基于社會工程學的攻擊方法及其防范研究

劉念

摘 要：社會工程學被廣泛認為是最有效的黑客攻擊方法之一。各種類型的網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)安全威脅，都會使用社會工程學的技巧，尤其是在目標式攻擊中使用的頻率愈來愈高。本文通過對社會工程學攻擊方法的分析， 提出對應的防范策略。

關(guān)鍵詞：社會工程學;攻擊方法;防范策略

1 引言

隨著信息化進程的飛速發(fā)展，網(wǎng)絡(luò)安全事故頻出，人們逐漸發(fā)現(xiàn)信息泄露并非完全是由技術(shù)漏洞問題導致的。著名黑客凱文？米特尼克（Kevin David Mitnick）說過：“對網(wǎng)絡(luò)安全的最大威脅不是計算機病毒，也不是未修補的漏洞或未正確安裝的防火墻。實際上，最大的威脅可能是你?！?/p>

社會工程學（Social Engineering）維基百科的定義是：通過與他人的合法交流，來使其心理受到影響，做出某些動作或者是透露一些機密信息的方式。這通常被認為是欺詐他人以收集信息、行騙和入侵計算機系統(tǒng)的行為。

大多數(shù)網(wǎng)絡(luò)安全專業(yè)人員都非常了解社會工程學及其危害。社會工程學攻擊很大程度上就是利用人們的愚蠢大意、輕信和對信息安全的無知。

2 社會工程學的攻擊方法

黑客利用社會工程學使用多種方法來獲取敏感信息。但是所有技術(shù)中的一個共同要素是欺騙。無論他們是否嘗試通過發(fā)送網(wǎng)絡(luò)釣魚電子郵件，還是冒充技術(shù)人員，或者冒充工作人員和佩戴工牌，這些全都是欺騙受害者獲取敏感的信息方法。

所有社會工程學攻擊都建立在使人決斷產(chǎn)生認知偏差的基礎(chǔ)上，有時候這些偏差被稱為“人類硬件漏洞”?，F(xiàn)代黑客已經(jīng)將攻擊目標由組織機構(gòu)的主機系統(tǒng)轉(zhuǎn)為人類操作系統(tǒng)（Human Operating System）。羅伯特？吉爾曼（Robert Gilman）對這個問題進行了大量思考，他的研究指出——人類的操作系統(tǒng)將物理身體視為硬件，將行為視為軟件程序。社會工程學有眾多攻擊方式，主要包括一下幾種：

2.1網(wǎng)絡(luò)釣魚（Phishing）。攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行網(wǎng)絡(luò)攻擊活動，受騙者往往會泄露自己的私人資料。

例如，攻擊者在電子郵件中使用銀行、購物等金融網(wǎng)站的縮短網(wǎng)址（Short URL）或嵌入的鏈接來將用戶重定向到偽造網(wǎng)站。

2.2魚叉式網(wǎng)絡(luò)釣魚（Spear Phishing）。魚叉式網(wǎng)絡(luò)釣魚與網(wǎng)絡(luò)釣魚攻擊非常相似，主要區(qū)別是魚叉式網(wǎng)絡(luò)釣魚更具針對性。通常是魚叉式網(wǎng)絡(luò)釣魚攻擊將專注于單個組織或是目標人群。魚叉式網(wǎng)絡(luò)釣魚成功率更高。

攻擊者會研究目標并收集用戶信息，確定可以利用的任何漏洞。 例如，如果攻擊者通過社會工程學發(fā)現(xiàn)攻擊目標是某足球隊的鐵桿粉絲，他們可以編造一封球隊贈票或者球迷活動的電子郵件，使得受害者泄露敏感的個人信息或公司信息。

2.3誘餌（Baiting）。攻擊者利用了人們對于熱門事件的關(guān)注度或者是對陌生事物的好奇心，使用某種手段或者方法來吸引受害者然后對受害者進行信息挖掘。

例如，攻擊者將包含有特洛伊木馬（Trojan Horse）病毒的USB設(shè)備散布在目標單位的停車場。許多員工就會將拾到的USB設(shè)備插入他們的計算機并激活USB設(shè)備的一個木馬鍵盤記錄器，攻擊者順利獲得這些員工的登錄賬號。

2.4尾隨（Piggybacking）。這類攻擊涉及未經(jīng)授權(quán)的個人，雇員或其他授權(quán)人員進入禁區(qū)。在常見的尾隨攻擊中，攻擊者等待在目標建筑物外面。當內(nèi)部員工打開門禁進入辦公區(qū)域，攻擊者抓住大門，從而尾隨進入的目標區(qū)域。

