摘 要：盡管現(xiàn)代計算機網(wǎng)絡安全技術(shù)和手段不斷發(fā)展完善，但它們對于安全所能起到的作用還是很有限的。利用社會工程學手段突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢。因此，探討社會工程學攻擊的一些方式及防范措施，可以提高廣大用戶對抗此類攻擊的能力。

關鍵詞：社會工程學；網(wǎng)絡攻擊；網(wǎng)絡安全；黑客防范

中圖分類號：TP393.08

系統(tǒng)和程序所帶來的安全問題往往是可以避免的，但從人性以及心理的方面來說，社會工程學往往是防不勝防的。當前，黑客已經(jīng)由單純借助技術(shù)手段進行網(wǎng)絡遠程攻擊，開始轉(zhuǎn)向綜合采用包括社會工程學攻擊在內(nèi)的多種攻擊方式。由于社會工程學攻擊形式接近現(xiàn)實犯罪，隱蔽性較強，容易被忽視，但又極具危險性，因此應引起廣大機構(gòu)及計算機用戶的高度關注和警惕。

1 社會工程學攻擊的定義

社會工程學（Social Engineering）是把對物的研究方法全盤運用到對人本身的研究上，并將其變成技術(shù)控制的工具。社會工程學是一種針對受害者的心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱，實施諸如欺騙、傷害等危害的方法。[1]

“社會工程學攻擊”就是利用人們的心理特征，騙取用戶的信任，獲取機密信息、系統(tǒng)設置等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件。網(wǎng)絡安全技術(shù)發(fā)展到一定程度后，起決定因素的不再是技術(shù)問題，而是人和管理。[2]面對防御嚴密的政府、機構(gòu)或者大型企業(yè)的內(nèi)部網(wǎng)絡，在技術(shù)性網(wǎng)絡攻擊不夠奏效的情況下，攻擊者可以借助社會工程學方法，從目標內(nèi)部入手，對內(nèi)部用戶運用心理戰(zhàn)術(shù)，在內(nèi)網(wǎng)高級用戶的日常生活上做文章。通過搜集大量的目標外圍信息甚至隱私，側(cè)面配合網(wǎng)絡攻擊行動的展開。

2 社會工程學網(wǎng)絡攻擊的方式

黑客在實施社會工程學攻擊之前必須掌握一定的心理學、人際關系、行為學等知識和技能，以便搜集和掌握實施社會工程學攻擊行為所需要的資料和信息等。結(jié)合目前網(wǎng)絡環(huán)境中常見的黑客社會工程學攻擊方式和手段，我們可以將其主要概述為以下幾種方式：

2.1 網(wǎng)絡釣魚式攻擊

“網(wǎng)絡釣魚”作為一種網(wǎng)絡詐騙手段，主要是利用人們的心理來實現(xiàn)詐騙。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數(shù)據(jù)，如信用卡號、賬戶和口令、社保編號等內(nèi)容。[3]近幾年，國內(nèi)接連發(fā)生利用偽裝成“中國銀行”、“中國工商銀行”等主頁的惡意網(wǎng)站進行詐騙錢財?shù)氖录?。“網(wǎng)絡釣魚”是基于人性貪婪以及容易取信于人的心理因素來進行攻擊的，常見的“網(wǎng)絡釣魚”攻擊手段有：（1）利用虛假郵件進行攻擊。（2）利用虛假網(wǎng)站進行攻擊。（3）利用QQ、MSN等聊天工具進行攻擊。（4）利用黑客木馬進行攻擊。（5）利用系統(tǒng)漏洞進行攻擊。（6）利用移動通信設備進行攻擊。

2.2 密碼心理學攻擊

密碼心理學就是從用戶的心理入手，分析對方心理，從而更快的破解出密碼。掌握好可以快速破解、縮短破解時間，獲得用戶信息，這里說的破解都只是在指黑客破解密碼，而不是軟件的注冊破解。[4]常見的密碼心理學攻擊方式：（1）針對生日或者出生年月日進行密碼破解。（2）針對用戶移動電話號碼或者當?shù)貐^(qū)號進行密碼破解。（3）針對用戶身份證號碼進行密碼破解。（4）針對用戶姓名或者旁邊親友及朋友姓名進行密碼破解。（5）針對一些網(wǎng)站服務器默認使用密碼進行破解。（6）針對“1234567”等常用密碼進行破解。

2.3 收集敏感信息攻擊

利用網(wǎng)站或者用戶企業(yè)處得到的信息和資料來對用戶進行攻擊，這一點常常被非法份子用來詐騙等。[5]常見的收集敏感信息攻擊手段：（1）根據(jù)搜索引擎對目標收集信息和資料。（2）根據(jù)踩點和調(diào)查對目標收集信息和資料。（3）根據(jù)網(wǎng)絡釣魚對目標收集信息和資料。（4）根據(jù)企業(yè)人員管理缺陷對目標收集信息和資料。

