王作廣, 朱紅松, 孫利民

1中國科學院大學 網(wǎng)絡空間安全學院 北京 中國 100049

2中國科學院信息工程研究所 物聯(lián)網(wǎng)信息安全技術北京市重點實驗室 北京 中國100093

1 引言

1.1 領域界定與術語使用說明

迄今為止, Social Engineering主要有兩個不同領域的概念。

在社會科學領域, Social Engineering通常被譯作“社會工程”。社會工程是解決社會問題的工程技術,是改造社會、建設社會和管理社會的科學體系, 如降低社會運行成本、規(guī)范社會活動、提高工作效率、控制社會發(fā)展風險, 并對社會的發(fā)展進行預測、規(guī)劃、設計和評估等[1]。社會工程師(Social Engineer)就是處理社會問題的個人或群體。

社會工作者(Social Worker), 有時也簡稱“社工”,是指在社會福利、社會救助、社會慈善、殘障康復、優(yōu)撫安置、醫(yī)療衛(wèi)生、青少年服務、司法矯治等社會服務機構中從事社會服務工作的專業(yè)技術人員。

在網(wǎng)絡空間安全領域, Social Engineering在國內通常翻譯最多的為“社會工程學”“社交工程”“社會工程”“社工”等名詞。其中“社會工程學”作為傳統(tǒng)字面翻譯一直被國內沿用下來, 而“社交工程”的翻譯則從字面直接體現(xiàn)了社交互動的一面。

為交流的方便性與意涵的全面性起見, 本文統(tǒng)一采用Social Engineering的中文翻譯簡寫“社工”進行論述, 特殊之處仍用英文原詞“Social Engineering”或其簡寫“SE”進行論述?！癝ocial Engineer”譯作“社工師”, 意指實施社工攻擊的攻擊者。正文中無特別指明處, “社工”均指網(wǎng)絡空間安全范疇中的 Social Engineering概念, 而非社會科學領域中社會工作者的簡稱。

1.2 研究問題與論文結構

社工在全球信息安全史上已成為一種嚴重的現(xiàn)象[2], 構成了人、機、物全方位、多層次安全威脅態(tài)勢, 但社工安全威脅卻并沒有引起工業(yè)界和學術界應有的關注和研究。在現(xiàn)實生活中, 社工作為黑客社區(qū)非常流行的攻擊手段, 社工威脅的卻被多數(shù)人忽視, 這持續(xù)增加了個人和組織遭受社工攻擊的風險。

社工作為一種或一類網(wǎng)絡空間安全攻擊方法,其大致的概念是“使用影響和說服, 通過讓人們相信社工師所冒充的身份或通過操縱來欺騙人們, 利用人來獲取信息”[3]。這里之所以稱其為“大致的概念”,是因為社工在黑客社區(qū)和學術研究領域, 至今并沒有一個清晰精確、普遍接受的概念定義。而且根據(jù)本文的分析, 隨著概念的演化, 各種各樣的社工概念被描述, 其中一些概念是不一致、甚至矛盾的, 與此同時, 一些非社工攻擊方法不斷被涵蓋形成對社工概念的侵蝕。社工概念逐漸呈現(xiàn)出模糊、泛化、消解的趨勢。

這種現(xiàn)狀和趨勢嚴重影響了社工現(xiàn)象的理解、社工攻擊事件的分析、社工安全研究與交流、社工防護工作的開展。

為此, 本文在第 2章中對社工威脅的特性和現(xiàn)狀進行了分析總結, 以期喚醒用戶對社工威脅的安全意識, 引起工業(yè)界和學術界對社工安全領域的關注; 第 3章通過文獻調查研究, 追溯“Social Engineering”術語和概念的起源, 對社工概念的演化、特點和問題等進行了體系化的分析; 第 4章總結了當前社工概念存在的問題和面臨的挑戰(zhàn), 并對重新定義社工概念進行了討論; 第5章對全文做了總結。

2 社工攻擊威脅特性與現(xiàn)狀

從社工威脅影響的視角來看, 社工威脅具有嚴重性、普遍性、持續(xù)性等特點。然而, 在用戶和防護應用視角下, 社工風險經(jīng)常被組織和用戶忽略和低估, 而且缺少安全研究的關注和防護應用的投入。而在攻擊者看來, 社工攻擊是一種低投入、高回報、低風險、簡單易用、難防御的, 具有繞過性、高效性、普適性等特點的攻擊方法(章節(jié) 3.5), 是許多場景下優(yōu)選的攻擊手段。

2.1 社工是嚴重、普遍、持續(xù)的網(wǎng)絡安全威脅

2.1.1 社工威脅的嚴重性與增長性

文獻[4]在2011年對在美國、英國、加拿大、澳大利亞、新西蘭和德國的853名IT專業(yè)人員進行的全球調查顯示, 社工攻擊造成的損失非常嚴重, 特別是對于大型組織中: 在過去的兩年中有 48%的大公司和 32%的全部規(guī)模公司都經(jīng)歷超過 25次的社工攻擊, 將近 1/3的大公司表示每個社工攻擊事件的損失超過 10萬美元。文獻[5-6]顯示 2016～2018年期間組織每年面臨最多的安全威脅是社工攻擊。文獻[7]調查顯示, 2018年85%的組織都經(jīng)歷過社工攻擊, 比一年前增加了 16%, 2018年每個組織平均由社工攻擊造成的損失已經(jīng)超過 140萬美元, 比上年增長了 8%。社工攻擊已經(jīng)形成了越來越嚴重的安全威脅。

另外, 安全技術的發(fā)展和和網(wǎng)絡防護應用的改進成為黑客攻擊的障礙, 攻擊者利用技術上的漏洞變得越來越困難。社工作為一種繞過性的攻擊方法,通常并不與防御措施正面對抗, 而是利用人這個安全鏈中的薄弱環(huán)節(jié)達成目的。而且從技術上講社工攻擊的實施可能非常簡單[8], 有時可能只需要打一個電話冒充一個內部人就能套取想要的信息, 隨著社工工具的傳播和社工攻擊的進化, 更自動、更高級的社工已經(jīng)成為可能。社工攻擊的這種繞過性與簡易性可能吸引更多的攻擊者, 導致更多的社工攻擊事件, 加重社工威脅的態(tài)勢。

2.1.2 社工威脅的普遍性

社工威脅的普遍性源自網(wǎng)絡安全中人因素(Human Factor)的不可避免性。任何計算機系統(tǒng), 無論設計和安全設置多么好, 沒有一個是不依賴于人的。這種普遍存在的人因素不僅是脆弱的, 而且它脆弱到損害大多數(shù)其他安全措施的程度[9]。這意味著這個安全弱點是普遍的, 是獨立于平臺、軟件、網(wǎng)絡、或設備年代的, 社工關注的就是網(wǎng)絡安全鏈中人這個最薄弱的環(huán)節(jié)。

Kevin在 RSA 會議上曾說, “你可以花一大筆錢從RSA會議的每個參展商、發(fā)言人和贊助商那里購買技術和服務, 但你的網(wǎng)絡基礎設施仍然很容易受到老式操縱的影響”[10]。經(jīng)常有觀點認為不插電的計算機是唯一安全的計算機, 事實上你可以說服一個人插電并開機, 這意味著即使關機的計算機也是脆弱的[11]。

盡管許多組織認識到擁有強大內部控制的重要性和價值, 但對一個組織信息安全來說, 最大的威脅是社工師對雇員的操縱[12]。報道[13]稱, 前美國國家安全局(NSA)雇員斯諾登(Edward Snowden)向媒體泄露的一部分機密材料中, 可能是他通過說服美國國家安全局位于夏威夷的區(qū)域運營中心內的 20～25名同事向其提供用戶名和密碼獲得的, 借口是他的工作需要這些信息。

2.1.3 社工威脅的持續(xù)性

社工在歷史上以很多形式已經(jīng)存在了很久, 而且將繼續(xù)存在[14]。文獻[15]認為試圖愚弄決策者的社工, 實際上只不過是中國幾千年前為了類似目的而使用的計謀(Stratagem)的更新術語。要消除社工的破壞實際上是幾乎是不可能的[16], 即使是安全意識培訓, 也不太可能將這種脆弱性降低到零[17]。這是因為攻擊主要利用的是人的脆弱性(Human Vulnerability)而不是計算機系統(tǒng)的缺陷, 我們可以保證計算機嚴格按照預定的流程運算, 但我們無法保證人不犯錯。普遍存在的人的脆弱性伴隨我們的一生的成長直至死亡, 只要人類種族延續(xù), 這種脆弱性就不會消失[18]。人因素的不可控性是社工防護工作難以處理的, 而且社工攻擊常以出乎意料的形態(tài)利用人的脆弱性。

