利用社会工程学实施的诈骗案件剖析及被害预防

李 妍

（中国人民公安大学研究生院，北京100038）

社会工程学诈骗是以即时通信工具为媒介，运用社会工程学策略，利用人们的好奇心、信任、同情心、贪利等，设置心理陷阱，传播虚假信息进行诈骗，以获取非法利益的行为。日常生活中，在不同心理意识的指导下，人们会对同一事件做出不同的反应，这其中，有些人因虚荣贪利或易轻信他人，从而成为被害的重要原因之一。因此，为预防社会工程学诈骗，有必要对此类犯罪过程中被害人的心理特征进行剖析，从完善被害人心理特征提出被害预防措施。

一、社会工程学

大众对社会工程学的理解普遍存在歧义，认为它是恶意的，相当于谎言、骗局。例如，维基百科定义社会工程学为“操纵他人采取特定行动或者泄漏机密信息的行为。它与骗局或欺骗类似。”其实，真正的社会工程可以算得上是一门学科，专业社会工程人员的工作就是检测漏洞、预防攻击。著名的社会工程专家Christopher Hadnagy这样界定：社会工程是一种操纵他人采取特定行动的行为，该行动不一定符合“目标人”的最佳利益，其结果包括获取信息、取得访问权限或让目标采取特定的行动。其中“目标人”是指遭受犯罪侵害的直接或间接被害人。因此，不仅是诈骗犯在使用社会工程策略，社会工程也常被应用于医学界、心理学界、营销、政府安全部门等领域，对完成目标具有积极的促进作用。

专业的社会工程人员认为社会工程的成功源于与交往和操纵目标人以获得所需的信息时心理技术的应用，因此，社会工程学攻击的优点就在于，无论安全技术如何先进，只要人性上存在弱点和漏洞，就可以被利用，从内部瓦解安全体系，这是其他技术攻击手段所不能比拟的。即时通信工具作为一种网络即时对话工具，用户在与好友聊天过程中的低戒备性，以及即时通信工具的非接触性更为恶意欺诈创造了条件。诈骗者正是利用即时通信工具自身的缺陷以及人性弱点和漏洞达到犯罪目的，是恶意的社会工程。

二、社会工程学诈骗被害人的心理特征

被害人心理特征指的是在犯罪行为进行过程中，被害人应对犯罪行为时表现出的心理状态，心理特征分为认知特征、情绪特征、意志特征、个性特征。

（一）认知特征

认知是指行为人对外部信息的认识与加工，决定行为人认识的正确与否以及认识的多少。个体由于生活经历、成长方式以及行为习惯的不同，对自身情况与外部情境的相互关系的认知、理解不同，对外部事物的认识不够深刻，对各种刺激、反应的应答也就不同。社会工程学诈骗被害人的认知特征主要表现为缺乏防范意识。影响社会工程学诈骗被害人防范意识的因素有是否遭遇过诈骗犯罪的社会经历和接受此类犯罪的相关信息量大小两类。

第一，被害人自己或身边的人没有遭遇过社会工程学诈骗。经历过社会工程学诈骗的被害人因为遭受过财物损失的心痛，或目睹过身边的人承受的损失，对于可能是诈骗的汇款、转账等信息肯定会多加防范，而大部分社会经验少、生活圈小的人对互联网上传播的信息认识不清，缺乏警惕和防范意识，易落入诈骗者布好的圈套中，成为被害人。

第二，被害人对社会工程学诈骗缺乏了解。随着移动互联网的快速发展和智能手机的普及，诈骗方法越来越具有迷惑性。以QQ诈骗为例，2008年前后是通过木马盗号让QQ好友代为充缴电话费，2010年左右逐渐演化为QQ视频诈骗，用截取的视频确认身份增加对犯罪分子的可信度，2013年此类视频诈骗逐渐针对留学生的家人，借口手术、缴费等要求汇款，到2014年，冒充老板诈骗财务人员的“画皮诈骗”发案率最高，涉案金额巨大。社会工程学诈骗的被害人之所以中招，相当一部分原因是对此类犯罪“与时俱进”的犯罪手段不够了解，没有及时关注此类案件的信息，遭遇诈骗信息时就没有了辨别真伪的能力。

