郑晓夏
摘 要 社会工程学是一种通过对被攻击者的心理弱点、本能反应以及好奇心、信任、贪婪等心理陷阱进行的主要以网络攻击为主要途径的攻击手段。社会工程学入侵不单单是利用计算机系统本身的漏洞,而是利用人的弱点来突破信息安全防御措施。这种手段越来越被利用在实际入侵的案例中。本文介绍了在高中校园利用社会工程学进行网络攻击的各种手段并提出了相应的防御策略。
关键词 社会工程学 高中校园 攻击 防范
中图分类号:TP393.08文献标识码:A DOI:10.16400/j.cnki.kjdkz.2015.09.068
Social Engineering Attack and Prevention
Research in High School Campus
ZHENG Xiaoxia
(Yiling High School, Yichang, Hubei 443005)
Abstract Social engineering is a kind of network attack means by using psychological trap such as the victim's psychological weakness, instinct, curiosity, trust, and greed. Social engineering invasion is not just to make use of the computer system itself, but to take advantage to people's weakness to break through the information security defense measures. This technique is more and more used in the case of actual invasion. This paper introduces network attack techniques by using social engineering in high school campus and put forward the corresponding defensive strategy.
Key words Social Engineering; High School Campus; Attack?
自人类进入二十一世纪以来,计算机技术与互联网技术获得了高速发展,信息全球化已成为人类发展的趋势,这是人类科学史上的一大进步,但是随之而来的计算机网络所受的攻击呈显著的增长趋势,网络世界的安全问题正引起人们的广泛关注。任何事物都不是十全十美的,都是有漏洞的,虽然人们为了保护网络安全,不断开发安全级别更高、技术原理更加复杂的安全产品,使得攻击者入侵变得越来越困难,①但实际上绝大多数安全事件,无论是从主现上还是从客观上讲,都存在大量的人为因素过失,换言之,人为因素是导致各种入侵得以实现的主要原因。因此,“人”在整个信息安全保障体系中,实际上发挥着十分重要的作用。从另一角度来讲,由于系统安全级别的提升,使得入侵者利用系统上的漏洞进行入侵,在技术上的困难越来越多,他们就会更多地利用人为因素或途径来进行攻击,从“人”的角度来创造新的漏洞。这种通过对被攻击者的心理弱点、本能反应以及好奇心、信任、贪婪等心理陷阱进行的主要以网络攻击为主要途径的攻击手段,就称为社会工程学攻击方法。因此,研究社会工程学在网络空间中的入侵中的方法、途径、特点,以及如何防范和降低社会工程学攻击的损失与风险,就变得十分的重要。②
爱因斯坦曾经说过,只有两种事物是无穷尽的——宇宙和人类的愚蠢。但对于前者,我不敢确定。通常,社会工程学的攻击,其频频得手的主要原因,来自于人们的某种意义上的愚蠢或者说是对信息安全实践应用方面的无知。计算机可以按照特定的指令去运行,自己不会思考,但是人不一样,有太多因素影响人们的选择,我们的生活就是在不断地进行选择,这种选择的后果我们也是无法估量的。
1社会工程学
社会工程学的概念最早是由著名黑客凯文·米特尼克在《欺骗的艺术》中提出的。目前,对于社会工程学并没有一个规范化的定义。根据《欺骗的艺术》中的描述,可以将其总结为: 社会工程学就是通过自然的、社会的和制度上的途径,利用人的心理弱点( 如人的本能反应、好奇心、信任、贪婪) 以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未经用户授权的路径访问某些敏感数据和隐私数据。③
一般地,社会工程学是一种通过对被攻击者的心理弱点、本能反应以及好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段,获取非法利益的行为,这种行为或案例近年来已经呈现显著的上升甚至于泛滥的态势。④社会工程学与一般的欺骗手法有着显著的区别,社会工程学的原理通常十分复杂,事实上,社会工程学整合了社会学、行为心理学、认知科学等多个学科门类的技术与方法,往往让人防不胜防,即使那些警惕心非常高的人,往往糊里糊涂地被高明的社会工程学手段所损害,甚至还会出现被人卖了还帮人数钱的现象。⑤社会工程学攻击往往从通常的交谈、欺骗、假冒或口语等非常普通的社会交往方式开始,从合法用户中隐蔽地套取用户系统的秘密和潜在的敏感信息,进而为后续的网络攻击提供方便。这些通过蒙敝、影响、劝导来达到获取信息的人,还有一个听起来似乎很高大上的职业名称,就是社会工程师。
