[关键词]社会工程学;
信息安全攻击;
心理规律 1社会工程学概述 社会工程学是一种针对受害者的心理弱点、本能反应、 好奇心、信任、贪婪等心理陷阱,实施诸如欺骗、伤害等危 害的方法。社会工程学攻击是一种利用以上这些心理弱点获 取系统口令、关键安全信息、金钱利益的攻击方法。社会工 程学的载体是网络,进攻的途径即为利用人的心理弱点,其 应用效果及频度与网络发达程度正相关。美国心理学家米尔 格兰姆(StanleyMilgram)提出的六度分割理论是社会工程 学应用的主要理论依据,该理论认为世界上任意两人之间最 多只需经手6个人便能建立联系。近50年来,随着网络与社交 平台快速发展,这一数值正在逐渐下降,全球最大社交网站 Facebook2011年底的报告指出,这个数值已经降到5人以下,表明陌生人之间的联系存在且能够找到,所以充分挖掘及利 用这些联系成为社会工程学的重要依据与方法。社会工程学 以网络为载体,利用人与人、人与信息之间的关系去解决问 题,其具有如下特征。①综合集成。社会工程学以心理学、 社会学等多学科为基础,强调学科间理论的综合作用。②信 息拓扑。根据网络中的信息碎片与人的活动痕迹进行分析推 理,再将结果与其他信息关联,逐渐获得完整清晰的信息拓 扑结构。③手段隐蔽。入侵者采用社会工程学攻击时为规避 风险总会采用各种手段藏匿自己的痕迹,导致受害者意识滞 后或毫无意识。④复杂关联。社会工程学攻击往往从零散信 息切入,经过分析与整合之后了解用户的行为与事件,再去 挖掘潜在有用信息。⑤欺骗性。社会工程学进攻实施中常常 有显在的主观欺骗因素,去影响被害人的行为。
2社会工程学攻击的主要手段 2.1伪装欺骗伪装欺骗往往有两种形式,一是信息伪装, 二是身份伪装。信息伪装即通常利用电话录音、网络病毒、 欺骗性的电子邮件和伪造的Web站点来进行诈骗活动。其中 “网络钓鱼攻击”(Phisingattack)最为常见。近些年出 现了多起银行、交易平台等主页被恶意网站假冒并进行诈骗 钱财的事件,受骗者往往没有识别出这些伪装过的网站继而 泄露出自己信用卡号、账户和口令等重要内容。身份伪装是 社会工程学入侵中一项极其重要的工作,以便攻击者能够在 与被攻击者接触时减少其疑虑、博得好感、增强信任,最终使被攻击者透露更多他想要的信息。2.2引诱欺骗引诱欺骗 是利用计算机用户寻求便利、知识匮乏、侥幸贪婪等心理弱 点诱使其主动地打开邮件、网站或下载程序,执行危险操作, 比如:一些攻击者冒充某技术公司向用户主动提供技术支持, 当用户回复了这样的邮件或点击了邮件中的“免费服务”链 接,便使攻击者与用户的计算机系统建立了互动,并一步步 在你计算机系统中争取到更大的权限。2.3说服与服从说服 是为了增强被攻击者主动完成所指派的任务的顺从意识,从 而使攻击者被充分信任并获得所需信息,为其下一步的攻击 提供条件,例如:某企业内部人员对公司心存不满甚至有了 报复心理时,他就很容易成为攻击者的帮手,被攻击者说服 主动帮助其获取信息或资料。而服从对于上下级关系严苛的 群体成员来说,更为有效,攻击者常常冒充上级下达指令使 被攻击者无条件执行。2.4恭维恭维利用的是大多数人爱听 好话的虚荣心理实施欺骗。攻击者往往态度友善、说话得体, 常常会不失时机而又自然而然地恭维他人。当被害人正自我 感觉良好时,就会降低防范,表现得更为友好,并愿意与攻 击者合作。2.5恐吓大部分计算机使用者对系统漏洞、病毒 等内容比较排斥和敏感,会害怕和担心自己的系统出现问题。
当攻击者以权威机构的面目出现,针对被攻击者的系统安全 问题进行恐吓欺骗时,被攻击者出于自我保护很快会被诱骗 成功,按照攻击者的要求逐步操作,最终导致安全防御被攻 破。3社会工程学攻击的心理机制分析 引发人行为的因素多种多样,人也有规避风险的心理。
