鄭曉夏

摘 要 社會工程學(xué)是一種通過對被攻擊者的心理弱點、本能反應(yīng)以及好奇心、信任、貪婪等心理陷阱進(jìn)行的主要以網(wǎng)絡(luò)攻擊為主要途徑的攻擊手段。社會工程學(xué)入侵不單單是利用計算機(jī)系統(tǒng)本身的漏洞，而是利用人的弱點來突破信息安全防御措施。這種手段越來越被利用在實際入侵的案例中。本文介紹了在高中校園利用社會工程學(xué)進(jìn)行網(wǎng)絡(luò)攻擊的各種手段并提出了相應(yīng)的防御策略。

關(guān)鍵詞 社會工程學(xué) 高中校園 攻擊 防范

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A?? DOI：10.16400/j.cnki.kjdkz.2015.09.068

Social Engineering Attack and Prevention

Research in High School Campus

ZHENG Xiaoxia

（Yiling High School， Yichang， Hubei 443005）

Abstract Social engineering is a kind of network attack means by using psychological trap such as the victim's psychological weakness， instinct， curiosity， trust， and greed. Social engineering invasion is not just to make use of the computer system itself， but to take advantage to people's weakness to break through the information security defense measures. This technique is more and more used in the case of actual invasion. This paper introduces network attack techniques by using social engineering in high school campus and put forward the corresponding defensive strategy.

Key words Social Engineering; High School Campus; Attack？

自人類進(jìn)入二十一世紀(jì)以來，計算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)獲得了高速發(fā)展，信息全球化已成為人類發(fā)展的趨勢，這是人類科學(xué)史上的一大進(jìn)步，但是隨之而來的計算機(jī)網(wǎng)絡(luò)所受的攻擊呈顯著的增長趨勢，網(wǎng)絡(luò)世界的安全問題正引起人們的廣泛關(guān)注。任何事物都不是十全十美的，都是有漏洞的，雖然人們?yōu)榱吮Ｗo(hù)網(wǎng)絡(luò)安全，不斷開發(fā)安全級別更高、技術(shù)原理更加復(fù)雜的安全產(chǎn)品，使得攻擊者入侵變得越來越困難，①但實際上絕大多數(shù)安全事件，無論是從主現(xiàn)上還是從客觀上講，都存在大量的人為因素過失，換言之，人為因素是導(dǎo)致各種入侵得以實現(xiàn)的主要原因。因此，“人”在整個信息安全保障體系中，實際上發(fā)揮著十分重要的作用。從另一角度來講，由于系統(tǒng)安全級別的提升，使得入侵者利用系統(tǒng)上的漏洞進(jìn)行入侵，在技術(shù)上的困難越來越多，他們就會更多地利用人為因素或途徑來進(jìn)行攻擊，從“人”的角度來創(chuàng)造新的漏洞。這種通過對被攻擊者的心理弱點、本能反應(yīng)以及好奇心、信任、貪婪等心理陷阱進(jìn)行的主要以網(wǎng)絡(luò)攻擊為主要途徑的攻擊手段，就稱為社會工程學(xué)攻擊方法。因此，研究社會工程學(xué)在網(wǎng)絡(luò)空間中的入侵中的方法、途徑、特點，以及如何防范和降低社會工程學(xué)攻擊的損失與風(fēng)險，就變得十分的重要。②

愛因斯坦曾經(jīng)說過，只有兩種事物是無窮盡的——宇宙和人類的愚蠢。但對于前者，我不敢確定。通常，社會工程學(xué)的攻擊，其頻頻得手的主要原因，來自于人們的某種意義上的愚蠢或者說是對信息安全實踐應(yīng)用方面的無知。計算機(jī)可以按照特定的指令去運行，自己不會思考，但是人不一樣，有太多因素影響人們的選擇，我們的生活就是在不斷地進(jìn)行選擇，這種選擇的后果我們也是無法估量的。

1社會工程學(xué)

社會工程學(xué)的概念最早是由著名黑客凱文·米特尼克在《欺騙的藝術(shù)》中提出的。目前，對于社會工程學(xué)并沒有一個規(guī)范化的定義。根據(jù)《欺騙的藝術(shù)》中的描述，可以將其總結(jié)為： 社會工程學(xué)就是通過自然的、社會的和制度上的途徑，利用人的心理弱點（ 如人的本能反應(yīng)、好奇心、信任、貪婪） 以及規(guī)則制度上的漏洞，在攻擊者和被攻擊者之間建立起信任關(guān)系，獲得有價值的信息，最終可以通過未經(jīng)用戶授權(quán)的路徑訪問某些敏感數(shù)據(jù)和隱私數(shù)據(jù)。③

