第1章 全面認(rèn)識社會工程學(xué)

重點提示：

◆ 什么是社會工程學(xué)

◆ 生活中的社會工程學(xué)攻擊案例

◆ 防范社會工程學(xué)

傳統(tǒng)的計算機(jī)攻擊者在系統(tǒng)入侵的環(huán)境下存在很多的局限性，而新的社會工程學(xué)攻擊則將充分發(fā)揮其優(yōu)勢，通過利用人為的漏洞缺陷采取欺騙手段來獲取系統(tǒng)控制權(quán)。

這種攻擊表面上是難以察覺的，不需要與受害者目標(biāo)進(jìn)行面對面的交流，不會在系統(tǒng)留下任何可被追查的日志記錄。為了更好地認(rèn)識社會工程學(xué)攻擊，本章將介紹生活中常見的社會工程學(xué)攻擊安全，以及防范社會工程學(xué)攻擊的方法。

社會工程學(xué)理論是關(guān)于建立通過自然的、社會的和制度上的途徑并特別強(qiáng)調(diào)根據(jù)現(xiàn)實的雙向計劃和設(shè)計經(jīng)驗來一步一步地解決各種社會問題。嚴(yán)格來說社會工程學(xué)不是一門科學(xué)，而是一門欺騙的藝術(shù)和竅門的方法。它利用人的弱點，以順從你的意愿、滿足你的欲望的方式讓你上當(dāng)。

1.1 什么是社會工程學(xué)

社會工程學(xué)是一種攻擊行為，攻擊者利用人際關(guān)系的互動性所發(fā)出的攻擊：通常攻擊者當(dāng)沒有辦法通過物理入侵直接取得所需要的資料時，就會通過電子郵件或者電話對所需要的資料進(jìn)行騙取，再利用這些資料獲取主機(jī)的權(quán)限以達(dá)到其本身的目的。

1.1.1 社會工程學(xué)攻擊概述

現(xiàn)實社會中的騙子欺騙伎倆形形色色，隨著網(wǎng)絡(luò)和通信技術(shù)的進(jìn)步，其騙術(shù)花樣也不斷翻新，令人防不勝防。例如，有的人因試圖獲得手機(jī)中獎短信中的獎品、獎金而上當(dāng)受騙，有的人輕信騙子打來的親人發(fā)生車禍、急病住院等電話后被騙取錢財?shù)取＿@些現(xiàn)實社會中的欺騙手段一旦被黑客延伸應(yīng)用到攻擊網(wǎng)絡(luò)系統(tǒng)，就發(fā)展成為社會工程學(xué)攻擊。

社會工程學(xué)也是最近黑客界流行的一種入侵方式。社會工程學(xué)攻擊主要采取非常規(guī)手段取得服務(wù)器的權(quán)限或網(wǎng)站的權(quán)限，比如搜集管理員的各種信息，如管理員喜歡進(jìn)哪些網(wǎng)站，管理員喜歡用什么密碼，在管理員進(jìn)入的網(wǎng)站里面掛網(wǎng)頁木馬，破解管理員常進(jìn)網(wǎng)站的數(shù)據(jù)庫，從而取得管理員密碼。

簡單地說，社會工程學(xué)攻擊就是利用人們的心理弱點，騙取用戶的信任，獲取機(jī)密信息（如計算機(jī)口令、銀行賬戶信息）等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件。

近年來，一些安全雜志上相繼出現(xiàn)了相關(guān)社會工程學(xué)攻擊的文章，黑客們也逐漸將目光從傳統(tǒng)系統(tǒng)入侵與腳本攻擊的熱潮中轉(zhuǎn)向社會工程學(xué)攻擊上。

社會工程學(xué)攻擊之所以讓大多數(shù)的黑客看到曙光，通過信息搜索與社交直接索取密碼，使得入侵滲透更加容易。究其原因，還是由于網(wǎng)絡(luò)管理人員的管理問題。網(wǎng)絡(luò)管理人員的素質(zhì)高低，極大地制約了整個網(wǎng)絡(luò)的安全程度。

