孟偉

摘 要 作為非傳統(tǒng)安全威脅的重要手段，社會工程學(xué)的應(yīng)用越來越廣泛。使用者可以在神不知鬼不覺的情況下，運(yùn)用基于心理學(xué)、語言學(xué)、行為學(xué)和社會學(xué)原理的方法手段，以較低的成本從目標(biāo)處獲得價值可觀的信息，且不留下容易被追蹤和取證的痕跡。從廣義上說，任何個人和團(tuán)體都可以使用社會工程學(xué)方法獲得公開或私密的信息，合法性根據(jù)實際操作情況而異；但從現(xiàn)實情況看，應(yīng)用者多為計算機(jī)和司法從業(yè)者，且不懷好意、窺私欲強(qiáng)、專業(yè)機(jī)敏的黑客，常常作為入侵者對目標(biāo)實施攻擊。

關(guān)鍵詞 社會工程學(xué) 欺騙偽裝 術(shù)語 心理攻擊

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A

0引言

社會工程學(xué)在上世紀(jì)60年代作為一個學(xué)科出現(xiàn)，被美國科技學(xué)界、商界所熟知。目前普遍認(rèn)為創(chuàng)始人是美國頭號黑客凱文·米特尼克，他在實施攻擊的過程中充分運(yùn)用了高超的計算機(jī)技術(shù)和心理學(xué)研究成果，其傳奇經(jīng)歷使社會工程學(xué)名聲大噪。社會工程學(xué)在信息安全領(lǐng)域為業(yè)界專家學(xué)者所熟知，但對國內(nèi)普通民眾和信息系統(tǒng)行業(yè)單位來說，實屬新興事物。社工攻擊的可操作性和攻擊特性研究對行業(yè)制度建設(shè)、信息安全防護(hù)、員工培訓(xùn)計劃等企業(yè)生產(chǎn)經(jīng)營活動具有針對性指導(dǎo)意義。對特殊行業(yè)活動，如情報偵察、刑偵調(diào)查等，也可合法加以利用。

1概述

1.1概念

社會工程學(xué)是綜合利用社會科學(xué)、人文科學(xué)、自然科學(xué)以及工程科學(xué)的相關(guān)知識，通過重構(gòu)這些知識和技術(shù)，研究建構(gòu)社會發(fā)展具體模式過程中的一般規(guī)律和方法的一門科學(xué)。高明的黑客將社會工程學(xué)作為一種控制意志的途徑，使其成為“一種讓他人遵從自己意愿的科學(xué)或藝術(shù)”。

社工手段針對的通常是具有社會屬性的個體，黑客常常利用人類天性中更趨于信任、和善、感恩、忠誠的傾向，自私、趨利避害、怕?lián)?zé)任的天性，懦弱、奉承、貪婪、獵奇、虛榮、愛炫耀的性格缺陷，使目標(biāo)按指令行事或說出內(nèi)情，從而獲得未授權(quán)的信息或非法訪問網(wǎng)絡(luò)系統(tǒng)。

1.2實現(xiàn)方法

1.2.1信息收集

（1）收集內(nèi)容。在與目標(biāo)對話或?qū)δ繕?biāo)進(jìn)行攻擊之前，要對目標(biāo)有一個全面的了解，收集所有相關(guān)信息，具體包括姓名、年齡、職務(wù)、民族、出生日期、電話號碼、身份證號碼、郵箱地址、居住地址、興趣愛好、行為習(xí)慣、性格特點、近期活動安排、身邊親友和同事信息、用戶名、用戶ID、操作權(quán)限、作息時間、交接班內(nèi)容、以及行業(yè)相關(guān)的一些常用專業(yè)術(shù)語、規(guī)章、制度、方法、約定等等，信息越詳細(xì)越好。

對目標(biāo)越了解，越容易判斷出目標(biāo)下一步的舉動，攻擊成功的概率越大。比如，一個時間觀念很強(qiáng)的人不大可能工作日8點鐘還在被窩睡覺，所以此時住宅無人、車輛可能停放在單位停車場、釣魚攻擊可行、電話攻擊可行、快遞可冒領(lǐng)、服務(wù)器非法登錄可能會被發(fā)現(xiàn)……

（2）信息來源。信息可以從各種公開和非公開的渠道獲得。公開的渠道包括政府網(wǎng)站公告、司法信息公示、單位網(wǎng)站介紹、招聘錄用情況、小區(qū)費(fèi)用收繳通知等等；非公開的渠道包括咨詢臺信息獲取、垃圾桶文件碎片拼接、場所內(nèi)談話竊聽、行為與環(huán)境觀察、角色經(jīng)歷等等。

