摘 要 随着网络媒体的飞速发展，微信现已成为人们日常交流所不可或缺的工具。一些不法分子趁机利用微信进行诈骗，渠道各种各样，手段层出不穷，给人们的财产造成了重大的损害。本文以南京工业大学在校学生为主要调查对象，利用社会工程学知识对在校生受害群体进行研究，采用案例分析、模型构建和实地调研等形式，从受害人特征层面进行描述和归纳，并着力于研究相关防控策略。

关键词 社会工程学 微信诈骗 群体特征 心理战术

作者简介：袁祎，江苏警官学院学生，研究方向：公安学。

中图分类号：D924.3 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.05.138

随着互联网逐步的融入大众的生活，智能手机人手一部的现象也成了常态，它改变了人们的生活方式，种类繁多的应用软件给生活带来许多便利，微信作为大陆流行最廣的通讯软件在人与人的日常交流中起着重要的作用。就像微信的广告语所说：“微信，是一个生活方式”。确实，微信不仅作为沟通交流应用，它还在逐步向交通出行，电商平台，工具，生活服务，IT科技等方面发展。但是，一项事物的新兴发展必然会带来他的弊端。由于沟通的越来越方便，生活的越来越便利，越来越多的犯罪形式以互联网为媒介而发展起来。2017年上半年猎网平台共接到来自全国各地的网络诈骗举报10882起，涉案金额高达12668.5万元，人均损失11641.7元。目前，网络诈骗的金额、数据、规模还在不断的增加，而微信就成为一种新型的违法犯罪工具。我组同学利用社会工程学相关知识对在大学生受害群体进行研究，采用案例分析、模型构建和实地调研等形式，力图从受害人特征层面进行描述和归纳，并研究相关防控策略建议。

一、社会工程学的基本理论

（一）社会工程学的基本概念

社会工程学最早是由黑客米特尼可在《反诈骗的艺术》中所提出的概念，综合可以理解为其是艺术抑或是科学，他有技巧的操纵着人们在生活中的某方面采取 行动。社会工程学应用于社会的方方面面，所以，社会工程学的概念也可理解为：一种操纵他人采取特定行动的行为。

社会工程学攻击社会工程学攻击与其他类型攻击的最大区别是： 会与受害者进行交互式行为建立一个陷阱让对方掉入或是伪造身份来建立信任关系都属于典型的社会工程学的手段。

（二）社会工程学攻击的步骤与特点

社会工程学攻击详细的步骤可分为收集信息（收集信息→信息源→交流模型）、欺骗诱导（铺垫→交流→提问）、伪装（身份调查→爱好植入→提供逻辑结论）、心理战术（思维→微表情→神经语言程序→采访审讯→共识）、操控、反侦察（预防→补救）。

（三）社会工程学的发展趋势

随着越来越多的硬件设备和安全软件的引入以及网络安全解决方案的不断完备，单纯地使用技术手段完成入侵的难度大大增加。而且人们的提防心理也在随着各种反诈骗案件的出现而提升。所以，在巨大的商业价值等因素的驱动下，一些人开始学习社会工程学。他们传统的诈骗技术融入到社会工程学之中，就成为了新的发展方向。他们精湛的诈骗技术也给公安部门带来了很大的压力。

二、微信诈骗种类与其社会工程学联系相分析

常见的诈骗形式有：代购诈骗、二维码诈骗、盗号诈骗、假冒身份诈骗、微信公众号诈骗、微信红包诈骗、帮忙砍价诈骗和点赞诈骗等等。

通过这多种多样的诈骗形式分析后不难看出都有共同的方式，利用了安全体系中的人性漏洞，真正让客户受骗不是因为诈骗方或者黑客有多么高超的技术破解了微信网银客户端或是破解客户用户密码，而是利用了微信使用用户防范心理低的特点，通过用户信息的收集分类在进行诱导诈骗最后成功实施诈骗，尽管社会工程学的微信诈骗成功率比例不高，但是通过大数据显示，被诈骗的人数，金额还是大的惊人。

三、社会工程学实际应用分析

在对南京工业大学进行问卷调查之前，我们联系了相关网络安全系研究社会工程学同学，结合已有相关案件犯罪嫌疑人的供述，这位同学为我们模拟了一次社会工程学攻击的基本流程：

首先，必须掌握某个被攻击人的基础数据，比如名字、QQ、生辰籍贯等。然后利用技术手段通过这些原始数据掌握到关于被攻击人或是与被攻击人共同经历过某段时间的中间人。一个掌握数据的社会工程师在第二个阶段就基本能获取到需要的所有信息，就避免了第三步伪造中间人。第三步作为对第二步的错误信息筛选和更多信息的获取作为跳板，通过伪造成被攻击者认识的人套取他的消息，这里的前提就是对中间人也要有所熟悉，所以一般社会工程中，中间人会不只一个，但是最终的指向都是认识被攻击者但是关系不是很亲近的人。

下面针对这三个步骤进行讲解：

（一）基础数据的获取

首先，确认目标的姓名就可以进行操作，如果有出生日期、身份证号、籍贯、就读学校、学号、圈内好友、好友资料等数据。当获取到的数据达到30%以上，拿到私密信息的概率就会很大。

