孟偉

摘 要 作為非傳統(tǒng)安全威脅的重要手段，社會(huì)工程學(xué)的應(yīng)用越來(lái)越廣泛。使用者可以在神不知鬼不覺(jué)的情況下，運(yùn)用基于心理學(xué)、語(yǔ)言學(xué)、行為學(xué)和社會(huì)學(xué)原理的方法手段，以較低的成本從目標(biāo)處獲得價(jià)值可觀的信息，且不留下容易被追蹤和取證的痕跡。從廣義上說(shuō)，任何個(gè)人和團(tuán)體都可以使用社會(huì)工程學(xué)方法獲得公開(kāi)或私密的信息，合法性根據(jù)實(shí)際操作情況而異；但從現(xiàn)實(shí)情況看，應(yīng)用者多為計(jì)算機(jī)和司法從業(yè)者，且不懷好意、窺私欲強(qiáng)、專(zhuān)業(yè)機(jī)敏的黑客，常常作為入侵者對(duì)目標(biāo)實(shí)施攻擊。

關(guān)鍵詞 社會(huì)工程學(xué) 欺騙偽裝 術(shù)語(yǔ) 心理攻擊

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

0引言

社會(huì)工程學(xué)在上世紀(jì)60年代作為一個(gè)學(xué)科出現(xiàn)，被美國(guó)科技學(xué)界、商界所熟知。目前普遍認(rèn)為創(chuàng)始人是美國(guó)頭號(hào)黑客凱文·米特尼克，他在實(shí)施攻擊的過(guò)程中充分運(yùn)用了高超的計(jì)算機(jī)技術(shù)和心理學(xué)研究成果，其傳奇經(jīng)歷使社會(huì)工程學(xué)名聲大噪。社會(huì)工程學(xué)在信息安全領(lǐng)域?yàn)闃I(yè)界專(zhuān)家學(xué)者所熟知，但對(duì)國(guó)內(nèi)普通民眾和信息系統(tǒng)行業(yè)單位來(lái)說(shuō)，實(shí)屬新興事物。社工攻擊的可操作性和攻擊特性研究對(duì)行業(yè)制度建設(shè)、信息安全防護(hù)、員工培訓(xùn)計(jì)劃等企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)具有針對(duì)性指導(dǎo)意義。對(duì)特殊行業(yè)活動(dòng)，如情報(bào)偵察、刑偵調(diào)查等，也可合法加以利用。

1概述

1.1概念

社會(huì)工程學(xué)是綜合利用社會(huì)科學(xué)、人文科學(xué)、自然科學(xué)以及工程科學(xué)的相關(guān)知識(shí)，通過(guò)重構(gòu)這些知識(shí)和技術(shù)，研究建構(gòu)社會(huì)發(fā)展具體模式過(guò)程中的一般規(guī)律和方法的一門(mén)科學(xué)。高明的黑客將社會(huì)工程學(xué)作為一種控制意志的途徑，使其成為“一種讓他人遵從自己意愿的科學(xué)或藝術(shù)”。

社工手段針對(duì)的通常是具有社會(huì)屬性的個(gè)體，黑客常常利用人類(lèi)天性中更趨于信任、和善、感恩、忠誠(chéng)的傾向，自私、趨利避害、怕?lián)?zé)任的天性，懦弱、奉承、貪婪、獵奇、虛榮、愛(ài)炫耀的性格缺陷，使目標(biāo)按指令行事或說(shuō)出內(nèi)情，從而獲得未授權(quán)的信息或非法訪(fǎng)問(wèn)網(wǎng)絡(luò)系統(tǒng)。

