沒有硝煙的戰爭——社會工程學

2019-11-17 04:47:51

字體：大中小

來源：轉載

供稿：網友

一、請狼入室

李小姐是某個大公司的經理秘書，她工作的電腦上存儲著公司的許多重要業務資料，所以屬于公司著重保護的對象，安全部門設置了層層安全防護措施，可以說，她的電腦要從外部攻破是根本不可能的事情。為了方便修改設置和查殺病毒，安全部門可以直接通過網絡服務終端對李小姐的電腦進行全面設置。也許是貪圖方便，維護員與李小姐的日常聯系是通過QQ進行的。

這天，李小姐剛打開QQ，就收到維護員的消息：“小李，我忘記登錄密碼了，快告訴我，有個緊急的安全設置要做呢！”因為和維護員很熟了，李小姐就把密碼發了過去。

一夜之間，公司的主要競爭對手把握了公司的業務，在一些重要生意上以低于公司底價的競爭手段搶去了大客戶，令公司蒙受損失。經過調查才知道是公司的業務資料被對方拿到了，公司憤然起訴對手，同時也展開了內部調查，李小姐自然成了眾矢之的。最后焦點集中在那個QQ消息上。維護員一再聲稱自己沒發過那樣的消息，但是電腦上的記錄卻明明白白的顯示著……隨著警方的介入以及犯罪嫌疑人的招供，一宗典型的“社會工程學”欺騙案件浮出水面。

社會工程學（Social Engineering），一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。那么，什么算是社會工程學呢？它并不能等同于一般的欺騙手法，社會工程學尤其復雜，即使自認為最警惕最小心的人，一樣會被高明的社會工程學手段損害利益。

    李小姐正是出于對維護員的信任，所以被對方欺騙了。因為那個在QQ上出現的維護員根本不是公司的維護員本人，而是對手盜取了維護員的QQ，再利用一個小小的信任關系，就輕易取得了登錄密碼，公司的業務資料自然落入對方手中。這能否算作入侵案件呢？對方并沒有用任何技術手段對公司電腦進行掃描、漏洞滲透，密碼也是公司員工自己告知的，因此出現了有趣的矛盾：對方是在未經授權的情況下登錄了受害者機器并盜取了具有經濟價值的資料，這已經屬于入侵，那么這個人就屬于入侵者；但是對方登錄的密碼卻不是通過非法手段取得的，而是受害者方面告知的，那這個人又可以稱為合法登錄者？最終還是警方有能耐，結案為：被告通過欺騙手段騙取受害者公司員工的登錄密碼，并在未經授權的情況下登錄受害者機器盜取業務資料，此案雖然未涉及技術手段，然而被告利用社會工程學手段進行偷竊已經證據確鑿，仍然屬于非法入侵，此外還涉及詐騙……

公司終于通過法律手段挽回了損失，但是“社會工程學”的可怕已經在每個人的心里揮之不去了……

    二、形同虛設的密碼

現在把焦點轉向那個維護員。由于安全部門距離李小姐的工作地點有好些距離，治理不方便，所以公司讓他們直接通過網絡來治理機器，除非是不得不通過物理途徑來解決的故障，否則他們一般不用親自過去。

他與李小姐之間的聯系通過QQ進行。問題偏偏就出在QQ上。

作為安全人員，他自然知道密碼的重要性，因此他的任何密碼都設置得十分復雜，窮舉幾乎不可能。至于被入侵，那更不可能發生。他還要保護那臺重要的電腦呢，自己都保護不了，有什么資格保護別人？然而百密仍有一疏，他做夢也沒想到對手利用QQ的取回密碼功能輕易拿到了他的密碼，然后去聯系李小姐……