而且, 隨著技術的發(fā)展、環(huán)境的變化、應用的革新, 新的社工攻擊方法會不斷涌現(xiàn), 各種各樣新的社工攻擊方法只受限于攻擊者的想象力與創(chuàng)造力[19-20]。

2.2 社工是安全關注缺失的領域

盡管保護敏感信息的安全措施在增加, 但人仍然是安全鏈中最薄弱的環(huán)節(jié)[21-22]。對公司安全的最大威脅不是計算機病毒、一個關鍵程序的未修補漏洞、或者一個部署很糟糕的防火墻, 事實上, 最大的威脅可能是我們自己[23]。社工是一種被低估的安全風險, 很少在員工培訓項目或公司安全策略中得到解決[24]。

社工威脅經(jīng)常被用戶忽略和低估, 文獻[25]顯示在人們知道要進行網(wǎng)絡安全測試的情況下, 仍然有3/4的人出于好奇等原因, 將撿到的測試團隊制作的惡意USB設備插入辦公網(wǎng)計算機。此外, 普通職員普遍相信組織的系統(tǒng)和網(wǎng)絡被設計、部署的非常安全, 而且有專門的安全人員負責, 所以不需要關注安全威脅。而且人性中普遍存在的樂觀偏見(Optimism Bias)讓人們相信, 自己并不會成為社工攻擊的目標, 因為自己并不是重要人物, 或者認為自己具有超過平均水平的信息安全知識, 相對于大多數(shù)同事更有可能發(fā)現(xiàn)或抵御攻擊。淡薄的安全意識與的不恰當安全認知導致更多的安全風險。

過去幾十年, 安全防護的焦點一直集中在數(shù)字技術領域。20世紀70年代我們被告知, 如果我們安裝了訪問控制包就有了安全性, 80年代我們被鼓勵安裝有效的反病毒軟件, 以確保我們的系統(tǒng)和網(wǎng)絡安全。90年代我們被告知防火墻將引導我們走向安全。安全技術在不斷改進, 現(xiàn)在我們有了更多的選擇,入侵檢測系統(tǒng)、入侵防御系統(tǒng)、軟件脆弱性分析工具、生物因素認證、公鑰基礎設施、更強的加密算法等。然而, 在每一次迭代中, 人自身所引起的社工風險都沒有被重視。企業(yè)將其年度信息技術預算的很大一部分用于高科技計算機安全(防火墻、保管庫、鎖和生物識別), 卻被攻擊者利用不知情或未受監(jiān)控的用戶繞過[26]。對于組織的整體安全防護, 如果輕視社工攻擊, 對軟件硬件安全措施(如軟件補丁、硬件升級)的投入都將失去意義。

只要人們繼續(xù)與計算機相關聯(lián), 人就會成為一個安全弱點, 無論技術怎樣變化, 社工攻擊將繼續(xù)發(fā)生, 必須在所有的安全決策中考慮[27-28]。希望這些社工威脅特性和嚴重的社工威脅態(tài)勢可以喚起人們對社工威脅的安全意識, 引起工業(yè)界和學術界對社工安全領域的關注研究。

3 社工概念演化分析

許多文獻[29-31]認為術語“Social Engineering”是Kevin Mitnick在2002年The Art of Deception中提出的。本文經(jīng)過概念溯源發(fā)現(xiàn), “Social Engineering”作為一個Phrack(Phreak與Hack的合成詞)術語早在1984年就開始在黑客BBS及刊物上使用, 而社工概念在1974年就產生于信息安全領域。

在社工概念溯源之外, 本文系統(tǒng)地分析了社工概念演化歷程, 根據(jù)社工概念演化的特點將演化歷程劃分為 5個階段, 并詳細闡釋每個階段的演化內容, 以期為社工研究領域提供一個體系化的概念演化參考。圖1描繪了社工概念的起源及演化歷程的整體視圖, 圖中箭頭代表了社工的演進趨勢, 箭身寬度代表了社工概念外延范圍的大小, 箭身內部的圖形描述了社工概念內涵及概念結構張力(即社工概念在不同方向上多個向外的力, 它可能導致概念的不穩(wěn)定和消解, 詳見章節(jié) 3.4)的大小(不規(guī)則程度),圖中文字標注了每個演化階段的主要方面或特性。

社工概念演化分析概述如下:

(1) 第一階段(1974～1983)

社工概念起源于1974年左右, 1974～1983年期間主要在phone phreak社區(qū)流行。此時期社工主要作為一種針對電話公司交換中心操作員, 通過電話交談,采用假托、冒充、說服等方式, 有效獲取信息或幫助的手段存在。

(2) 第二階段(1984～1995)

1984年社工開始在 2600: The Hacker’s Quarterly、黑客BBS等媒體上傳播, 并在Phrack社區(qū)流行。至1995年社工演化的10年間, 社工攻擊針對的目標群體、實現(xiàn)方式、攻擊目的等都在概念上都有了擴大, 社工也被用來描述黑客通過欺騙、操縱談話、垃圾搜索、應聘保潔員等方法, 獲取目標計算機系統(tǒng)的相關信息。社工表現(xiàn)出概念上的兩重性, 既體現(xiàn)Phreak的一面, 又體現(xiàn)Hack的一面。

圖1 社工概念演化歷程Figure 1 The Concept Evolution of Social Engineering

(3) 第三階段(1996～2001)

這一時期社工在物理實現(xiàn)方式上更加多樣。隨著技術的演進, 網(wǎng)絡釣魚、木馬等技術攻擊方式開始進入社工的概念。另外, 社工心理學方面的特有屬性開始被討論, 如社會影響、說服理論、心理操縱等。

雖然此時期的社工攻擊雖然造成了巨大的損失,但社工仍然作為專業(yè)黑客社區(qū)的攻擊方法而存在,并沒有進入大眾的視野, 這可能與社工事件上報與響應、社工概念傳播有關。

(4) 第四階段(2002～2011)

2002年前后, 以The Art of Deception[32-33]、Social Engineering Fundamentals, Part I & II[8,34]為代表的社工研究相繼發(fā)表, 社工概念的傳播與社工威脅的增大, 逐漸引起人們對社工的關注與探索。

社工概念從此進入多方向演化階段, 出現(xiàn)大量各種各樣的社工概念描述, 通過對該時期社工概念的收集、匯總、聚類, 對人的欺騙與操縱、對人心理脆弱性的利用、非技術繞過性攻擊、利用社交方式的攻擊、社工集合概念等5類社工概念被識別, 這些多向演化的概念一直被沿用至今。另外, 本文分析了該時期社工概念在攻擊目的方面的不同規(guī)定性, 并探索了社工在其他領域的概念應用情況。

此時期許多新的社工攻擊方法不斷擴大了社工概念的外延, 與此同時, 不少非社工攻擊方法被涵蓋, 侵蝕社工概念的內涵。另外, 這些不同類別的社工概念各自體現(xiàn)了一個概念演化方向, 這種多向演化的局面下眾多的社工概念中許多是不一致的, 一些概念甚至是矛盾對立的。

這些演化特性催生社工內涵與外延的不對等,導致社工概念邊界模糊、術語使用泛化。不同方向的概念演化趨勢產生的結構張力, 逐漸導致社工概念的分化和消解。

(5) 第五階段(2012～)

2012年左右起始, 社工演化除了對上一階段多種類型概念的繼承與延續(xù)外, 社工攻擊在社交網(wǎng)絡(Social Networking Sites, SNSs)、物聯(lián)網(wǎng)(Internet of Things, IoT)、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)等新環(huán)境, 高級持續(xù)性威脅(Advanced Persistent Threat, APT)、針對性攻擊(Targeted Attack, TA)等新威脅形式, 自動化攻擊工具, 數(shù)據(jù)挖掘、開源情報(Open Source Intelli-gence, OSINT)處理、機器學習、人工智能(Artificial Intelligence, AI)等新技術, 以及對更多交叉學科知識的利用下等諸多因素的影響下, 社工攻擊體現(xiàn)更多新的特性。綜合演化過程, 社工已經(jīng)演變?yōu)橐环N低投入、高回報、低風險、簡單易用、難防御的, 具有繞過性、高效性、普適性等特點的攻擊方法, 是許多場景下優(yōu)選的攻擊手段。構成了人、機、物多層次、全方位、嚴重的安全威脅。

