论文部分内容阅读
【摘 要】随着信息社会的发展,社会工程学成为信息安全领域的重要课题。运用社会工程学进行的攻击,往往能成功绕过防范森严的安全系统,欺骗原本精明的人,窃取到秘密信息。本文讨论的内容,就是社会工程学攻击的主要方法,以及如何防范社会工程学攻击。
【关键词】社会工程学;入侵;欺诈;防御
一、社会工程学
2002年,臭名昭著的黑客米特尼克在其著作《欺骗的艺术》中创造了一个崭新的名词——社会工程学(Social Engineering),至此,一种早已在信息领域大行其道的黑色技能,首次全面、系统的展示在世人的面前。
社会工程学严格意义上并不是一门学科,它是一种在信息不对称的社交环境中,以信息网络为媒介,利用人的心理弱点、规章制度的漏洞等进行诸如欺骗、伤害等危害手段,来获取所需信息的方法的统称。之所以不算学科,是因为运用社会工程学进行攻击的方法难于进行复制和总结,尤其是在信息量充足的情况下,很容易失效。
在信息安全技术不断发展的今天,从技术层面上看,层出不穷的安全技术手段让入侵者日益举步维艰。但从系统层面上看,整个系统最大安全漏洞,却是身为管理者或使用者的人,因为无论多么精明的人都会存在性格缺点,这是长期养成而难于根除的。社会工程学攻击的目标,就是作为系统最短板的人。
二、常见攻击模式
(一)直接进入
这是最原始却似乎长期有效的入侵方式。当攻击者无法从外部攻破严密设防的系统时,他们就会设法以维修工、技术顾问、外卖送货员甚至清洁工等身份,光明正大地进入关键部门场所,伺机寻找口令或相关信息。
(二)身份伪装
攻击者利用搜索引擎、企业网站、废弃资料等信息来源通道,采集被攻击者的身份信息,并利用这些信息进行身份伪装,通过电话、网络聊天软件等通信渠道,冒充部门主管、求助人员、友邻单位人员等,要求提供所需信息。
(三)密码猜解
通过分析被攻击者的心理,猜解其采用的密码体系结构,可以比暴力破解方式更快的获取用户密码。常见的猜解方法包括针对用户姓名、出生年月日、电话号码、QQ号、身份证号码,以及网站IP、域名、服务器默认使用密码甚至常用数字序列进行破解。
(五)心理学攻击
利用信息通道的闭塞,编造虚假信息进行心理学攻击,造成被攻击对象心理上的不断增强的不安、恐慌,已达到欺诈的 目的。最典型的案例是:行骗者用软件不停顿呼叫某一目标人手机,使其不胜骚扰而选择关机;同时联系其亲友,声称其遭遇车祸需要巨额现金;亲人拨打其电话始终无法拨通,在忧心忡忡之中最终信以为真,将钱款打入骗子账号。
(六)钓鱼网站
这是一种诱使用户主动提交真实信息的攻击方式——利用伪造的购物、求职网站等来进行攻击。被攻击者一旦受骗,将会没有防备的填写并提交各种重要信息,如姓名、账户、电话号码、口令和身份证号码等。微博上曾经发生过伪造淘宝网站的钓鱼事件,造成大量淘宝用户的用户名和密码泄露。
(七)反向社会工程学攻击
之所以是反向社会工程学攻击,是因为这种攻击方法与其他方法不同——迫使被攻击者反过来向攻击者求助。反向社会工程学攻击要求攻击者具备专业的技术技能,取得目标系统的简单权限并留下错误提示信息,诱使被攻击者请求帮助,冒充为维护人员的攻击者,在帮助用户解决问题的过程中,进一步获得所需信息。这是最复杂、却最有效的社会工程学攻击方式。
三、如何防范攻击
近年来,随着技术的进步,信息网络扩张到社会生活的每个角落,给社会工程学攻击提供了更广阔的发挥空间。利用社会工程学手段,突破信息安全防御措施的事件,呈现出上升甚至泛滥的趋势。那么,如何防范社会工程学攻击,保障自身和企业信息安全?
(一)掌握相关知识。
孙子有云:知己知彼,百战不殆。过去人们对于网络攻击,往往更偏重于技术,迷信于安全解决方案,而很少意识到,整个体系的短板在于人性,而忽视了对社会工程学的了解。因此,防范社会工程学攻击,首先要了解和掌握其攻击的原理和方式,这样才有助于增强防范意识。
(二)严格规章制度
对于企业而言,制定一套严格的安全保密制度并大力推行,是刻不容缓的。比如,对于涉及秘密信息的办公场所,制定严格的人员出入制度;尽量避免在电话、互联网上为身份存疑者提供敏感信息;废弃资料不能随意丢弃等等。
(三)时刻保持理智
在社会工程学攻击的案例中,大部分受骗者,都因为一时贪念而选择信任对方。贪婪人是天生的缺陷,也是社会工程学攻击的最基本突破口之一。所以,在“好运当头”时应努力保持理智。一个人长葆淡定平常的心态,不但能减少被骗的几率,更有助于其本身的身心健康。
(四)怀疑一切被动信息
怀疑是一种可贵的精神。对于意料之外收到的信息,应当首先以怀疑的眼光去审视并进行证伪。
四、结论
研究防范社会工程学攻击的最终目的,就是弥补人性的缺陷,增高信息安全木桶的最短一块木板。
参考文献:
[1] 侯剑华.社会工程学研究的演进与发展对策探析.西安交通大学学报(社会科学版) 2012年9月第32卷第5期(总115期).