公開的信息人人都可得到，有時常常不可避免地要為人所知，為個人隱私保護(hù)而要求政府或單位不予公示也不現(xiàn)實。更重要的是加強(qiáng)非公開私人信息的防范。

咨詢臺之所以容易受到社工攻擊是因為他們所處的位置就是為他人提供幫助的，因此就可能被人利用來獲取非法信息。咨詢臺人員一般接受的培訓(xùn)都是要求他們待人友善并能夠提供別人所需要的信息，所以這就成為了社會工程學(xué)師的金礦。大多數(shù)的咨詢臺人員所接受的安全領(lǐng)域的培訓(xùn)與教育很少，這就造成了很大的安全隱患。同理，親友街坊私下閑聊獲取的信息，也可以認(rèn)為是咨詢臺信息獲取。

翻垃圾是另一種常用的社會工程學(xué)手段。因為企事業(yè)單位的垃圾堆里面往往包含了大量的信息如電話本、機(jī)構(gòu)表格、備忘錄、規(guī)定手冊、會議紀(jì)要、活動時間安排表、近期事件活動情況、假期安排、系統(tǒng)手冊、廢舊的硬件等等。紙張的拼接和廢舊硬件的數(shù)據(jù)恢復(fù)都會導(dǎo)致泄密，所以很多大型企業(yè)要求紙張必須粉碎化漿，光電子硬件設(shè)備要進(jìn)行必要的報廢流程。

盡管風(fēng)險很大，但場所竊聽仍是獲得敏感信息最直接有效的辦法，竊聽手段可以是專業(yè)設(shè)備竊聽、手機(jī)竊聽、內(nèi)部人員竊聽等，其中內(nèi)部人員就是社會工程學(xué)的重點攻擊對象。

行為與環(huán)境觀察往往能不經(jīng)意間反應(yīng)很多東西。房間內(nèi)沒有鏡子和燈光的多半是盲人，抽紅旗渠香煙的多半是河南人，從不配帶首飾的多半是醫(yī)護(hù)人員、軍人和消防員。最典型的例子是，作為一名克格勃特工，普京走路一直保持著槍手步態(tài)——走路幾乎不擺右臂以方便快速拔槍。

完美的社工攻擊有時需要充分的角色經(jīng)歷確保不出差錯。高明的社工學(xué)師常常會真正在目標(biāo)工作的環(huán)境中從業(yè)一段時間，親身體會工作內(nèi)容、流程、規(guī)范、行業(yè)術(shù)語和黑話，以確保欺騙時不被揭穿、不說外行話，甚至一句話就能讓對方認(rèn)定你是“自己人”。比如，向一位牛氣沖沖的軍車駕駛員要“三證一單”會讓對方馬上意識到你“絕對”是自己人。

1.2.2攻擊手段

（1）弱口令攻擊。密碼心理學(xué)的研究者曾經(jīng)做過一個實驗：隨機(jī)抽取100名大學(xué)生，每人寫下兩個單詞，同時告訴他們這些單詞是作為重要系統(tǒng)的登陸密碼用的。最后的試驗結(jié)果是相當(dāng)吃驚的：其中37人使用了自己的中文姓名全拼或者簡拼；23 人使用了常見的英文單詞如 hello、good 等；18人選擇了計算機(jī)中常用的單詞如 system、admin、administrator 等；7人使用了自己的生日如19801010、801010、101080等。這項實驗的目的就是為了查看一般計算機(jī)用戶在選擇重要密碼時的心理狀態(tài)。

然而實驗結(jié)果顯示出了某些心理狀態(tài)的高概率分布：姓名被選中的概率高達(dá) 37%，如果入侵者掌握了詳細(xì)的個人信息，密碼被猜解成功的概率將非常高。同樣，用生日作為密碼的，即使自己把數(shù)字順序打亂，以六位密碼為例，組合數(shù)也是有限的，讓計算機(jī)猜解也是非常容易的。