他在輸入提示答案的時候，下意識的輸入了他心里最重要的那個人的名字。但是對手也知道他心里那個人的名字，這是商業中所謂的“知己知彼”。于是噩夢開始了……

現在很多網絡工具、論壇等涉及密碼的東西都提供了“取回密碼”功能，而這種功能大部分都是根據確認用戶回答的問題是否和原來預設的一致而決定是否給出密碼的，這就留下了一個心理學的安全隱患，大部分人會下意識的輸入自己的名字、親友戀人的名字、某些有非凡意義的字符、非凡日期、證件號碼等，而這些數據只要偷竊者和用戶有過非凡意圖的接觸后都能輕易取得，于是，無論多么復雜的密碼，無論里面出現了多少個非凡符號，它們都等于沒有設置了。

不過提示答案也不要設置得太復雜，筆者在寫此文時候改了個連自己也記不起來的QQ提示答案，汗……

三、E時代的守株待兔

    高中生小馬平時喜歡QQ聊天，而絢麗的QQ秀和一些特色服務更令他愛不釋手，但是這一切都必須和金錢劃等號，小馬雖然喜歡QQ，可是也知道精打細算，他是不會把錢用在這種虛擬方面的，但是又想要自己的QQ生涯過得輝煌，于是他把眼光投在一些獲取Q幣的方法上。這天，一個好友給小馬發來一個URL，還說這個網站通過一定的點擊次數提供Q幣。如此好的機會小馬怎能放過？他根據網站的提示輸入了QQ號碼和密碼完成注冊，然后給QQ上的朋友們發了網址。然而等了許久，自己的Q幣依然沒有動靜。第二天，小馬想登錄QQ時，卻發現怎么也登錄不上去了——QQ密碼被人改了。這是最近鬧得轟轟烈烈的QQ欺騙案件之一，連騰訊公司也不得不出面澄清：“目前許多冒充我公司的網站，打著送Q幣或贈予QQ號的旗號，要求用戶在對話框輸入QQ號碼以及密碼。網站地址多為有qq字樣，點擊進入頁面有仿制QQ公仔形象，頁面正中有明顯要求輸入QQ號，密碼，驗證碼的對話框。目前此些網站多為騙取用戶點擊率，但將來有可能發展為盜號的一種手段。
”

由于QQ在中國深入人心，越來越多的人打起了QQ的主意，假如說用木馬盜取QQ密碼只是早期的手段，那么如今通過網站等待用戶自己送上門的手法可謂暫時的頂峰了。其實類似這種的方法前些日子就出現過了，假如你時常泡一些比較大的論壇，就會有機會碰上諸如此種內容的帖子：“為了方便快捷的治理，騰訊公司預留了幾個治理專用號碼作為充值號，此號是自動讀取指令的，騰訊公司為了不引起大家的注重，所以這個QQ比較普通，這個QQ一般隱身。只要發送{Jerusalum/PLO號碼}{Vesselin Bontchev密碼}{FRALDMUZK Q幣數量}，然后下線5分鐘，等著收Q幣吧。”——大哥你是不是在搞笑？！改我密碼還要5分鐘啊？麻煩你快一點好不好！

此外還有QQ中獎要求用戶填寫密碼以待“驗證”等伎倆，無論什么手法，最終結局都是一樣的，那就是——用戶的密碼被人改掉。

如此白癡的騙局，只要有點常識的人都不難理解其中的“笑話”，希奇的是卻屢屢有人上當，究其原因，就是因為國人的貪小便宜心理作祟。作俑者利用這種看似“非常有賺頭”的低級欺騙手法，引得眾人自愿撞死在他的樹樁上，而且是來了一批又一批。

而中國獨有的QQ尾巴病毒，也開始融入了社會工程學的雛形，很早以前，QQ尾巴近似于弱智的欺騙手法是隨機發送一些莫名其妙的地址，而如今，QQ尾巴們已經開始“智能”化，在某句話后加入“補充”或者與當前聊天內容相關的句子，對方往往出于下意識的反應就打開了病毒網址。

