電腦操作系統(tǒng)存在漏洞，用戶可以主動進(jìn)行修補(bǔ)，例如安裝補(bǔ)丁，但是網(wǎng)站的系統(tǒng)出現(xiàn)漏洞，用戶則無計可施。網(wǎng)絡(luò)犯罪分子可以利用這些漏洞嘗試入侵網(wǎng)站，或者對用戶發(fā)起攻擊。如果該網(wǎng)站沒有妥善處理用戶的個人數(shù)據(jù)或者用戶沒有足夠的安全意識，那么攻擊者將可以輕松地獲得用戶的個人資料，并利用這些個人資料實施進(jìn)一步的犯罪，例如假冒用戶的身份對其他用戶實施詐騙，借助社會工程學(xué)（Social Engineering，另譯社交工程學(xué)）技巧從用戶本人或者好友那里獲得更多重要的信息。目前，類似的攻擊在互聯(lián)網(wǎng)上非常普遍，特別是在社交網(wǎng)站上更為猖獗，因為社交網(wǎng)站上用戶之間的關(guān)系比較親密，相互之間信任度很高，假冒用戶的身份實施詐騙時更容易得手，并且社交網(wǎng)站通常包含大量的第三方應(yīng)用，甚至允許個人將自己開發(fā)的應(yīng)用上傳到網(wǎng)站上，這樣攻擊者更容易找到入侵方法和機(jī)會。

下面，我們將介紹攻擊者是如何攻擊社交網(wǎng)站、盜取用戶的個人資料以及如何利用社會工程學(xué)技巧騙取用戶信息和從中獲利的。對于類似的攻擊，我們必須學(xué)習(xí)相關(guān)的知識，了解了攻擊者的行為才能夠保護(hù)自己，避免成為被害人。

社交網(wǎng)站：五花八門的攻擊手段

社會工程學(xué)是一門有著悠久歷史的欺騙藝術(shù)，其歷史可以追溯到很久以前（參考本文“社會工程學(xué)的發(fā)展”部分的內(nèi)容）。早在七八十年代，黑客已經(jīng)經(jīng)常利用社會工程學(xué)技巧，誘騙公司雇員披露內(nèi)部信息。黑客只需要利用一些簡單的公司信息，例如公司的組織結(jié)構(gòu)關(guān)系，即可從公司雇員那里套出重要信息。以往，為獲取足夠的信息以實施社會工程學(xué)攻擊，黑客需要從公司的公開信息或者垃圾桶中尋找資料。而谷歌搜索引擎和Facebook之類的社交網(wǎng)站的出現(xiàn)，為黑客提供了更方便的途徑來收集資料。他們除了可以輕松地收集到用戶的電子郵件地址、電話號碼、政治觀點、互聯(lián)網(wǎng)接入服務(wù)提供商等信息之外，還可以利用這些信息，通過互聯(lián)網(wǎng)站點的密碼提示、取回密碼等功能，對用戶的互聯(lián)網(wǎng)賬戶進(jìn)行破解。

一項相關(guān)的研究顯示，即使是一向以嚴(yán)謹(jǐn)著稱的德國人，仍舊有超過71%的用戶會發(fā)布和上傳自己的個人信息到Facebook上。這些個人信息是實施社會工程學(xué)攻擊的良好素材，也是垃圾郵件發(fā)送者最感興趣的內(nèi)容，這些用戶的個人信息在地下交易市場將以幾美分或幾美元的價格被出售，價格的高低取決于用戶的背景。一般來說，富裕的西方國家的用戶資料，價格要高于發(fā)展中國家的。由于攻擊者盜取和出售的是幾百甚至成千上萬用戶的資料，所以這成了一個非常有利可圖的生意。與此同時，網(wǎng)絡(luò)犯罪分子和團(tuán)體甚至還提供定制服務(wù)，在一些活躍的論壇上我們可以找到提供這些業(yè)務(wù)的代理商，他們提供針對特定目標(biāo)用戶的信息收集和賬戶破解業(yè)務(wù)。