2.4 企業(yè)管理模式攻擊

專門針對企業(yè)管理模式手法進行攻擊。[6]常見的企業(yè)管理模式攻擊手法：（1）針對企業(yè)人員管理所帶來的缺陷所得到的信息和資料。（2）針對企業(yè)人員對于密碼管理所帶來的缺陷所得到的信息和資料。（3）針對企業(yè)內(nèi)部管理以及傳播缺陷所得到的信息和資料。

3 社會工程學攻擊的防范

當今，常規(guī)的網(wǎng)絡安全防護方法無法實現(xiàn)對黑客社會工程學攻擊的有效防范，因此對于廣大計算機網(wǎng)絡用戶而言，提高網(wǎng)絡安全意識，養(yǎng)成較好的上網(wǎng)和生活習慣才是防范黑客社會工程學攻擊的主要途徑。防范黑客社會工程學攻擊，可以從以下幾方面做起：

3.1 多了解相關知識

常言道“知己知彼，百戰(zhàn)不殆”。人們對于網(wǎng)絡攻擊，過去更偏重于技術(shù)上的防范，而很少會關心社會工程學方面的攻擊。因此，了解和掌握社會工程學攻擊的原理、手段、案例及危害，增強防范意識，顯得尤為重要。除了堪稱社會工程學的經(jīng)典——凱文米特（Kevin Mitnick）出版的《欺騙的藝術(shù)》（The Art of Deception），還可以通過互聯(lián)網(wǎng)來找到類似的資料加以學習。此外，很多文學作品、影視節(jié)目也會摻雜社會工程學的情節(jié)，比如熱播諜戰(zhàn)劇《懸崖》，里面的主人公周乙無疑是一個社會工程學高手，讀者應該能從中窺探到不少奧妙。

3.2 保持理性思維

很多黑客在利用社會工程學進行攻擊時，利用的方式大多數(shù)是利用人感性的弱點，進而施加影響。當網(wǎng)民用戶在與陌生人溝通時，應盡量保持理性思維，減少上當受騙的概率。

3.3 保持一顆懷疑的心

當前，利用技術(shù)手段造假層出不窮，如發(fā)件人地址、來電顯示的號碼、手機收到的短信及號碼等都有可能是偽造的，因此，要求網(wǎng)民用戶要時刻提高警惕，不要輕易相信網(wǎng)絡環(huán)境中所看到的信息。

3.4 不要隨意丟棄廢物

日常生活中，很多的垃圾廢物中都會包含用戶的敏感信息，如發(fā)票、取款機憑條等，這些看似無用的廢棄物可能會被有心的黑客利用實施社會工程學攻擊，因此在丟棄廢物時，需小心謹慎，將其完全銷毀后再丟棄到垃圾桶中，以防止因未完全銷毀而被他人撿到造成個人信息的泄露。

4 結(jié)語

當今計算機網(wǎng)絡技術(shù)飛速發(fā)展，隨之所引發(fā)的網(wǎng)絡安全問題將日益突出。傳統(tǒng)的計算機攻擊者在系統(tǒng)入侵的環(huán)境下存在很多局限性，而新的社會工程學攻擊則將充分發(fā)揮其優(yōu)勢，通過利用人為的漏洞缺陷進行欺騙進而獲取系統(tǒng)控制權(quán)。本文較為系統(tǒng)地闡述了社會工程學攻與防的相關基礎知識，旨在幫助關心網(wǎng)絡安全的人群能更加關注安全問題，并且有針對性的結(jié)合防范措施避免入侵者的惡意攻擊。

參考文獻：

[1]姜瑜.計算機網(wǎng)絡攻擊中的社會工程學研究[J].湖南經(jīng)濟管理干部學院學報，2006，17（6）：279-280.

[2]陳小兵，錢偉.電子郵件社會工程學攻擊防范研究[J].信息網(wǎng)絡安全，2012，11：5-7.

[3]楊明，杜彥輝，劉曉娟.網(wǎng)絡釣魚郵件分析系統(tǒng)的設計與實現(xiàn)[N].中國人民公安大學學報，2012，5：61-65.

[4]清涼心.看看黑客如何來破解密碼[J].網(wǎng)絡與信息，2007，6：61.

[5]嚴芬，黃皓.攻擊行為系統(tǒng)化分析方法[J].計算機科學，2006，10：93-96.

[6]周政杰.社會工程學的攻擊防御在電子取證中的應用探析[J].信息網(wǎng)絡安全，2010，11：46-48.

作者簡介：周磊（1981-），男，上海人，助理工程師，本科，主要研究方向：網(wǎng)絡信息安全。

作者單位：上海市公安局楊浦分局網(wǎng)安支隊，上海 200090