這種多向演化背景下社工攻擊呈現(xiàn)的新特性,繼續(xù)增加了社工概念演化的結構張力, 增加了對社工概念重定義的需求。

3.1 社工概念溯源與Phreak時期社工概念

3.1.1 “Social Engineering”名詞溯源

根據(jù)本文對大量社工相關文獻的研究, 發(fā)現(xiàn)“Social Engineering”最早出現(xiàn)于1984年開始刊行至今的2600: The Hacker’s Quarterly第1卷9月份刊發(fā)的文章More on Trashing[35]中, 該文獻詳細描述了利用垃圾搜索的方式收集信息的具體方法及建議,并指出電話電信公司的垃圾箱中有許多有價值的信息材料, 如員工筆記本、系統(tǒng)說明、操作手冊、員工名單、網(wǎng)絡故障及維護報告、專業(yè)術語材料等, 這些信息可以用于社工(…notebooks with the Bell logo…printouts… directories list employees of Bell, goot to try social engineering on.Manuals… Maintenance reports… lists of abbreviations…)。

1984年10月2600: The Hacker's Quarterly刊發(fā)的一個匿名文獻Switching Centers and Operators[36]對社工描述為“Also, they are more likely to be persuaded to give more information through the process of ‘social engineering’”, “In my experiences, these operators know more than the DA operators do and they are more susceptible to ‘social engineering’”。隨后該雜志 1985年的文獻[37]描述社工為“One interesting thing to try is to pose as a phone company employee for social engineering purposes”。

可見, 此時期的 Social Engineering概念主要為采用假托的方法, 來說服特定目標(如交換中心的部分操作員, 他們更易受社工的影響)提供更多信息的過程。而且, 文獻[36]中對Social Engineering使用了雙引號, 說明此時的 Social Engineering有時作為引用名詞或專有名詞, 或有特指意涵。

3.1.2 Phreak時期社工概念

概念的起源往往早于概念的傳播, 根據(jù)文獻調查分析, 社工概念的起源時間也早于1984年。

2600: The Hacker’s Quarterly于1984年開始發(fā)行之前, YIPL/TAP作為流行于Phreaker社區(qū)最早期的地下出版物并沒有直接對社工進行討論。早期著名黑客組織LOD(Legion of Doom)也成立于1984年, 文獻[38]顯示LOD的BBS是最早對Social Engineering及垃圾搜索(Trashing)討論的黑客 BBS, 而這個 BBS比其組織創(chuàng)立的時間(1984)還要早。文獻[39]表明plover-NET BBS作為 LOD原始成員的聚集地, 在1983年就吸引了500名使用者, Lex Luthor作為LOD的創(chuàng)始人也是plover-NET BBS的聯(lián)合系統(tǒng)管理員。自從1978年BBS 被創(chuàng)建就開始有地下 BBS, 1980年創(chuàng)建的8BBS就是其中著名的一個[40]。當時著名的社工師Roscoe和Susan Thunder就活躍在8BBS上[39]?？梢? 社工概念的產生可能早于BBS的創(chuàng)立。

作為Phone Phreaker大師, John Draper (Captain Crunch)描述社工為“與電話公司的內部工作人員交談,讓他們相信你是電話公司的工作人員”[41]。文獻[42]顯示根據(jù)John Draper (Captain Crunch)的回憶, Social Engineering這個術語是他在 70年代中期引入phreaker社區(qū)的, 用來描述這種假冒(Impersonation)攻擊, 他當時并未意識到社會學科領域有這個術語,也不曾從先前其他的用法采用/改編而來。

文獻[43]顯示Social Engineering是在80年代中期開始在 Phreaker/Hacker社區(qū)開始流行, 根據(jù) Bill Acker的回憶 Social Engineering這個術語最早是在1974年左右開始使用, 此前的術語是 Pretexting(假托), 即“打電話給某人, 用假托的方法獲取信息, 或說服他們?yōu)槟阕鲆恍┦虑椤? 而Pretexting這個術語是由FBI創(chuàng)造用來輔助調查工作的。

通過對這些文獻的分析與比較基本可以確定Social Engineering概念是在1974年左右產生于信息安全領域。而且, 此時期術語Social Engineering基本就是Pretexting的代名詞。

綜上所述, 社工從概念萌生開始在 1974～1983年phone phreak盛行的10年間, 可以被描述為一種針對電話公司交換中心操作員, 通過電話交談, 采用假托、冒充、說服等方式有效獲取信息或幫助的手段。

3.2 Phrack時期社工概念的兩重性

自1984年社工開始在黑客BBS、刊物上出現(xiàn)后,一方面, 社工作為初始意義上電話飛客(Phreaker)領域的概念內涵逐漸擴大, 除冒充、假托、說服外, 也體現(xiàn)了欺騙的特性。文獻[44]認為社工是“利用對話在虛假的偽裝下交換信息, 例如冒充電信員工以獲取對不同電話網(wǎng)絡系統(tǒng)更多的知識和了解”, 文獻[45]認為社工是通過冒充電話員工或供應商, 對電話行業(yè)的服務人員欺騙性的利用。也有文獻簡單地認為社工就是胡說(Bullshitting)[46]、欺騙和謊言[47], 以獲取信息。

另一方面, 社工作為 Phrack社區(qū)獲取計算機相關信息、繞過安全障礙的方法, 社工的優(yōu)點逐漸被更多地認識。正如文獻[44,48]所言, 初始意義上的黑客行為被認為是日夜持續(xù)的密碼暴力破解, 但社工作為另辟蹊徑的方法讓剛開始了解它的人們感到震驚。而對于黑客來說, 相對于攻擊計算機系統(tǒng), 攻擊人和規(guī)程更容易、更少風險[49]。文獻[50]認為社工是企圖對與計算機系統(tǒng)相關的幫助臺及其他支持服務人員的利用。文獻[48]認為社工是與系統(tǒng)用戶交談,假裝也是系統(tǒng)的合法用戶, 并在交談過程中操縱討論以便用戶能夠透露密碼、有助于突破安全障礙或其他有用信息的行為。文獻[51]顯示社工作為黑客社區(qū)的術語, 用以描述通過社交的方式獲取關于受害者計算機系統(tǒng)信息的過程; 它給黑客提供了一個有效的捷徑, 可以在許多其他方法不可行的情況下促進攻擊。

社工攻擊的目標群體范圍有所擴大, 不僅限于電話公司交換中心操作員。對于社工的實現(xiàn)方式, 文獻[35,52]都體現(xiàn)了垃圾搜索(Dumpster Diving)可以發(fā)現(xiàn)有價值的信息, 文獻[49]指出公司對垃圾的處理是對社工的第一道防護線。文獻[50]對逆向社工(Reverse Social Engineering)進行了描述。逆向社工是一種通過制造網(wǎng)絡故障等方法, 讓目標主動與攻擊者交互進而泄露信息的社工方式[53]。

可見, 1984～1995年期間社工作為Phrack領域的概念, 既有“針對電話公司員工實施的假托、冒充、說服、欺騙, 獲取對電話網(wǎng)絡系統(tǒng)更多的知識和了解”, 體現(xiàn)Phreak的一面, 又有“通過直接或間接社交的方式, 采用欺騙、操縱談話、逆向社工、垃圾搜索、應聘保潔員等方法, 獲取入侵目標計算機系統(tǒng)相關信息”, 體現(xiàn)Hack的一面。社工攻擊針對的目標群體、實現(xiàn)方式、攻擊目的等都在概念上都有了擴大。

3.3 專業(yè)Hacker時期社工概念

1996～2001的6年間, 是信息安全領域開始迅速發(fā)展的時期[10], 也是社工概念演化的重要階段, 主要體現(xiàn)在三個方面: (1)社工在物理實現(xiàn)方式上更加多樣; (2)隨著技術的演進, 網(wǎng)絡釣魚、木馬等技術攻擊方式開始進入社工的概念; (3)社工心理學方面的特有屬性(如社會影響與說服、對信任的操縱)開始被討論, 人作為計算機安全鏈最薄弱的環(huán)節(jié)的重要性逐漸被認識到。

3.3.1 物理(Physical)社工攻擊方面

文獻[8]認為社工攻擊可以發(fā)生在兩個層面上:物理層面和心理層面(Physical and Psychological Levels)。對于物理層面的攻擊, 入侵者可以冒充維修工人或顧問等有訪問權限的人走進工作場所, 搜尋垃圾桶、搜尋辦公室內記在顯眼處的密碼, 或者站在附近窺探員工輸入的密碼。文獻[54]認為“(對攻擊者來說)最重要的可能是社工能力, 如通過冒充讓目標泄露密碼、垃圾搜索(Stealing Garbage)、肩窺(Shoulder Surfing)等”。

文獻[55]認為物理滲透(Physical Penetration)是一種高級的社工, 因為通常的社工不是面對面的交互, 并介紹了在上班或午飯的時間混入人群進入辦公樓, 穿戴帶類似于目標建筑物的徽章通過門衛(wèi), 應聘臨時清潔工深入目標內部, 安裝KeyGhost硬件鍵盤記錄器以竊取信息等物理滲透方式和攻擊場景。