在社交網(wǎng)站中，各種小游戲之類的小型應(yīng)用軟件有著神奇的吸引力，利用它們網(wǎng)絡(luò)犯罪分子可以輕松地訪問和直接控制一部分用戶的賬戶，這不僅能夠盜取到這些用戶的個人資料，甚至還可以盜取這些用戶好友的個人資料。除了作為好友本身能夠查看更多的個人信息以外，必要時只要假冒用戶的身份給好友發(fā)送消息，推薦一個含有惡意代碼的應(yīng)用程序，或者實施其他的社會工程學(xué)攻擊，都不難獲得滿意的結(jié)果。

根據(jù)社交網(wǎng)站以往發(fā)生的安全事件，我們可以發(fā)現(xiàn)，基本上用戶對于來自社交網(wǎng)站的應(yīng)用程序都是不設(shè)防的，尤其是當(dāng)好友向自己推薦某個應(yīng)用的時候。然而，這些應(yīng)用大部分來自第三方的開發(fā)商，大部分社交網(wǎng)站的應(yīng)用平臺又缺乏足夠的監(jiān)管，所以出現(xiàn)漏洞也是難免的，對于不了解相關(guān)技術(shù)的用戶，即使是非常謹(jǐn)慎地處理第三方應(yīng)用訪問個人信息的請求，但仍然很容易成為黑客攻擊的受害者。

在應(yīng)用平臺沒能很好地監(jiān)管第三方應(yīng)用的情況下，即使用戶在第三方應(yīng)用嘗試訪問個人資料時謹(jǐn)慎地選擇了拒絕，包含惡意代碼的應(yīng)用仍然可以采取其他方式繼續(xù)進(jìn)行攻擊，例如將用戶帶到一個外觀與某個社交網(wǎng)站登錄頁面完全相同的釣魚網(wǎng)站上，如果用戶誤以為這是真的網(wǎng)站，那么攻擊者就可能成功地通過釣魚攻擊獲取用戶的賬號和密碼。

賬戶破解：破門而入

更簡單和直接的攻擊是破解用戶的密碼，目前，不斷刷新速度上限的高性能CPU和GPU使這種暴力破解方式已經(jīng)不需要耗費太多的時間，而且許多用戶使用的密碼都過于簡單，常用的詞匯（例如“Password”）、典型的數(shù)字組合（例如“123456”）或很短的字符串（例如“QWERTY”）通常都會出現(xiàn)在密碼破解字典的第一部分，暴力破解類似的密碼完全沒有難度。

除了對社交網(wǎng)站實施特定的攻擊以外，攻擊者也使用一些傳統(tǒng)的方法，例如記錄用戶的鍵盤操作記錄就是非常有效的攻擊武器。其次，竊取其他網(wǎng)站用戶名和密碼的Firefox插件Firesheep、Android智能手機(jī)上的Web會話劫持工具FaceNiff和DroidSheep也都是攻擊者常用的工具。使用這些工具，通過公共的免費無線網(wǎng)絡(luò)接入點，就可以輕松地捕獲接入無線網(wǎng)絡(luò)用戶所輸入的用戶名和密碼。這種攻擊方式對于登錄Facebook等大型網(wǎng)站的用戶威脅不大，因為在登錄時網(wǎng)站通常會要求使用加密的Web傳輸方式。但是在智能手機(jī)上，特別是在運行Android操作系統(tǒng)的智能手機(jī)上登錄這些網(wǎng)站時，使用未經(jīng)加密的驗證方式，攻擊者可以在用戶毫不知情的情況下輕松將登錄名和密碼盜走。

