石明珠

摘 要：在如今這個充滿利益誘惑的信息社會中，信息已經(jīng)成為一種資源，一種可以帶來利益和財富的數(shù)字化資源。無數(shù)雙眼睛緊盯信息系統(tǒng)的漏洞，無數(shù)黑客手持一把把“矛”刺向信息系統(tǒng)的防火墻，而社會工程攻擊則是其中最鋒利的一把“矛”。有“矛”刺就有“盾”來擋，于是以社會工程來反制社會工程攻擊以保證信息安全的機制被日益重視起來。

關(guān)鍵詞：信息安全；社會工程攻擊；社會工程學(xué)；反制

引言

信息安全分為“硬安全”和“軟安全”兩個部分。 所謂“硬安全”主要包括具體的 IT 安全技術(shù)(比如防火墻、入侵檢測、漏洞掃描、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊等等);而“軟安全”主要涉及管理、心理學(xué)、文化、人際等方面, 與具體的IT技術(shù)無關(guān)[1]。今天所說的社會工程學(xué),實際上就是“軟安全”的范疇。

1 社會工程攻擊案例分析

下面是一個典型的運用社會工程學(xué)的案例：

主要人物介紹：某社會工程攻擊者，簡稱小黑。某公司客服人員，簡稱小白。

背景介紹：小黑想打探這家公司某客戶（張三）的銀行帳號。小黑先進行了一些初步的信息收集（通過 Google），了解到如下信息：1、公司內(nèi)部有一個商業(yè)客戶資料系統(tǒng)，里面包含有客戶的銀行帳號；2、該系統(tǒng)簡稱BCIS； 3、該公司的客戶服務(wù)人員有 BCIS 的查詢權(quán)限。準(zhǔn)備妥當(dāng)之后，小黑打電話到該公司客戶服務(wù)部。

對話過程：

小白：你好，哪位？

小黑：我是客戶資料部的，我的電腦中了該死的病毒，沒法啟動了。偏偏有個總裁辦的秘書讓我查一個客戶的資料，還催得很急。聽說你們客服部也能登錄到 BCIS，麻煩你幫我查一下吧。謝謝啦！

小白：哦。你要查什么資料？

小黑：我需要一個客戶的銀行帳號。

小白：這個客戶的 ID 是多少？

小黑：客戶 ID 在我電腦里，可是我的電腦打不開了。根據(jù)姓名進行模糊查找，應(yīng)該能找到的。這個客戶叫“張三”。

小白：稍等，我查詢一下。

......

小白：找到了，你拿筆記一下，他的銀行帳號是 XXXXXXXXX。

小黑：好的，我記下了。你可幫了我大忙啦！太謝謝你了！

小白：不客氣。

案例分析：首先，攻擊者通過信息收集中打聽到“商業(yè)客戶資料系統(tǒng)”，該系統(tǒng)簡稱BCIS。另外，攻擊者還了解到“客服部門”有 BCIS 的查詢權(quán)。當(dāng)小黑很自然地說出這兩個信息，就會讓小白相信自己是公司內(nèi)的人員。接著，小黑通過謊稱自己的電腦中毒，來進行示弱并博取小白的同情。如果再輔助一些特定的嗓音和語調(diào)，并且在言談中流露出焦急的心情，那基本上就大功告成了。

2 社會工程學(xué)的概念及在信息安全領(lǐng)域的提出

社會工程學(xué)（ SocialEngineering），一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法[2]。準(zhǔn)確來說，社會工程學(xué)不是一門科學(xué)，而是一門藝術(shù)和竅門的學(xué)問。社會工程學(xué)是利用人的弱點，以順從你的意愿、滿足你的欲望等方式，讓你上當(dāng)?shù)囊恍┓椒?、一門藝術(shù)與學(xué)問。說它不是科學(xué)，因為它不是總能重復(fù)和成功，而且在受害者信息充分多的情況下，會自動失效。社會工程學(xué)的竅門也蘊涵了各式各樣的靈活的構(gòu)思與變化因素。