文獻[34]總結了冒充、說服、非授權物理訪問、肩窺、垃圾搜索、溜空門、安裝/移除信息竊取裝置等社工攻擊方式。文獻[19]對社工攻擊的類型進行了論述, 如垃圾搜索, 肩窺, 使用偽造的名片, 收買安保人員、酒店員工、保潔人員, 冒充(冒充技術支持人員打電話給用戶, 冒充電話公司的員工, 冒充學生采訪商務技術人員)等。

3.3.2 技術社工攻擊方面

第一個網(wǎng)絡釣魚(Phishing)攻擊在 1996年被設計用來竊取AOL(America Online)的用戶密碼, 攻擊者發(fā)送看似來自 AOL支持服務的虛假的電子郵件和即時消息, 許多毫無疑心的受害者泄露了他們的信息[21]。這也引起了社工網(wǎng)絡欺詐的風險, 文獻[56]認為社工最初被用來獲取密碼或對長途電話的訪問,后來社工被用來獲取信用卡號和其他金融數(shù)據(jù), 向金融欺詐發(fā)展。文獻[19]將偽造電子郵件作為一種社工攻擊類型。文獻[18]將偽裝、垃圾搜索(Dumpster Diving)、直接的心理操縱等作為社工及其威脅的一類, 并基于一些安全從業(yè)人員對“由心理操縱造成的威脅范圍擴大”的認識, 將垃圾郵件(Spam)、部分病毒的傳播、特洛伊木馬等也包含在社工的語境下。

至此, 以網(wǎng)絡釣魚、木馬等網(wǎng)絡技術為代表的攻擊方式開始進入社工的概念。文獻[19]對早期的社工概念簡單的總結認為社工很難定義和描述, 有效的社工是靈活和開放的, 也許社工最好的定義是“通過技術或非技術的方式獲取信息的行為”。

3.3.3 社工的社會心理學方面

文獻[18]顯示此時期社工也經(jīng)常被描述為通過心理利用(Psychological Subversion)來竊取密碼。文獻[56]將社工定義為一個黑客欺騙他人泄露在某種程度上使黑客受益的、有價值的數(shù)據(jù)的過程, 認為社工的成功源于心理技巧的應用, 應加強對社會心理學的研究, 并討論了社會心理學內容(說服路徑、一致性錯覺、說服與影響技巧等)在社工網(wǎng)絡欺詐中的應用場景。文獻[8]認為, 社工的本質是對人類信任這種自然傾向的操縱。

文獻[11]從心理學的角度, 認為社工是使人遵從攻擊者期望的藝術和技術, 它雖然不是思想控制,讓人完成超出自身正常行為外的任務, 但也不是極其簡單的技術, 社工關注的就是計算機安全鏈中這一最薄弱的環(huán)節(jié)。

這一時期值得注意的一個現(xiàn)象是, 此時的社工攻擊雖然造成了嚴重的損失[56], 但仍然作為專業(yè)黑客社區(qū)的攻擊方法而存在, 并沒有進入大眾的視野。這既有被攻擊組織礙于聲譽受損影響經(jīng)營, 不承認社工攻擊的發(fā)生[8]的原因, 也有大眾安全意識薄弱、社工概念并沒有在大眾媒體上廣泛傳播的原因。

3.4 社工概念的多向演化

2002年前后, The Art of Deception[32-33]、Social Engineering Fundamentals, Part I & II[8,34]等社工研究相繼發(fā)表, 詳細的社工舉例及對早期社工的論述,讓人們對所謂“世界頭號黑客”的“核心技術”——社工——開始有了直觀而具體的了解, 社工概念的傳播與社工威脅的增大逐漸引起人們對社工的關注。另外, 社會心理學、社會信任、語言心理學、表情與情緒等交叉學科在社工應用方面的作用開始被更多地探索, 如文獻[57-58]討論了微表情訓練工具[59](2002年被開發(fā))在社工欺騙和操縱中的應用與識別。

相對于之前的階段, 這一時期對社工的研究與討論顯著增多。從此, 社工概念進入多方向演化階段,出現(xiàn)大量各種各樣的社工概念描述, 其中一部分被沿用至今。一方面, 其他學科知識在社工領域的應用、網(wǎng)絡信息技術的發(fā)展和社工攻擊方法的演進, 許多新的社工攻擊形式被創(chuàng)造, 社工概念的外延不斷擴大。與此同時, 不少非常明顯的非社工攻擊方法被描述為社工, 甚至出現(xiàn)了將社工定義為一個涵蓋性術語的社工集合概念(章節(jié)3.4.5)。另一方面, 這些不同類別的社工概念各自體現(xiàn)了一個概念演化方向,這種多向演化的局面下眾多的社工概念中, 許多概念是不一致的, 一些概念甚至是對立的。如文獻[60]認為社工是通過說服或欺騙來獲取信息系統(tǒng)訪問權限的技術, 文獻[27]則認為“在社工的性質上, 它總是心理上的, 有時是技術性的”。社工的技術性與非技術性相對立的觀點也非常多, 如章節(jié) 3.4.3的分析。肩窺、垃圾搜索等在大量文獻中都作為一種社工攻擊方法出現(xiàn), 但文獻[61]明確將其排除在社工概念在外。文獻[24]認為“任何社工都涉及到利用某人的信任”, 而文獻[62]對其評述認為社工攻擊“并不總是需要與目標建立信任關系”。不同程度唯目的論及對目的規(guī)定不恰當?shù)母拍? 也存在相互矛盾之處,如章節(jié)3.4.6的分析。

這產生了兩個問題: (1)這些演化特性催生社工內涵與外延的不對等, 導致社工概念邊界模糊、術語使用泛化; (2)不同方向的概念演化趨勢產生的結構張力, 逐漸導致社工概念的分化和消解。

本文對這一時期的社工概念進行收集匯總, 并根據(jù)概念的特性進行聚類, 以下是聚合的不同類別及其內容分析。

3.4.1 社工是對人的欺騙與操縱

Kevin Mitnick[63]將社工定義為“社工是使用操縱、影響和欺騙來讓一個人、一個組織內可信的人,來順從一個請求, 從而披露信息或者執(zhí)行一些對攻擊者有利的行動。這可能是一件簡單的事情, 如通過電話交談, 也可以復雜, 如讓一個目標訪問一個網(wǎng)站, 利用網(wǎng)站的一個技術缺陷讓黑客接管電腦”, 并在 The Art of Deception[3,33]將社工描述為“Social Engineering uses influence and persuasion to deceive people by convincing them that the social engineer is someone he is not, or by manipulation.As a result, the social engineer is able to take advantage of people to obtain information with or without the use of technology.”。文獻[27]將信息技術社工(Information Technology Social Engineering)定義為“一種利用欺騙和操縱等社交手段來獲取對信息技術訪問的攻擊”。Wikipedia和牛津詞典對社工的定義也屬此類: 在信息安全的語境中, “社工指的是為了讓他人執(zhí)行行為或泄露機密信息的心理操縱[64]”, 是“使用欺騙手段來操縱他人泄露機密或私人信息, 這些信息可能被用于欺詐[65]”。后續(xù)的研究[66-68]等都繼承了這類定義。

一些研究強調社工對人的欺騙, 如文獻[69]認為“通常社工是欺騙人們提供(機密的、私人的或有特權的)信息或訪問給黑客的過程”。社工是欺騙人們幫助攻擊者達到他們的目的[70-71], 用于社工的技術和用于實施傳統(tǒng)欺詐的技術之間并沒有太大的區(qū)別[56],他們之前被稱作騙子, 現(xiàn)在被稱為社工師[14]。文獻[72]認為社工“是一個欺騙人們放棄訪問控制或機密信息的過程, 是網(wǎng)絡安全的一個巨大威脅”。

一些文獻強調社工是對人的操縱, 如文獻[57]認為社工是“操縱目標人采取不一定符合他自身最佳利益的行為”。文獻[73]認為社工是“一名社工師試圖利用影響和說服, 來操縱受害者泄露機密信息或按照社工師的惡意目的執(zhí)行”。文獻[74-75]認為社工是一種“攻擊者誘導受害者泄露信息或執(zhí)行一項使攻擊者能夠破壞受害者系統(tǒng)的行動”的攻擊方法。同類的觀點還有, 社工是“利用人類行為來破壞安全的‘藝術’, 而不讓參與者(或受害者)意識到自己被操縱了”[76], 是“對單個人或一群人, 技巧或非技巧性的心理操縱, 來產生一個需要的目標行為”[18]。后續(xù)研究[77-80]也持此類觀點, 文獻[79-80]認為“在本質上, 社工是指欺騙技術的設計和應用”。