與暴力猜解相比，這種有根有據(jù)的猜解嘗試，成功的概率要大得多。

（2）郵件攻擊、釣魚陷阱、掛馬鏈接。當(dāng)攻擊者對目標(biāo)有一定了解時，可以就目標(biāo)近期參與的活動發(fā)起釣魚攻擊，偽裝成政府部門、領(lǐng)導(dǎo)、同事等進(jìn)行欺騙，從而獲得口令等敏感信息。比如，攻擊者了解到學(xué)校內(nèi)部某老師已在線申請休假，就偽裝成人事處同事向該老師發(fā)送一封針對性很強(qiáng)的電子郵件：“經(jīng)濟(jì)管理系劉老師你好，我是人事處趙立，因后臺系統(tǒng)維護(hù)，你的休假申請無法及時遞交，請?zhí)顚懭缦卤砀癫⒁愿郊问交貜?fù)給我。注意計算好休假的起始日期（您的休假時間是158天，寒暑假可以順延），一般5個工作日內(nèi)您的申請將審核通過。”

試想，劉老師知道人事處有這個叫趙立的人負(fù)責(zé)休假事宜，自己也確實是學(xué)校經(jīng)管系的老師，學(xué)校系統(tǒng)出問題的情況也經(jīng)常發(fā)生，所以按照人天性中傾向于信任他人的心理，劉老師便會毫不猶豫地把包含個人賬號、口令、電話號碼、身份證號碼、課程安排表、學(xué)生學(xué)習(xí)進(jìn)度、休假起始日期等信息的表格發(fā)送給攻擊者。攻擊者拿到口令等信息以后就可以直接以劉老師的身份登錄學(xué)校系統(tǒng)進(jìn)行查詢、破壞，甚至利用計算機(jī)專業(yè)技術(shù)進(jìn)行服務(wù)器提權(quán)。或者發(fā)散一下思維，以劉老師的身份再發(fā)郵件給趙立，獲取更多信息。當(dāng)然，也可以嘗試下劉老師在其他網(wǎng)站上的賬號密碼是不是也一致……

除了郵件，發(fā)送一個和學(xué)校網(wǎng)站登錄頁很相似的釣魚網(wǎng)站或掛馬鏈接也是可以的。

（3）基于心理學(xué)研究的電話攻擊。社會工程學(xué)是一門依賴心理學(xué)的技術(shù)性攻擊方式，對心理學(xué)的研究程度決定了攻擊成功的概率?？梢砸蕾嚨男睦韺W(xué)原理很豐富，如心理弱點、與受害人之間的友誼、上下級領(lǐng)導(dǎo)關(guān)系認(rèn)同、相似而相吸、感恩應(yīng)該回報、道德和規(guī)則認(rèn)同等等。

趨利避害是人的本性，也是人的心理弱點，如果加以利用能收到很好的效果。比如，在上班必經(jīng)的路上立一個“前方修路，請繞行南三環(huán)”的路標(biāo)，會讓受害者主動按照預(yù)先規(guī)劃的路徑行駛。再比如，適時向受害者發(fā)一條“永輝超市明日舉行8周年慶活動，所有商品一律7折”的短信息，很可能改變對方的日程安排，讓其仍然留在家中。

友誼越珍貴越容易讓人信任，上下級關(guān)系越嚴(yán)格越容易讓人順從。基于這種社會心理，冒充和欺騙常常容易得逞。舉個例子，假如攻擊者在電話中用堅定、不耐煩、不可否認(rèn)的語氣說：“我是市局刑警支隊的張副隊長，你們派出所的材料怎么還沒過來？”“不行，機(jī)要太慢了我等不及，你再發(fā)一份過來，順豐寄到市局門口，明天我讓小劉去取。”受害者基于基層下屬的定位，很可能會越過流程，走非保密途徑，從而被截獲。

社會心理學(xué)研究表明我們會傾向于被與我們相似的人吸引，所以相似而相吸是語言溝通拉攏時很重要的一條原則。攻擊者聽出對方的傾向然后表明“我的想法和你一樣”、“我和你是一類人”、“我欣賞你”……溝通越順利或?qū)Ψ皆介_心，越容易放下戒備，越容易說出你想要的信息。需要知道的是，非可視的語音溝通只能從音色音調(diào)、術(shù)語行話上有限地感性識別對方，并不能嚴(yán)格進(jìn)行身份認(rèn)證，所以電話攻擊很容易得手。