由于用戶的安全意識薄弱且網(wǎng)站與通訊設(shè)備的設(shè)計存在缺陷，攻擊者實在有太多的方法和工具可以獲得用戶的網(wǎng)絡(luò)賬戶，互聯(lián)網(wǎng)站點上的賬戶不安全幾乎已經(jīng)是人所共知的事實。以至于互聯(lián)網(wǎng)上甚至還出現(xiàn)了類似“wellmug.com”這樣公開提供賬戶破解服務(wù)的網(wǎng)站，用戶可以指定破解某個社交網(wǎng)站或Gmail的賬戶，略過一會兒網(wǎng)站會提示已經(jīng)成功破解，并從用戶的賬戶中劃走200美元。當(dāng)然，這只是一出鬧劇，是另一種社會工程學(xué)的攻擊案例。

數(shù)字黃金：電子郵件地址和密碼

對于攻擊者來說，用戶的電子郵件地址和密碼是最有價值的，獲得了用戶的電子郵件地址和密碼，不僅僅意味著可以訪問和控制用戶的電子郵箱，更為重要的是，可以打開通向該用戶其他網(wǎng)站賬戶的大門，特別是這其中還包括谷歌、亞馬遜、PayPal等在線支付和消費站點的賬戶，因為大部分網(wǎng)站都支持通過電子郵件取回或重置賬戶密碼。

此外，一項持續(xù)多年的研究表明，超過一半的網(wǎng)絡(luò)用戶在不同的賬戶上使用相同的密碼，這意味著許多用戶的電子郵箱密碼也將會是其他網(wǎng)站的賬戶密碼，而且大部分網(wǎng)站可以使用電子郵件地址作為用戶名登錄。這也就是說攻擊者所掌握的電子郵件地址和密碼，還可以直接登錄用戶注冊的其他網(wǎng)站的賬戶。因而，相對于用戶的個人資料，一個電子郵件地址和密碼的售價會更高，甚至可以高達(dá)200美元。

時至今日，網(wǎng)絡(luò)攻擊已經(jīng)不僅僅對個人用戶產(chǎn)生威脅，安全服務(wù)提供商Imperva最近發(fā)表的研究報告表明，類似的攻擊已經(jīng)威脅到了企業(yè)和政府機(jī)構(gòu)。其中的一些攻擊甚至可能威脅一些人的生命。2010年3月一名以色列士兵在Facebook上透露了以色列軍隊新任務(wù)的實施時間和地點，幸好，這一信息被軍隊及時地發(fā)現(xiàn)和重視，為避免可能被獲得這些信息的對手攻擊，任務(wù)最終不得不取消。

同樣，企業(yè)的員工所發(fā)布的信息，例如企業(yè)文檔的細(xì)節(jié)，同樣也可能為企業(yè)帶來意想不到的災(zāi)難。并且，有不少企業(yè)的員工通過社交網(wǎng)站進(jìn)行交流，交流的內(nèi)容涉及大量企業(yè)內(nèi)部的信息，雖然或許這些信息并沒有多少價值，但是在地下交易市場這些信息仍然可以被出售，因為這些信息和用戶的個人資料一樣，可以作為社會工程學(xué)攻擊的基礎(chǔ)資料。

當(dāng)攻擊者獲得用戶個人賬戶的控制權(quán)后，攻擊者就可以轉(zhuǎn)而使用該用戶的身份去攻擊更多的用戶。有了這樣的條件，攻擊者甚至不需要去破解用戶的密碼，只需要利用好友之間的信任關(guān)系以及網(wǎng)站系統(tǒng)的安全漏洞，就可以輕易地獲得更多的用戶賬戶控制權(quán)。根據(jù)社交網(wǎng)站上常被引用的“六度分離”（Six Degrees of Separation）理論，我們和任何一個陌生人之間所間隔的人不會超過6個，那么攻擊者最終是否可以獲得所有人的個人資料呢？我們與攻擊者控制的賬戶之間又間隔了多少人呢？或許，攻擊者早已在我們的好友列表之中了。

社交網(wǎng)站：警惕“好友”

