淺析社會(huì)工程學(xué)攻擊

廖壽豐

（湖南省委黨校，長(zhǎng)沙 410001）

1 引言

信息新時(shí)代，隨著物聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用層出不窮，全球各類(lèi)信息安全事件不斷頻發(fā)，國(guó)內(nèi)信息安全態(tài)勢(shì)漸顯嚴(yán)峻。信息安全問(wèn)題的根源就在于信息技術(shù)的脆弱性和人的脆弱性，其中人的脆弱性就包括管理的脆弱性和人本身的脆弱性。正如木桶原理所描述的信息安全：一個(gè)組織的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)所決定的。其實(shí)信息安全系統(tǒng)中最薄弱的環(huán)節(jié)就是人，而社會(huì)工程學(xué)就是攻擊人的弱點(diǎn)，社會(huì)工程學(xué)攻擊相對(duì)于其他網(wǎng)絡(luò)攻擊，成本最低，方法最有效。

2 社會(huì)工程學(xué)概念

社會(huì)工程學(xué)的概念是凱文.米特于2002年在《欺騙的藝術(shù)》一書(shū)中提出來(lái)的，有學(xué)者將其總結(jié)為“社會(huì)工程學(xué)是通過(guò)自然地社會(huì)的和制度上的途徑，利用人的心理弱點(diǎn)、以及規(guī)則制度上的漏洞，在攻擊者和被攻擊者之間建立起信任關(guān)系，獲得有價(jià)值的信息，最終可以通過(guò)未授權(quán)的路徑訪問(wèn)某些重要數(shù)據(jù)。”通俗理解，社會(huì)工程學(xué)是一門(mén)以順從人的意愿、滿足人的欲望的方式，利用人的弱點(diǎn)，讓人上當(dāng)?shù)姆椒?、藝術(shù)與學(xué)問(wèn)。

3 社會(huì)工程學(xué)攻擊的組成要素

社會(huì)工程學(xué)攻擊具備三個(gè)要素：收集信息、取得信任、實(shí)施攻擊。

3.1 收集信息

攻擊者發(fā)起一次社會(huì)工程學(xué)攻擊之前，必須先收集信息。信息是關(guān)鍵，獲取信息越多，攻擊成功率就越高。信息來(lái)源可以來(lái)自：（1）網(wǎng)絡(luò)收集如搜索引擎、域名信息查詢、公共服務(wù)期、各網(wǎng)絡(luò)社交媒體；（2）政府企業(yè)的公開(kāi)信息如公報(bào)；（3）通過(guò)簡(jiǎn)單對(duì)話交流獲取的信息；（4）運(yùn)用觀察獲得的信息；（5）通過(guò)垃圾堆資料還原的信息；（6）購(gòu)買(mǎi)的信息泄露數(shù)據(jù)；（7）利用先進(jìn)的分析機(jī)制、分析軟件獲取的信息。收集有效的信息用于日后社會(huì)工程學(xué)攻擊，更是體現(xiàn)信息的價(jià)值。收集信息有時(shí)也是社會(huì)工程學(xué)的目的，所以收集信息既是手段又是目的。

3.2 取得信任

信任是一切安全的基礎(chǔ)，社會(huì)工程學(xué)正是利用誘導(dǎo)和偽裝來(lái)重構(gòu)信任，突破安全防線。攻擊者通過(guò)表現(xiàn)自然、知識(shí)淵博或植入個(gè)人愛(ài)好的誘導(dǎo)技巧，極易使被攻擊者產(chǎn)生“信任”的邏輯推論。偽裝則是通過(guò)虛構(gòu)的場(chǎng)景，偽裝成虛構(gòu)的身份。人們往往是通過(guò)視覺(jué)和聽(tīng)覺(jué)來(lái)識(shí)別身份，通過(guò)“易容”來(lái)偽裝身份難度很大，因此攻擊者常使用電話來(lái)提高偽裝可信度，也有利用人工智能等科技合成被偽裝身份的聲音取得信任，也有利用心理戰(zhàn)術(shù)、使用語(yǔ)言的技巧設(shè)法與被攻擊者達(dá)成“共識(shí)”而取得信任。一旦取得信任，安全的大門(mén)將為攻擊者敞開(kāi)。

3.3 實(shí)施攻擊

在實(shí)際的社會(huì)工程學(xué)中收集信息、取得信任、實(shí)施攻擊沒(méi)有嚴(yán)格的界限，甚至收集信息、取得信任也是一次社會(huì)工程學(xué)攻擊。每一次攻擊都會(huì)有明確的目標(biāo)，都會(huì)構(gòu)建共識(shí)、洞悉環(huán)境、隨機(jī)應(yīng)變，都會(huì)使用不同的交流模型，通過(guò)語(yǔ)言或者非語(yǔ)言的交流方式，去影響、說(shuō)服被攻擊者無(wú)意識(shí)的泄露信息、執(zhí)行看似合規(guī)或合符邏輯的操作。攻擊者的成功率和時(shí)間成本都取決于交流模型、語(yǔ)言和非語(yǔ)言的交流藝術(shù)。