但是社会工程学攻击的驱动力却恰恰利用人们心理的一些 普遍规律和机制,从而达到了窃取信息危害安全的目的。3.1 神经语言程序神经语言程序 (Neuro-LinguisticProgramming,NLP)是关于人类语言与 沟通程序的一套模式。这种理论认为人们思维及行为上的习 惯,就如同电脑中的程序,可以通过更新软件的方式实现其 改变。在利用社会工程学攻击过程中,攻击者通过自我控制 神经系统达到影响被攻击者的目的。如前文所述,经常使用 的社会工程学方法就是伪装欺骗,例如:通过行为、语言等 方面的伪装冒充行业内部的人员,那么人们会很自然地相信 那些熟悉公司内部业务流程和专业用语的人,NLP把这种技 法称之为模仿。如果在行为上的模仿无误,别人便不会对他 产生怀疑接下来如再提出进一步请求,如询问口令或讨论重 要情报。3.2虚假同感偏差虚假同感偏差 (falseconsensusbias)指人们常常高估或夸大自己的信念、 判断及行为的普遍性――即每个人都觉得别人和自己想的 一样,但有时事实上却并非如此,例如:某黑客破坏了一个 网络系统并引起一些故障,然后宣称他是来进行技术帮助的, 人们往往在出现故障无从解决的情况下,更加坚定地相信这 名黑客是来提供帮助的,而不会进行更多怀疑,在这种情况 下黑客就轻而易举得到了他想窃取的资料和信息。3.3从众心理反应从众心理是指个人的观念和行为受到外界群体的 影响而与多数人趋于一致的现象。从众的内在心理原因是害 怕自己做错或害怕自己被群体排斥,正是这种心理,人们就 会选择和大家一样的行为来减少自己内心的不安和焦虑,比 如:在运用社会工程学攻击时,隐蔽的黑客单独告诉一个攻 击对象其他人都已经按自己的要求提供了信息,那么这个被 攻击者就会轻而易举地选择和大家一样的行为,向黑客泄露 重要的信息或情报。3.4服从理论服从是人由于外在强制力 或他人影响而做出的遵照、顺从行为。社会工程学攻击最常 利用的就是对权威的服从,有时这种服从会超越规则的约束 甚至道德的判断,比如:在黑客利用电子邮件进行诱骗时, 常常把发件人篡改为被攻击者的权威上司或是上级授权人 员,让收件人笃信权威,掉入陷阱。3.5刻板效应影响刻板 印象指人们常常对某个社会群体形成的一种概括而固定的 看法。刻板印象是固化的,很难随着环境的改变而改变,比 如:人们看到微软公司的制服和工作证,会坚信他是规范的、 专业的和安全的,因此,会放松警惕丝毫不会产生怀疑。社 会工程学攻击的手段看似并不复杂,但是它的攻击效果却很 明显,目前,人们还没有完善的技术防御手段,难以控制掌 握信息和设备的“人”的因素,但是人们若能了解其实施的 心理原理和机制,有针对性地进行防范和教育,就会最大限 度地减少安全隐患和各类损失。
主要参考文献[1]周磊.浅谈社会工程学攻击与防范[J].计算机光 盘软件与应用,2013(15). [2]李术红.思想政治教育心理学学科建构研究[D]. 哈尔滨:哈尔滨工程大学,2014. [3]吕方兴.网络钓鱼的特点与形式[J].科技视 界,2012(26). [4]薛晨,杨世平.基于社会工程学的入侵渗透的研究 [J].贵州大学学报:自然版,2015(1). [5]韩臻.信息安全工作需关注心理学的研究及应用 [J].信息安全与通信保密,2010(1). [6]林晶,王天羲,石元泉,等.社会工程学背景下的网 络安全[J].怀化学院学报,2013(5).
扩展阅读文章
推荐阅读文章
推荐内容
钻爱网 www.zuanai.cn
Copyright © 2002-2018 . 钻爱网 版权所有 湘ICP备12008529号-1