王艳阁　高丽

摘要：随着网络社会的发展，人类的生产生活越来越依赖于网络，习惯于通过网络来传递信息，这就在传统的网络安全基础上，给个人和组织带来了更大的挑战。社会工程学攻击是一种针对人或者人性的攻击手段，它比传统的攻击方法的目的性更明确，手段更具欺骗和隐蔽性，因此每个人在加强自身安全意识的同时，结合更先进更智能的检测手段和安全设备，才能更加有效地对社会工程学攻击进行防范，减少或避免损失。

关键词：网络安全；社会工程学攻击；防范

在当今这个高度信息化的社会，黑客们如何通过邮件、IM、社交网络等渠道，对组织或企业实施有针对性的先进攻击，以获取组织和企业内部的相关的保密信息，并最终盗取企业或组织的核心信息或对其关键业务进行攻击。

近年来，爆出的重大APT攻击者，无论是针对Google等三十多个高科技公司的极光攻击，还是针对RSA窃取SECURID令牌种子的攻击，甚至到针对伊朗核电站的震网攻击，都能看到社会工程学攻击在整个APT攻击中所起到的至关重要的作用。

社会工程学是一种通过受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，它并不等同于一般的欺骗手法。可以说社会工程学攻击和网络渗透攻击的目的都是一样的，都是为了获取自己想得到的东西，但是两者的攻击目标不一样，最大的区别是渗透攻击的目标是机器，而社会工程学攻击的目标是人，那些有思想有欲望的人类。

下面针对APT攻击案例分析，Google等三十多个高科技公司的极光攻击：攻击者通过FACEBOOK上的好友分析锁定了Google公司的一个员工和他的一个喜欢摄影的电脑小白好友。攻击者入侵并控制了电脑小白好友的机器，然后伪造了一个照片服务器，上面放置了IE的ODAY攻击代码，以电脑小白的身份给Google员工发送IM消息，邀请他来看最新的照片，其实URL指向了这个IE Oday的页面。Google的员工相信之后打开了这个页面然后中招，攻击者利用Google这个员工的身份在其内部持续渗透，直到获得了Gmail系统中很多敏感用户的访问权限。窃取了Gmail系统中的敏感信息后，攻击者通过合法加密信道将数据传出。在案例中，起到先锋至关重要的都是社会工程学攻击。

通过案例可知，在进行AFT攻击的最初阶段，攻击者都通过各种手段收集信息，和攻击者进行内容的交互，成功欺骗了被攻击者后，通过一个小小的跳板，最终获取到所需要的信息，这就是社会工程学攻击。

社会工程学的具体内容和攻击步骤如下：

首先，社会工程学攻击者都是一个优秀的信息搜索专家，通过各种搜索引擎、社交网络、IM甚至包括电话来获取到想要的一切信息。攻击者可以通过搜索引擎，结合高级搜索应用技术，在浩瀚无垠的网络世界中，获取到被攻击的组织或个人有意或无意间留下的各种痕迹，从而分析出组织的组织结构、人员基本信息等，为进一步通过电话或网络实施欺骗打下基础。

当攻击者收集到了足够的信息及分析后，就会继续下一步的行动——欺骗。攻击者通过伪造身份证、伪造经历以及编纂故事等手段，通过社交网络、论坛、邮件、即时通信软件或电话等途径，与目标建立联系，并通过沟通逐渐获取目标的信任。攻击者可能伪装成目标的好友，也可能伪装成一个有问题需要咨询的客户，和可能伪装成相关业务部门的同事，甚至是伪装成目标的上级，极端的个案中，攻击者甚至伪装成对公司业务有兴趣的投资人从而获取相关信息。当目标接受了攻击者的伪装身份后，自然而然地产生了对这个身份的信任和盲区，从而给攻击者实施攻击提供了可能。

最终，攻击者通过获取到的信任感以及收集到的其他信息，通过木马注入、Oday攻击、钓鱼网站等一系列最终技术手段，实施攻击并获取到相关信息或为下一步的深入埋下一颗颗钉子。

通过分析可知，社会工程学攻击实际上是通过信息收集、活动交互、欺骗等手段，最终达到目标人物实施攻击的一种手段。但目前无论是个人还是组织，对于信息安全的建设及装备投入都已经非常重视，一个组织可能购买最知名的防火墙、最强大的IDS或IPS系统，从安保公司雇佣了最好的保安，使用了最先进的反病毒软件以及补齐了操作系统的所有已知漏洞，但是，我们仍然不能保证你的信息不被泄露出去，因为，是人就会有弱点，而社会工程学攻击恰恰是针对于“人”的攻击。

应该如何防范社会工程学攻击呢？本文从以下两方面做出总结：

首先是个人信息的安全保证：当前各种网络服务及应用的普及，每个人都是自己生活的直播者，如何在满足个人信息发布需求同时，更好保护自身的隐私是每个人都需要考虑的事情，是对社会工程学攻击防范的第一步。

其次，组织在网络安全建设和规章制度的制定上，需要更多地考虑执行，再好的防范措施和制度，如果没有一个有力的执行，也都是空谈。

社会工程学攻击是一种针对人或者人性的攻击手段，它比传统的攻击方法的目的性更明确，手段更具欺骗和隐蔽性，因此只有在每个人都加强自身安全意识的同时，结合更先进更智能的检测手段和安全设备，才能更加有效地对社会工程学攻击进行防范，减少或避免损失。