社会工程学在网络入侵中的应用

摘 要：网络安全问题,在今天已经成为网络世界里最为关注的问题之一.在网络安全方面人们常常忽略最为重要的人的因素.对以社会工程学为手段的网络入侵进行分类,并从防范角色提出几点措施.

关 键 词：社会工程学；网络安全；网络入侵

中图分类号：TP18文献标识码：A文章编号：1671－7597（2012）0310131－01

随着网络安全技术的发展,各种攻击手段和安全防范手段千变万化,然而仍然有许多信息安全工作者没有对非技术类的攻击手段给予足够的重视,如社会工程学在网络安全方面的应用.社会工程学（SocialEngineering）是一种用人们顺从你的意愿、满足你的的一门艺术与学问[1].美国的凯文.米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定义：“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息、利益谋取等对社会及人类带来危害的行为.”[2].

1常见的社会工程学攻击方法

计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节,社会工程学中基于人的攻击可以利用复杂的人际关系和人的感情疏忽来进行欺骗；利用对人的奉承、威胁、劝导、权威等心理因素来获取访问网络所需的某种信息,赵宇轩[3]在浅析社会工程入侵与防御一文中探讨了七种类型的劝导.我们时常看到某某网站被黑,某某、被盗,一系列的入侵行动在人们不知道不觉中进行.社会工程学攻击之所以成功就是利用人的弱点,每个人都有弱点而且一旦被利用造成的损失将不可估量.常用的社会工程攻击方法主要有以下几种：

1）环境渗透：攻击者大多采取各种手段（如伪造、ID卡）进入目标工作区,然后进行观察或窃听,得到自己所需的信息,或者与相关人员进行侧面沟通,逐步取得信任,从而获取情报；如随意翻动员工桌面的文档资料,偷看员工的登陆帐号及,员工登陆击键的声音,约谈离职的员工（该员工可能还有未失效的帐号及）等等.2）冒名：冒名其实是一种身份欺骗,一般情况下,攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过从目标处获取信息.相对来说,冒名上司或高级官员等权威人士的容易对接听者造成心理上的胁迫而就范.如冒充网络技术人员因排除故障需要而询问上网的帐号和；冒充银行工作人员帮忙查询有关帐户信息.3）电子信件伪造：电子邮件的应用非常普遍,信件伪造也变得容来.例如伪造“”信件,“被授予某某荣誉”信件,“邀请参加大型活动”信件,这些信件部分因要求填写详细的而造成泄密,部分是因感染病毒或被悄悄地种入木马而泄密.4）窗口欺骗：攻击者利用伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、账户、号等内容.诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息.

在实战入侵中,在各种手段尝试过后,社会工程学便是最重要也是最能达到目的的手段,所以社会工程学的攻击方法也不拘一格,攻击者会根据不同的环境不同的目的而制定相应的社工方法.

2利用社会工程学入侵攻击

社会工程学入侵的前奏就是收集重要信息.收集入侵目标的所有信息,如管理员的一切,包括姓名、生日、户名、用户id、、居住地名称、、、兴趣爱好、身边好友和同事、常用和常用等.举个例子：检测设我们对某网站进行渗透时,其他方法都尝试失败了,这时我们就可以用社会工程学的方法.通过域名查找域名注册名字和,然后通过搜索引擎来搜索与姓名和相关的信息,或者通过的大型数据库来查询相应的id及常用；又或者可以通过idc商来社工,这里就要知道详细的.

当攻击者收集到信息后就要进行甄别和筛选.收集到许多的信息后,要从中比较、筛选,去伪存真,提炼出有价值的个人或公司信息.

最后是对目标选取相应的社工手段方法实施攻击.例如知道某管理员的常用和id,这时我们就要通过各种组合和猜测去尝试我们想要的.因为人都有偷懒的时候,在设置的时候也不例外,这就给攻击者有机可乘；如通过迷惑性的去交流套取更有用的信息,或者更进一步的是骗取对方信用种马.一系列的行动取决于目标防范思想的觉悟程度和对欺骗敏感性.

比较普遍的一种社会工程学在网络中的应用就是利用这一个人们常用于交流的工具.考虑到人们通常将重要的信息放在里面,比如ftp的、后台管理、个人的详细信息、好友等信息.而通常提供的找回功能,在设置找回需回答的问题时通常过于简单且过于普通,如提问父母的姓名、职业和出生日期；个人毕业的学校、爱好等等.攻击者如果收集到的信息非常详细,那么就容易回答这些问题从而获得的,进而获得其它诸多的私密信息.在这里没有什么穷举法等所谓需要的技术,有的只是对人的普遍的心理陷阱的利用.

3防范措施

利用社会工程学入侵主要对象是人,而“人”是在整个网络安全体系中最薄弱的一个环节.我国从事专业安全的技术人员不多,很多企业高管对安全方面的知识本身懂的不多,加之安全教育以及安全防范措施都需要成本,这样留下许多安全隐患.网络安全要立足于积极防御,将风险降到最低,网络安全防范重在安全意识,只有安全的意识,才能防范于未然.

1）网络安全意识的培训.不管是管理者或者技术人员都要对网络安全有足够的重视,培养员工的保密意识,增强安全责任意识,通过各种社工案例的分析来加强这方面的安全意识.2）网络安全技术的培训.搞技术开发的也许不懂安全,只是一味的追求效益却忽略了开发人员的安全技术,这不仅对开发是种威胁,对公司也是种隐患.一旦出现问题便可能致命,所以可以对员工进行一些简单有效的安全技术培训,降低网络安全风险.3）安全审核.安全审核工作是社会工程学攻击防范主要手段之一,是对网络攻击有力保障措施.安全审核重在执行,采取切实可行的管理措施来防范社会工程学入侵.

4结语

网络安全是把双刃剑,利用好能够创造出效益,反之便是损失.不管是技术上的还是人员管理方面的漏洞,需要有很好的防范措施和处理紧急事故的机制,尽可能的将损失降低到最少.技术无论有多发达,人都是在起关键性作用.人作为整个安全体系中最重要也最薄弱的一环,任何一个小小的疏忽都可能对信息系统工程造成潜在的安全风险和威胁.而社会工程学就是与人打交道,通过入侵“人”来达到入侵网络的目的.社会工程学在网络安全中的重要性将日渐重要,社会工程学攻击防范是网络安全工作者不可忽略的技术.

[3]赵宇轩,浅析社会工程入侵与防御[J].信息安全与通信保密,2009（11）.