1.2實(shí)現(xiàn)方法

1.2.1信息收集

（1）收集內(nèi)容。在與目標(biāo)對(duì)話(huà)或?qū)δ繕?biāo)進(jìn)行攻擊之前，要對(duì)目標(biāo)有一個(gè)全面的了解，收集所有相關(guān)信息，具體包括姓名、年齡、職務(wù)、民族、出生日期、電話(huà)號(hào)碼、身份證號(hào)碼、郵箱地址、居住地址、興趣愛(ài)好、行為習(xí)慣、性格特點(diǎn)、近期活動(dòng)安排、身邊親友和同事信息、用戶(hù)名、用戶(hù)ID、操作權(quán)限、作息時(shí)間、交接班內(nèi)容、以及行業(yè)相關(guān)的一些常用專(zhuān)業(yè)術(shù)語(yǔ)、規(guī)章、制度、方法、約定等等，信息越詳細(xì)越好。

對(duì)目標(biāo)越了解，越容易判斷出目標(biāo)下一步的舉動(dòng)，攻擊成功的概率越大。比如，一個(gè)時(shí)間觀念很強(qiáng)的人不大可能工作日8點(diǎn)鐘還在被窩睡覺(jué)，所以此時(shí)住宅無(wú)人、車(chē)輛可能停放在單位停車(chē)場(chǎng)、釣魚(yú)攻擊可行、電話(huà)攻擊可行、快遞可冒領(lǐng)、服務(wù)器非法登錄可能會(huì)被發(fā)現(xiàn)……

（2）信息來(lái)源。信息可以從各種公開(kāi)和非公開(kāi)的渠道獲得。公開(kāi)的渠道包括政府網(wǎng)站公告、司法信息公示、單位網(wǎng)站介紹、招聘錄用情況、小區(qū)費(fèi)用收繳通知等等；非公開(kāi)的渠道包括咨詢(xún)臺(tái)信息獲取、垃圾桶文件碎片拼接、場(chǎng)所內(nèi)談話(huà)竊聽(tīng)、行為與環(huán)境觀察、角色經(jīng)歷等等。

公開(kāi)的信息人人都可得到，有時(shí)常常不可避免地要為人所知，為個(gè)人隱私保護(hù)而要求政府或單位不予公示也不現(xiàn)實(shí)。更重要的是加強(qiáng)非公開(kāi)私人信息的防范。

咨詢(xún)臺(tái)之所以容易受到社工攻擊是因?yàn)樗麄兯幍奈恢镁褪菫樗颂峁椭?，因此就可能被人利用?lái)獲取非法信息。咨詢(xún)臺(tái)人員一般接受的培訓(xùn)都是要求他們待人友善并能夠提供別人所需要的信息，所以這就成為了社會(huì)工程學(xué)師的金礦。大多數(shù)的咨詢(xún)臺(tái)人員所接受的安全領(lǐng)域的培訓(xùn)與教育很少，這就造成了很大的安全隱患。同理，親友街坊私下閑聊獲取的信息，也可以認(rèn)為是咨詢(xún)臺(tái)信息獲取。

翻垃圾是另一種常用的社會(huì)工程學(xué)手段。因?yàn)槠笫聵I(yè)單位的垃圾堆里面往往包含了大量的信息如電話(huà)本、機(jī)構(gòu)表格、備忘錄、規(guī)定手冊(cè)、會(huì)議紀(jì)要、活動(dòng)時(shí)間安排表、近期事件活動(dòng)情況、假期安排、系統(tǒng)手冊(cè)、廢舊的硬件等等。紙張的拼接和廢舊硬件的數(shù)據(jù)恢復(fù)都會(huì)導(dǎo)致泄密，所以很多大型企業(yè)要求紙張必須粉碎化漿，光電子硬件設(shè)備要進(jìn)行必要的報(bào)廢流程。

盡管風(fēng)險(xiǎn)很大，但場(chǎng)所竊聽(tīng)仍是獲得敏感信息最直接有效的辦法，竊聽(tīng)手段可以是專(zhuān)業(yè)設(shè)備竊聽(tīng)、手機(jī)竊聽(tīng)、內(nèi)部人員竊聽(tīng)等，其中內(nèi)部人員就是社會(huì)工程學(xué)的重點(diǎn)攻擊對(duì)象。