由于安全產(chǎn)品的技術(shù)越來越完善，使用這些技術(shù)的人，就成為整個環(huán)節(jié)上最為脆弱的部分。而且人們都具有貪婪、自私、好奇、信任等心理弱點，因此，通過恰當(dāng)?shù)姆椒ê头绞剑肭终咄耆梢詮南嚓P(guān)人員那里獲取入侵所需信息。社會工程學(xué)攻擊可以分為兩種： 狹義社會工程學(xué)和廣義社會工程學(xué)。它們之間的區(qū)別可以參考表1-1。

其實，狹義社會工程學(xué)攻擊與廣義社會工程學(xué)攻擊最明顯的區(qū)別是會與受害者進(jìn)行交互式行為，比如，你會設(shè)置一個陷阱使對方跳入，或是偽造一封來自內(nèi)部的虛假電子郵件，或是利用相關(guān)通信工具與他們交流獲取敏感信息。真正的社會工程學(xué)師是不會碰運氣亂去下載網(wǎng)站與論壇的數(shù)據(jù)庫的，他們清楚地知道自己需要什么樣的信息，并且應(yīng)該怎么樣去做，從搜集的信息中分析出有用的信息，并與受害者進(jìn)行互動行為，這樣才稱之為社會工程學(xué)。

1.1.2 無法忽視的非傳統(tǒng)信息安全

社會工程學(xué)是非傳統(tǒng)的信息安全，它是一種利用受害者本能反應(yīng)、好奇心、信任、貪婪等心理陷阱采取諸如欺騙、傷害等危害手段，取得自身利益的手法，而不是利用系統(tǒng)漏洞入侵的。普通用戶經(jīng)常會安裝硬件防火墻、入侵監(jiān)測系統(tǒng)（IDS）、虛擬專用網(wǎng)絡(luò)，或是安全軟件產(chǎn)品，但這并不能保障安全。

社會工程學(xué)師只需撥打一個電話，使用專業(yè)的術(shù)語，報出內(nèi)部人員使用的ID，讓一個系統(tǒng)管理員登錄系統(tǒng)，并將其傳真過來即可竊取信息。事實上，很多安全行為就是出現(xiàn)在騙取內(nèi)部人員（信息系統(tǒng)管理、使用、維護(hù)人員等）的信任上，從而輕松繞過所有技術(shù)上的保護(hù)。

信任是一切安全的基礎(chǔ)，對于保護(hù)與審核的信任，通常被認(rèn)為是整個安全鏈條中最薄弱的一環(huán)。為規(guī)避安全風(fēng)險，技術(shù)專家精心設(shè)計的安全解決方案，卻很少重視和解決最大的安全漏洞——人為因素。無論是在現(xiàn)實世界還是在虛擬的網(wǎng)絡(luò)空間，任何一個可以訪問系統(tǒng)的人，都有可能構(gòu)成潛在的安全風(fēng)險與威脅。

社會工程學(xué)較之其他黑客攻擊復(fù)雜，即使自認(rèn)為最警惕、最小心的人，一樣會受到高明的社會工程學(xué)手段的損害。因為“社會工程學(xué)”主導(dǎo)著非傳統(tǒng)信息安全，所以通過對它的研究可以提高應(yīng)對非傳統(tǒng)信息安全事件的能力。非傳統(tǒng)信息安全是傳統(tǒng)信息安全的延伸，主張信息安全防護(hù)采取“先發(fā)制人”的戰(zhàn)略，突破傳統(tǒng)信息安全在觀念上的指導(dǎo)性被動，主動地分析人的心理弱點，提高人們對欺騙的警覺，同時改進(jìn)技術(shù)體系和管理體制存在的不足，從而改變信息安全“頭痛醫(yī)頭，腳痛醫(yī)腳”的現(xiàn)狀。

社會工程學(xué)無處不在，在商業(yè)交易談判和司法等領(lǐng)域都存在。其實在生活中，我們也常常在無意中使用，只是渾然不覺而已。比如，當(dāng)遇到問題時，會知道應(yīng)該尋找有決定權(quán)的人來解決，并讓周遭的人幫助解決。這其實也是社會工程學(xué)。社會工程學(xué)是一把雙刃劍，既有好的一方面，也有壞的一方面。

