社会工程学攻击与防范

摘 要：尽管现代计算机网络安全技术和手段不断发展完善，但它们对于安全所能起到的作用还是很有限的。利用社会工程学手段突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。因此，探讨社会工程学攻击的一些方式及防范措施，可以提高广大用户对抗此类攻击的能力。

关键词：社会工程学；网络攻击；网络安全；黑客防范 中图分类号：tp393.08

系统和程序所带来的安全问题往往是可以避免的，但从人性以及心理的方面来说，社会工程学往往是防不胜防的。当前，黑客已经由单纯借助技术手段进行网络远程攻击，开始转向综合采用包括社会工程学攻击在内的多种攻击方式。由于社会工程学攻击形式接近现实犯罪，隐蔽性较强，容易被忽视，但又极具危险性，因此应引起广大机构及计算机用户的高度关注和警惕。 1 社会工程学攻击的定义

社会工程学（social engineering）是把对物的研究方法全盘运用到对人本身的研究上，并将其变成技术控制的工具。社会工程学是一种针对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱，实施诸如欺骗、伤害等危害的方法。[1]

“社会工程学攻击”就是利用人们的心理特征，骗取用户的信任，获取机密信息、系统设置等不公开资料，为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后，起决定因素的不再

是技术问题，而是人和管理。[2]面对防御严密的、机构或者大型企业的内部网络，在技术性网络攻击不够奏效的情况下，攻击者可以借助社会工程学方法，从目标内部入手，对内部用户运用心理战术，在内网高级用户的日常生活上做文章。通过搜集大量的目标外围信息甚至隐私，侧面配合网络攻击行动的展开。 2 社会工程学网络攻击的方式

黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能，以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。结合目前网络环境中常见的黑客社会工程学攻击方式和手段，我们可以将其主要概述为以下几种方式： 2.1 网络钓鱼式攻击

“网络钓鱼”作为一种网络诈骗手段，主要是利用人们的心理来实现诈骗。攻击者利用欺骗性的电子邮件和伪造的web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户和口令、社保编号等内容。[3]近几年，国内接连发生利用伪装成“中国银行”、“中国工商银行”等主页的恶意网站进行诈骗钱财的事件。“网络钓鱼”是基于人性贪婪以及容易取信于人的心理因素来进行攻击的，常见的“网络钓鱼”攻击手段有：（1）利用虚假邮件进行攻击。（2）利用虚假网站进行攻击。（3）利用qq、msn等聊天工具进行攻击。（4）利用黑客木马进行攻击。（5）利用系统漏洞进行攻击。（6）利用移动通信设备进行攻击。 2.2 密码心理学攻击

密码心理学就是从用户的心理入手，分析对方心理，从而更快的破解出密码。掌握好可以快速破解、缩短破解时间，获得用户信息，这里说的破解都只是在指黑客破解密码，而不是软件的注册破解。[4]常见的密码心理学攻击方式：（1）针对生日或者出生年月日进行密码破解。（2）针对用户移动电话号码或者当地区号进行密码破解。（3）针对用户身份证号码进行密码破解。（4）针对用户姓名或者旁边亲友及朋友姓名进行密码破解。（5）针对一些网站服务器默认使用密码进行破解。（6）针对“1234567”等常用密码进行破解。 2.3 收集敏感信息攻击

利用网站或者用户企业处得到的信息和资料来对用户进行攻击，这一点常常被非法份子用来诈骗等。[5]常见的收集敏感信息攻击手段：（1）根据搜索引擎对目标收集信息和资料。（2）根据踩点和调查对目标收集信息和资料。（3）根据网络钓鱼对目标收集信息和资料。（4）根据企业人员管理缺陷对目标收集信息和资料。 2.4 企业管理模式攻击

专门针对企业管理模式手法进行攻击。[6]常见的企业管理模式攻击手法：（1）针对企业人员管理所带来的缺陷所得到的信息和资料。（2）针对企业人员对于密码管理所带来的缺陷所得到的信息和资料。（3）针对企业内部管理以及传播缺陷所得到的信息和资料。 3 社会工程学攻击的防范

当今，常规的网络安全防护方法无法实现对黑客社会工程学攻击的有效防范，因此对于广大计算机网络用户而言，提高网络安全意

识，养成较好的上网和生活习惯才是防范黑客社会工程学攻击的主要途径。防范黑客社会工程学攻击，可以从以下几方面做起： 3.1 多了解相关知识

常言道“知己知彼，百战不殆”。人们对于网络攻击，过去更偏重于技术上的防范，而很少会关心社会工程学方面的攻击。因此，了解和掌握社会工程学攻击的原理、手段、案例及危害，增强防范意识，显得尤为重要。除了堪称社会工程学的经典——凯文米特（kevin mitnick）出版的《欺骗的艺术》（the art of deception），还可以通过互联网来找到类似的资料加以学习。此外，很多文学作品、影视节目也会掺杂社会工程学的情节，比如热播谍战剧《悬崖》，里面的主人公周乙无疑是一个社会工程学高手，读者应该能从中窥探到不少奥妙。 3.2 保持理性思维

很多黑客在利用社会工程学进行攻击时，利用的方式大多数是利用人感性的弱点，进而施加影响。当网民用户在与陌生人沟通时，应尽量保持理性思维，减少上当受骗的概率。 3.3 保持一颗怀疑的心

当前，利用技术手段造假层出不穷，如发件人地址、来电显示的号码、手机收到的短信及号码等都有可能是伪造的，因此，要求网民用户要时刻提高警惕，不要轻易相信网络环境中所看到的信息。 3.4 不要随意丢弃废物

日常生活中，很多的垃圾废物中都会包含用户的敏感信息，如发

票、取款机凭条等，这些看似无用的废弃物可能会被有心的黑客利用实施社会工程学攻击，因此在丢弃废物时，需小心谨慎，将其完全销毁后再丢弃到垃圾桶中，以防止因未完全销毁而被他人捡到造成个人信息的泄露。 4 结语

当今计算机网络技术飞速发展，随之所引发的网络安全问题将日益突出。传统的计算机攻击者在系统入侵的环境下存在很多局限性，而新的社会工程学攻击则将充分发挥其优势，通过利用人为的漏洞缺陷进行欺骗进而获取系统控制权。本文较为系统地阐述了社会工程学攻与防的相关基础知识，旨在帮助关心网络安全的人群能更加关注安全问题，并且有针对性的结合防范措施避免入侵者的恶意攻击。 参考文献：

[1]姜瑜.计算机网络攻击中的社会工程学研究[j].湖南经济管理干部学院学报，2006，17（6）：279-280.

[2]陈小兵，钱伟.电子邮件社会工程学攻击防范研究[j].信息网络安全，2012，11：5-7.

[3]杨明，杜彦辉，刘晓娟.网络钓鱼邮件分析系统的设计与实现[n].中国人民大学学报，2012，5：61-65.

[4]清凉心.看看黑客如何来破解密码[j].网络与信息，2007，6：61.

[5]严芬，黄皓.攻击行为系统化分析方法[j].计算机科学，2006，

10：93-96.

[6]周政杰.社会工程学的攻击防御在电子取证中的应用探析[j].信息网络安全，2010，11：46-48.

作者简介：周磊（1981-），男，上海人，助理工程师，本科，主要研究方向：网络信息安全。

作者单位：上海市杨浦分局网安支队，上海

200090