行為與環(huán)境觀察往往能不經(jīng)意間反應(yīng)很多東西。房間內(nèi)沒(méi)有鏡子和燈光的多半是盲人，抽紅旗渠香煙的多半是河南人，從不配帶首飾的多半是醫(yī)護(hù)人員、軍人和消防員。最典型的例子是，作為一名克格勃特工，普京走路一直保持著槍手步態(tài)——走路幾乎不擺右臂以方便快速拔槍。

完美的社工攻擊有時(shí)需要充分的角色經(jīng)歷確保不出差錯(cuò)。高明的社工學(xué)師常常會(huì)真正在目標(biāo)工作的環(huán)境中從業(yè)一段時(shí)間，親身體會(huì)工作內(nèi)容、流程、規(guī)范、行業(yè)術(shù)語(yǔ)和黑話(huà)，以確保欺騙時(shí)不被揭穿、不說(shuō)外行話(huà)，甚至一句話(huà)就能讓對(duì)方認(rèn)定你是“自己人”。比如，向一位牛氣沖沖的軍車(chē)駕駛員要“三證一單”會(huì)讓對(duì)方馬上意識(shí)到你“絕對(duì)”是自己人。

1.2.2攻擊手段

（1）弱口令攻擊。密碼心理學(xué)的研究者曾經(jīng)做過(guò)一個(gè)實(shí)驗(yàn)：隨機(jī)抽取100名大學(xué)生，每人寫(xiě)下兩個(gè)單詞，同時(shí)告訴他們這些單詞是作為重要系統(tǒng)的登陸密碼用的。最后的試驗(yàn)結(jié)果是相當(dāng)吃驚的：其中37人使用了自己的中文姓名全拼或者簡(jiǎn)拼；23 人使用了常見(jiàn)的英文單詞如 hello、good 等；18人選擇了計(jì)算機(jī)中常用的單詞如 system、admin、administrator 等；7人使用了自己的生日如19801010、801010、101080等。這項(xiàng)實(shí)驗(yàn)的目的就是為了查看一般計(jì)算機(jī)用戶(hù)在選擇重要密碼時(shí)的心理狀態(tài)。

然而實(shí)驗(yàn)結(jié)果顯示出了某些心理狀態(tài)的高概率分布：姓名被選中的概率高達(dá) 37%，如果入侵者掌握了詳細(xì)的個(gè)人信息，密碼被猜解成功的概率將非常高。同樣，用生日作為密碼的，即使自己把數(shù)字順序打亂，以六位密碼為例，組合數(shù)也是有限的，讓計(jì)算機(jī)猜解也是非常容易的。

與暴力猜解相比，這種有根有據(jù)的猜解嘗試，成功的概率要大得多。

（2）郵件攻擊、釣魚(yú)陷阱、掛馬鏈接。當(dāng)攻擊者對(duì)目標(biāo)有一定了解時(shí)，可以就目標(biāo)近期參與的活動(dòng)發(fā)起釣魚(yú)攻擊，偽裝成政府部門(mén)、領(lǐng)導(dǎo)、同事等進(jìn)行欺騙，從而獲得口令等敏感信息。比如，攻擊者了解到學(xué)校內(nèi)部某老師已在線(xiàn)申請(qǐng)休假，就偽裝成人事處同事向該老師發(fā)送一封針對(duì)性很強(qiáng)的電子郵件：“經(jīng)濟(jì)管理系劉老師你好，我是人事處趙立，因后臺(tái)系統(tǒng)維護(hù)，你的休假申請(qǐng)無(wú)法及時(shí)遞交，請(qǐng)?zhí)顚?xiě)如下表格并以附件形式回復(fù)給我。注意計(jì)算好休假的起始日期（您的休假時(shí)間是158天，寒暑假可以順延），一般5個(gè)工作日內(nèi)您的申請(qǐng)將審核通過(guò)?！?/p>