一些文獻認為社工是對信任的欺騙與操縱, 如文獻[8,34,80]認為社工是“對人類信任這種自然傾向的操縱和利用”, 文獻[24]認為“任何社工都涉及利用某人的信任”。

3.4.2 社工是一種對人心理的利用

文獻[81]認為“社工攻擊通常使用各種各樣的心理技巧來讓計算機用戶給他們提供訪問計算機或網(wǎng)絡所需的信息”。文獻[27]認為“在社工的性質方面,我認為它總是心理上的, 有時是技術性的。例如冒充幫助臺打電話給他人的假托通常被認為是非技術的、心理的; 通過電子郵件的假托是技術的、心理的,社工的心理方面、而非技術方面促成了攻擊”。文獻[82-83]認為社工是攻擊者對受害者的本能反應、好奇心、信任、貪婪等心理弱點實施諸如欺騙、傷害, 以期取得自身利益的手段。

此外, 一些文獻關注社工對社會心理學中說服、影響的利用。如社工是讓目標順從攻擊者期望的技術[11], 是一種說服的藝術[72]。文獻[62]從“請求-說服-順從”的角度將社工定義為“利用社交互動(Social Interaction)作為一種手段來說服個人或組織遵從來自攻擊者的特定請求的科學, 其中社交互動、說服或請求涉及一個與計算機相關的實體”。文獻[84]認為社工是“試圖影響一個或多個人泄露信息或執(zhí)行一個行為, 這些信息或行為可能導致一個信息系統(tǒng)的非授權的訪問、網(wǎng)絡非授權使用或數(shù)據(jù)的非授權泄露”。文獻[85-86]認為“欺騙、說服或影響人們提供信息或執(zhí)行有利于攻擊者的行動被稱為社工”。

3.4.3 社工是一種非技術性攻擊

文獻[87-89]認為“社工仍然是繞過安全性的流行方法, 因為攻擊關注的是安全架構中最薄弱的環(huán)節(jié), 即組織內的工作人員, 而不是直接針對技術控制, 如防火墻或認證系統(tǒng)”。文獻[90-91]認為“社工作為一種策略, 被用來繞過計算機安全解決方案,避免用暴力工具攻擊系統(tǒng)的風險”。文獻[92]認為“社工是主要通過非技術手段非法獲取計算機系統(tǒng)信息”。文獻[2,28]直接描述“社工是一種非技術類型的攻擊”。

與此類概念相對立的觀點認為社工可以是技術的, 甚至社工師需要掌握許多專業(yè)技術知識。如文獻[61,93]顯示越來越多的攻擊者將新出現(xiàn)的技術與傳統(tǒng)的社工方法融合在一起, 網(wǎng)絡釣魚、跨站請求偽造(Cross Site Request Forgery, CSRF)都是社工的一種形式。文獻[3]認為“社工成功通常很大程度上也需要很多計算機系統(tǒng)和電話系統(tǒng)的知識和技術”。

3.4.4 強調社工社交特性的概念

文獻[51,94]認為, 社工是通過社交手段獲取關于目標人網(wǎng)絡和系統(tǒng)信息的過程。文獻[61]認為 “盡管肩窺(Shoulder Surfing)、垃圾搜索(Dumpster Diving)幫助攻擊者在準備階段收集情報, 但它們不涉及與受害者任何形式的社會交互, 因此我們不把它們歸類為社工攻擊方法, 作為我們分類法的一部分”。文獻[95]認為社工是通過使用社交方法來滲透信息系統(tǒng)。文獻[16]認為社工可以被定義為通過與人的互動來欺騙他們破壞正常的安全規(guī)程。文獻[96]認為在社工攻擊中攻擊者使用人類交互, 即社交技能來獲取關于組織或其計算機系統(tǒng)的信息。文獻[2]認為社工用來描述“強烈依賴人類交互的非技術類型入侵”。

3.4.5 社工是一個集合概念

與上述社工概念類型不同, 一些文獻認為社工是一個集合概念, 即認為社工作為一個涵蓋性的術語, 來指代一系列對他人欺騙、操縱以獲取信息或實施入侵的方法。文獻[97]認為, 社工是一組被攻擊者用來操縱受害者做一些他們原本不會做的事情的伎倆。文獻[98]認為, 社工是用來操縱人們執(zhí)行行為或者泄露機密信息的一個技術集合。文獻[99]顯示, “在信息安全領域, 這一術語被廣泛用于描述犯罪分子使用的一系列技術…”。文獻[91,100]認為社工是一個涵蓋了諸如網(wǎng)絡釣魚、假托、釣魚(Baiting)、尾隨(Tailgating)等許多惡意行為的術語。文獻[101]認為“社工被用作涵蓋性術語, 用于描述使用各種各樣的攻擊向量和策略來對用戶進行心理操縱的、廣泛的計算機攻擊”。

社工集合概念一方面體現(xiàn)了社工攻擊方法的多樣性, “有許多類型的社工的攻擊, 社工攻擊的種類和范圍僅受想象力的限制”[19-20]。另一方面, “最令人困惑的是, 社工吸引了如此多的定義, 涵蓋了諸如密碼竊取, 從垃圾中搜尋有用信息, 惡意誤導等一系列行為”[18]。

此類定義并不從社工概念的內涵屬性角度出發(fā),而是從社工攻擊方法這個外延視角出發(fā)來定義社工,雖然避免了概念界定的麻煩, 但問題在于, 不少非常明顯的非社工攻擊方法被涵蓋, 如信號劫持、網(wǎng)絡監(jiān)控、拒絕服務[20,102], 移動設備偷竊[102], 網(wǎng)頁搜索[84],網(wǎng)絡嗅探[24], 搜索引擎毒化[61], 廣告軟件、流氓軟件[101]等, 在概念的模糊性中尋求語義的庇護[42]。隨著社工概念的不斷演化, 概念的邊界會更加模糊,最終導致術語多意、使用泛化、概念被侵蝕分解。

3.4.6 社工概念的不同目的性分析

多數(shù)社工概念強調社工的目的是信息收集, 如文獻[14,19,26,81,103-104]等認為社工是“通過技術或非技術的方式獲取信息的行為”, 這些信息通常是計算機網(wǎng)絡或系統(tǒng)相關的信息, 甚至“即使不是十分有用的信息, 這些信息也可以用來了解目標環(huán)境,指導社工的實施方法”[103]。

一些社工概念強調受害人對社工師的幫助行為,如文獻[105]認為“社工的目的是說服受害者提供幫助”, 文獻[3]認為“社工師依靠的是他操縱人們提供幫助以達到目的的能力”。文獻[70-71,77]等也認為社工是“使目標幫助攻擊者實施攻擊”。

此外, 有文獻認為獲取物理訪問也是社工的目的。文獻[97,106]認為社工的目的“通常是讓受害者泄露敏感信息(如密碼)、或者讓攻擊者非法訪問建筑物、或進入受限制區(qū)域”, “有時, 社工指的是進入辦公室, 四處尋找有關計算機系統(tǒng)的信息, 比如在顯示器上貼著的密碼”[107]。

另有一些文獻則將社工的目的范圍定義的非常寬泛, 文獻[8,24,96]認為“社工的基本目標與一般的黑客行為是一樣的: 為了進行欺詐、網(wǎng)絡入侵、工業(yè)間諜活動、身份盜竊, 或者僅僅是破壞系統(tǒng)或網(wǎng)絡,獲得對系統(tǒng)或信息的未經(jīng)授權的訪問”。

然而, 如果社工概念的目的被規(guī)定的不恰當,將直接導致概念的缺陷, 如概念泛化。正如文獻[27]所言, “對于‘社工的唯一目的是說服’這個定義, 一個人對他所做的入室盜竊撒謊, 來說服他的鄰居建立一個安全圍欄, 這將被歸類為社工”, “在解釋目的時考慮的非常廣泛, 在這個定義下, 騙子借用他人的手表永遠不歸還, 構成了社工(攻擊)”。從說服和操縱等角度出發(fā), 且對社工目的范圍規(guī)定過窄或過寬的定義均存在此類問題。如根據(jù)文獻[62]的定義(見章節(jié)3.4.2), “小男孩通過電腦與父母通信, 以吃午餐為由說服父母同意 5美元的請求”這個例子符合作者的定義, 但這顯然不是我們通常意義上要表達的“社工”。

3.4.7 社工在其他領域的概念

這一時期出現(xiàn)了與社工概念內涵非常相近的概念, 如認知攻擊、語義攻擊、反身控制(Reflexive Control)。

對于認知攻擊, 2002年文獻[108]將其定義為“認知攻擊是依賴于改變人類用戶的感知和相應的行為來獲得成功, 對計算機或信息系統(tǒng)的攻擊”?！斑@種用戶行為的改變, 受到了操縱用戶對現(xiàn)實感知的影響”[109], “這種對感知的操縱或認知攻擊, 超出了傳統(tǒng)計算機安全領域的范疇(關注技術和網(wǎng)絡基礎設施)”[108], “當用戶的行為受到錯誤信息的影響時, 就會發(fā)生認知攻擊”[110]。