基础数据拿到后，就开始进行技术手段强化了。

（二）技术手段

通过基础数据获取更多信息的方法非常多，简单分为以下两种。

1.搜索引擎搜索

搜索引擎收录了网络上大多数的网页，如果被攻击人在这些网页上留下过记录或者被网站主动纪录在网页上，就容易得到附带的一些数据，可以验证基础数据的正确性，也可以添加到基础数据中以获得更多数据。

2.直接搜索

这是获取数据最简单方法，也是获得数据比较多的办法，比如说：搜索qq号、搜索不大众化的网络昵称、搜索姓名或者学号、去各个社交软件上搜索、通过github搜索等模式。这些不同的模式可以组合，也可以很容易的自己发现新模式应用。

（三）筛选出开发者的逻辑错误

很多学校的网站因为不好统一学生做身份验证和密码修改，需要学生使用身份证号或身份证后6位登录系统，这就存在着很大的安全隐患。

举个例子来说：通过学号姓名查询系统可以得到指定学号的拥有人→图书馆默认登陆账户为学号，默认密码为学号，完成学号→姓名认证后可以得到用户的身份证号→教务系统默认登陆密码为身份证号→智慧校园默认登陆密码为身份证号后6位，于是便可以获取用户每天的消费记录。

由此可见，社会工程学攻击一套完整的模式下来，基本已经能确认一个陌生人的大部分信息，接下来再逐步进行诱导欺骗，突破受害人心理防线，一次诈骗就可以成功。当然以上是一次较为复杂的社会工程学诈骗信息收集模式，能较为准确的把握一个人的动态再进行攻破，而很多大学生不注意防范，有的诈骗犯通常只需要简单的将受害人分类再进行框架分类，通过广撒网的方法进行诈骗，而还是有很多人会在简单的圈套中中钩。

四、微信诈骗侵犯对象心理分析

绝大部分社会工程学的攻击方法、手段都是建立在人的心理脆弱的基础之上，即使是那些自诩谨慎、小心的人一般也很难逃脱。

我们团队就微信诈骗相关问题邀请了南工大1500位同学完成了我们的调查问卷。在对南京工业大学的社会问卷调查结果分析中，大学生的心理状态可以从外部和内部两个主导因素来分析。

（一）外部因素

外部因素主要是指大学生所生活的环境，个体由于生活经历、成长方式以及行为习惯的不同，对自身情况与外部情境的相互关系的认知、理解不同，对外部事物的认识不够深刻，对各种刺激、反应的应答也就不同。

第一，大学生自己或者身边的人没有经历过社会工程学诈骗。在针对南京工业大学的调查中，有92%的大学生在各种网络软件平台上使用自己的真实信息来注册。这就是因为大学生意识不到自身的信息安全重要性，会有着“我的信息又不值钱，我穷学生一个”之类的想法，这就导致信息被钓鱼网站、软件盗取。此外，87%的大学生在面对亲朋在微信的分享会毫无戒备的“点”进去，最终结果就是你的信息资料真的进去了。

第二，在调查报告中，77%的大学生在外经常随意使用微信中的扫一扫等功能，使用免费WiFi。这就是取决于大学生的生活环境了，大学生出门拿着手机看到各種优惠活动都不免想去蹭一下。这就是大学生对于新型的诈骗技术手段不了解。停滞在过去的环境中，只有在自己身边人或自己因此遭受损失后才会去了解新型诈骗。这就是大学生的滞后型心理状态。

（二）内部因素

自身的情感、意志这都是内部心理因素的组成部分。内部因素是建立在对于外部因素条件有一定认识的情况下建立的。

第一，情感特征在一定条件下是由外部条件所带来的情绪、感受。在情感达到一种升华的条件状态下，感性会大于理性，这时候也是免疫能力最差的时候。大学生由于尚未完全进入社会，没有学习到如何正确掌控自己的情绪往往会忘记如何调节自己，在遇到一些不可控的外部因素时。其中最突出的便是焦虑、恐慌当然也包括过于兴奋。此时遇到第三方诈骗者时往往会因为对方一些简单的话语而往自己所需要的那一方面来靠，而诈骗者传递的就只有声音和文字内容，其他信息则被屏蔽，此时，交互的信息量下降到一个很低甚至危险的程度，高明的社会工程师会通过各种手段来隐藏痕迹，使攻击更加隐蔽。

第二，意志也可以理解为定力或者说自制力。自制力薄弱，定力不够，导致自己陷入“馅饼”的诱惑，这是社会工程学常用的攻击手段。在针对南京工业大学的调查报告中发现，大部分大学生会参加微信扫一扫送礼物，以及微信特价购买之类的。这种贪婪的心里一旦被抓住，就会被各种方法牢牢拴住，不断地被追加费用，直到最后发现自己人财两空。

五、总结

网络的迅速发展既强化了人在网络中的可操作性，也强化了人的主观思想意识，随之而来的也就是安全问题。一个越来越强大的平台，越来越灵活的平台是不可控的，可控的只有自己。当代大学生在使用微信的过程中应该更加保持本心，提高警惕。信息安全以人为本，社会工程学建立在信息基础之上。

注释：

李妍.利利用社会工程学实施的诈骗案件剖析及被害预防.新疆警察学院学报.2015，35（3）.1672-1195.

林晶、王天羲、石元泉、彭小宁.社会工程学背景下的网络安全.怀化学院报.2013，32（5）.1671-9743.