最近幾年，信息安全方面的問題日益嚴(yán)重，許多網(wǎng)民深受其害（比如QQ詐騙、網(wǎng)絡(luò)釣魚、盜用銀行卡、蠕蟲木馬泛濫、僵尸網(wǎng)絡(luò)盛行等等）。這其中便不乏社會工程攻擊的案例。社會工程攻擊已不是傳統(tǒng)的信息安全的范疇，而被稱為“非傳統(tǒng)信息安全”(Nontraditional Information Security)。傳統(tǒng)信息安全辦法解決不了非傳統(tǒng)信息安全的威脅。與此同時，社會工程學(xué)是信息安全中一個經(jīng)常被忽視的偏僻角落。即便很多IT 安全領(lǐng)域的從業(yè)人員，往往也缺少社會工程學(xué)的相關(guān)常識。很多人都知道什么是防火墻、殺毒軟件，但是卻從來沒有聽說過社會工程學(xué)。大部分的安全廠商都把注意力集中在“硬安全”方面，很少有安全廠商把社會工程掛在嘴邊。相反的是：現(xiàn)有的信息安全攻擊，大都以“軟安全”作為攻擊者的突破口，只有一小部分是純粹通過“硬安全”來進行的。

3 社會工程學(xué)的運用

現(xiàn)實中運用社會工程學(xué)的犯罪很多。短信詐騙、電信詐騙、QQ視頻詐騙、釣魚網(wǎng)站詐騙等等都運用了社會工程學(xué)的方法。近年來，更多的黑客利用社會工程學(xué)手段，突破信息安全防御措施，轉(zhuǎn)向利用人的弱點來實施網(wǎng)絡(luò)攻擊的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢。Gartner集團信息安全與風(fēng)險研究主任Rich Mogull認為：“社會工程學(xué)是未來10年最大的安全風(fēng)險，許多破壞力最大的行為是由于社會工程學(xué)而不是黑客或破壞行為造成的?！币恍┬畔踩珜＜翌A(yù)言，社會工程學(xué)將會是未來信息系統(tǒng)入侵與反入侵的重要對抗領(lǐng)域[3]。最近流行的免費下載軟件中捆綁流氓軟件、免費音樂中包含病毒、網(wǎng)絡(luò)釣魚、垃圾電子郵件中包括間諜軟件等，都是社會工程學(xué)的代表應(yīng)用。

3.1 社會工程攻擊的三個步驟。

運用社會工程學(xué)實施網(wǎng)絡(luò)攻擊，一般會有三個步驟：“信息收集”、“假冒身份”和“施加影響”，而這三個手法不是孤立存在的，而是有機結(jié)合的。攻擊者在攻擊的時候，總會混用這三個手法以達到最終目的。

攻擊手法之信息收集：信息收集就是通過各種手段去獲取機構(gòu)、組織、公司的一些不敏感信息。信息不敏感，就不會有特別嚴(yán)格的訪問限制，攻擊者也就容易得手。而且在獲取這種信息的過程中，不易引起別人注意，降低了攻擊者自身的風(fēng)險。收集的不敏感信息，諸如某些關(guān)鍵人物的資料；機構(gòu)內(nèi)部某些操作流程的步驟；機構(gòu)內(nèi)部的組織結(jié)構(gòu)關(guān)系；機構(gòu)內(nèi)部常用的一些術(shù)語和行話。收集不敏感信息的渠道也是多種多樣：通過網(wǎng)站和搜索引擎；通過離職員工；通過垃圾分析；通過電話問訊等等。信息收集往往不是攻擊者的最終目的，僅僅是攻擊者進入下一個階段的前期準(zhǔn)備工作。

攻擊手法之假冒身份：假冒身份說白了就是“包裝”。一般來說，攻擊者會根據(jù)面對的目標(biāo)來選取馬甲。選好馬甲之后，還要在某些細節(jié)上稍微粉飾一下，讓人覺得更加逼真。因為大部分人都是感性的，所以包裝的效果，就是要充分利用和挖掘人感性的弱點，通過博取信任、博取好感、博取同情和樹立權(quán)威性等技巧達到逼真的包裝效果。總而言之，包裝要為后續(xù)的“施加影響”埋下伏筆，打好基礎(chǔ)。

攻擊手法之施加影響：通過前期的種種準(zhǔn)備，就是要達到最后的施加影響的目的。施加影響的技巧主要有以下幾種：通過外在特征的“光環(huán)效應(yīng)”、通過相似性來博取好感、通過互惠原理來騙取好處、通過社會認同來施加影響和通過權(quán)威來施加壓力。

社會工程攻擊的三部曲能夠使攻擊者拿到他們想要的任何東西?；蛟S是銀行賬戶、私人信息；或是一份商業(yè)秘密。不管如何，他們總會設(shè)法找到一個切入點，哪怕只需要一個名字，就能越過所裝的最好的防火墻或殺毒軟件，只要他們精心設(shè)計好一個個的陷阱，一切皆有可能。