McAfee公司在不久前發(fā)布了一個公告，聲稱在Facebook上發(fā)現(xiàn)了大量誘騙用戶單擊并輸入用戶名、密碼的鏈接，這些鏈接通常出現(xiàn)在留言和討論區(qū)之中，很容易讓用戶誤以為自己必須重新登錄才可以發(fā)言。根據(jù)賽門鐵克的安全專家斯特凡的介紹，攻擊者經(jīng)常會向社交網(wǎng)站里的好友發(fā)送各種鏈接，這些鏈接不一定都是以攻擊或破解用戶賬戶為目的的，它們也可能是一些禮品券的申請鏈接，又或者是針對好友喜好而設(shè)的偶像信息頁面，只要用戶單擊這些鏈接或者使用鏈接的服務(wù)，攻擊者即可從中獲得利益。

此外，根據(jù)斯特凡的介紹，借助社交網(wǎng)站勒索的情況也非常普遍。2012年2月，美國的一個學(xué)生被他的英國好友威脅，要求必須向其支付500美元，否則將公布受害者的隱私視頻。在另一個案件中，一個加利福尼亞的男人破解了數(shù)百個女性的電子郵件地址密碼，然后通過取回密碼的功能獲得了使用這些電子郵件地址注冊的其他社交網(wǎng)站賬戶的密碼，雖然部分網(wǎng)站取回密碼功能需要回復(fù)類似最喜歡的顏色之類的問題，但是他可以很輕松地在用戶的Facebook個人資料中找到答案。重置密碼劫持了這些賬戶之后，該男子勒索所有電子郵件賬戶或社交網(wǎng)站賬戶中存有裸露照片的女性，威脅如不滿足其要求即刻會將這些照片寄給用戶電子郵箱中所有的聯(lián)系人以及社交網(wǎng)站的好友。

賽門鐵克的安全專家斯特凡認(rèn)為，網(wǎng)絡(luò)攻擊者如此偏愛社交網(wǎng)站，主要是因為通過網(wǎng)絡(luò)聊天等交流方式實施社會工程學(xué)攻擊，其難度要比以往使用電話等手段低很多。對于來自被攻擊者的問題，攻擊者不需要馬上做出反應(yīng)，可以有充分的時間深入調(diào)查受害人的個人信息，找出一個能夠讓受害人滿意的答案。而通過電話實施的社會工程學(xué)攻擊，回答問題時哪怕有絲毫的猶豫，都有可能被識破。

因而，我們有理由相信，社交網(wǎng)站將繼續(xù)成為攻擊者喜歡的目標(biāo)，而且，按照斯特凡的分析，新的攻擊戰(zhàn)略有可能是魚叉式的網(wǎng)絡(luò)釣魚攻擊，也就是有針對性的釣魚攻擊，攻擊者將收集到的個人數(shù)據(jù)自動創(chuàng)建成心理模型。為此，F(xiàn)acebook已經(jīng)投入了一個300名工程師的團(tuán)隊監(jiān)控網(wǎng)絡(luò)分析系統(tǒng)的安全性。此外，F(xiàn)acebook在2012年4月，開始與McAfee、賽門鐵克和趨勢科技等安全公司展開合作，希望能夠幫助用戶有效地過濾危險的好友。不過，在巨大利益的驅(qū)使下，毫無疑問攻擊者不會就此罷手，要保護(hù)自己的安全，我們需要學(xué)習(xí)更多相關(guān)的知識，并時刻不忘在網(wǎng)絡(luò)的那一端，我們的社交網(wǎng)站“好友”可能是帶引號的。

