王楠 单棣斌 岳婷 许存
[摘要]2016年第三届世界互联网大会上多国领导人均指出保障网络安全促进有序发展,是全球网络空间在当今世界面临的一项重要任务。现代社会的建设发展、国防体系的强化已经离不开信息技术,但信息安全与国防安全问题也随之而来。随着不断更新的安全技术被相继开发出来,利用技术弱点进行安全攻击越来越困难,更多的攻击者将“人”作为突破口,寻求攻击漏洞,给个人、集体和国家利益造成了巨大损失。把握社会工程学的心理规律特点,有效地进行信息安全防御,有助于降低个人和社会损失。
[关键词]社会工程学;信息安全攻击;心理规律
doi:10.3969/j.issn.1673 - 0194.2017.02.100
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2017)02-0-02
1 社会工程学概述
社会工程学是一种针对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱,实施诸如欺骗、伤害等危害的方法。社会工程学攻击是一种利用以上这些心理弱点获取系统口令、关键安全信息、金钱利益的攻击方法。社会工程学的载体是网络,进攻的途径即为利用人的心理弱点,其应用效果及频度与网络发达程度正相关。
美国心理学家米尔格兰姆(Stanley Milgram)提出的六度分割理论是社会工程学应用的主要理论依据,该理论认为世界上任意两人之间最多只需经手6个人便能建立联系。近50年来,随着网络与社交平台快速发展,这一数值正在逐渐下降,全球最大社交网站Facebook 2011年底的报告指出,这个数值已经降到5人以下,表明陌生人之间的联系存在且能够找到,所以充分挖掘及利用这些联系成为社会工程学的重要依据与方法。
社会工程学以网络为载体,利用人与人、人与信息之间的关系去解决问题,其具有如下特征。①综合集成。社会工程学以心理学、社会学等多学科为基础,强调学科间理论的综合作用。②信息拓扑。根据网络中的信息碎片与人的活动痕迹进行分析推理,再将结果与其他信息关联,逐渐获得完整清晰的信息拓扑结构。③手段隐蔽。入侵者采用社会工程学攻击时为规避风险总会采用各种手段藏匿自己的痕迹,导致受害者意识滞后或毫无意识。④复杂关联。社会工程学攻击往往从零散信息切入,经过分析与整合之后了解用户的行为与事件,再去挖掘潜在有用信息。⑤欺骗性。社会工程学进攻实施中常常有显在的主观欺骗因素,去影响被害人的行为。
2 社会工程学攻击的主要手段
2.1 伪装欺骗
伪装欺骗往往有两种形式,一是信息伪装,二是身份伪装。信息伪装即通常利用电话录音、网络病毒、欺骗性的电子邮件和伪造的Web站点来进行诈骗活动。其中“网络钓鱼攻击”(Phising attack)最为常见。近些年出现了多起银行、交易平台等主页被恶意网站假冒并进行诈骗钱财的事件,受骗者往往没有识别出这些伪装过的网站继而泄露出自己信用卡号、账户和口令等重要内容。身份伪装是社会工程学入侵中一项极其重要的工作,以便攻击者能够在与被攻击者接触时减少其疑虑、博得好感、增强信任,最终使被攻击者透露更多他想要的信息。
2.2 引诱欺骗
引诱欺骗是利用计算机用户寻求便利、知识匮乏、侥幸贪婪等心理弱点诱使其主动地打开邮件、网站或下载程序,执行危险操作,比如:一些攻击者冒充某技术公司向用户主动提供技术支持,当用户回复了这样的邮件或点击了邮件中的“免费服务”链接,便使攻击者与用户的计算机系统建立了互动,并一步步在你计算机系统中争取到更大的权限。
2.3 说服与服从
说服是为了增强被攻击者主动完成所指派的任务的顺从意识,从而使攻击者被充分信任并获得所需信息,为其下一步的攻击提供条件,例如:某企业内部人员对公司心存不满甚至有了报复心理时,他就很容易成为攻击者的帮手,被攻击者说服主动帮助其获取信息或资料。而服从对于上下级关系严苛的群体成员来说,更为有效,攻击者常常冒充上级下达指令使被攻击者无条件执行。
2.4 恭维
