高中校園內的社會工程學攻擊和防范初探

鄭曉夏

摘 要 社會工程學是一種通過對被攻擊者的心理弱點、本能反應以及好奇心、信任、貪婪等心理陷阱進行的主要以網絡攻擊為主要途徑的攻擊手段。社會工程學入侵不單單是利用計算機系統本身的漏洞，而是利用人的弱點來突破信息安全防御措施。這種手段越來越被利用在實際入侵的案例中。本文介紹了在高中校園利用社會工程學進行網絡攻擊的各種手段并提出了相應的防御策略。

關鍵詞 社會工程學 高中校園 攻擊 防范

中圖分類號：TP393.08文獻標識碼：A?? DOI：10.16400/j.cnki.kjdkz.2015.09.068

Social Engineering Attack and Prevention

Research in High School Campus

ZHENG Xiaoxia

（Yiling High School， Yichang， Hubei 443005）

Abstract Social engineering is a kind of network attack means by using psychological trap such as the victim's psychological weakness， instinct， curiosity， trust， and greed. Social engineering invasion is not just to make use of the computer system itself， but to take advantage to people's weakness to break through the information security defense measures. This technique is more and more used in the case of actual invasion. This paper introduces network attack techniques by using social engineering in high school campus and put forward the corresponding defensive strategy.

Key words Social Engineering; High School Campus; Attack？

自人類進入二十一世紀以來，計算機技術與互聯網技術獲得了高速發展，信息全球化已成為人類發展的趨勢，這是人類科學史上的一大進步，但是隨之而來的計算機網絡所受的攻擊呈顯著的增長趨勢，網絡世界的安全問題正引起人們的廣泛關注。任何事物都不是十全十美的，都是有漏洞的，雖然人們為了保護網絡安全，不斷開發安全級別更高、技術原理更加復雜的安全產品，使得攻擊者入侵變得越來越困難，①但實際上絕大多數安全事件，無論是從主現上還是從客觀上講，都存在大量的人為因素過失，換言之，人為因素是導致各種入侵得以實現的主要原因。因此，“人”在整個信息安全保障體系中，實際上發揮著十分重要的作用。從另一角度來講，由于系統安全級別的提升，使得入侵者利用系統上的漏洞進行入侵，在技術上的困難越來越多，他們就會更多地利用人為因素或途徑來進行攻擊，從“人”的角度來創造新的漏洞。這種通過對被攻擊者的心理弱點、本能反應以及好奇心、信任、貪婪等心理陷阱進行的主要以網絡攻擊為主要途徑的攻擊手段，就稱為社會工程學攻擊方法。因此，研究社會工程學在網絡空間中的入侵中的方法、途徑、特點，以及如何防范和降低社會工程學攻擊的損失與風險，就變得十分的重要。②

愛因斯坦曾經說過，只有兩種事物是無窮盡的——宇宙和人類的愚蠢。但對于前者，我不敢確定。通常，社會工程學的攻擊，其頻頻得手的主要原因，來自于人們的某種意義上的愚蠢或者說是對信息安全實踐應用方面的無知。計算機可以按照特定的指令去運行，自己不會思考，但是人不一樣，有太多因素影響人們的選擇，我們的生活就是在不斷地進行選擇，這種選擇的后果我們也是無法估量的。

1社會工程學

社會工程學的概念最早是由著名黑客凱文·米特尼克在《欺騙的藝術》中提出的。目前，對于社會工程學并沒有一個規范化的定義。根據《欺騙的藝術》中的描述，可以將其總結為： 社會工程學就是通過自然的、社會的和制度上的途徑，利用人的心理弱點（ 如人的本能反應、好奇心、信任、貪婪） 以及規則制度上的漏洞，在攻擊者和被攻擊者之間建立起信任關系，獲得有價值的信息，最終可以通過未經用戶授權的路徑訪問某些敏感數據和隱私數據。③

一般地，社會工程學是一種通過對被攻擊者的心理弱點、本能反應以及好奇心、信任、貪婪等心理陷阱進行的諸如欺騙、傷害等危害手段，獲取非法利益的行為，這種行為或案例近年來已經呈現顯著的上升甚至于泛濫的態勢。④社會工程學與一般的欺騙手法有著顯著的區別，社會工程學的原理通常十分復雜，事實上，社會工程學整合了社會學、行為心理學、認知科學等多個學科門類的技術與方法，往往讓人防不勝防，即使那些警惕心非常高的人，往往糊里糊涂地被高明的社會工程學手段所損害，甚至還會出現被人賣了還幫人數錢的現象。⑤社會工程學攻擊往往從通常的交談、欺騙、假冒或口語等非常普通的社會交往方式開始，從合法用戶中隱蔽地套取用戶系統的秘密和潛在的敏感信息，進而為后續的網絡攻擊提供方便。這些通過蒙敝、影響、勸導來達到獲取信息的人，還有一個聽起來似乎很高大上的職業名稱，就是社會工程師。

因此，當網絡安全技術發展到一定程度之后，真正能夠起決定因素和主導作用的，就不再是技術問題了，而是相關的人員和管理方面的問題了。近年來社會工程學攻擊逐漸泛濫的趨勢也與現實世界中的人員和管理方面的多種因素密切相關。⑥

2社會工程學在高中校園中的入侵手段

其實，高中可以算是我們人生中的第一個轉折點，所以，為了讓自己的未來更明亮，我們都會很努力的埋頭學習，沒有太多的心思去想別的，每天三點一線的生活，算是比較封閉的，但是在這段時間，也很容易發生一些跟社會工程學扯上關系的讓我們自己非常懊惱的事情。