如何保護(hù)自己？

→ 不接受任何自己不了解的人添加好友的請求。

→ 有疑問的時候，通過另外的途徑確認(rèn)好友身份。

→ 要警惕那些需要額外信息的社交網(wǎng)站第三方應(yīng)用。

→ 定期清理舊的應(yīng)用程序。

→ 使用足夠強(qiáng)度的密碼（至少10個字符并包含數(shù)字和特

殊字符），并定期更換。

→ 及時更新應(yīng)用軟件，特別是瀏覽器和防病毒程序。

→ 登錄網(wǎng)站之前，反復(fù)確認(rèn)網(wǎng)站的地址是否正確。

社會工程學(xué)的發(fā)展

簡而言之，社會工程學(xué)是一門充滿誘惑的藝術(shù)，一門有著悠久傳統(tǒng)的藝術(shù)。

起源

特洛伊木馬的神話是現(xiàn)如今木馬攻擊的藍(lán)圖，希臘士兵躲在木馬之中，在特洛伊人誤將木馬當(dāng)禮物帶到城內(nèi)后，半夜殺出打開城門。

第一位明星

凱文·米特尼克是80年代最知名的黑客，他通過社會工程學(xué)攻擊獲得了眾多企業(yè)和機(jī)構(gòu)的內(nèi)部數(shù)據(jù)。受害者包括摩托羅拉、諾基亞、SUN、富士通、西門子，甚至還包括五角大樓。

經(jīng)典方法

假托（Pretexting）是社會工程學(xué)攻擊的經(jīng)典方法，攻擊者通過編造謊言哄騙他人以獲得自己需要的數(shù)據(jù)。凱文·米特尼克是一個假托的高手，可以通過自己掌握的信息哄騙企業(yè)或公共機(jī)構(gòu)的雇員提供他所需要的信息。

盜取金錢

近年來，網(wǎng)絡(luò)釣魚是社會工程學(xué)攻擊中最常見的形式。這種利用看似真實的假網(wǎng)頁誘騙用戶輸入自己的用戶名和密碼的攻擊方式，已經(jīng)盜走了用戶很多錢。

硬件誘餌

現(xiàn)代版的木馬，攻擊者將一個被感染的閃存盤或者M(jìn)P3之類的設(shè)備故意讓目標(biāo)人物撿到，目標(biāo)人物如果過于好奇想讀一下里面有什么，那么電腦將馬上被感染。

大規(guī)模攻擊

由于用戶彼此之間信任，所以社交網(wǎng)站成為了攻擊者的樂土。

入侵人體

除了攻擊網(wǎng)絡(luò)中的人，攻擊者也可能入侵人體，目前，麻省理工學(xué)院的研究人員正在虛擬類似的攻擊并研究防御的方法。

攻擊人體植入系統(tǒng)

因為必須要對植入系統(tǒng)進(jìn)行檢測和監(jiān)測病人的健康狀態(tài)，所以對于植入人體的儀器來說植入無線監(jiān)控設(shè)備是必不可少的。McAfee的研究人員發(fā)現(xiàn)，由于植入的設(shè)備電池容量有限，無線監(jiān)控設(shè)備不可能采取加密方式通訊。通過對通訊數(shù)據(jù)的破解將能夠入侵人體植入系統(tǒng)，如控制胰島素泵，而這對于病人來說可能是致命的。美國馬薩諸塞大學(xué)教授凱文也研究出了可以操縱植入式除顫器的方法，除顫器是一個使節(jié)律紊亂的心臟恢復(fù)正常的設(shè)備，而凱文發(fā)現(xiàn)只需要一個無線電信號，就可以關(guān)掉植入系統(tǒng)。

保護(hù)植入系統(tǒng)

著名的麻省理工學(xué)院的研究人員正在開發(fā)一種解決方案，以防止此類攻擊。一種稱為“盾”的干擾技術(shù)，可以有助于阻止入侵信號。但是必須解決的問題是，在干擾入侵信號的同時，如何才能夠不干擾植入系統(tǒng)的正常無線電信號。要實現(xiàn)這一目標(biāo)，“盾”必須能夠從所有無線電信號中將植入系統(tǒng)的信號篩選出來，并屏蔽掉其余的所有信號。