對于語義攻擊, 文獻[111]顯示“Libicki在信息戰(zhàn)的背景下描述了語義攻擊, 指軟件媒介/代理(Software Agents)被敵方故意提供的錯誤的信息誤導”。語義攻擊“直接針對的是人機接口(Human-Computer Interface),這是互聯(lián)網(wǎng)上最不安全的接口”[112]。

由于認知攻擊、語義攻擊比較相近, 文獻[111]將兩者合并在一起討論。文獻[101]將語義攻擊與社工結合, 定義語義社工攻擊為“在社工的語境下, 語義攻擊是操縱用戶-計算機接口(User-Computer Interface)欺騙用戶, 并最終破壞計算機系統(tǒng)安全”。

有研究認為這兩種攻擊都屬于社工攻擊, 文獻[113]認為“認知攻擊是社工的一種形式, 盡管它可能針對的是廣泛的受眾, 而不是特定的個體”。文獻[101,42]認為語義攻擊是一種特定類型的社工攻擊,它通過操作平臺或系統(tǒng)應用等欺騙而不是直接攻擊用戶。

俄羅斯軍方已經(jīng)探索了將網(wǎng)絡欺騙應用到一種被稱為“反身控制(Reflexive Control)”的概念中[15],它在激發(fā)敵方采取發(fā)起方所需的行為方面特別有效[114]。文獻[115]將反身控制定義為“一種向合作伙伴或敵方傳遞特別準備的信息, 使他們自愿做出由行動發(fā)起人所期望的、預先確定的決策”。在戰(zhàn)爭中指揮官的首要目標之一就是干涉敵方指揮官的決策過程, 這個目標通常是通過使用虛假信息、偽裝或其他策略與計謀來實現(xiàn)的, 對俄羅斯來說, 最主要的方法之一是使用反身控制理論, 這個理論很久以前就在俄羅斯發(fā)展起來并在信息戰(zhàn)領域應用, 且仍在進行進一步的改進[115]。

反身控制概念與社工概念非常相似, 不同的是,反身控制通過精心定制或虛假的信息, 目的是欺騙、操縱、干涉敵方在軍事及信息戰(zhàn)中的決策[115]。

3.5 新特性下的社工

2012年左右起始, 新環(huán)境、新威脅、新技術等方面促進了社工進一步的演進。SNSs、IoT、工業(yè)互聯(lián)網(wǎng)、可穿戴設備、移動設備的廣泛應用和安全區(qū)域隔離的弱化, 在增加數(shù)據(jù)可訪問性、提高服務質量和生產效率的同時, 形成了更大的社工攻擊面和攻擊機會, 也讓攻擊者可以輕易地同時接觸和影響龐大的受害者群體。共享性、開放性的大數(shù)據(jù)環(huán)境為構建更可信的社工攻擊提供了條件。社工工具的傳播與開源讓大規(guī)模社工攻擊更簡易。社工攻擊對高級威脅形式(TA、APT)的吸收, 對新技術(OSINT處理、機器學習、人工智能)的利用, 讓高效率、針對性、智能化的高級社工攻擊成為可能, 構成了人、機、物多層次、全方位、嚴重的安全威脅。

這種多向演化背景下社工攻擊呈現(xiàn)的新特性,放大了社工概念多向演化的結構張力, 加速了社工概念多向演化和消解的趨勢。雖然有研究根據(jù)這些社工體現(xiàn)的部分新特性, 在不同的演化階段(2008年文獻[116], 2016年文獻[117])冠以“社工2.0”的名義,但卻沒有給出新特性下社工的概念定義, 這繼續(xù)增加了對社工概念重定義的需求。

3.5.1 更大的攻擊面與攻擊機會

1997年SixDegree.com的出現(xiàn)被認為是SNSs的首次出現(xiàn), 但此時的 SNSs仍然是概念化的階段, 并沒有被廣泛應用。自 2002年開始, Friendster、LinkedIn、Facebook、Twitter、Google+等各種社交媒體相繼創(chuàng)立發(fā)展, 越來越多的人被吸引到這些網(wǎng)站創(chuàng)建個人資料(Profile), 以一種新的方式與他人建立關系。2012年社交媒體中Pinterest用戶量超過10億[118]。Facebook的用戶每月分享超過300億條內容[85]。社交媒體用戶量爆發(fā)式增長產生的海量數(shù)據(jù),標志著大數(shù)據(jù)時代的到來。而且個人卻比以往任何時候都更加暴露[80]。許多用戶在這些網(wǎng)站上發(fā)布關于他們的活動、人際關系、地點和興趣的個人信息。這些數(shù)據(jù)包括電子郵件地址、電話號碼、生日、工作地址、當前所在城市、學校名字等其他個人資料[119]。社交網(wǎng)絡已經(jīng)成為一個大的敏感數(shù)據(jù)池[120]。

物聯(lián)網(wǎng)(Internet of Things, IoT)概念在2011年左右開始普及, 于2014年進入大眾市場[121]; IPv6的啟動與應用, 給萬物互聯(lián)提供了地址空間的技術支持。2012年美國通用電氣公司提出工業(yè)互聯(lián)網(wǎng), 2013年德國提出工業(yè)4.0[122], 工業(yè)逐漸向開放化、全球化、互聯(lián)化、定制化、數(shù)字化、智能化發(fā)展。移動設備、可穿戴設備被廣泛應用, 傳感器將無處不在, 可以植入幾乎所有能想象到的互聯(lián)設備, 許多人決定測量他們自己的一切狀態(tài), 包括睡眠數(shù)據(jù)、生理數(shù)據(jù)、位置、情緒、環(huán)境等。大量的互聯(lián)的設備成為社工攻擊的新資源、新目標、新傳播渠道。在此之前一封來自電冰箱的欺騙性郵件或即時信息可能看起來很荒謬, 然而如今這個想法似乎并不可笑, 大量的智能電視、家庭路由器等物聯(lián)網(wǎng)設備, 包括一臺電冰箱被用來發(fā)送惡意電子郵件[123]。而 Stuxnet事件已經(jīng)說明了社工作為攻擊的關鍵環(huán)節(jié), 對國家關鍵基礎設施安全構成了重大威脅。

現(xiàn)代社會中個人生活和職業(yè)生活之間沒有分離,社交網(wǎng)絡被更廣泛地應用到職業(yè)工作環(huán)境, 組織關系、家庭關系信息公開在社交網(wǎng)絡上。組織內部的計算機處理私人事情(如求職), 家庭電腦處理公司工作的現(xiàn)象非常普遍, 而且不少行業(yè)的員工缺乏基本的安全知識, 家庭電腦連接在弱口令或初始口令的路由器下。甚至部分企業(yè)鼓勵自帶設備(Bring Your Own Device, BYOD)、遠程家庭辦公的工作模式。組織的信息安全邊界變得模糊, 傳統(tǒng)企業(yè)信任區(qū)的概念已經(jīng)不存在, 或者失去了最初的意義。

社交網(wǎng)絡、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的廣泛應用在將全球用戶、各種各樣的設備互聯(lián)互通、提高服務質量和生產效率的同時, 伴隨著各種各種各樣的脆弱性, 為攻擊者實施社工攻擊提供了更多的渠道和更大的攻擊面, 構成對人、機、物全面的威脅。此外,這些新環(huán)境中大量關于人和設備的敏感信息為社工攻擊提供了易得的信息資源, 網(wǎng)絡技術發(fā)展和人們對高效工作的追求, 弱化了不同安全級別區(qū)域的隔離, 給攻擊者制造了更多的攻擊機會。