（1）身份被盜用。這種被欺騙手段最常見于在外地上學的孩子，家離得遠，父母不在身邊;再者，在外地上學，父母肯定是花了大力氣的，就算有再大的壓力都會選擇自己一個人扛，不會跟父母說。扛不住的時候可能就會向陌生人傾訴，似乎陌生人是最好的傾聽者。但是在學校接觸不到陌生人，只能通過網絡了。現在上學的高中生，幾乎每個人都有手機，手機上都有聊天軟件。隨便加一個陌生人，也不會刻意去了解他，可能覺得還聊得來，我們就會傾訴自己心中的苦悶，無意間就會說出自己的一些敏感信息。這對于社會工程師來說，簡直就是驚喜，不需要費太大的力氣就能了解到很多有用的信息。而且，社會工程師盜取一個高中生的密碼不是難事。再根據他們自己說出的信息來偽裝成孩子跟他們的父母聊天，社會工程師的精明足以消除他們父母的懷疑。通過這樣的手段達到自己的目的應該不難。

（2）身份偽裝。社會工程師現在扮演的就是陪讀家長。我們學校有很多學生是有家長陪讀的，在學校外面租房子，每天給學生送飯。而且陪讀家長差不多都租在一個小區，偶爾一起聊聊天，打打麻將實在正常不過了。一個成功的社會工程師都具備很強的人際交往能力和人際溝通能力，他們看起來通常都非常注重禮儀、善于表達、能說會道，具有快速發展與溝通對象之間的信任程度的能力。為了孩子能考出一個非常好的成績，可能有些家長就會走一些旁門左道，這樣社會工程師完全可以利用這一心理向這些家長發送帶有“高考”字樣的郵件，特別是快要高考的時候，家長們肯定會迫不及待地打開郵件，然后就是社會工程師們發揮作用的時候了，不知不覺中已經獲取了自己想要的信息，脫身也是很容易的，高考過后，家長們也不會再聯系。

（3）信息泄密。現在有很多專門為高中生升學而開辦的補習班，家長們為了讓孩子考得更好，毫不猶豫地會報名，報名過程中必不可少的有信息登記這個環節，比如需要身份證號、電話號碼什么的，家長們可能覺得一個補習班登記這些信息也只是為了以后上課好方便聯系，不會太在意。但是在臨近高考的時候，家長們會接到很多騷擾電話，非常影響自己的生活。萬一有的家長信了電話，受騙了都不知道找誰理論去。這個入侵手段并不高明，但是很容易實現，補習班無非也就是為了賺錢，把信息隨便的就賣給了別人，一些圖謀不軌的社會工程師很容易就掌握了家長的信息。

3社會工程學的防范策略

（1）不要輕易接觸陌生人。作為高中生，不了解現實社會的人心險惡。我們有壓力，要尋找合適的人來傾訴，最好就是找老師。老師們不僅教給我們知識，也能在生活上指導我們，他們更能理解我們的壓力，更能找出我們問題的有效解決辦法。而且，我們有壓力，不一定非要傾訴，我們是有自由活動時間的。閑下來的時間里，喊上一些同學，痛痛快快地打場籃球，踢場足球，或者跑跑步也是很不錯的壓力釋放方法。

（2）不要輕信他人。社會工程師就是會利用別人的信任來獲取一些不正當的利益。我們要時刻警惕，越是特殊時期越不能盲目相信他人。我們要有一定的防范意識，因為我們沒有辦法識別別人的好壞，只能夠控制住自己。要特別注意自己的信息安全，不能輕易就泄露給別人，后果我們沒有辦法預測，就算是看起來對我們沒有作用的信息也不可以泄露。很多看起來對我們毫無意義的信息在別人看來可不一定。

（3）別隨便留下自己的信息。就算是有一些正當的理由，在填寫自己的信息時也要特別注意。在非填不可的情況下，當被詐騙電話騷擾時，不要相信，必要的時候還可以舉報，讓大家都注意防范。我們的信息都掌握在自己手中，只要自己信息保密工作做得好，不輕易透露給別人，不法分子也就無法有別的企圖。任何信息的泄露，主要原因都在自己，我們要把握好自己這一關。

4結束語

社會工程學攻擊，從表面看，往往可能只是簡單的欺騙，但是從網絡安全的角度來看，其攻擊效果可能會非常顯著，其危害也可能出乎人們的意料之外，可能會具有驚人的破壞力。但是，如果我們能夠全面的了解社會工程學的攻擊方法或常見途徑，在日常工作和生活中，注意落實各種有效的安全防范措施，提高防范意識，以主動防范的心態來面對各種可能的社會工程學攻擊，也就有可能將攻擊的風險降至最低水平。⑦

注釋

① 姜瑜.計算機網絡攻擊中的社會工程學研究[J].湖南經濟管理干部學院學報，2006.6：279-280.

② 黃俊強，孟昕，王智.信息安全領域社會工程學的應用[J].信息技術與標準化，2010.7：43-44.

③ 薛晨，楊世平.基于社會工程學的入侵滲透的研究[J].貴州大學學報（自然科學版），2015.（1）：81-85.

④ 劉暉.社會工程學的入侵心理與對策[J].光盤技術，2009.3：22-24.

⑤ 小金.信息安全中的社會工程學 ?信息安全必修課[J].新電腦，2005.1：124-127.

⑥⑦馮浩，李亮.社會工程學在網絡攻擊中的應用與防范[J].大眾商務，2009.14：169-185.