黑客社会工程学攻击手段全解析

黑客社会工程学攻击手段全解析

黑客攻击用户常见的方法包括恶意钓鱼攻击、网页挂马攻击、社会工程学攻击及渗透攻击等多种方式。在前两期中我们介绍了关于恶意钓鱼攻击和网页挂马攻击的相关手段，本期我们将对黑客社会工程学攻击方式进行分析和描述，并结合实际案例分析提出可行有效的防范方法。

社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段，获取自身利益的手法。黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化，不仅能够利用系统的弱点进行入侵，还能通过人性的弱点进行入侵，当黑客攻击与社会工程学攻击融为一体时，将根本不存在所谓安全的系统。

黑客社会工程学是非传统的信息安全，它不是利用软件或系统的漏洞实现入侵的，个人用户或企业用户经常会通过安装硬件防火墙、入侵检测系统、虚拟专用网络或者其他安全软件产品的方式进行防护，但是这些并不能完全保障安全。黑客通过社会工程学攻击的方式只需要拨打一个电话，使用专用的术语，报出内部人员使用的账号信息，就可以让一个系统管理员登录系统，并通过电子邮件等方式发送过来即可获取信息。事实上，很多此类安全事件的发生就是出现在骗取敏感信息管理员或拥有者的信任，从而轻松绕过所有技术上的防护，实现恶意攻击的目的。

常见黑客社会工程学攻击方式

随着网络安全防护技术及安全防护产品应用的越来越成熟，很多常规的黑客入侵手段越来越难。在这种情况下，更多的黑客将攻击手法转向了社会工程学攻击，同时利用社会工程学的攻击手段也日趋成熟，技术含量也越来越高。黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能，以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。结合目前网络环境中常见的黑客社会工程学攻击方式和手段，我们可以将其主要概述为以下几种方式：

1. 结合实际环境渗透

对特定的环境实施渗透，是黑客社会工程学攻击为了获取所需要的敏感信息经常采用的手段之一。黑客通过观察被攻击者对电子邮件的响应速度、重视程度以及与被攻击者相

关的资料，如个人姓名、生日、电话号码、电子邮箱地址等，通过对这些搜集的信息进行

综合利用，进而判断被攻击的账号密码等大致内容，从而获取敏感信息。

2. 伪装欺骗被攻击者

伪装欺骗被攻击者也是黑客社会工程学攻击的主要手段之一。我们在前几期中介绍的

电子邮件伪造攻击、网络钓鱼攻击等攻击手法均可以实现伪造欺骗被攻击者，可以实现诱

惑被攻击者进入指定页面下载并运行恶意程序，或者是要求被攻击者输入敏感账号密码等

信息进行“验证”等，黑客利用被攻击者疏于防范的心理引诱用户进而实现伪装欺骗的目的。据网络上的调查结果显示，在所有的网络伪装欺骗的用户中，有高达5%的人会对黑客设

好的骗局做出响应。

3. 说服被攻击者

说服是对互联网信息安全危害较大的一种黑客社会工程学攻击方法，它要求被攻击者

与攻击者达成某种一致，进而为黑客攻击过程提供各种便利条件，当被攻击者的利益与黑

客的利益没有冲突时，甚至与黑客的利益一致时，该种手段就会非常有效。

4. 恐吓被攻击者

黑客在实施社会工程学攻击过程中，常常会利用被攻击目标管理人员对安全、漏洞、

病毒等内容的敏感性，以权威机构的身份出现，散布安全警告、系统风险之类的消息，使

用危言耸听的伎俩恐吓、欺骗被攻击者，并声称不按照他们的方式去处理问题就会造成非

常严重的危害和损失，进而借此方式实现对被攻击者敏感信息的获取。

5. 恭维被攻击者

社会工程学攻击手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能，善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置攻击陷阱，实施欺骗，并控制他人意志为己服务。他们通常十分友善，讲究说话的艺术，知道如何借助机会去恭

维他人，投其所好，使多数人友善地做出回应。

6. 反向社会工程学攻击

反向社会工程学是指黑客通过技术或者非技术手段给网络或者计算机制造故障，使被

攻击者深信问题的存在，诱使工作人员或者网络管理人员透漏或者泄露攻击者需要获取的

信息。这种方法比较隐蔽，危害也特别大，不容易防范。

黑客社会工程学攻击实例解析

常见的黑客社会工程学攻击方式包括伪造邮件攻击方式、网络钓鱼攻击方式、诱骗点

击恶意挂马网页方式、社交网站利用方式、社工字典利用方式、搜索引擎利用方式、辅助

安全问题利用方式等。其中，关于伪造邮件攻击、网络钓鱼攻击、网页挂马攻击、社交网

站利用方式我们已经在以前的相关文章中进行介绍，在此不再赘述。下面我们结合实际对

其余其中攻击案例进行描述。

1. 利用社会工程学字典实施暴力破解

暴力破解可以说是一门历史很悠久的黑客攻击手法，黑客通过一定的算法生成大量的

密码信息，并将每一条密码与被攻击者的账号进行匹配测试，如果匹配测试成功，则黑客

即可成功获取被攻击者的账号密码信息。过去，由于网民、网站管理员的安全意识比较薄弱，密码如123456、555555等弱口令的应用范围相当之广，黑客的暴力破解成功率也相对较高。然而，随着网民、网站管理员安全意识的不断提升，弱口令出现的概率也越来越低，更多的密码字符串中包含了大小写字母、数字以及特殊字符等，使得利用传统黑客字典的

暴力破解根本没有发挥作用的空间。社会工程学字典就是在这种情况下被黑客发明并使用的，黑客通过分析网民用户密码的特点，结合了与被攻击者个人信息相关的数据内容，发

明了黑客社会工程学字典，如下图1所示。

图1

黑客社会工程学字典中结合了被攻击者的用户名、生日、邮箱、手机号等多种涉及到网络环境中网民密码常见的字符串信息，并根据这些信息生成相应的字典文件，如下图2所示，分别是使用传统黑客字典和黑客社会工程学字典生成的密码序列。

图2