3.5.2 更低的攻擊成本與更高攻擊高效率

用戶低下的安全意識和易得的開源情報, 增加了社工攻擊的簡易性與有效性, 降低了社工攻擊成本。文獻[25]顯示, 在人們知道要進行網(wǎng)絡安全測試的情況下, 測試團隊在人員經(jīng)常出入的地方丟放 20個惡意的USB存儲器, 15個被發(fā)現(xiàn)且全部被插入辦公網(wǎng)計算機。文獻[124]顯示在社交網(wǎng)站中建立新關系時, 信任并不像面對面的接觸一樣必要, 一個虛假的Facebook 用戶發(fā)出200個好友請求, 87個回復中82個用戶泄露對身份盜竊有用的個人信息, 如電子郵件和家庭住址、出生日期、就業(yè)情況等。大數(shù)據(jù)環(huán)境與數(shù)據(jù)挖掘技術的發(fā)展, 讓開源情報(Open Source Intelligence, OSINT)的利用更有效。任何在公開網(wǎng)站(Facebook、Twitter、Foursquare等)上發(fā)布的信息都可能給犯罪分子提供一個線索, 告訴他們如何將你所在的位置和你的真實身份聯(lián)系起來[99], 構造更讓人信服的社工攻擊。2012年, 文獻[125]展示了如何使用開源情報對組織員工構造一次魚叉式釣魚攻擊。軟件工具Maltego被用來從目標公司網(wǎng)站、社交網(wǎng)站收集開源情報, 簡單的網(wǎng)絡釣魚工具被用來根據(jù)員工興趣創(chuàng)建釣魚郵件。文獻[126]顯示聚合多個社交媒體網(wǎng)絡(LinkedIn和Facebook)上發(fā)現(xiàn)的信息, 會導致社工攻擊更加成功。文獻[127]展示了利用Google+、LinkedIn、Twitter、Facebook 4個社交網(wǎng)站上公開信息自動識別組織員工的身份的可能性。

越來越多的社工攻擊工具被開發(fā), 這些工具如SET、Maltego、Phishing Frenzy、Gophish支持多種類型信息的自動化收集和多種社工攻擊向量(Attack Vector)的創(chuàng)建, 為低成本、大規(guī)模自動化實施社工攻擊提供了條件, 即使在成功率很低的垃圾郵件釣魚場景下, 社工攻擊仍然是經(jīng)濟可行的, 因為少數(shù)的受害者就可以有相對較高的回報, 畢竟在低成本條件下, 即使是大規(guī)模的攻擊總投入也相對較小。SET(Social-Engineer Toolkit)作為社工滲透測試的代表性工具, 可以提供構建魚叉式釣魚攻擊、網(wǎng)站攻擊、基于Arduino的物理介質攻擊、無線熱點攻擊形式等社工攻擊向量, 使用者只需按照提示的步驟設置一些參數(shù)即可, 整個社工攻擊測試流程中多數(shù)步驟都可以自動化完成。而且許多社工攻擊工具是開源的, 如SET(2012年在Github上開源[128])、Phishing Frenzy、Gophish, 這也意味著普通黑客或腳本小子可以輕易構造一次半自動化的社工攻擊。

另外, 社工攻擊的效率和成功率不斷被提高。受害人大量細節(jié)信息可以通過手動整理或通過自動化開源情報收集工具收集。大數(shù)據(jù)的背景下數(shù)據(jù)挖掘技術的應用促進了開源情報的利用。低價易得的目標(Low Value and Low Hanging Fruit)和大規(guī)模的Spam Phishing逐漸被放棄, 特殊和有經(jīng)濟價值的目標被仔細選擇, 更可信的社工攻擊被精心構造, 如魚叉式釣魚(Spear Phishing, Context Aware Phishing)。文獻[70]的研究發(fā)現(xiàn), SNSs中的上下文元素(Contextual Elements)為攻擊者提供了心理利用條件,員工很容易在SNSs中被欺騙。攻擊者發(fā)送10封釣魚郵件, 有90%的幾率其中至少一個人成為受害者[129]。文獻[130]的研究表明, 一個攻擊者利用社交網(wǎng)絡數(shù)據(jù)來增加網(wǎng)絡釣魚攻擊的收益是非常容易、非常有效的, 如果被一個看似熟人的人所請求, 那么網(wǎng)絡用戶成為受害者的可能性是普通情況的4倍。

互聯(lián)網(wǎng)、社交網(wǎng)絡、移動通信的廣泛應用, 讓攻擊者可以輕易地同時接觸和影響龐大的受害者群體。社交網(wǎng)絡的共享性、開放性、低信任需求等特點讓社工攻擊更簡易, 社工工具的傳播與開源為大規(guī)模實施社工攻擊提供了條件。開源情報為社工攻擊提供了易得的信息資源, 豐富的背景信息導致了更可信的社工攻擊, 提高了攻擊的成功率。社工攻擊這種低成本、高效率特性可能誘發(fā)更多的社工攻擊,加重網(wǎng)絡安全威脅態(tài)勢。

3.5.3 更高級的攻擊形式與更低的風險

APT(Advanced Persistent Threats)通常是國家之間為了軍事、政治等利益, 投入巨大人力物力, 經(jīng)過長期規(guī)劃和精心設計編程的高級攻擊威脅。2010～2012年相繼發(fā)生的 Stuxnet、Duqu、Flame等APT攻擊事件就是例證。社工在APT攻擊的開始階段, 作為建立攻擊入口點的手段, 或在中間階段用于解決傳統(tǒng)攻擊方法遇到的障礙。文獻[131]描述了一個常見的 APT攻擊階段模型, 其中社工作為模型的核心部分。Stuxnet、Flame APT攻擊中均使用社工(Baiting)方法作為突破物理隔離、傳播惡意代碼的手段, 不同的是Stuxnet用于破壞設備, Flame用于監(jiān)視目標[132]。

相對于APT攻擊, 針對性攻擊(Targeted Attack,TA)通常是由世界各地的黑客群體或黑客個體發(fā)起,為了經(jīng)濟利益竊取財務信息, 實施金融詐騙或報復行為, 攻擊對象主要是組織、企業(yè)、個人等。針對性社工攻擊越來越流行, 一些惡意軟件被精心設計來實施針對特定用戶或組織的釣魚攻擊[117]。文獻[133]顯示, 社工惡意軟件(Social Engineering Malware)將心理和技術策略結合, 誘惑用戶執(zhí)行惡意軟件、對抗現(xiàn)存的防護措施, 越來越多的惡意軟件用社工作為傳播的手段, 并且這些社工惡意軟件威脅體現(xiàn)出了廣泛性與持續(xù)性的特點。

文獻[134]的研究表明, 即使是那些認為自己了解社工技術的人, 一個精心策劃和執(zhí)行的社工攻擊也可能成功。互聯(lián)網(wǎng)及社交媒體上大量在線免費可得的數(shù)據(jù), 為社工師調查特定的目標、發(fā)起針對性社工攻擊提供了方便。文獻[135]顯示, 通過仔細的設計和在特定時間發(fā)布消息, 可以讓幾乎任何一個人點擊一個鏈接, 因為任何一個人都會對某件事感到好奇, 或者對某個話題感興趣, 或者發(fā)現(xiàn)自己處于一個符合信息內容和上下文的生活環(huán)境中。文獻[136]討論了攻擊者在實踐中如何濫用在線社交網(wǎng)絡提供的推薦功能或朋友發(fā)現(xiàn)(Friend-Finding)功能, 激勵受害者主動聯(lián)系攻擊者, 在社交網(wǎng)絡上發(fā)起被動社工攻擊。由于是受害者主動發(fā)起的好友請求, 這種攻擊形式更少引起受害者的懷疑, 而且可以繞過一些針對主動請求(Unsolicited Request)的惡意行為檢測。

文獻[137-139,119-120,127]等分別在自動社工機器人(Automated Social Engineering Bot, ASE bot)方面進行了研究。自動社工機器人能夠自動地收集目標的開源情報, 進行社交媒體關聯(lián)分析, 通過結合適當?shù)牧奶爝壿嫼驮鰪姷闹悄芘c受害者對話, 進行自動化的社工攻擊。文獻[15]顯示自動聊天機器人被用來說服聊天對象分享自己的身份或訪問帶有惡意內容的網(wǎng)站。越像人類的(Human-Like)ASE攻擊檢測它就越困難[120]。文獻[138]提出了一種利用聊天機器人對真實人類網(wǎng)絡聊天進行中間人攻擊的社工威脅,這種利用真實人類對話的社工攻擊非常難識別和檢測, 實驗顯示被自動聊天機器人替換的鏈接點擊率高達76.1%。

在人工智能(Artificial Intelligence, AI)技術應用方面, 文獻[140]顯示了利用AI技術創(chuàng)建有針對性的魚叉式網(wǎng)絡釣魚攻擊的可能性。文獻[141]描述了一個利用遞歸神經(jīng)網(wǎng)絡的 AI社工攻擊, 它學會了在Twitter上發(fā)布針對特定用戶的個性化釣魚帖子。文獻[142]描述了如何使用長短期記憶網(wǎng)絡創(chuàng)建一種更好的釣魚攻擊的算法生成 Phishing URL, 來繞過基于遞歸神經(jīng)網(wǎng)絡的Phishing URL分類檢測。文獻[143]利用生成對抗網(wǎng)絡構建一個基于深度學習的域名生成算法, 旨在有意繞過基于深度學習的檢測器, 在一系列的對抗性迭代后, 生成器學習生成越來越難以檢測的域名。

