社会工程学的应用与防范

1.引言

社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上，并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的方法。

“社会工程学攻击”就是利用人们的心理特征，骗取用户的信任，获取机密信息、系统设置等不公开资料，为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后，起决定因素的不再是技术问题，而是人和管理。网络安全往往容易被入侵者从内部攻破，而利用社会工程学进行网络攻击，有点像电影或者小说中的“卧底”，在获取足够有用的信息后，成功攻破网络。由于安全产品的技术越来越完善，使用这些技术的人，就成为整个环节上最为脆弱的部分，加之人具有贪婪、自私、好奇、信任等心理弱点，因此通过恰当的方法和方式，入侵者完全可以从相关人员那里获取入侵所需信息。一旦掌握了社会工程学理论，可以获取正常的访问权限，再结合一些网络攻击手段，可以很容易的攻破一个网络，而不管系统的软件和硬件的配置有多高。近年来社会工程学攻击已成迅速上升甚至滥用的趋势，在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等。

2.社会工程学网络攻击对象

2.1基于计算机或者网络的攻击

社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术，诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息，而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络攻击对技术要求较高，往往以技术为主，借助获取的有用信息实施攻击。

在这种模型中，有一种叫反社会工程学的攻击方式尤为实用，它建立在已有场景之中，入侵者利用自己的技术创造某一种真实的环境，例如网络故障，访问不了打印机等等，需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案，在解决过程中会掉入入侵者事先设计好的“陷阱”，将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备，这种攻击方式极为隐蔽很难察觉，入侵成功的几率极大，安全风险非常高。

2.2基于人的攻击

最简单也是最流行的攻击就是基于人的攻击，计算机和网络都不能脱离人的操作，在网络安全中，人是最薄弱的环节。社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。任何面对面，一对一的沟通方式都可能被利用;在这种攻击中，入侵者往往从一个地方获取的信息，通过获取的信息再次去获得新的信息，而且其中一些信息还用来验证，表明我是“真的”，从而获得被攻击者的信任，套取更多的信息。

3.网络攻击中的手段与方法

社会工程学采取直接观察、身体接触或侧面了解等手段进行信息收集。较典型的就是渗透到目标内部，通过各种方式获取情报，或者在网络上采取多种手段收集信息。从某种意义上讲，犯罪分子作案之前事先进行踩点也是利用社会工程学的一种形式。攻击者利用社会工程学的手段多种多样，总体上分为生活中的社会工程学和网络中的社会工程学，目前社会工程学已经将最新的一些网络技术应用到其中，尤其是结合未公开的应用程序漏洞(0day)进行攻击，在杀毒软件不能对其进行查杀前，攻击效果是100%，危害巨大。

3.1 生活中的社会工程学攻击

生活中的社会工程学主要有以下几种典型的形式。

(1)环境渗透

为了获得所需要的情报或敏感信息，对特定的环境进行渗透是常规手段之一。攻击者大多采取各种手段进入目标内部，然后利用各种便利条件进行观察或窃听，得到自己所需的信息;或者与相关人员进行侧面沟通，逐步取得信任，从而获取情报。

(2)身份伪造

身份伪造是指攻击者利用各种手段隐藏真实身份，以一种目标信任的身份出现来达到获取情报的目的。攻击者大多以能够自由出入目标内部的身份出现，获取情报和信息;或者采取更高明的手段，例如：伪造身份证、ID卡等，在没有专业人士或系统检测的情况下，要识别其真伪是有一定难度的。

(3)冒名电话

冒名电话是一种简单有效的攻击手段，攻击者也不必担当很大的风险。一般情况下，攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。相对来说，冒名上司或高级官员容易一些，因为迫于一种压力，目标就算有所怀疑也不敢加以追究。利用设备转换或者模拟“正常”上司或者其他人的声音来进行电话欺骗其成功率更高。

(4)信件伪造

随着计算机应用的普及，在很多场合动笔写信被计算机所取代，于是信件伪造变得容易起来。例如伪造“中奖”信件，“被授予某某荣誉”信件，伪造“邀请参加大型活动”信件，但都需要交纳相关费用和填写详细的个人信息;或伪造“敲诈勒索”信件骗取钱财或情报等等。

(5)个体配合

个体配合是对信息安全危害较大的一种社会工程学攻击方法，它要求目标内部人员与攻击者达成某种一致，为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段，特别地，当目标的利益与攻击者的利益没有冲突，甚至与攻击者的

利益一致时，这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头，那么配和就很容易达成，他(她)甚至会成为攻击者的助手，帮助攻击者获得意想不到的情报或数据。

(6)反向社会工程学

反向社会工程学(Reverse Social Engineering)[4]是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”，使其公司员工深信，诱使工作人员或者网络管理人员透露或者泄漏攻击者需要获取的信息。该方法比较隐蔽，很难发现，危害特别大，不容易防范。

3.2 网络中的社会工程学攻击

现代的网络纷繁复杂，病毒、木马、垃圾邮件接踵而至，给网络安全带来了很大的冲击。同时，利用社会工程学的攻击手段日趋成熟，其技术含量也越来越高。下面就一些典型的形式进行分析。

(1)地址欺骗

地址欺骗是指攻击者伪装或伪造各种URL地址、隐藏真实地址，以达到欺骗目标的目的。主要有以下四种形式。

域名欺骗：https:///icbc/perbank/*********************.com,这种类型的网址对于经常上网的用户并不陌生，“@”之前的地址只是起到迷惑作用，其实真正的地址指向“”。如果把后面的地址更改为带有攻击性或感染病毒的网页就会对用户的数据安全产生危害。

IP地址欺骗：在网络协议中，IP地址能够转化为十进制数字来使用。例如主机“”的IP地址是66.102.7.147，采用66×256not;3+102×2562+7×256+147的方式计算得到1113982867，在命令行下输入“ping 1113982867”会发现有数据包回应。如果用十进制数字代替IP地址出现，就会具有很强的迷惑性。

链接文字欺骗：网页中的链接文字并不要求与实际网址相同，点击链接时，首先指向的网站地址是攻击者提供的伪地址，用户在访问攻击者提供的伪地址后再访问实际的网站网址。攻击者可以在用户访问伪地址时进行用户名和密码的劫持等，危害极大。

Unicode编码欺骗：对于Unicode编码，它本身就有一定的漏洞，同时它也给网址的识别带来了麻烦，例如“%20%30”这样的字符是很难识别其真正内容的。

(2)邮件欺骗

邮件欺骗是指攻击者通过发送垃圾邮件说服目标相信某一事件或引诱目标访问某一链接等，或者在替换邮件中的附件为木马程序，或者直接捆绑木马程序到附件中，诱使目标运行，以达到某种不可告人的目的。利用应用程序漏洞捆绑木马程序进行邮件欺骗攻击，