試想，劉老師知道人事處有這個(gè)叫趙立的人負(fù)責(zé)休假事宜，自己也確實(shí)是學(xué)校經(jīng)管系的老師，學(xué)校系統(tǒng)出問(wèn)題的情況也經(jīng)常發(fā)生，所以按照人天性中傾向于信任他人的心理，劉老師便會(huì)毫不猶豫地把包含個(gè)人賬號(hào)、口令、電話(huà)號(hào)碼、身份證號(hào)碼、課程安排表、學(xué)生學(xué)習(xí)進(jìn)度、休假起始日期等信息的表格發(fā)送給攻擊者。攻擊者拿到口令等信息以后就可以直接以劉老師的身份登錄學(xué)校系統(tǒng)進(jìn)行查詢(xún)、破壞，甚至利用計(jì)算機(jī)專(zhuān)業(yè)技術(shù)進(jìn)行服務(wù)器提權(quán)。或者發(fā)散一下思維，以劉老師的身份再發(fā)郵件給趙立，獲取更多信息。當(dāng)然，也可以嘗試下劉老師在其他網(wǎng)站上的賬號(hào)密碼是不是也一致……

除了郵件，發(fā)送一個(gè)和學(xué)校網(wǎng)站登錄頁(yè)很相似的釣魚(yú)網(wǎng)站或掛馬鏈接也是可以的。

（3）基于心理學(xué)研究的電話(huà)攻擊。社會(huì)工程學(xué)是一門(mén)依賴(lài)心理學(xué)的技術(shù)性攻擊方式，對(duì)心理學(xué)的研究程度決定了攻擊成功的概率?？梢砸蕾?lài)的心理學(xué)原理很豐富，如心理弱點(diǎn)、與受害人之間的友誼、上下級(jí)領(lǐng)導(dǎo)關(guān)系認(rèn)同、相似而相吸、感恩應(yīng)該回報(bào)、道德和規(guī)則認(rèn)同等等。

趨利避害是人的本性，也是人的心理弱點(diǎn)，如果加以利用能收到很好的效果。比如，在上班必經(jīng)的路上立一個(gè)“前方修路，請(qǐng)繞行南三環(huán)”的路標(biāo)，會(huì)讓受害者主動(dòng)按照預(yù)先規(guī)劃的路徑行駛。再比如，適時(shí)向受害者發(fā)一條“永輝超市明日舉行8周年慶活動(dòng)，所有商品一律7折”的短信息，很可能改變對(duì)方的日程安排，讓其仍然留在家中。

友誼越珍貴越容易讓人信任，上下級(jí)關(guān)系越嚴(yán)格越容易讓人順從。基于這種社會(huì)心理，冒充和欺騙常常容易得逞。舉個(gè)例子，假如攻擊者在電話(huà)中用堅(jiān)定、不耐煩、不可否認(rèn)的語(yǔ)氣說(shuō)：“我是市局刑警支隊(duì)的張副隊(duì)長(zhǎng)，你們派出所的材料怎么還沒(méi)過(guò)來(lái)？”“不行，機(jī)要太慢了我等不及，你再發(fā)一份過(guò)來(lái)，順豐寄到市局門(mén)口，明天我讓小劉去取。”受害者基于基層下屬的定位，很可能會(huì)越過(guò)流程，走非保密途徑，從而被截獲。