一般地，社會工程學(xué)是一種通過對被攻擊者的心理弱點、本能反應(yīng)以及好奇心、信任、貪婪等心理陷阱進(jìn)行的諸如欺騙、傷害等危害手段，獲取非法利益的行為，這種行為或案例近年來已經(jīng)呈現(xiàn)顯著的上升甚至于泛濫的態(tài)勢。④社會工程學(xué)與一般的欺騙手法有著顯著的區(qū)別，社會工程學(xué)的原理通常十分復(fù)雜，事實上，社會工程學(xué)整合了社會學(xué)、行為心理學(xué)、認(rèn)知科學(xué)等多個學(xué)科門類的技術(shù)與方法，往往讓人防不勝防，即使那些警惕心非常高的人，往往糊里糊涂地被高明的社會工程學(xué)手段所損害，甚至還會出現(xiàn)被人賣了還幫人數(shù)錢的現(xiàn)象。⑤社會工程學(xué)攻擊往往從通常的交談、欺騙、假冒或口語等非常普通的社會交往方式開始，從合法用戶中隱蔽地套取用戶系統(tǒng)的秘密和潛在的敏感信息，進(jìn)而為后續(xù)的網(wǎng)絡(luò)攻擊提供方便。這些通過蒙敝、影響、勸導(dǎo)來達(dá)到獲取信息的人，還有一個聽起來似乎很高大上的職業(yè)名稱，就是社會工程師。

因此，當(dāng)網(wǎng)絡(luò)安全技術(shù)發(fā)展到一定程度之后，真正能夠起決定因素和主導(dǎo)作用的，就不再是技術(shù)問題了，而是相關(guān)的人員和管理方面的問題了。近年來社會工程學(xué)攻擊逐漸泛濫的趨勢也與現(xiàn)實世界中的人員和管理方面的多種因素密切相關(guān)。⑥

2社會工程學(xué)在高中校園中的入侵手段

其實，高中可以算是我們?nèi)松械牡谝粋€轉(zhuǎn)折點，所以，為了讓自己的未來更明亮，我們都會很努力的埋頭學(xué)習(xí)，沒有太多的心思去想別的，每天三點一線的生活，算是比較封閉的，但是在這段時間，也很容易發(fā)生一些跟社會工程學(xué)扯上關(guān)系的讓我們自己非常懊惱的事情。

（1）身份被盜用。這種被欺騙手段最常見于在外地上學(xué)的孩子，家離得遠(yuǎn)，父母不在身邊;再者，在外地上學(xué)，父母肯定是花了大力氣的，就算有再大的壓力都會選擇自己一個人扛，不會跟父母說?？覆蛔〉臅r候可能就會向陌生人傾訴，似乎陌生人是最好的傾聽者。但是在學(xué)校接觸不到陌生人，只能通過網(wǎng)絡(luò)了?，F(xiàn)在上學(xué)的高中生，幾乎每個人都有手機(jī)，手機(jī)上都有聊天軟件。隨便加一個陌生人，也不會刻意去了解他，可能覺得還聊得來，我們就會傾訴自己心中的苦悶，無意間就會說出自己的一些敏感信息。這對于社會工程師來說，簡直就是驚喜，不需要費太大的力氣就能了解到很多有用的信息。而且，社會工程師盜取一個高中生的密碼不是難事。再根據(jù)他們自己說出的信息來偽裝成孩子跟他們的父母聊天，社會工程師的精明足以消除他們父母的懷疑。通過這樣的手段達(dá)到自己的目的應(yīng)該不難。

（2）身份偽裝。社會工程師現(xiàn)在扮演的就是陪讀家長。我們學(xué)校有很多學(xué)生是有家長陪讀的，在學(xué)校外面租房子，每天給學(xué)生送飯。而且陪讀家長差不多都租在一個小區(qū)，偶爾一起聊聊天，打打麻將實在正常不過了。一個成功的社會工程師都具備很強的人際交往能力和人際溝通能力，他們看起來通常都非常注重禮儀、善于表達(dá)、能說會道，具有快速發(fā)展與溝通對象之間的信任程度的能力。為了孩子能考出一個非常好的成績，可能有些家長就會走一些旁門左道，這樣社會工程師完全可以利用這一心理向這些家長發(fā)送帶有“高考”字樣的郵件，特別是快要高考的時候，家長們肯定會迫不及待地打開郵件，然后就是社會工程師們發(fā)揮作用的時候了，不知不覺中已經(jīng)獲取了自己想要的信息，脫身也是很容易的，高考過后，家長們也不會再聯(lián)系。