（二）情感特征

情感是行为人的情绪、感受的统称，是外部客观事物是否符合自己需要的主观体验，在其心理外化为行为的过程中起着催化作用，同样，对被害人的情感冲击会对诈骗者达成目的具有相当程度的刺激作用。社会工程学诈骗被害人最典型的情感特征就是易焦虑、感性大于理性。犯罪分子会利用亲人之间的感情和信任，在传播诈骗信息中使用“车祸”“病重”等不寻常信息，被害人则在“突发事件”前被犯罪分子渲染的紧张气氛所感染，立即陷入恐慌、停止思考的状态，内心开始急躁焦虑，不能冷静思考和理性决策，这是被犯罪分子所利用进而导致被害的重要心理因素。

（三）意志特征

意志是指行为人根据个体需要，为达到目的而操控行为、排除障碍的心理表现。社会工程学诈骗被害人的意志特征表现在两个方面：

第一，自制力薄弱，抵制不住“馅饼”的诱惑。社会工程学诈骗的类型之——假冒即时通信平台的运营商传播虚假中奖信息，这类诈骗手段使对金钱有强烈欲望的被害人屡屡中招。犯罪分子即抓住被害人追求欲望被满足的心理，以巨额奖金为诱饵，要求被害人缴纳各种名义的税费，“即使缴税，我还是赚的”大部分人抱有这种心理，乐此不疲地向犯罪分子指定的账户中转款，当税款交完之后才发现“人财两空”。

第二，对权威或大众的盲从。哈佛大学心理学家艾伦·兰格博士说过：“人们在日常工作中不会考虑很多，换句话说就是有点机械化。这种情况下对权威角色的滥用就非常危险。感知的权威可以让他人没有限制的机械响应。”而且社会功利主义使得人们普遍认为服从权威会更加有利，所以日常生活中，人们放弃客观地去思考问题，更愿意听从他们眼中的权威人士给出的指导或建议，但遗憾的是人们对于权威的认定只是有关某个权威符号，或许只是一个口头的身份表示，人们就开始盲目跟从。犯罪分子在社会工程学诈骗中正是利用这一点，伪造“官方”“专家”“老板”身份，利用被害人服从权威的心理进而诈骗被害人。其中，2014年犯罪分子冒充老板诈骗财务人员的“画皮诈骗”表现得尤为明显。组织权威是通过组织级别的方式定义的，是指在管理组织中，高级组织者比低级组织者获得的权力及信息多，即享有更多的权威。当命令直接来自于上级，要找到敢于直接质疑权威、坚持主见的人是很难的。因此，犯罪分子假冒财务人员的直接上级，以QQ、微信等即时通信工具为渠道，命令其在短时间内汇款、转账，服从权威的惯常思维和短时间内难以核实信息的真实性等障碍，使得财务人员成为2014年最大的社会工程学诈骗的受害群体。

对大众的盲从行为映射在心理学上称作“从众心理”。当某个人要做出决策的时候，会参考相似背景下形成的决策。从众心理是社会工程中的致命武器，通过告诉对方，其他人甚至是楷模都采取某种行为或表现，可以刺激对方也这么做，这就是从众原则的作用。犯罪分子利用这一点假冒好友或直接发送信息要求被害人做出特定的行为，并透露出大家都这样做，这时被害人随波逐流、想与他人保持一致的从众心理就开始发挥效用，从而做出犯罪分子要求的行为。典型的如诈骗者发布的虚假的公益捐款信息，同时还会张贴已捐款的人数、姓名、职业、金额等，这些名单极有可能是伪造的，但是信息的接受者在看到这么多的捐款名单后，在从众心理支配下大部分会选择主动捐款，让自己成为了被害人。

（四）个性特征

社会工程学诈骗被害人的个性特征主要体现在以下三方面：

第一，好奇心强。心理学家认为好奇心是个体遇到新奇事物或处在新的外界条件下所产生的注意、操作和提问的心理倾向。人们总是在好奇心的驱使下了解更多的事物，社会工程学诈骗犯罪中，主要是好奇心导致被害人帐号被盗。“看，这里面有你的照片，好温馨啊……”随后附一个链接，我们也许会时常收到来自好友的这则消息，而大多数人会抱着强烈的好奇心点击查看，其实这个链接含有木马盗号病毒，点击进入之后用户的帐号就会被犯罪分子盗取，木马盗号团伙正是利用大众普遍的好奇心提高犯罪的成功率。

第二，低自尊。社会工程学诈骗犯罪的被害人是低自尊的人，容易在他人的影响下改变自己的观点，缺乏主见和独立思维能力，在遇到诈骗信息时，对信息的反应不够准确，轻易相信犯罪分子的谎言。

