淺析社會工程學攻擊

廖壽豐

（湖南省委黨校，長沙 410001）

1 引言

信息新時代，隨著物聯網、人工智能等新技術新應用層出不窮，全球各類信息安全事件不斷頻發，國內信息安全態勢漸顯嚴峻。信息安全問題的根源就在于信息技術的脆弱性和人的脆弱性，其中人的脆弱性就包括管理的脆弱性和人本身的脆弱性。正如木桶原理所描述的信息安全：一個組織的信息安全水平將由與信息安全有關的所有環節中最薄弱的環節所決定的。其實信息安全系統中最薄弱的環節就是人，而社會工程學就是攻擊人的弱點，社會工程學攻擊相對于其他網絡攻擊，成本最低，方法最有效。

2 社會工程學概念

社會工程學的概念是凱文.米特于2002年在《欺騙的藝術》一書中提出來的，有學者將其總結為“社會工程學是通過自然地社會的和制度上的途徑，利用人的心理弱點、以及規則制度上的漏洞，在攻擊者和被攻擊者之間建立起信任關系，獲得有價值的信息，最終可以通過未授權的路徑訪問某些重要數據。”通俗理解，社會工程學是一門以順從人的意愿、滿足人的欲望的方式，利用人的弱點，讓人上當的方法、藝術與學問。

3 社會工程學攻擊的組成要素

社會工程學攻擊具備三個要素：收集信息、取得信任、實施攻擊。

3.1 收集信息

攻擊者發起一次社會工程學攻擊之前，必須先收集信息。信息是關鍵，獲取信息越多，攻擊成功率就越高。信息來源可以來自：（1）網絡收集如搜索引擎、域名信息查詢、公共服務期、各網絡社交媒體；（2）政府企業的公開信息如公報；（3）通過簡單對話交流獲取的信息；（4）運用觀察獲得的信息；（5）通過垃圾堆資料還原的信息；（6）購買的信息泄露數據；（7）利用先進的分析機制、分析軟件獲取的信息。收集有效的信息用于日后社會工程學攻擊，更是體現信息的價值。收集信息有時也是社會工程學的目的，所以收集信息既是手段又是目的。

3.2 取得信任

信任是一切安全的基礎，社會工程學正是利用誘導和偽裝來重構信任，突破安全防線。攻擊者通過表現自然、知識淵博或植入個人愛好的誘導技巧，極易使被攻擊者產生“信任”的邏輯推論。偽裝則是通過虛構的場景，偽裝成虛構的身份。人們往往是通過視覺和聽覺來識別身份，通過“易容”來偽裝身份難度很大，因此攻擊者常使用電話來提高偽裝可信度，也有利用人工智能等科技合成被偽裝身份的聲音取得信任，也有利用心理戰術、使用語言的技巧設法與被攻擊者達成“共識”而取得信任。一旦取得信任，安全的大門將為攻擊者敞開。

3.3 實施攻擊

在實際的社會工程學中收集信息、取得信任、實施攻擊沒有嚴格的界限，甚至收集信息、取得信任也是一次社會工程學攻擊。每一次攻擊都會有明確的目標，都會構建共識、洞悉環境、隨機應變，都會使用不同的交流模型，通過語言或者非語言的交流方式，去影響、說服被攻擊者無意識的泄露信息、執行看似合規或合符邏輯的操作。攻擊者的成功率和時間成本都取決于交流模型、語言和非語言的交流藝術。

4 常見的社會工程學攻擊方式

4.1 使用電話攻擊

使用電話攻擊是最流行、最常見方式，電信詐騙就是典型案例。一個成功的“社交工程師”要具備哪些素質：博學的知識、語言的藝術、自然的交流、角色瞬間轉換的心理素養、洞察他人的心理學、強的邏輯思維能力等。但是，一旦使用電話，就降低這些要求。以電信詐騙為例，電信詐騙應用了工程學原理，詐騙類型分組實施、不同類型有不同腳本、人員職責分工明確、流程按腳本邏輯嚴格實施，電話甚至可以用技術修改聲音及來電顯示，這些大大降低了攻擊者所需要的素養。2016年電信詐騙是公眾感強烈的信息安全問題，電信詐騙致徐玉玉死亡案件入選“2017年推動法治進程十大案件”。

4.2 進入垃圾堆攻擊

利用翻垃圾，收集還原沒有完全被銷毀的企事業單位及個人的信息。垃圾堆的電話本、姓名、號碼、機構表格（備忘錄、內部公示材料）、系統手冊、廢舊硬盤都可以用來作為攻擊目標和冒充的對象。

4.3 在線社會工程學攻擊

在萬物互聯的今天，在線攻擊更是攻擊者重要手段，給網絡安全帶來重大風險。在線攻擊需要有一定的網絡技術，往往攻擊者就是黑客。黑客利用技術通過各種欺騙手段攻擊服務器、攻擊網絡用戶，竊取目標用戶的數據、網銀賬號密碼、網絡虛擬財產等。簡單的案例：在QQ、微信中冒充學生、好友向家長要錢、借錢。

4.4 說服類攻擊

說服類攻擊主要是通過語言的藝術和非語言的表現技巧，友善的說服、引誘、恭維或不友善的恐嚇威逼目標，令其泄露敏感信息或執行某種職權（責）內可執行的操作。常見的案例有不良公司向老年人推銷虛假功能的保健品、軍工單位人員被策反泄密。

4.5 反向社會工程學攻擊

反向社會學攻擊是獲得非法信息更為高級的手段，攻擊者會扮演一位不存在的但又權威的人物，并人為制造一個問題，誘導被攻擊者向攻擊者咨詢、求助，從而攻擊者利用這次機會獲得有價值的信息或執行某操作。

5 如何防御社會工程學攻擊

可以從以下幾個方面進行防御社會工程學攻擊：（1）學會識別社會工程學攻擊，閱讀相關書籍，多了解攻擊原理及案件，提高心理防范意識。（2）加強信息安全培訓和指導，防范來自電話、網絡威脅的風險意識。（3）充分認識信息的價值，注意信息保密、嚴防無意流失。（4）工作中堅決落實和不斷完善規章制度，加強管理。（5）樹立社會主義核心價值觀，認清友誼與責任，克服人性的弱點。

6 結束語

強化信息安全保障體系，不僅僅要從技術上加強創新研發，更要從人的管理上防微杜漸。