4 防范社會工程攻擊，人是最堅固的防火墻

一般認為，解決非傳統(tǒng)信息安全威脅也要運用社會工程學(xué)來反制社會工程攻擊。具體的方法就是應(yīng)該向用戶提供充分的反饋信息，讓用戶能做出準(zhǔn)確的判斷，避免上當(dāng)，并且增加更多的控制機制，即使在錯誤決策的情況下，也能防止社會工程攻擊的發(fā)生。騰訊公司在這一方面可以為我們提供最好的佐證。不法分子盜取QQ密碼，冒充QQ號碼主人，向父母或朋友借錢，騙取大量錢財。不法分子使用的是典型的社會工程學(xué)攻擊，這類攻擊使用傳統(tǒng)的技術(shù)防范措施是不奏效的，只有使用社會工程學(xué)來反制此類攻擊才會起作用。騰訊公司通過不定時彈窗的形式提示防范此類詐騙，并且在聊天內(nèi)容中凡是涉及財產(chǎn)的操作都會提示：如果聊天中有涉及財產(chǎn)的操作，請一定先核實好友身份，發(fā)送驗證問題或點擊舉報。如圖：

為了對抗社會工程攻擊，必須組建“由人組成的防火墻”，同時拋棄網(wǎng)絡(luò)架構(gòu)刀槍不入之類的幻想。 這是更具普通意義的防范社會工程攻擊的根本道理。具體有以下幾個方面的內(nèi)容：

（1）普及教育培訓(xùn)。對員工進行教育培訓(xùn)，使一部分企業(yè)能夠預(yù)防和識別社會工程攻擊的企圖。這比對員工進行防火墻系統(tǒng)培訓(xùn)要更起作用。因此，只要組織措施得當(dāng)，“人”將不再成為信息安全鏈中最薄弱的一環(huán)，而是成為最安全的后盾。

（2）建立事故響應(yīng)小組。從信息安全的觀點，任何外部威脅的處理（包括社會工程）將被認為是一次事故。事故響應(yīng)小組的目的就是有效檢測潛在的信息安全事件并且提供一個有效的手段來降低事件對公司的影響。同一般性的網(wǎng)絡(luò)攻擊所不同的是，事故響應(yīng)小組應(yīng)當(dāng)由來自公司不同關(guān)鍵部門的知識淵博的員工組成，他們要經(jīng)過良好培訓(xùn)并隨時準(zhǔn)備對社會工程攻擊做出反應(yīng)，有效的分析出入侵的目的與方式。

（3）嚴(yán)格的認證。認證（Authentication）是一個信息安全的常用術(shù)語。通俗地說，認證就是解決某人到底是誰？由于大部分的攻擊者都會用到“身份冒充”這個步驟，所以認證就顯得非常必要。只要進行一些簡單的身份確認，就能夠識破大多數(shù)假冒者。

（4）嚴(yán)格的授權(quán)。授權(quán)（Authorization）和認證一樣，也是一個常用的信息安全術(shù)語。通俗地說，授權(quán)就是解決某人到底能干啥？對于組織機構(gòu)來說，授權(quán)要盡量細化、盡量最小化。例如在某軟件公司中，所有的程序員都可以訪問源代碼，那源代碼泄漏的風(fēng)險就很大。

（5）信息分類。在組織機構(gòu)中，最好要有信息分類的制度。根據(jù)信息的重要程度，定出若干級別。越是機密的信息，知道的人越少。比如源代碼的敏感度高于軟件安裝包。

（6）保持理性。社會工程學(xué)的手法不外乎都是利用人感性的弱點，然后施加影響。所以，保持理性的思維，有助于減少被攻擊者忽悠的概率。

5 結(jié)語

本文提供的關(guān)于社會工程攻擊的實施步驟具有普遍性，實踐表明，防范社會工程攻擊最有效的防火墻是“人”。只要按照一定的原則和規(guī)章將“人”的工作做好，這道堅固的“人墻”對維護信息系統(tǒng)的安全是行之有效的。

參考文獻

[1] 黃明祥，信息與網(wǎng)絡(luò)安全概論.(第三版). 清華大學(xué)出版社，2010年1月.

[2] 羅伯特·西奧迪尼(美)，影響力.Influence: The Psychology of Persuasion.

[3] 凱文·米特尼克，欺騙的藝術(shù).