（3）信息泄密?，F(xiàn)在有很多專門為高中生升學(xué)而開辦的補習(xí)班，家長們?yōu)榱俗尯⒆涌嫉酶?，毫不猶豫地會報名，報名過程中必不可少的有信息登記這個環(huán)節(jié)，比如需要身份證號、電話號碼什么的，家長們可能覺得一個補習(xí)班登記這些信息也只是為了以后上課好方便聯(lián)系，不會太在意。但是在臨近高考的時候，家長們會接到很多騷擾電話，非常影響自己的生活。萬一有的家長信了電話，受騙了都不知道找誰理論去。這個入侵手段并不高明，但是很容易實現(xiàn)，補習(xí)班無非也就是為了賺錢，把信息隨便的就賣給了別人，一些圖謀不軌的社會工程師很容易就掌握了家長的信息。

3社會工程學(xué)的防范策略

（1）不要輕易接觸陌生人。作為高中生，不了解現(xiàn)實社會的人心險惡。我們有壓力，要尋找合適的人來傾訴，最好就是找老師。老師們不僅教給我們知識，也能在生活上指導(dǎo)我們，他們更能理解我們的壓力，更能找出我們問題的有效解決辦法。而且，我們有壓力，不一定非要傾訴，我們是有自由活動時間的。閑下來的時間里，喊上一些同學(xué)，痛痛快快地打場籃球，踢場足球，或者跑跑步也是很不錯的壓力釋放方法。

（2）不要輕信他人。社會工程師就是會利用別人的信任來獲取一些不正當(dāng)?shù)睦?。我們要時刻警惕，越是特殊時期越不能盲目相信他人。我們要有一定的防范意識，因為我們沒有辦法識別別人的好壞，只能夠控制住自己。要特別注意自己的信息安全，不能輕易就泄露給別人，后果我們沒有辦法預(yù)測，就算是看起來對我們沒有作用的信息也不可以泄露。很多看起來對我們毫無意義的信息在別人看來可不一定。

（3）別隨便留下自己的信息。就算是有一些正當(dāng)?shù)睦碛?，在填寫自己的信息時也要特別注意。在非填不可的情況下，當(dāng)被詐騙電話騷擾時，不要相信，必要的時候還可以舉報，讓大家都注意防范。我們的信息都掌握在自己手中，只要自己信息保密工作做得好，不輕易透露給別人，不法分子也就無法有別的企圖。任何信息的泄露，主要原因都在自己，我們要把握好自己這一關(guān)。

4結(jié)束語

社會工程學(xué)攻擊，從表面看，往往可能只是簡單的欺騙，但是從網(wǎng)絡(luò)安全的角度來看，其攻擊效果可能會非常顯著，其危害也可能出乎人們的意料之外，可能會具有驚人的破壞力。但是，如果我們能夠全面的了解社會工程學(xué)的攻擊方法或常見途徑，在日常工作和生活中，注意落實各種有效的安全防范措施，提高防范意識，以主動防范的心態(tài)來面對各種可能的社會工程學(xué)攻擊，也就有可能將攻擊的風(fēng)險降至最低水平。⑦

注釋

① 姜瑜.計算機(jī)網(wǎng)絡(luò)攻擊中的社會工程學(xué)研究[J].湖南經(jīng)濟(jì)管理干部學(xué)院學(xué)報，2006.6：279-280.

② 黃俊強，孟昕，王智.信息安全領(lǐng)域社會工程學(xué)的應(yīng)用[J].信息技術(shù)與標(biāo)準(zhǔn)化，2010.7：43-44.

③ 薛晨，楊世平.基于社會工程學(xué)的入侵滲透的研究[J].貴州大學(xué)學(xué)報（自然科學(xué)版），2015.（1）：81-85.

④ 劉暉.社會工程學(xué)的入侵心理與對策[J].光盤技術(shù)，2009.3：22-24.

⑤ 小金.信息安全中的社會工程學(xué) ?信息安全必修課[J].新電腦，2005.1：124-127.

⑥⑦馮浩，李亮.社會工程學(xué)在網(wǎng)絡(luò)攻擊中的應(yīng)用與防范[J].大眾商務(wù)，2009.14：169-185.