社會(huì)心理學(xué)研究表明我們會(huì)傾向于被與我們相似的人吸引，所以相似而相吸是語(yǔ)言溝通拉攏時(shí)很重要的一條原則。攻擊者聽(tīng)出對(duì)方的傾向然后表明“我的想法和你一樣”、“我和你是一類(lèi)人”、“我欣賞你”……溝通越順利或?qū)Ψ皆介_(kāi)心，越容易放下戒備，越容易說(shuō)出你想要的信息。需要知道的是，非可視的語(yǔ)音溝通只能從音色音調(diào)、術(shù)語(yǔ)行話(huà)上有限地感性識(shí)別對(duì)方，并不能?chē)?yán)格進(jìn)行身份認(rèn)證，所以電話(huà)攻擊很容易得手。

（4）計(jì)算機(jī)技術(shù)輔助攻擊。計(jì)算機(jī)技術(shù)在社工攻擊過(guò)程中扮演的角色是不可或缺的。Google語(yǔ)法搜索、網(wǎng)絡(luò)爬蟲(chóng)設(shè)計(jì)、釣魚(yú)掛馬技術(shù)、偽基站技術(shù)、無(wú)線(xiàn)電技術(shù)、無(wú)線(xiàn)網(wǎng)絡(luò)攻擊、電磁攻擊、服務(wù)器攻擊提權(quán)、ARP欺騙、網(wǎng)絡(luò)分析……這些技術(shù)在信息刺探和攻擊中都有可能用到，這也是攻擊者常常是黑客群體的原因。

2攻擊特性

2.1破壞性

社會(huì)工程學(xué)攻擊在非法利用時(shí)是有破壞性的，輕者泄露個(gè)人信息，重者會(huì)讓多年開(kāi)發(fā)研究成果因保密問(wèn)題毀于一旦?，F(xiàn)在大型公司和團(tuán)體都在嘗試從人的安全培訓(xùn)和制度流程建設(shè)的角度出發(fā)進(jìn)行防范。

2.2攻擊性與隱蔽性

通常認(rèn)為的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)攻擊會(huì)導(dǎo)致服務(wù)器癱瘓、網(wǎng)絡(luò)堵塞、服務(wù)不能正常提供、基礎(chǔ)設(shè)施破壞等等，而日常生活中的細(xì)小瑣事都不會(huì)被視為一次攻擊，比如冒充快遞員向你詢(xún)問(wèn)家庭住址，或偽裝成淘寶賣(mài)家聲稱(chēng)返還紅包而向你索要支付寶賬號(hào)。但這種非法的私人信息刺探，既有預(yù)謀，又有不可告人的目的，視為攻擊毫不為過(guò)。

而隱蔽性指出受害者很難將生活工作細(xì)節(jié)與嚴(yán)重的系統(tǒng)破壞聯(lián)系起來(lái)。比如，你很難將一個(gè)街頭采訪(fǎng)與計(jì)算機(jī)網(wǎng)絡(luò)攻擊事件聯(lián)系起來(lái)。

2.3不可預(yù)見(jiàn)性

一般的計(jì)算機(jī)攻擊都有先兆，比如用戶(hù)訪(fǎng)問(wèn)量突然增大、流量異常等等，這是可以通過(guò)技術(shù)手段預(yù)警的。而你很難預(yù)見(jiàn)陌生人跟你的一次再正常不過(guò)的聊天，對(duì)方可能是想了解你，打探你的內(nèi)部消息，知道你的性格偏好、家庭背景，但也很可能只是一次單純的、偶然的、無(wú)目的的、打發(fā)時(shí)間的一次閑聊而已。幾乎所有人說(shuō)話(huà)時(shí)都是帶有立場(chǎng)的，也幾乎沒(méi)有人能夠評(píng)估對(duì)方對(duì)你的立場(chǎng)有多大興趣。

2.4難以評(píng)估取證

社工手段運(yùn)用時(shí)都會(huì)事先做好準(zhǔn)備，比如隱藏真實(shí)的電話(huà)號(hào)碼、準(zhǔn)備一套外賣(mài)員服裝、辦一張假身份證、偽裝成攤販等，利用人的慣性思維躲過(guò)小區(qū)保安的身份驗(yàn)證，或近距離刺探時(shí)使目標(biāo)放松警惕。事后調(diào)查取證時(shí)，即便發(fā)現(xiàn)了偽裝行為，也難以搜集更直接的證據(jù)證明有罪。