【关键词】社会工程学;入侵;欺诈;防御
一、社会工程学
2002年,臭名昭著的黑客米特尼克在其著作《欺骗的艺术》中创造了一个崭新的名词——社会工程学(Social Engineering),至此,一种早已在信息领域大行其道的黑色技能,首次全面、系统的展示在世人的面前。
社会工程学严格意义上并不是一门学科,它是一种在信息不对称的社交环境中,以信息网络为媒介,利用人的心理弱点、规章制度的漏洞等进行诸如欺骗、伤害等危害手段,来获取所需信息的方法的统称。之所以不算学科,是因为运用社会工程学进行攻击的方法难于进行复制和总结,尤其是在信息量充足的情况下,很容易失效。
在信息安全技术不断发展的今天,从技术层面上看,层出不穷的安全技术手段让入侵者日益举步维艰。但从系统层面上看,整个系统最大安全漏洞,却是身为管理者或使用者的人,因为无论多么精明的人都会存在性格缺点,这是长期养成而难于根除的。社会工程学攻击的目标,就是作为系统最短板的人。
二、常见攻击模式
(一)直接进入
这是最原始却似乎长期有效的入侵方式。当攻击者无法从外部攻破严密设防的系统时,他们就会设法以维修工、技术顾问、外卖送货员甚至清洁工等身份,光明正大地进入关键部门场所,伺机寻找口令或相关信息。
(二)身份伪装
攻击者利用搜索引擎、企业网站、废弃资料等信息来源通道,采集被攻击者的身份信息,并利用这些信息进行身份伪装,通过电话、网络聊天软件等通信渠道,冒充部门主管、求助人员、友邻单位人员等,要求提供所需信息。
(三)密码猜解
通过分析被攻击者的心理,猜解其采用的密码体系结构,可以比暴力破解方式更快的获取用户密码。常见的猜解方法包括针对用户姓名、出生年月日、电话号码、QQ号、身份证号码,以及网站IP、域名、服务器默认使用密码甚至常用数字序列进行破解。
(五)心理学攻击
利用信息通道的闭塞,编造虚假信息进行心理学攻击,造成被攻击对象心理上的不断增强的不安、恐慌,已达到欺诈的 目的。最典型的案例是:行骗者用软件不停顿呼叫某一目标人手机,使其不胜骚扰而选择关机;同时联系其亲友,声称其遭遇车祸需要巨额现金;亲人拨打其电话始终无法拨通,在忧心忡忡之中最终信以为真,将钱款打入骗子账号。
(六)钓鱼网站
这是一种诱使用户主动提交真实信息的攻击方式——利用伪造的购物、求职网站等来进行攻击。被攻击者一旦受骗,将会没有防备的填写并提交各种重要信息,如姓名、账户、电话号码、口令和身份证号码等。微博上曾经发生过伪造淘宝网站的钓鱼事件,造成大量淘宝用户的用户名和密码泄露。
(七)反向社会工程学攻击
之所以是反向社会工程学攻击,是因为这种攻击方法与其他方法不同——迫使被攻击者反过来向攻击者求助。反向社会工程学攻击要求攻击者具备专业的技术技能,取得目标系统的简单权限并留下错误提示信息,诱使被攻击者请求帮助,冒充为维护人员的攻击者,在帮助用户解决问题的过程中,进一步获得所需信息。这是最复杂、却最有效的社会工程学攻击方式。
三、如何防范攻击
近年来,随着技术的进步,信息网络扩张到社会生活的每个角落,给社会工程学攻击提供了更广阔的发挥空间。利用社会工程学手段,突破信息安全防御措施的事件,呈现出上升甚至泛滥的趋势。那么,如何防范社会工程学攻击,保障自身和企业信息安全?
(一)掌握相关知识。
孙子有云:知己知彼,百战不殆。过去人们对于网络攻击,往往更偏重于技术,迷信于安全解决方案,而很少意识到,整个体系的短板在于人性,而忽视了对社会工程学的了解。因此,防范社会工程学攻击,首先要了解和掌握其攻击的原理和方式,这样才有助于增强防范意识。
(二)严格规章制度
对于企业而言,制定一套严格的安全保密制度并大力推行,是刻不容缓的。比如,对于涉及秘密信息的办公场所,制定严格的人员出入制度;尽量避免在电话、互联网上为身份存疑者提供敏感信息;废弃资料不能随意丢弃等等。
(三)时刻保持理智
在社会工程学攻击的案例中,大部分受骗者,都因为一时贪念而选择信任对方。贪婪人是天生的缺陷,也是社会工程学攻击的最基本突破口之一。所以,在“好运当头”时应努力保持理智。一个人长葆淡定平常的心态,不但能减少被骗的几率,更有助于其本身的身心健康。
(四)怀疑一切被动信息
怀疑是一种可贵的精神。对于意料之外收到的信息,应当首先以怀疑的眼光去审视并进行证伪。
四、结论
研究防范社会工程学攻击的最终目的,就是弥补人性的缺陷,增高信息安全木桶的最短一块木板。
参考文献:
[1] 侯剑华.社会工程学研究的演进与发展对策探析.西安交通大学学报(社会科学版) 2012年9月第32卷第5期(总115期).