第三，过度的社交需要。生活方式暴露理论认为一个人之所以被害，是因为其生活方式具有某些决定个体经常处于被害危险情境的特性，从而增加了个体的被害危险性或使之成为被害人。生活方式暴露理论也适用于解释社会工程学诈骗被害人的被害性，因为网络同实体的公共空间一样，也可以提供学习、工作、娱乐等环境，是虚拟的公共场所。该理论进一步认为个人被害的可能性与其暴露在公共场所时间的多少成正比，而个人是否经常置身于公共场所是由其生活方式决定的。社会工程学诈骗犯罪分子采取“广撒网”式的作案手段发送诈骗信息，侵害的目标是不特定的。因此，经常使用即时通信工具的用户都成为了潜在被害人，而往往还不满足现实生活中的社交圈，喜欢在网络上“广交好友”，经常查看“附近的人”或使用“摇一摇”等功能主动跟陌生人搭讪，这样的生活方式使得被害的风险大大增加，很容易成为犯罪分子侵害的目标。

三、社会工程学诈骗的被害预防

花费大量资金打造的安全技术和社会管理层面的措施虽然有其预防犯罪的价值所在，但被害人自身存在的不良心态和不稳定的心理活动是促使社会工程学诈骗犯罪成功的重要因素。由此，堵住安全管理体系中的人性漏洞，从被害人个体角度强化被害预防，变被动为主动，对预防犯罪会起到事半功倍的效果。个体被害预防是指个人在社会有关部门宣传、教育影响下，根据个人的经验，掌握的有关知识和技能，实施避免犯罪分割措施的过程。针对上述被害人心理缺陷的分析，笔者拟从认知、情感、意志、个性四个方面着手，从完善被害人心理特征角度提出被害预防措施。

（一）提高防范意识

被害人被害的因素是多方面的，也存在诸多差异性，随着特定情景和时空的转变也在不断变化，但唯一相同的是被害人缺乏防范意识。防范意识是指人们在社会生活中，在对可能遭受不法侵害及严重后果认识的基础上表现出来的一种警觉性行为。社会工程学诈骗是典型的绕过物防和技防针对人性漏洞实施的犯罪，唯有提高自身的防范意识，消除自身存在的不良心理和行为，才能有效地预防被害，这也是被害人可以通过自身努力减少被害几率的最为关键和有效的因素。

正如上文所讲，影响社会工程学诈骗被害人防范意识的因素有是否遭受诈骗犯罪的社会经历和接受此类犯罪的相关信息量大小两类。遇到同样的犯罪情景，遭受过社会工程学诈骗侵害的人或经常关注社会工程学诈骗犯罪的人明显会比其他潜在被害人更具备防范意识，被害的可能性要小很多。因此，作为每一个潜在被害人的我们，应当在日常生活中积极关注有关社会工程学诈骗的案例，更多地了解犯罪分子不断升级的诈骗手段，增加社会经验，增强防范心理。

首先，要客观地认识社会工程学诈骗犯罪。犯罪作为一种社会现象，有着差异而又各自特定的犯罪情境，尤其是社会工程学诈骗这类侵财型犯罪，发案率一直保持较高的势头，我们个体在日常活动中难免会不自觉的进入犯罪分子为我们刻意营造的社会工程学诈骗的犯罪情境，这就要求我们要随时具备防范意识，以采取必要的应对措施。但是，一旦自己或身边的人遭遇此类犯罪一定要尽快调整心态，及时报案，积极为警方提供破案线索，也有助于及时挽回被害人损失。

其次，随时保持警惕。互联网时代，人们面对的是机器，不能通过交流对象的眼神和肢体语言辨别所传递的信息的真伪性，因此，在网上冲浪的网民要随时保持警惕，对网上传递的一切信息保持质疑的态度。在心理学层面，行为人要想保持头脑清醒的前提就是拥有质疑的态度，它可以帮助行为人在做出决策前谨慎的思考。行为人一旦具备这种意识，就会对诈骗信息形成敏锐的洞察力，及时揭穿犯罪人的虚假面目，让犯罪分子无机可乘。

最后，认真汲取自己或他人的被害教训。被害教训是指从自己或他人的被害经历中得到的经验或认识。人们往往对亲身经历或发生在身边的案例感同身受，才会重视起来。了解并分析是哪些因素招致了被害，一方面及时消除自身存在的致害因素，以防再次被害；另一方面，加大对预防社会工程学诈骗的重视程度，学习应对之策。