2.5低成本

社工手段的高明和可取之處就在于成本低廉，試想，耗費(fèi)大量資源癱瘓一臺(tái)服務(wù)器，總比不上管理者主動(dòng)說(shuō)出來(lái)更加簡(jiǎn)單可行。需要注意的是，目標(biāo)防范越嚴(yán)密，攻擊的成本越高，這是任何黑客攻擊手段都要面對(duì)的問(wèn)題，社會(huì)工程學(xué)手段也是一樣。

3可操作性

3.1信息渠道多樣化

伴隨著互聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的信息出現(xiàn)在網(wǎng)絡(luò)上而被所有人知悉。此外，報(bào)刊雜志、廣告媒介、微博微信自媒體、出版物等渠道，也使信息收集更加容易便捷。

由于公共信息渠道對(duì)個(gè)人隱私的不注重，很多個(gè)人信息常常暴露在大眾視野下（見(jiàn)圖1）。

3.2心理特點(diǎn)

心理學(xué)是社工學(xué)師最看重的一門(mén)學(xué)問(wèn)，有積極的一面，如忠誠(chéng)、感恩、勇敢、博愛(ài)；也有消極的一面，如叛逆、自私、貪心、怯懦。但無(wú)論積極還是消極，都有被利用的價(jià)值。勇敢的人更容易接受新鮮事物，貪心的人嘗到甜頭通常不會(huì)立即停止，博愛(ài)的人常常愛(ài)管閑事，怯懦的人一般沒(méi)有主見(jiàn)，順從的人缺乏創(chuàng)新精神，善良的人幾乎不會(huì)做出極端的選擇……攻擊者從收集到的信息和實(shí)際對(duì)話(huà)中，對(duì)目標(biāo)的心理和性格做出準(zhǔn)確的判斷，通過(guò)心理誘導(dǎo)和暗示，促使受害者做出危險(xiǎn)操作，進(jìn)而達(dá)到攻擊意圖。

3.3實(shí)踐性

為深入了解受害者平時(shí)的工作內(nèi)容，攻擊者有時(shí)必須真正到其工作的環(huán)境中去從業(yè)一段時(shí)間，好在當(dāng)今社會(huì)人員流動(dòng)比較頻繁，低薪應(yīng)聘、無(wú)薪實(shí)習(xí)對(duì)專(zhuān)業(yè)功底扎實(shí)、機(jī)敏善學(xué)的黑客來(lái)說(shuō)不是什么難事，這就讓攻擊者有充足的機(jī)會(huì)去了解目標(biāo)的工作規(guī)范、行業(yè)規(guī)則和社會(huì)關(guān)系，攻擊行動(dòng)就更具備可行性。

3.4攻擊者的專(zhuān)業(yè)性

就黑客這個(gè)群體而言，其信息整合能力高超，工具應(yīng)用熟練精通，理論功底深厚扎實(shí)，語(yǔ)言多樣思維敏捷，這都為攻擊行動(dòng)提供了專(zhuān)業(yè)優(yōu)勢(shì)；而其體力毅力、行業(yè)經(jīng)歷、行為習(xí)慣也都可以通過(guò)訓(xùn)練獲得。攻擊者越專(zhuān)業(yè)、受害者越不加防備，攻擊越容易得逞，防范也越困難。