恭维利用的是大多数人爱听好话的虚荣心理实施欺骗。攻击者往往态度友善、说话得体,常常会不失时机而又自然而然地恭维他人。当被害人正自我感觉良好时,就会降低防范,表现得更为友好,并愿意与攻击者合作。
2.5 恐吓
大部分计算机使用者对系统漏洞、病毒等内容比较排斥和敏感,会害怕和担心自己的系统出现问题。当攻击者以权威机构的面目出现,针对被攻击者的系统安全问题进行恐吓欺骗时,被攻击者出于自我保护很快会被诱骗成功,按照攻击者的要求逐步操作,最终导致安全防御被攻破。
3 社会工程学攻击的心理机制分析
引发人行为的因素多种多样,人也有规避风险的心理。但是社会工程学攻击的驱动力却恰恰利用人们心理的一些普遍规律和机制,从而达到了窃取信息危害安全的目的。
3.1 神经语言程序
神经语言程序(Neuro-Linguistic Programming,NLP)是关于人类语言与沟通程序的一套模式。这种理论认为人们思维及行为上的习惯,就如同电脑中的程序,可以通过更新软件的方式实现其改变。在利用社会工程学攻击过程中,攻击者通过自我控制神经系统达到影响被攻击者的目的。如前文所述,经常使用的社会工程学方法就是伪装欺骗,例如:通过行为、语言等方面的伪装冒充行业内部的人员,那么人们会很自然地相信那些熟悉公司内部业务流程和专业用语的人,NLP把这种技法称之为模仿。如果在行为上的模仿无误,别人便不会对他产生怀疑接下来如再提出进一步请求,如询问口令或讨论重要情报。
3.2 虚假同感偏差
虚假同感偏差(false consensus bias)指人们常常高估或夸大自己的信念、判断及行为的普遍性——即每个人都觉得别人和自己想的一样,但有时事实上却并非如此,例如:某黑客破坏了一个网络系统并引起一些故障,然后宣称他是来进行技术帮助的,人们往往在出现故障无从解决的情况下,更加坚定地相信这名黑客是来提供帮助的,而不会进行更多怀疑,在这种情况下黑客就轻而易举得到了他想窃取的资料和信息。
3.3 从众心理反应
从众心理是指个人的观念和行为受到外界群体的影响而与多数人趋于一致的现象。从众的内在心理原因是害怕自己做错或害怕自己被群体排斥,正是这种心理,人们就会选择和大家一样的行为来减少自己内心的不安和焦虑,比如:在运用社会工程学攻击时,隐蔽的黑客单独告诉一个攻击对象其他人都已经按自己的要求提供了信息,那么这个被攻击者就会轻而易举地选择和大家一样的行为,向黑客泄露重要的信息或情报。
3.4 服从理论
服从是人由于外在强制力或他人影响而做出的遵照、顺从行为。社会工程学攻击最常利用的就是对权威的服从,有时这种服从会超越规则的约束甚至道德的判断,比如:在黑客利用电子邮件进行诱骗时,常常把发件人篡改为被攻击者的权威上司或是上级授权人员,让收件人笃信权威,掉入陷阱。
3.5 刻板效应影响
刻板印象指人们常常对某个社会群体形成的一种概括而固定的看法。刻板印象是固化的,很难随着环境的改变而改变,比如:人们看到微软公司的制服和工作证,会坚信他是规范的、专业的和安全的,因此,会放松警惕丝毫不会产生怀疑。
社会工程学攻击的手段看似并不复杂,但是它的攻击效果却很明显,目前,人们还没有完善的技术防御手段,难以控制掌握信息和设备的“人”的因素,但是人们若能了解其实施的心理原理和机制,有针对性地进行防范和教育,就会最大限度地减少安全隐患和各类损失。
主要参考文献
[1]周磊.浅谈社会工程学攻击与防范[J].计算机光盘软件与应用,2013(15).
[2]李术红.思想政治教育心理学学科建构研究[D].哈尔滨:哈尔滨工程大学,2014.
[3]呂方兴.网络钓鱼的特点与形式[J].科技视界,2012(26).
[4]薛晨,杨世平.基于社会工程学的入侵渗透的研究[J].贵州大学学报:自然版,2015(1).
[5]韩臻.信息安全工作需关注心理学的研究及应用[J].信息安全与通信保密,2010(1).
[6]林晶,王天羲,石元泉,等.社会工程学背景下的网络安全[J].怀化学院学报,2013(5).