王楠 單棣斌 岳婷 許存

［摘要］2016年第三屆世界互聯網大會上多國領導人均指出保障網絡安全促進有序發(fā)展，是全球網絡空間在當今世界面臨的一項重要任務。現代社會的建設發(fā)展、國防體系的強化已經離不開信息技術，但信息安全與國防安全問題也隨之而來。隨著不斷更新的安全技術被相繼開發(fā)出來，利用技術弱點進行安全攻擊越來越困難，更多的攻擊者將“人”作為突破口，尋求攻擊漏洞，給個人、集體和國家利益造成了巨大損失。把握社會工程學的心理規(guī)律特點，有效地進行信息安全防御，有助于降低個人和社會損失。

［關鍵詞］社會工程學；信息安全攻擊；心理規(guī)律

doi：10.3969/j.issn.1673 - 0194.2017.02.100

［中圖分類號］TP393.08 ［文獻標識碼］A ［文章編號］1673-0194（2017）02-0-02

1 社會工程學概述

社會工程學是一種針對受害者的心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱，實施諸如欺騙、傷害等危害的方法。社會工程學攻擊是一種利用以上這些心理弱點獲取系統口令、關鍵安全信息、金錢利益的攻擊方法。社會工程學的載體是網絡，進攻的途徑即為利用人的心理弱點，其應用效果及頻度與網絡發(fā)達程度正相關。

美國心理學家米爾格蘭姆（Stanley Milgram）提出的六度分割理論是社會工程學應用的主要理論依據，該理論認為世界上任意兩人之間最多只需經手6個人便能建立聯系。近50年來,隨著網絡與社交平臺快速發(fā)展，這一數值正在逐漸下降，全球最大社交網站Facebook 2011年底的報告指出,這個數值已經降到5人以下，表明陌生人之間的聯系存在且能夠找到，所以充分挖掘及利用這些聯系成為社會工程學的重要依據與方法。

社會工程學以網絡為載體，利用人與人、人與信息之間的關系去解決問題，其具有如下特征。①綜合集成。社會工程學以心理學、社會學等多學科為基礎，強調學科間理論的綜合作用。②信息拓撲。根據網絡中的信息碎片與人的活動痕跡進行分析推理，再將結果與其他信息關聯，逐漸獲得完整清晰的信息拓撲結構。③手段隱蔽。入侵者采用社會工程學攻擊時為規(guī)避風險總會采用各種手段藏匿自己的痕跡，導致受害者意識滯后或毫無意識。④復雜關聯。社會工程學攻擊往往從零散信息切入，經過分析與整合之后了解用戶的行為與事件，再去挖掘潛在有用信息。⑤欺騙性。社會工程學進攻實施中常常有顯在的主觀欺騙因素，去影響被害人的行為。

2 社會工程學攻擊的主要手段

2.1 偽裝欺騙

偽裝欺騙往往有兩種形式，一是信息偽裝，二是身份偽裝。信息偽裝即通常利用電話錄音、網絡病毒、欺騙性的電子郵件和偽造的Web站點來進行詐騙活動。其中“網絡釣魚攻擊”（Phising attack）最為常見。近些年出現了多起銀行、交易平臺等主頁被惡意網站假冒并進行詐騙錢財的事件，受騙者往往沒有識別出這些偽裝過的網站繼而泄露出自己信用卡號、賬戶和口令等重要內容。身份偽裝是社會工程學入侵中一項極其重要的工作，以便攻擊者能夠在與被攻擊者接觸時減少其疑慮、博得好感、增強信任，最終使被攻擊者透露更多他想要的信息。

2.2 引誘欺騙

引誘欺騙是利用計算機用戶尋求便利、知識匱乏、僥幸貪婪等心理弱點誘使其主動地打開郵件、網站或下載程序，執(zhí)行危險操作，比如：一些攻擊者冒充某技術公司向用戶主動提供技術支持，當用戶回復了這樣的郵件或點擊了郵件中的“免費服務”鏈接，便使攻擊者與用戶的計算機系統建立了互動，并一步步在你計算機系統中爭取到更大的權限。

2.3 說服與服從

說服是為了增強被攻擊者主動完成所指派的任務的順從意識，從而使攻擊者被充分信任并獲得所需信息，為其下一步的攻擊提供條件，例如：某企業(yè)內部人員對公司心存不滿甚至有了報復心理時，他就很容易成為攻擊者的幫手，被攻擊者說服主動幫助其獲取信息或資料。而服從對于上下級關系嚴苛的群體成員來說，更為有效，攻擊者常常冒充上級下達指令使被攻擊者無條件執(zhí)行。