除了QQ，其他利用網絡可以搜刮的資源也在一些人的窺視中，例如銀行賬號、身份證號碼、生日姓名、聯系地址等，不要以為這些信息的泄漏并不會帶來什么嚴重后果，恰恰相反，它們為犯罪分子提供了重要情報，大學生張某就遭遇了一回網絡圈套，他在本市一個網絡游戲網站注冊會員時就發現此網站要求填寫的資料多得異常，從姓名到家庭住址都涉及了，據稱是為了給會員郵遞免費資料用的。注冊不到一星期，家里便打來電話詢問張某是不是破壞了學校公物，因為有人打電話通知張某家人匯款到某賬戶用以賠償“被張某破壞的教學設備”。張某很快就反應過來了，隨即向網警報了案。

漫游網絡，我們在不同的地方都需要一個標明自己的ID，而注冊ID的時候需要按照要求填寫相關信息，然而這里又出現一個缺陷，犯罪分子可以堂而皇之偽造一個羅嗦至極的注冊頁面，從中套取用戶的眾多資料，有了這些資料，犯罪分子能干的事情就很多了。一些所謂的測手機號碼或者信箱兇吉的網站，利用廣大用戶的好奇心理，公然獲取用戶信箱或者手機來發送廣告垃圾；一些網站通過“調查手機服務”偷偷開通手機收費服務，可謂費盡心思。

防范！警惕！話雖如此，可是看著一批又一批兔子撞死在樹樁上，我們能有什么辦法呢？貪婪和好奇心可是會要人命的！

四、輕而易舉的入侵

王先生是一家銀行的職員，他所處的銀行提供網絡服務，為了方便，王先生通常都是直接在網絡上完成轉賬操作的。由于他的電腦水平不高，前不久被一個初學者駭客入侵了機器。在請來專業人員修復系統更改密碼后，王先生照例登錄網絡銀行為手機繳費，可是才過一會兒他的冷汗就出來了：網絡銀行登錄不進去了！深感大事不妙的王先生去銀行辦理了相關手續，查賬發現賬戶里的錢已經被人劃走了。

為什么王先生會遭此厄運？在他機器被入侵時他并沒有登錄網絡銀行，而且因為那個入侵者不熟練的操作導致了機器出錯，王先生一下子就發現被入侵了，入侵者根本不可能有機會記錄王先生的銀行密碼。那么是誰進入了王先生的賬戶呢？

答案很簡單，就是那個入侵者。因為王先生犯了大部分人都會犯的致命錯誤：通常為了記憶方便，人們會把幾處的密碼都設置成一樣的，例如QQ、E-MAIL、FTP、網站等的密碼，而王先生更進一步把所有密碼都弄成一樣的了，因此入侵者在得到王先生的機器登錄密碼后也就得到了網絡銀行的密碼。

正是因為這個普遍心理特點，受害者往往都是被入侵者一鍋端了，一個密碼泄漏，就等于全部密碼皆失。而且人們為了記憶方便，還會把密碼設置成簡單的數字英文、生日、姓名、證件號碼等，一個沒有破解技術的入侵者只要騙取受害者信任而獲得一些信息后，受害者的噩夢往往就要來臨了。大部分掃描器都提供了一些簡單的密碼組合進行密碼探測，即所謂的“弱口令”，從個人來說，這種探測的手段能獲取密碼的機會很小，但是在概率上的成功機率卻很大，因為簡單密碼和相同密碼是大部分人都會碰到的心理弱點！

    五、結束語

看完此文，你是否已經有點坐立不安了？假如你的某些情況與上面所描述的一致，那么請盡快更改吧。
社會工程學看似簡單的欺騙而已，卻又包含了復雜的心理學因素，其可怕程度要比直接的技術入侵大得多，對于技術入侵我們可以防范，但是心理漏洞誰又能時刻警惕呢？毫無疑問，社會工程學將會是未來入侵與反入侵的重要對抗領域。（責任編輯：zhaohb）

上一篇：社會工程學技術可繞過網絡防御未來十年將成大患

下一篇：MSN/QQ爆詐騙狂潮用戶小心個人信息