保密讲堂 | 社会工程学攻击下的信息安全保密工作

信息安全保密依赖于安全技术的保障和管理手段的应用，前者包括诸如密码、防火墙、入侵检测、漏洞扫描、反病毒技术等，属于传统防御范畴；后者涉及管理学、法学、心理学、社会学等方方面面，属于非传统应对范围。

随着信息网络复杂性不断升级，网络攻击已从传统的技术突破转向非传统领域，屡屡出现绕过防御技术的攻击事件。特别是近年来迅速上升甚至呈现滥用趋势的社会工程学攻击，使得人们对来自非传统应对范围的威胁愈加重视。

社会工程学攻击有两大特点：

1.利用人性弱点。鉴于人是整个信息安全保密体系中最脆弱的环节，社会工程学攻击的核心正是以人性的本能欲望、好奇、感恩、贪婪、胆小、信任、健忘、粗心、恐惧等弱点为突破口，通过精心伪造身份和设置陷阱，利用社交网络等途径与被攻击者进行交互式行为，试图建立信任关系，再一步步有计划地引诱其跌入陷阱，最终达到攻击目的。

在现实生活中，常见的各类诈骗手段，例如，“虚假兼职”“QQ仿冒熟人”“冒充执法人员恐吓”等，都是这种攻击的映射。而这些手段用在窃取敏感信息，渗透、策反行政管理部门、军队、国防军工领域人员等方面亦然。

2．绕开防护技术。传统的网络攻击通过破解密文、伪造签名、寻找漏洞、猜测口令等技术手段达到目的，社会工程学攻击则不再把过多的时间和精力浪费在这些方面。如今，信息安全保密技术不断加强，攻击成本越来越高，正面交手的胜算也愈加难以保证，而社会工程学攻击不但降低了难度系数，而且节约了成本。这其中包括周详的计划，并综合运用了相当的技巧，只要攻击者证明自己是可以被相信的，实现攻击就是较容易的。

实验一：利用轻信心理引诱用户更新软件安全公司先收集攻击目标的相关信息，然后设计了一则通知，并将精心伪装的U盘一起寄送给目标用户，具体内容如下：

亲爱的XXX：

在公司最近的一次安全风险评估中，我们发现您购买的软件已经过期，对您个人或单位将造成一定的潜在风险，我们需要您的合作，一起降低该风险。

您收到的U盘中包含了软件更新程序，请将U盘连接到您的计算机，并按照如下说明安装更新：

(1) 双击图标“我的电脑”。

(2) 双击可移动磁盘图标上对应的U盘驱动器。

(3) 双击“安全更新程序”。

如果执行成功，您会看到以下信息：“软件更新成功”。一旦您执行这些步骤，就能将您的软件更新到最新版本，并能保护您的计算机免受相应威胁。

感谢您的支持与配合！

其实，U盘里的软件更新程序是一种特制的木马。在此次实验中，安全公司共寄出15个包裹，其中有1名用户中招。

实验二：利用贪小便宜的心理实施攻击

在同一实验中，安全公司同时在目标单位的停车场和楼前的人行道上假意丢弃了若干个U盘。几天后，监控系统显示，该公司有员工将捡到的U盘插到了自己的计算机上，此时，安全公司就可以通过U盘中的恶意程序对计算机实施远程监控。