（4）計算機(jī)技術(shù)輔助攻擊。計算機(jī)技術(shù)在社工攻擊過程中扮演的角色是不可或缺的。Google語法搜索、網(wǎng)絡(luò)爬蟲設(shè)計、釣魚掛馬技術(shù)、偽基站技術(shù)、無線電技術(shù)、無線網(wǎng)絡(luò)攻擊、電磁攻擊、服務(wù)器攻擊提權(quán)、ARP欺騙、網(wǎng)絡(luò)分析……這些技術(shù)在信息刺探和攻擊中都有可能用到，這也是攻擊者常常是黑客群體的原因。

2攻擊特性

2.1破壞性

社會工程學(xué)攻擊在非法利用時是有破壞性的，輕者泄露個人信息，重者會讓多年開發(fā)研究成果因保密問題毀于一旦。現(xiàn)在大型公司和團(tuán)體都在嘗試從人的安全培訓(xùn)和制度流程建設(shè)的角度出發(fā)進(jìn)行防范。

2.2攻擊性與隱蔽性

通常認(rèn)為的計算機(jī)網(wǎng)絡(luò)系統(tǒng)攻擊會導(dǎo)致服務(wù)器癱瘓、網(wǎng)絡(luò)堵塞、服務(wù)不能正常提供、基礎(chǔ)設(shè)施破壞等等，而日常生活中的細(xì)小瑣事都不會被視為一次攻擊，比如冒充快遞員向你詢問家庭住址，或偽裝成淘寶賣家聲稱返還紅包而向你索要支付寶賬號。但這種非法的私人信息刺探，既有預(yù)謀，又有不可告人的目的，視為攻擊毫不為過。

而隱蔽性指出受害者很難將生活工作細(xì)節(jié)與嚴(yán)重的系統(tǒng)破壞聯(lián)系起來。比如，你很難將一個街頭采訪與計算機(jī)網(wǎng)絡(luò)攻擊事件聯(lián)系起來。

2.3不可預(yù)見性

一般的計算機(jī)攻擊都有先兆，比如用戶訪問量突然增大、流量異常等等，這是可以通過技術(shù)手段預(yù)警的。而你很難預(yù)見陌生人跟你的一次再正常不過的聊天，對方可能是想了解你，打探你的內(nèi)部消息，知道你的性格偏好、家庭背景，但也很可能只是一次單純的、偶然的、無目的的、打發(fā)時間的一次閑聊而已。幾乎所有人說話時都是帶有立場的，也幾乎沒有人能夠評估對方對你的立場有多大興趣。

2.4難以評估取證

社工手段運(yùn)用時都會事先做好準(zhǔn)備，比如隱藏真實的電話號碼、準(zhǔn)備一套外賣員服裝、辦一張假身份證、偽裝成攤販等，利用人的慣性思維躲過小區(qū)保安的身份驗證，或近距離刺探時使目標(biāo)放松警惕。事后調(diào)查取證時，即便發(fā)現(xiàn)了偽裝行為，也難以搜集更直接的證據(jù)證明有罪。

2.5低成本

社工手段的高明和可取之處就在于成本低廉，試想，耗費(fèi)大量資源癱瘓一臺服務(wù)器，總比不上管理者主動說出來更加簡單可行。需要注意的是，目標(biāo)防范越嚴(yán)密，攻擊的成本越高，這是任何黑客攻擊手段都要面對的問題，社會工程學(xué)手段也是一樣。

3可操作性

3.1信息渠道多樣化

伴隨著互聯(lián)網(wǎng)的發(fā)展，越來越多的信息出現(xiàn)在網(wǎng)絡(luò)上而被所有人知悉。此外，報刊雜志、廣告媒介、微博微信自媒體、出版物等渠道，也使信息收集更加容易便捷。

由于公共信息渠道對個人隱私的不注重，很多個人信息常常暴露在大眾視野下（見圖1）。

3.2心理特點

心理學(xué)是社工學(xué)師最看重的一門學(xué)問，有積極的一面，如忠誠、感恩、勇敢、博愛；也有消極的一面，如叛逆、自私、貪心、怯懦。但無論積極還是消極，都有被利用的價值。勇敢的人更容易接受新鮮事物，貪心的人嘗到甜頭通常不會立即停止，博愛的人常常愛管閑事，怯懦的人一般沒有主見，順從的人缺乏創(chuàng)新精神，善良的人幾乎不會做出極端的選擇……攻擊者從收集到的信息和實際對話中，對目標(biāo)的心理和性格做出準(zhǔn)確的判斷，通過心理誘導(dǎo)和暗示，促使受害者做出危險操作，進(jìn)而達(dá)到攻擊意圖。