2.4 恭維

恭維利用的是大多數人愛聽好話的虛榮心理實施欺騙。攻擊者往往態(tài)度友善、說話得體，常常會不失時機而又自然而然地恭維他人。當被害人正自我感覺良好時，就會降低防范，表現得更為友好，并愿意與攻擊者合作。

2.5 恐嚇

大部分計算機使用者對系統漏洞、病毒等內容比較排斥和敏感，會害怕和擔心自己的系統出現問題。當攻擊者以權威機構的面目出現，針對被攻擊者的系統安全問題進行恐嚇欺騙時，被攻擊者出于自我保護很快會被誘騙成功，按照攻擊者的要求逐步操作，最終導致安全防御被攻破。

3 社會工程學攻擊的心理機制分析

引發(fā)人行為的因素多種多樣，人也有規(guī)避風險的心理。但是社會工程學攻擊的驅動力卻恰恰利用人們心理的一些普遍規(guī)律和機制，從而達到了竊取信息危害安全的目的。

3.1 神經語言程序

神經語言程序（Neuro-Linguistic Programming，NLP）是關于人類語言與溝通程序的一套模式。這種理論認為人們思維及行為上的習慣，就如同電腦中的程序，可以通過更新軟件的方式實現其改變。在利用社會工程學攻擊過程中，攻擊者通過自我控制神經系統達到影響被攻擊者的目的。如前文所述，經常使用的社會工程學方法就是偽裝欺騙，例如：通過行為、語言等方面的偽裝冒充行業(yè)內部的人員，那么人們會很自然地相信那些熟悉公司內部業(yè)務流程和專業(yè)用語的人，NLP把這種技法稱之為模仿。如果在行為上的模仿無誤，別人便不會對他產生懷疑接下來如再提出進一步請求，如詢問口令或討論重要情報。

3.2 虛假同感偏差

虛假同感偏差（false consensus bias）指人們常常高估或夸大自己的信念、判斷及行為的普遍性——即每個人都覺得別人和自己想的一樣，但有時事實上卻并非如此，例如：某黑客破壞了一個網絡系統并引起一些故障，然后宣稱他是來進行技術幫助的，人們往往在出現故障無從解決的情況下，更加堅定地相信這名黑客是來提供幫助的，而不會進行更多懷疑，在這種情況下黑客就輕而易舉得到了他想竊取的資料和信息。

3.3 從眾心理反應

從眾心理是指個人的觀念和行為受到外界群體的影響而與多數人趨于一致的現象。從眾的內在心理原因是害怕自己做錯或害怕自己被群體排斥，正是這種心理，人們就會選擇和大家一樣的行為來減少自己內心的不安和焦慮，比如：在運用社會工程學攻擊時，隱蔽的黑客單獨告訴一個攻擊對象其他人都已經按自己的要求提供了信息，那么這個被攻擊者就會輕而易舉地選擇和大家一樣的行為，向黑客泄露重要的信息或情報。

3.4 服從理論

服從是人由于外在強制力或他人影響而做出的遵照、順從行為。社會工程學攻擊最常利用的就是對權威的服從，有時這種服從會超越規(guī)則的約束甚至道德的判斷，比如：在黑客利用電子郵件進行誘騙時，常常把發(fā)件人篡改為被攻擊者的權威上司或是上級授權人員，讓收件人篤信權威，掉入陷阱。

3.5 刻板效應影響

刻板印象指人們常常對某個社會群體形成的一種概括而固定的看法?？贪逵∠笫枪袒?，很難隨著環(huán)境的改變而改變，比如：人們看到微軟公司的制服和工作證，會堅信他是規(guī)范的、專業(yè)的和安全的，因此,會放松警惕絲毫不會產生懷疑。

社會工程學攻擊的手段看似并不復雜，但是它的攻擊效果卻很明顯，目前，人們還沒有完善的技術防御手段，難以控制掌握信息和設備的“人”的因素，但是人們若能了解其實施的心理原理和機制，有針對性地進行防范和教育，就會最大限度地減少安全隱患和各類損失。

主要參考文獻

［1］周磊.淺談社會工程學攻擊與防范［J］.計算機光盤軟件與應用,2013(15).

［2］李術紅.思想政治教育心理學學科建構研究［D］.哈爾濱:哈爾濱工程大學,2014.

［3］呂方興.網絡釣魚的特點與形式［J］.科技視界,2012(26).

［4］薛晨,楊世平.基于社會工程學的入侵滲透的研究［J］.貴州大學學報:自然版,2015(1).

［5］韓臻.信息安全工作需關注心理學的研究及應用［J］.信息安全與通信保密,2010(1).

［6］林晶,王天羲,石元泉,等.社會工程學背景下的網絡安全［J］.懷化學院學報,2013(5).