安全攻擊，大都以“軟安全”作為攻擊者的突破口，只有一小部分是純粹通過“硬安全”來進行的。

3 社會工程學的運用

現實中運用社會工程學的犯罪很多。短信詐騙、電信詐騙、QQ視頻詐騙、釣魚網站詐騙等等都運用了社會工程學的方法。近年來，更多的黑客利用社會工程學手段，突破信息安全防御措施，轉向利用人的弱點來實施網絡攻擊的事件，已經呈現出上升甚至泛濫的趨勢。Gartner集團信息安全與風險研究主任Rich Mogull認為：“社會工程學是未來10年最大的安全風險，許多破壞力最大的行為是由于社會工程學而不是黑客或破壞行為造成的。”一些信息安全專家預言，社會工程學將會是未來信息系統入侵與反入侵的重要對抗領域[3]。最近流行的免費下載軟件中捆綁流氓軟件、免費音樂中包含病毒、網絡釣魚、垃圾電子郵件中包括間諜軟件等，都是社會工程學的代表應用。

3.1 社會工程攻擊的三個步驟。

運用社會工程學實施網絡攻擊，一般會有三個步驟：“信息收集”、“假冒身份”和“施加影響”，而這三個手法不是孤立存在的，而是有機結合的。攻擊者在攻擊的時候，總會混用這三個手法以達到最終目的。

攻擊手法之信息收集：信息收集就是通過各種手段去獲取機構、組織、公司的一些不敏感信息。信息不敏感，就不會有特別嚴格的訪問限制，攻擊者也就容易得手。而且在獲取這種信息的過程中，不易引起別人注意，降低了攻擊者自身的風險。收集的不敏感信息，諸如某些關鍵人物的資料；機構內部某些操作流程的步驟；機構內部的組織結構關系；機構內部常用的一些術語和行話。收集不敏感信息的渠道也是多種多樣：通過網站和搜索引擎；通過離職員工；通過垃圾分析；通過電話問訊等等。信息收集往往不是攻擊者的最終目的，僅僅是攻擊者進入下一個階段的前期準備工作。

攻擊手法之假冒身份：假冒身份說白了就是“包裝”。一般來說，攻擊者會根據面對的目標來選取馬甲。選好馬甲之后，還要在某些細節上稍微粉飾一下，讓人覺得更加逼真。因為大部分人都是感性的，所以包裝的效果，就是要充分利用和挖掘人感性的弱點，通過博取信任、博取好感、博取同情和樹立權威性等技巧達到逼真的包裝效果。總而言之，包裝要為后續的“施加影響”埋下伏筆，打好基礎。

攻擊手法之施加影響：通過前期的種種準備，就是要達到最后的施加影響的目的。施加影響的技巧主要有以下幾種：通過外在特征的“光環效應”、通過相似性來博取好感、通過互惠原理來騙取好處、通過社會認同來施加影響和通過權威來施加壓力。

社會工程攻擊的三部曲能夠使攻擊者拿到他們想要的任何東西。或許是銀行賬戶、私人信息；或是一份商業秘密。不管如何，他們總會設法找到一個切入點，哪怕只需要一個名字，就能越過所裝的最好的防火墻或殺毒軟件，只要他們精心設計好一個個的陷阱，一切皆有可能。

4 防范社會工程攻擊，人是最堅固的防火墻

一般認為，解決非傳統信息安全威脅也要運用社會工程學來反制社會工程攻擊。具體的方法就是應該向用戶提供充分的反饋信息，讓用戶能做出準確的判斷，避免上當，并且增加更多的控制機制，即使在錯誤決策的情況下，也能防止社會工程攻擊的發生。騰訊公司在這一方面可以為我們提供最好的佐證。不法分子盜取QQ密碼，冒充QQ號碼主人，向父母或朋友借錢，騙取大量錢財。不法分子使用的是典型的社會工程學攻擊，這類攻擊使用傳統的技術防范措施是不奏效的，只有使用社會工程學來反制此類攻擊才會起作用。騰訊公司通過不定時彈窗的形式提示防范此類詐騙，并且在聊天內容中凡是涉及財產的操作都會提示：如果聊天中有涉及財產的操作，請一定先核實好友身份，發送驗證問題或點擊舉報。如圖：

為了對抗社會工程攻擊，必須組建“由人組成的防火墻”，同時拋棄網絡架構刀槍不入之類的幻想。 這是更具普通意義的防范社會工程攻擊的根本道理。具體有以下幾個方面的內容：

（1）普及教育培訓。對員工進行教育培訓，使一部分企業能夠預防和識別社會工程攻擊的企圖。這比對員工進行防火墻系統培訓要更起作用。因此，只要組織措施得當，“人”將不再成為信息安全鏈中最薄弱的一環，而是成為最安全的后盾。

（2）建立事故響應小組。從信息安全的觀點，任何外部威脅的處理（包括社會工程）將被認為是一次事故。事故響應小組的目的就是有效檢測潛在的信息安全事件并且提供一個有效的手段來降低事件對公司的影響。同一般性的網絡攻擊所不同的是，事故響應小組應當由來自公司不同關鍵部門的知識淵博的員工組成，他們要經過良好培訓并隨時準備對社會工程攻擊做出反應，有效的分析出入侵的目的與方式。

（3）嚴格的認證。認證（Authentication）是一個信息安全的常用術語。通俗地說，認證就是解決某人到底是誰？由于大部分的攻擊者都會用到“身份冒充”這個步驟，所以認證就顯得非常必要。只要進行一些簡單的身份確認，就能夠識破大多數假冒者。

（4）嚴格的授權。授權（Authorization）和認證一樣，也是一個常用的信息安全術語。通俗地說，授權就是解決某人到底能干啥？對于組織機構來說，授權要盡量細化、盡量最小化。例如在某軟件公司中，所有的程序員都可以訪問源代碼，那源代碼泄漏的風險就很大。

（5）信息分類。在組織機構中，最好要有信息分類的制度。根據信息的重要程度，定出若干級別。越是機密的信息，知道的人越少。比如源代碼的敏感度高于軟件安裝包。

（6）保持理性。社會工程學的手法不外乎都是利用人感性的弱點，然后施加影響。所以，保持理性的思維，有助于減少被攻擊者忽悠的概率。

5 結語

本文提供的關于社會工程攻擊的實施步驟具有普遍性，實踐表明，防范社會工程攻擊最有效的防火墻是“人”。只要按照一定的原則和規章將“人”的工作做好，這道堅固的“人墻”對維護信息系統的安全是行之有效的。

參考文獻

[1] 黃明祥，信息與網絡安全概論.(第三版). 清華大學出版社，2010年1月.

[2] 羅伯特·西奧迪尼(美)，影響力.Influence: The Psychology of Persuasion.

[3] 凱文·米特尼克，欺騙的藝術.