2.5等價交換（Quid Pro Quo）。攻擊者偽裝成公司內(nèi)部技術(shù)人員或者問卷調(diào)查人員，誘使受害者給出密碼等關(guān)鍵信息。攻擊者也可能偽裝成公司IT技術(shù)支持人員，為受害者提供免費的IT服務，他們將承諾快速解決問題，以換取員工計算機操作權(quán)限，悄悄植入惡意軟件或盜取信息。

2.6假托（Pretexting）。假托是一種制造虛假情形，以迫使受害人吐露隱私信息的手段。假托通常冒充同事、家人、朋友、政府工作人員、銀行、警察、檢察官或其他官方機構(gòu)和企業(yè)。利用某種職務身份權(quán)威獲取受害者的信任。攻擊者只需要為受害者可能提出的問題準備答案。通常，還需要一些心理學技巧來欺騙受害者。

例如，攻擊者假托成為藝人經(jīng)紀公司。他們偽造虛假的影視合約，說服受害者向他們支付大筆的包裝費用之后，攜款逃之夭夭。

2.7垃圾搜尋 （Dumpster Diving）。垃圾搜尋是指從目標的垃圾中搜尋有用的信息，你會發(fā)現(xiàn)這里面包含許多有用的信息。大部分員工不知道從垃圾中翻找出的信息也許對黑客而言是有用的。人們不會思考他們?nèi)恿四男〇|西。例如：通訊錄、信用卡賬單、備忘錄、醫(yī)療處方、銀行對賬單、員工花名冊、規(guī)章手冊、日程安排表、系統(tǒng)手冊、打印廢紙等等。這些東西可以為黑客假冒身份騙取信任提供大量有用的信息。如果黑客拾得未經(jīng)處理的通訊錄，可以知道員工電話號碼甚至是家庭住址和企業(yè)架構(gòu)。

2.8社交媒體（Social Media）。社交媒體要求電子設(shè)備訪問個人的信息，但利用這些信息使攻擊者受益的可能包括微信、MSN等即時通訊軟件上的消息，也包括微博、朋友圈、抖音上的評論帖子。

避免在社交媒體上共享以下類型的信息。包括：姓名、尤其是全名的拼音;出生日期;寵物的名字、貓狗的名字;家鄉(xiāng)、所在城市;學校名字、畢業(yè)學校和畢業(yè)日期;興趣、愛好和特長等。黑客利用這些信息創(chuàng)建假冒的個人資料，以獲取受害者信任。

3 防范社會工程學攻擊的策略

3.1驗證與授權(quán)

為了保護信息安全，員工在接受操作請求或提供敏感信息之前，必須確認請求者的身份并驗證他的權(quán)限。通過驗證身份和驗證權(quán)限。核驗請求者的合法身份，確認請求者已被授權(quán)訪問所請求的信息，或者已被授權(quán)擁有計算機相關(guān)設(shè)備的操作權(quán)限。

3.2數(shù)據(jù)分類

數(shù)據(jù)分類策略是保護企業(yè)信息資產(chǎn)、管理敏感信息存取的基礎(chǔ)。所有員工都要了解每一種信息的敏感等級，從而提供了保護企業(yè)信息的框架。通過數(shù)據(jù)分類，員工就可以通過一套數(shù)據(jù)處理程序保護公司安全，避免因疏忽而泄漏敏感信息，這些程序降低了員工將敏感信息交給未授權(quán)者的可能性。

3.3安全意識培訓

第一步是讓企業(yè)的每一個人都認識到攻擊者能夠通過社會工程學操縱他們，員工們必須了解信息需要哪些保護等級與如何保護。第二步制定安全策略。讓員工知道企業(yè)的網(wǎng)絡(luò)安全策略，確保在規(guī)定時間內(nèi)所有員工都了解安全策略和安全程序。第三步將安全意識融入到日常工作中并成為企業(yè)文化的一部分，規(guī)范員工行為。實施持久化的培訓計劃以確保安全意識已根植于每位員工心中并成為組織流程的一部分

4 結(jié)論

科技不斷的進步，社會工程學也在不斷演進。社會工程學攻擊比以往任何時候都更加普遍和更具威脅性。使用社會工程學對目標敏感信息的攻擊更具有針對性且比以往任何時候都更加復雜。如何有效的防范社會工程學攻擊是全社會都值得關(guān)注的問題。本文結(jié)合社會工程學的基本知識，分析了社會工程學常見的攻擊手段，提出了防范策略。

參考文獻 ：

[1] 凱文·米特尼克.欺騙的藝術(shù)[美] .北京：中國鐵道出版社， 2008.

[2] 社會工程：安全體系中的人性漏洞[美] Christopher Hadnagy著.陸道宏譯.北京：人民郵電出版社， 2013.

[3] 入侵的藝術(shù)[美] Kevin D .Mitnick， William L .Simon著.陳曙暉譯.北京：清華大學出版社， 2007.

（武漢警官職業(yè)學院 ?湖北 ?武漢 ?430070）