3.3實踐性

為深入了解受害者平時的工作內(nèi)容，攻擊者有時必須真正到其工作的環(huán)境中去從業(yè)一段時間，好在當(dāng)今社會人員流動比較頻繁，低薪應(yīng)聘、無薪實習(xí)對專業(yè)功底扎實、機(jī)敏善學(xué)的黑客來說不是什么難事，這就讓攻擊者有充足的機(jī)會去了解目標(biāo)的工作規(guī)范、行業(yè)規(guī)則和社會關(guān)系，攻擊行動就更具備可行性。

3.4攻擊者的專業(yè)性

就黑客這個群體而言，其信息整合能力高超，工具應(yīng)用熟練精通，理論功底深厚扎實，語言多樣思維敏捷，這都為攻擊行動提供了專業(yè)優(yōu)勢；而其體力毅力、行業(yè)經(jīng)歷、行為習(xí)慣也都可以通過訓(xùn)練獲得。攻擊者越專業(yè)、受害者越不加防備，攻擊越容易得逞，防范也越困難。

3.5人的社會群體性與語言

人是群居生物，人與人之間的分工和交流使人類社會誕生出很多東西，文化、宗教、學(xué)科、語言、崗位……因此個體的人身上必然帶有很多社會屬性：男人、本科、大學(xué)剛畢業(yè)、說漢語、體育老師、單身、單親家庭長大、共產(chǎn)黨員、永輝超市會員等等。每一項社會屬性都有其共性特征，比如，一個大學(xué)剛畢業(yè)的人，通常情況下能接受新鮮事物、經(jīng)濟(jì)狀況一般、不禿頂、不關(guān)心母嬰產(chǎn)品信息、在很多社交網(wǎng)站上都有注冊信息、工作經(jīng)驗和社會經(jīng)驗缺乏、不會理財、炒股經(jīng)驗不足等等。刺探到的社會屬性越多，個體情況就越詳盡具體。

社會工程學(xué)的攻擊特征要求必須了解語言的藝術(shù)。語言是人類溝通的工具，掌握多種語言對攻擊者來說有備無患，電影《反貪風(fēng)暴2》中張智霖如果不會馬來語，恐怕立馬就被洗錢團(tuán)伙識破了。

同時，語言研究運(yùn)用的水平可以反映出社工學(xué)師的功力水平。舉例來說，一句話背后可能有很多目的，如果有人打電話問你“聽說單位正在分房子，你知道嗎？”這句話含義很多，他可能在問你是不是申請分房了，你分房排名怎么樣，單位是不是通知到你分房這件事了，你單位里其他人是不是也知道這件事；或者這件事是攻擊者虛構(gòu)的，希望你親口否定，希望你告訴他單位從不分房子、也沒有蓋房子的計劃；或者希望知道你的反應(yīng)，比如質(zhì)疑他的身份，這樣他就知道你并不屬于哪家事業(yè)單位或大型企業(yè)，而是自由職業(yè)者；甚至，攻擊者只是想聽聽你的聲音、聽出你的性別、了解你的作息狀態(tài)、手機(jī)是否開機(jī)而已。

4結(jié)語

堅固的堡壘往往是從內(nèi)部攻破的。社工攻擊的目標(biāo)是人，希望從內(nèi)部入手，繞過制度和規(guī)程，達(dá)到破壞系統(tǒng)的目的，這對物理隔離的網(wǎng)絡(luò)尤其重要，甚至成了唯一選擇。其防范方法，也需從員工和制度的角度入手，加強(qiáng)針對性的安全培訓(xùn)，完善流程機(jī)制，強(qiáng)化規(guī)則大于領(lǐng)導(dǎo)的觀念，從上層管理者開始，營造遵守制度的氛圍。因為對堅固的系統(tǒng)來說，人是最后一道防線。

參考文獻(xiàn)

[1] Sarah Granger.Social Engineering Fundamentals， Part Ⅰ： Hacker tactics[DB/OL].https：//www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics，2001.

[2] ZDNet China.報告：未來10年社會工程學(xué)為最大安全危險[DB/OL].http：//www.cnetnews.com.cn/2004/1102/150266.shtml，2004.

[3] 楊浩，朱志祥.利用社會工程學(xué)進(jìn)行密碼猜解[J].西安文理學(xué)院學(xué)報，2013.

[4] 清涼心.看看黑客如何來破解密碼[J].網(wǎng)絡(luò)與信息，2007（06）.