因此,当网络安全技术发展到一定程度之后,真正能够起决定因素和主导作用的,就不再是技术问题了,而是相关的人员和管理方面的问题了。近年来社会工程学攻击逐渐泛滥的趋势也与现实世界中的人员和管理方面的多种因素密切相关。⑥
2社会工程学在高中校园中的入侵手段
其实,高中可以算是我们人生中的第一个转折点,所以,为了让自己的未来更明亮,我们都会很努力的埋头学习,没有太多的心思去想别的,每天三点一线的生活,算是比较封闭的,但是在这段时间,也很容易发生一些跟社会工程学扯上关系的让我们自己非常懊恼的事情。
(1)身份被盗用。这种被欺骗手段最常见于在外地上学的孩子,家离得远,父母不在身边;再者,在外地上学,父母肯定是花了大力气的,就算有再大的压力都会选择自己一个人扛,不会跟父母说。扛不住的时候可能就会向陌生人倾诉,似乎陌生人是最好的倾听者。但是在学校接触不到陌生人,只能通过网络了。现在上学的高中生,几乎每个人都有手机,手机上都有聊天软件。随便加一个陌生人,也不会刻意去了解他,可能觉得还聊得来,我们就会倾诉自己心中的苦闷,无意间就会说出自己的一些敏感信息。这对于社会工程师来说,简直就是惊喜,不需要费太大的力气就能了解到很多有用的信息。而且,社会工程师盗取一个高中生的密码不是难事。再根据他们自己说出的信息来伪装成孩子跟他们的父母聊天,社会工程师的精明足以消除他们父母的怀疑。通过这样的手段达到自己的目的应该不难。
(2)身份伪装。社会工程师现在扮演的就是陪读家长。我们学校有很多学生是有家长陪读的,在学校外面租房子,每天给学生送饭。而且陪读家长差不多都租在一个小区,偶尔一起聊聊天,打打麻将实在正常不过了。一个成功的社会工程师都具备很强的人际交往能力和人际沟通能力,他们看起來通常都非常注重礼仪、善于表达、能说会道,具有快速发展与沟通对象之间的信任程度的能力。为了孩子能考出一个非常好的成绩,可能有些家长就会走一些旁门左道,这样社会工程师完全可以利用这一心理向这些家长发送带有“高考”字样的邮件,特别是快要高考的时候,家长们肯定会迫不及待地打开邮件,然后就是社会工程师们发挥作用的时候了,不知不觉中已经获取了自己想要的信息,脱身也是很容易的,高考过后,家长们也不会再联系。
(3)信息泄密。现在有很多专门为高中生升学而开办的补习班,家长们为了让孩子考得更好,毫不犹豫地会报名,报名过程中必不可少的有信息登记这个环节,比如需要身份证号、电话号码什么的,家长们可能觉得一个补习班登记这些信息也只是为了以后上课好方便联系,不会太在意。但是在临近高考的时候,家长们会接到很多骚扰电话,非常影响自己的生活。万一有的家长信了电话,受骗了都不知道找谁理论去。这个入侵手段并不高明,但是很容易实现,补习班无非也就是为了赚钱,把信息随便的就卖给了别人,一些图谋不轨的社会工程师很容易就掌握了家长的信息。
3社会工程学的防范策略
(1)不要轻易接触陌生人。作为高中生,不了解现实社会的人心险恶。我们有压力,要寻找合适的人来倾诉,最好就是找老师。老师们不仅教给我们知识,也能在生活上指导我们,他们更能理解我们的压力,更能找出我们问题的有效解决办法。而且,我们有压力,不一定非要倾诉,我们是有自由活动时间的。闲下来的时间里,喊上一些同学,痛痛快快地打场篮球,踢场足球,或者跑跑步也是很不错的压力释放方法。
(2)不要轻信他人。社会工程师就是会利用别人的信任来获取一些不正当的利益。我们要时刻警惕,越是特殊时期越不能盲目相信他人。我们要有一定的防范意识,因为我们没有办法识别别人的好坏,只能够控制住自己。要特别注意自己的信息安全,不能轻易就泄露给别人,后果我们没有办法预测,就算是看起来对我们没有作用的信息也不可以泄露。很多看起来对我们毫无意义的信息在别人看来可不一定。
(3)别随便留下自己的信息。就算是有一些正当的理由,在填写自己的信息时也要特别注意。在非填不可的情况下,当被诈骗电话骚扰时,不要相信,必要的时候还可以举报,让大家都注意防范。我们的信息都掌握在自己手中,只要自己信息保密工作做得好,不轻易透露给别人,不法分子也就无法有别的企图。任何信息的泄露,主要原因都在自己,我们要把握好自己这一关。
4结束语
社会工程学攻击,从表面看,往往可能只是简单的欺骗,但是从网络安全的角度来看,其攻击效果可能会非常显著,其危害也可能出乎人们的意料之外,可能会具有惊人的破坏力。但是,如果我们能够全面的了解社会工程学的攻击方法或常见途径,在日常工作和生活中,注意落实各种有效的安全防范措施,提高防范意识,以主动防范的心态来面对各种可能的社会工程学攻击,也就有可能将攻击的风险降至最低水平。⑦
注释
① 姜瑜.计算机网络攻击中的社会工程学研究[J].湖南经济管理干部学院学报,2006.6:279-280.
② 黄俊强,孟昕,王智.信息安全领域社会工程学的应用[J].信息技术与标准化,2010.7:43-44.
③ 薛晨,杨世平.基于社会工程学的入侵渗透的研究[J].贵州大学学报(自然科学版),2015.(1):81-85.
④ 刘晖.社会工程学的入侵心理与对策[J].光盘技术,2009.3:22-24.
⑤ 小金.信息安全中的社会工程学 信息安全必修课[J].新电脑,2005.1:124-127.
⑥⑦冯浩,李亮.社会工程学在网络攻击中的应用与防范[J].大众商务,2009.14:169-185.