浅议社会工程学攻击和防范.doc

浅议社会工程学攻击和防范 　　摘 要：尽管现代计算机网络安全技术和手段不断发展完善，但它们对于安全所能起到的作用还是很有限的。利用社会工程学手段突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。因此，探讨社会工程学攻击的一些方式及防范措施，可以提高广大用户对抗此类攻击的能力。 关键词：社会工程学；网络攻击；网络安全；黑客防范 中图分类号：TP393.08 系统和程序所带来的安全问题往往是可以避免的，但从人性以及心理的方面来说，社会工程学往往是防不胜防的。当前，黑客已经由单纯借助技术手段进行网络远程攻击，开始转向综合采用包括社会工程学攻击在内的多种攻击方式。由于社会工程学攻击形式接近现实犯罪，隐蔽性较强，容易被忽视，但又极具危险性，因此应引起广大机构及计算机用户的高度关注和警惕。 1 社会工程学攻击的定义 社会工程学（Social Engineering）是把对物的研究方法全盘运用到对人本身的研究上，并将其变成技术控制的工具。社会工程学是一种针对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱，实施诸如欺骗、伤害等危害的方法。[1] “社会工程学攻击”就是利用人们的心理特征，骗取用户的信任，获取机密信息、系统设置等不公开资料，为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后，起决定因素的不再是技术问题，而是人和管理。[2]面对防御严密的政府、机构或者大型企业的内部网络，在技术性网络攻击不够奏效的情况下，攻击者可以借助社会工程学方法，从目标内部入手，对内部用户运用心理战术，在内网高级用户的日常生活上做文章。通过搜集大量的目标外围信息甚至隐私，侧面配合网络攻击行动的展开。 2 社会工程学网络攻击的方式 黑客在实施社会工程学攻击之前必须掌握一定的心理学、人际关系、行为学等知识和技能，以便搜集和掌握实施社会工程学攻击行为所需要的资料和信息等。结合目前网络环境中常见的黑客社会工程学攻击方式和手段，我们可以将其主要概述为以下几种方式： 2.1 网络钓鱼式攻击 “网络钓鱼”作为一种网络诈骗手段，主要是利用人们的心理来实现诈骗。攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户和口令、社保编号等内容。[3]近几年，国内接连发生利用伪装成“中国银行”、“中国工商银行”等主页的恶意网站进行诈骗钱财的事件。“网络钓鱼”是基于人性贪婪以及容易取信于人的心理因素来进行攻击的，常见的“网络钓鱼”攻击手段有：（1）利用虚假邮件进行攻击。（2）利用虚假网站进行攻击。（3）利用QQ、MSN等聊天工具进行攻击。（4）利用黑客木马进行攻击。（5）利用系统漏洞进行攻击。（6）利用移动通信设备进行攻击。 2.2 密码心理学攻击 密码心理学就是从用户的心理入手，分析对方心理，从而更快的破解出密码。掌握好可以快速破解、缩短破解时间，获得用户信息，这里说的破解都只是在指黑客破解密码，而不是软件的注册破解。[4]常见的密码心理学攻击方式：（1）针对生日或者出生年月日进行密码破解。（2）针对用户移动电话号码或者当地区号进行密码破解。（3）针对用户身份证号码进行密码破解。（4）针对用户姓名或者旁边亲友及朋友姓名进行密码破解。（5）针对一些网站服务器默认使用密码进行破解。（6）针对“1234567”等常用密码进行破解。 2.3 收集敏感信息攻击 利用网站或者用户企业处得到的信息和资料来对用户进行攻击，这一点常常被非法份子用来诈骗等。[5]常见的收集敏感信息攻击手段：（1）根据搜索引擎对目标收集信息和资料。（2）根据踩点和调查对目标收集信息和资料。（3）根据网络钓鱼对目标收集信息和资料。（4）根据企业人员管理缺陷对目标收集信息和资料。 2.4 企业管理模式攻击 专门针对企业管理模式手法进行攻击。[6]常见的企业管理模式攻击手法：（1）针对企业人员管理所带来的缺陷所得到的信息和资料。（2）针对企业人员对于密码管理所带来的缺陷所得到的信息和资料。（3）针对企业内部管理以及传播缺陷所得到的信息和资料。 3 社会工程学攻击的防范 当今，常规的网络安全防护方法无法实现对黑客社会工程学攻击的有效防范，因此对于广大计算机网络用户而言，提高网络安全意识，养成较好的上网和生活习惯才是防范黑客社会工程学攻击的主要途径。防范黑客社会工程学攻击，可以从以下几方面做起： 3.1 多了解相关知识 常言道“知己知彼，百战不殆”。人们对于网络攻击，过去更偏重于技术上的防范，而很少会关心社会工程学方面的攻击。因此，了解和掌握社会工程学攻击的原理、手段、案例及危害，增强防范意识，显得尤为重要。除了堪称社会工程学的经典