4 常見(jiàn)的社會(huì)工程學(xué)攻擊方式

4.1 使用電話攻擊

使用電話攻擊是最流行、最常見(jiàn)方式，電信詐騙就是典型案例。一個(gè)成功的“社交工程師”要具備哪些素質(zhì)：博學(xué)的知識(shí)、語(yǔ)言的藝術(shù)、自然的交流、角色瞬間轉(zhuǎn)換的心理素養(yǎng)、洞察他人的心理學(xué)、強(qiáng)的邏輯思維能力等。但是，一旦使用電話，就降低這些要求。以電信詐騙為例，電信詐騙應(yīng)用了工程學(xué)原理，詐騙類(lèi)型分組實(shí)施、不同類(lèi)型有不同腳本、人員職責(zé)分工明確、流程按腳本邏輯嚴(yán)格實(shí)施，電話甚至可以用技術(shù)修改聲音及來(lái)電顯示，這些大大降低了攻擊者所需要的素養(yǎng)。2016年電信詐騙是公眾感強(qiáng)烈的信息安全問(wèn)題，電信詐騙致徐玉玉死亡案件入選“2017年推動(dòng)法治進(jìn)程十大案件”。

4.2 進(jìn)入垃圾堆攻擊

利用翻垃圾，收集還原沒(méi)有完全被銷(xiāo)毀的企事業(yè)單位及個(gè)人的信息。垃圾堆的電話本、姓名、號(hào)碼、機(jī)構(gòu)表格（備忘錄、內(nèi)部公示材料）、系統(tǒng)手冊(cè)、廢舊硬盤(pán)都可以用來(lái)作為攻擊目標(biāo)和冒充的對(duì)象。

4.3 在線社會(huì)工程學(xué)攻擊

在萬(wàn)物互聯(lián)的今天，在線攻擊更是攻擊者重要手段，給網(wǎng)絡(luò)安全帶來(lái)重大風(fēng)險(xiǎn)。在線攻擊需要有一定的網(wǎng)絡(luò)技術(shù)，往往攻擊者就是黑客。黑客利用技術(shù)通過(guò)各種欺騙手段攻擊服務(wù)器、攻擊網(wǎng)絡(luò)用戶，竊取目標(biāo)用戶的數(shù)據(jù)、網(wǎng)銀賬號(hào)密碼、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)等。簡(jiǎn)單的案例：在QQ、微信中冒充學(xué)生、好友向家長(zhǎng)要錢(qián)、借錢(qián)。

4.4 說(shuō)服類(lèi)攻擊

說(shuō)服類(lèi)攻擊主要是通過(guò)語(yǔ)言的藝術(shù)和非語(yǔ)言的表現(xiàn)技巧，友善的說(shuō)服、引誘、恭維或不友善的恐嚇威逼目標(biāo)，令其泄露敏感信息或執(zhí)行某種職權(quán)（責(zé)）內(nèi)可執(zhí)行的操作。常見(jiàn)的案例有不良公司向老年人推銷(xiāo)虛假功能的保健品、軍工單位人員被策反泄密。

4.5 反向社會(huì)工程學(xué)攻擊

反向社會(huì)學(xué)攻擊是獲得非法信息更為高級(jí)的手段，攻擊者會(huì)扮演一位不存在的但又權(quán)威的人物，并人為制造一個(gè)問(wèn)題，誘導(dǎo)被攻擊者向攻擊者咨詢、求助，從而攻擊者利用這次機(jī)會(huì)獲得有價(jià)值的信息或執(zhí)行某操作。

5 如何防御社會(huì)工程學(xué)攻擊

可以從以下幾個(gè)方面進(jìn)行防御社會(huì)工程學(xué)攻擊：（1）學(xué)會(huì)識(shí)別社會(huì)工程學(xué)攻擊，閱讀相關(guān)書(shū)籍，多了解攻擊原理及案件，提高心理防范意識(shí)。（2）加強(qiáng)信息安全培訓(xùn)和指導(dǎo)，防范來(lái)自電話、網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)意識(shí)。（3）充分認(rèn)識(shí)信息的價(jià)值，注意信息保密、嚴(yán)防無(wú)意流失。（4）工作中堅(jiān)決落實(shí)和不斷完善規(guī)章制度，加強(qiáng)管理。（5）樹(shù)立社會(huì)主義核心價(jià)值觀，認(rèn)清友誼與責(zé)任，克服人性的弱點(diǎn)。

6 結(jié)束語(yǔ)

強(qiáng)化信息安全保障體系，不僅僅要從技術(shù)上加強(qiáng)創(chuàng)新研發(fā)，更要從人的管理上防微杜漸。