社工攻擊對高級威脅形式(針對性攻擊、APT)的吸收, 對新技術(OSINT處理、機器學習、人工智能)的利用, 讓社工攻擊變得更高級、更有侵略性。另外,社工攻擊被認為是一種低風險的攻擊方式。相對于入侵計算機系統(tǒng), 利用人和規(guī)程的脆弱性更容易、更少風險[49]。現(xiàn)在高級的社工攻擊, 關注小范圍特定的目標, 不會驚動大范圍的受害者, 更隱蔽地實施攻擊, 減小了被檢測到的風險。

3.5.4 新特性下社工概念的演化

文獻[117,144]認為, 社工作為一種欺騙方法已經(jīng)使用了很長時間, 技術、社交網(wǎng)絡、網(wǎng)絡犯罪的發(fā)展以及在線用戶的天真行為這 4個因素促成了社工的發(fā)展演變?yōu)橐环N多層面、復雜的新現(xiàn)象, 并稱之為社工 2.0(Social Engineering 2.0, SE 2.0)。文獻[144]認為社工2.0是一個復雜的領域, 涉及多種多樣的技術和能力, 它與老式社工之間最大的區(qū)別在于更大的范圍內自動社工攻擊的可能性。事實上, 早在 2008年文獻[116]就使用了“社工2.0”字樣來體現(xiàn)社工的一些新特點。然而, 這些研究都沒有給出社工2.0具體的概念及定義。

4 討論

從概念演化的歷程及問題分析可以發(fā)現(xiàn), 當前的社工概念就處于這種延的續(xù)多向演化局面沒有打破, 新特性下社工概念又沒有形成的狀態(tài)。社工概念邊界模糊、術語使用泛化的現(xiàn)狀和多向演化結構張力下概念分化消解的趨勢, 對社工現(xiàn)象的理解、社工攻擊事件的分析、社工安全研究與交流、社工防護工作的開展產生了嚴重的影響。

在此背景下, 如何清晰恰當?shù)亟缍ㄉ绻じ拍畹膬群x, 統(tǒng)一對社工的基本認識, 成為社工研究領域最急需、最重要的問題。

針對上述問題, 本文在對社工概念演化綜合分析的基礎上, 初步將社工概念重新定義如下: “社工是指通過(直接或間接、實時或非實時、主動或被動等)社交方式, 利用人(社會心理、認知、意識、思維、行為習慣、神經(jīng)反射等方面)的脆弱性(Human Vulnerability), 利用或不利用技術手段、技術脆弱性, 針對網(wǎng)絡空間安全實施危害的行為?！焙喍灾? 社工是通過社交方式, 利用人的脆弱性, 針對網(wǎng)絡空間安全實施危害的行為。

為了進一步討論該定義, 本文分別從目的論、性質輪、關系論等方面: (1)解釋新概念定義過程中對社工目的屬性的考慮; (2)說明新概念的共有屬性、特有屬性、本質屬性, 分析新概念與演化過程中不同類別概念的關系; (3)分析社工攻擊向量與其他攻擊向量的關系。

4.1 社工定義的目的論分析

章節(jié)3.4.6論述了對社工概念目的屬性不恰當規(guī)定導致社工定義過窄或過寬的問題及舉例, 此處不再贅述。本文對社工攻擊的目的限定為“針對網(wǎng)絡空間安全實施危害的行為”, 這考慮了社工概念演化的歷史性與演進性: (1)網(wǎng)絡空間安全領的社工概念始終在網(wǎng)絡空間安全領域內演化, 其主體意涵與社會科學領域中的社會工程(Social Engineering)、社工(Social Worker)存在明顯區(qū)別。這種限定可以明確將網(wǎng)絡空間安全領域的社工與社會科學領域中“社工”區(qū)分開。(2)這種限定既可以將概念演化過程中信息收集、網(wǎng)絡入侵等常見目的涵蓋, 同時又賦予社工概念目的屬性更大的演化空間。

這樣就避免了不同學科領域社工概念和術語的歧義與混淆, 也緩解了網(wǎng)絡空間領域社工概念的泛化、社工術語的濫用, 如將章節(jié)3.4.6中提及的不涉及危害網(wǎng)絡空間安全的財物盜竊、騙局等排除在社工概念之外。

4.2 社工定義的性質論分析

作為網(wǎng)絡空間攻擊方法的一種, 社工的共有屬性, 如目的論分析所述, 是造成網(wǎng)絡安全的違反, 如造成信息泄露、網(wǎng)絡入侵、物理損壞等危害, 或機密性、完整性、可用性、可控性、可審查性等的違反。

社工相對于傳統(tǒng)攻擊方式(如密碼窮舉破解、軟件漏洞利用等)的特有屬性: (1)在主體攻擊者角度體現(xiàn)為欺騙、操縱、說服、影響、誘導等方法的應用, 包含了多向演化中章節(jié) 3.4.1所述概念的內涵(對人的欺騙、操縱)。這些屬性體現(xiàn)了社工應用方法, 而且隨著技術的發(fā)展、環(huán)境的變化、社工攻擊場景的不同, 可能有更多種不同的應用方法, 但不是社工概念的本質屬性反映。(2)在客體受害者角度體現(xiàn)為對人輕信、好奇、貪婪、懶惰、心理捷徑、主觀期望、固定行為模式等脆弱性的利用, 包含了多向演化中章節(jié) 3.4.2所述概念的內涵(對心理脆弱性的利用)。對人脆弱性(Human Vulnerability)的利用反映了社工本質屬性的一個方面。(3)在實現(xiàn)形式角度體現(xiàn)為直接或間接、單向或雙向、主動或被動、強或弱的社交形式, 包含了多向演化中章節(jié)3.4.4所述概念的內涵(強社交特性)。社交特性反映了社工本質屬性的另一個方面。(4)在技術屬性方面, 本文對社工攻擊中技術手段、技術脆弱性的利用不做規(guī)定, 技術的發(fā)展會重構社工的實現(xiàn)方法及形式, 章節(jié)3.4.3中認為社工是完全是非技術型攻擊的觀點沒有從概念的本質出發(fā), 是階段性的認識。

基于以上對社工特有屬性的說明與概念對比分析, 在網(wǎng)絡空間安全的語境下: (1)社工區(qū)別于其他攻擊方法的本質屬性為“通過社交的方式, 利用人的脆弱性”, 這也是社工區(qū)別于其他網(wǎng)絡攻擊方法的判斷標準。(2)因此, 社工的簡潔定義為“通過社交方式,利用人的脆弱性, 針對網(wǎng)絡空間安全實施危害的行為”。這個定義包含了演化歷程中社工概念內涵的主體(章節(jié)3.4.1～3.4.4, 3.5.4), 體現(xiàn)了名詞意涵, 限定了社工概念演化的領域范圍(章節(jié) 3.4.6), 避免了集合概念導致的術語多意、使用泛化、概念被侵蝕分解的問題(章節(jié)3.4.5, 3.4.6), 形成了相對穩(wěn)定的概念內涵和清晰的概念邊界, 并適當?shù)財U大了概念演化的空間, 緩解了概念多向演化與新特性不斷呈現(xiàn)的導致的結構張力。

4.3 社工定義的關系論分析

從攻擊實施過程的視角, 社工作為一種攻擊向量(攻擊方法、攻擊路徑), 與其他攻擊向量的關系體現(xiàn)為輔助、增強、連接、替代等, 即: 社工可用于輔助增強其他攻擊向量、使其更簡易、高效等; 社工可用于攻擊的開始階段以建立攻擊切入點, 可用于攻擊的中間階段以銜接其他攻擊向量組成完整的攻擊鏈, 可用于攻擊的最后階段以完成攻擊任務等; 社工也可作為替代其他攻擊向量的優(yōu)選方案或備選方案, 用以獨立完成整個攻擊過程。

最后, 上述社工概念定義并不成熟, 在這里初步提出, 是希望作為討論內容, 以求指教; 同時也是對社工概念定義的一個觀點, 以供參考。我們將在未來的工作中進一步研究并完善該定義。

本文關注網(wǎng)絡空間安全領域中的社工, 分析總結了社工攻擊威脅特性與現(xiàn)狀, 概述了安全意識、對社工安全防護的關注和投入的重要性。本文對社工概念起源與演化進行了體系化的研究, 將社工概念演化分為五個階段, 并梳理了每個階段社工概念的特點和社工實現(xiàn)方式/技術的發(fā)展; 同時, 分析了社工概念存在的問題, 找到了導致社工概念模糊、泛化、消解趨勢的關鍵原因(即社工概念多向演化與社工新特性不斷呈現(xiàn)導致的結構張力), 總結了社工概念面臨的挑戰(zhàn)。最后, 對重新定義社工概念進行了討論, 以期為社工安全研究提供參考、促進社工安全防護研究。