3.5人的社會(huì)群體性與語(yǔ)言

人是群居生物，人與人之間的分工和交流使人類(lèi)社會(huì)誕生出很多東西，文化、宗教、學(xué)科、語(yǔ)言、崗位……因此個(gè)體的人身上必然帶有很多社會(huì)屬性：男人、本科、大學(xué)剛畢業(yè)、說(shuō)漢語(yǔ)、體育老師、單身、單親家庭長(zhǎng)大、共產(chǎn)黨員、永輝超市會(huì)員等等。每一項(xiàng)社會(huì)屬性都有其共性特征，比如，一個(gè)大學(xué)剛畢業(yè)的人，通常情況下能接受新鮮事物、經(jīng)濟(jì)狀況一般、不禿頂、不關(guān)心母嬰產(chǎn)品信息、在很多社交網(wǎng)站上都有注冊(cè)信息、工作經(jīng)驗(yàn)和社會(huì)經(jīng)驗(yàn)缺乏、不會(huì)理財(cái)、炒股經(jīng)驗(yàn)不足等等。刺探到的社會(huì)屬性越多，個(gè)體情況就越詳盡具體。

社會(huì)工程學(xué)的攻擊特征要求必須了解語(yǔ)言的藝術(shù)。語(yǔ)言是人類(lèi)溝通的工具，掌握多種語(yǔ)言對(duì)攻擊者來(lái)說(shuō)有備無(wú)患，電影《反貪風(fēng)暴2》中張智霖如果不會(huì)馬來(lái)語(yǔ)，恐怕立馬就被洗錢(qián)團(tuán)伙識(shí)破了。

同時(shí)，語(yǔ)言研究運(yùn)用的水平可以反映出社工學(xué)師的功力水平。舉例來(lái)說(shuō)，一句話(huà)背后可能有很多目的，如果有人打電話(huà)問(wèn)你“聽(tīng)說(shuō)單位正在分房子，你知道嗎？”這句話(huà)含義很多，他可能在問(wèn)你是不是申請(qǐng)分房了，你分房排名怎么樣，單位是不是通知到你分房這件事了，你單位里其他人是不是也知道這件事；或者這件事是攻擊者虛構(gòu)的，希望你親口否定，希望你告訴他單位從不分房子、也沒(méi)有蓋房子的計(jì)劃；或者希望知道你的反應(yīng)，比如質(zhì)疑他的身份，這樣他就知道你并不屬于哪家事業(yè)單位或大型企業(yè)，而是自由職業(yè)者；甚至，攻擊者只是想聽(tīng)聽(tīng)你的聲音、聽(tīng)出你的性別、了解你的作息狀態(tài)、手機(jī)是否開(kāi)機(jī)而已。

4結(jié)語(yǔ)

堅(jiān)固的堡壘往往是從內(nèi)部攻破的。社工攻擊的目標(biāo)是人，希望從內(nèi)部入手，繞過(guò)制度和規(guī)程，達(dá)到破壞系統(tǒng)的目的，這對(duì)物理隔離的網(wǎng)絡(luò)尤其重要，甚至成了唯一選擇。其防范方法，也需從員工和制度的角度入手，加強(qiáng)針對(duì)性的安全培訓(xùn)，完善流程機(jī)制，強(qiáng)化規(guī)則大于領(lǐng)導(dǎo)的觀念，從上層管理者開(kāi)始，營(yíng)造遵守制度的氛圍。因?yàn)閷?duì)堅(jiān)固的系統(tǒng)來(lái)說(shuō)，人是最后一道防線(xiàn)。

參考文獻(xiàn)

[1] Sarah Granger.Social Engineering Fundamentals， Part Ⅰ： Hacker tactics[DB/OL].https：//www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics，2001.

[2] ZDNet China.報(bào)告：未來(lái)10年社會(huì)工程學(xué)為最大安全危險(xiǎn)[DB/OL].http：//www.cnetnews.com.cn/2004/1102/150266.shtml，2004.

[3] 楊浩，朱志祥.利用社會(huì)工程學(xué)進(jìn)行密碼猜解[J].西安文理學(xué)院學(xué)報(bào)，2013.

[4] 清涼心.看看黑客如何來(lái)破解密碼[J].網(wǎng)絡(luò)與信息，2007（06）.