（二）培养理性的情感、坚强的意志

1.训练理性思维。理性思维是一种明确清晰的思维模式，不会被情绪左右，能对事物或问题进行观察、比较、分析、综合与概括。在接收到“事故”或“中奖”诈骗信息的当下，巨大焦虑、恐慌或欣喜的心理，很少有人能够保持理性的思维状态，那些不能理性决策的人就成为了社会工程学诈骗的被害人。理性思维属于人类高级思维，但理性思维能力不是与生俱来的，可以经过后天的训练，其中核心就是要消除外界情绪的干扰。情绪会控制行为人的行为，尤其是极度惊喜或慌张，往往做出的行为是由这种情绪刺激完成的，不能经过大脑思维和判断。应用到社会工程学诈骗中，当收到诈骗信息时，即使是熟人发生的紧急事故，也不能让外界情绪占据大脑，影响自己的判断力，而应当尽快冷静下来，调整心态，从事实出发，分析是否存在被诈骗的可能性并及时核实信息的真实性，理智地做出应对行为。

2.克服从众心理。从众心理带来的消极影响不仅会束缚思维，习惯于墨守成规，失去独立思考的能力，而且容易不相信自己的判断，不敢坚持己见。互联网时代下，信息的真实性难以确定，从众只会使人误入歧途。因此，面对五花八门的网络信息，我们要培养独立思考和坚持己见的能力，坚决避免盲从。可以从教育、心理、法律、文化等多方面入手，首先要学会独立思考和决策，得出自己的结论，在对网络信息进行了必要的过滤、筛选和分析后，再判断事件真伪；其次要敢于坚持，保持独立性，对认为是正确的意见或结论应该坚持，切记不要随大流，以免被犯罪分子利用。凡是遇到转账、汇款等要求，应当充分了解对方的实际情况，不要听信只言片语，因为网络上的任何信息都是可以伪造的，做一个明辨是非、对自己行为负责的人，在当今时代是非常有必要的。

（三）训练健康人格

被害人个性缺陷和不良的生活方式是诈骗活动发生的导火索。被害人应当认识到，网络世界的虚拟性使得犯罪分子可以在电脑的另一端随心所欲地扮演任何角色，无论年龄、性别、职业都可以是虚假的。因此，第一，抵制过度的网上交友。网络上不乏志趣相投的朋友，但是不了解对方真实背景的情况下，应当懂得保护自己，不能一味地脱离现实生活中的社交圈而在网络世界中寻求安慰。在社会工程学诈骗的案例中，不少被害人是被自己的“好友”欺骗，这种类型的犯罪人当初就是带着犯罪意图和被害人接近，在短时间内和被害人聊得“水深火热”，增强被害人对他的信任感，但是时间不久就会以各种理由提出借钱等要求，而这种情况下的被害人往往都会心甘情愿地交付钱财。因此，网络交友一定要慎重，不要轻易暴露自己的真实信息，也不要轻易相信对方发布的信息，培养良好的社交习惯。第二，培养周全的办事能力。遇到亲友在网络聊天中借钱的要求时，要经过电话等多方途径、找多人核实，在视频聊天时，要学会辨认是否是实时在线的视频模式，确定情况是否属实再做出决定。

（四）保护个人信息

大数据时代下，每个互联网用户的上网痕迹和电子信息都可能会被犯罪分子刻意“整理”出来，变为非法获益的工具。2012年公安部门曾开展专项行动，仅仅一年多时间，全国共抓获侵害公民个人信息方面犯罪嫌疑人4115名，查获被盗取的各类公民个人信息近50亿条。因此，保护个人信息迫在眉睫。用户在网上冲浪时，切记不要随意泄漏自己的真实信息，也不要轻易相信网络好友传递的消息，避免让犯罪分子有机可乘，这样才能大大降低被害性。

［1］Christopher Hadnagy.社会过程——安全体系中的人性漏洞［M］.北京：人民邮电出版社，2010：153.

［2］公安部政治部.犯罪心理学［M］.北京:中国人民公安大学出版社，2014:78.

［3］（日）内藤谊人.不上当的心理学——一眼看穿骗子的操纵术［M］.王健，译.海南：南方出版社，2014：16.

［4］李伟.犯罪被害人学［M］.北京：中国人民公安大学出版社，2010：85.

［5］宋浩波.犯罪被害人与犯罪被害预防［J］.湖南公安高等专科学校学报，2004，（4）：74.

［6］王可群.试论被害预防［J］.山西警官高等专科学校学报，2003，（3）：37.

［7］大数据时代，人的隐私在哪里［N］.法制日报，2015-04-07（07）.