1.1.3 攻擊信息擁有者

信息安全的本質(zhì)是信息擁有者與攻擊者間的戰(zhàn)斗。信息擁有者是無價的信息寶藏，攻擊者大可不必因為一個口令而把大量精力花費在系統(tǒng)入侵與破解上，直接針對擁有者的脆弱性開始進(jìn)行攻擊，可以避免一些不該發(fā)生的事，比如口令變、系統(tǒng)補(bǔ)丁升級等。

一般來說，經(jīng)驗豐富的黑客攻擊者往往缺乏人際交往的知識經(jīng)驗與技巧，但社會工程學(xué)攻擊會打破這種格局。在大多數(shù)情況下，成功的社會工程學(xué)師都有著很強(qiáng)的人際交往能力。他們有魅力、講禮貌、討人喜歡，并具有快速建立起可親、可信感的特點。

一個經(jīng)驗豐富的社會工程學(xué)師，使用他自己的戰(zhàn)略、戰(zhàn)術(shù)，幾乎能夠接近任何他感興趣的信息。他會開始用大量的時間研究非傳統(tǒng)信息安全，龐大的商業(yè)價格是吸引他的條件，這種有效的信息入侵對他非常有誘惑力。

社會工程學(xué)攻擊還有一個受黑客們歡迎的原因，那就是中國企業(yè)盲目追求商業(yè)利益最大化，他們不注重建立企業(yè)品牌，忽略對員工進(jìn)行安全培訓(xùn)投資。比如，一個社會工程學(xué)使用者想從一家信用卡公司獲取一些情報，但又沒有相關(guān)的證明他可以合法地從這家公司拿到這些情報。那么，他就可以利用社會工程學(xué)，從和這家信用卡公司相關(guān)的銀行搜集相關(guān)的信息從而達(dá)到目的。例如，這家銀行從信用卡公司取得信息需要什么文件或者ID號碼證明，又或者是經(jīng)常與信用卡公司進(jìn)行業(yè)務(wù)聯(lián)系的職員的姓名等，攻擊者只要通過某些途徑從這些毫無任何價值觀念的企業(yè)內(nèi)部員工的口中得到這些信息，即可成功竊取信息。而沒有安全威脅意識的企業(yè)會在這個問題上栽一個大跟頭。

因此，從現(xiàn)階段來說，信息擁有者是社會工程學(xué)攻擊的主要目標(biāo)，也是無法忽視的脆弱點，要防止攻擊者從信息擁有者身上竊取信息，必須加強(qiáng)對他們進(jìn)行安全培訓(xùn)投資。

1.1.4 常見社會工程學(xué)手段

現(xiàn)代的網(wǎng)絡(luò)紛繁復(fù)雜，病毒、木馬、垃圾郵件接踵而至，給網(wǎng)絡(luò)安全帶來了很大的沖擊。同時，利用社會工程學(xué)的攻擊手段日趨成熟，其技術(shù)含量也越來越高。社會工程學(xué)攻擊在實施之前必須掌握心理學(xué)、人際關(guān)系、行為學(xué)等知識與技能，以便搜集和掌握實施入侵行為所需要的資料和信息。下面介紹幾種常見的社會工程學(xué)攻擊手段。

1. 環(huán)境滲透

對特定的環(huán)境進(jìn)行滲透，是社會工程學(xué)為了獲得所需的情報或敏感信息經(jīng)常采用的手段之一。社會工程學(xué)攻擊者通過觀察目標(biāo)對電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料，比如一個人的姓名、生日、ID電話號碼、管理員的IP地址、電子郵箱等，通過這些搜集信息來判斷目標(biāo)的網(wǎng)絡(luò)構(gòu)架或系統(tǒng)密碼的大致內(nèi)容，從而獲取情報。

2. 引誘

網(wǎng)上沖浪經(jīng)常碰到中獎、免費贈送等內(nèi)容的電子郵件或網(wǎng)頁，誘惑用戶進(jìn)入該頁面運行下載程序，或要求填寫賬戶和口令以便“驗證”身份，利用人們疏于防范的心理引誘用戶，這通常是黑客早已設(shè)好的圈套。

3. 偽裝

目前流行的網(wǎng)絡(luò)釣魚事件以及更早以前的求職信病毒、圣誕節(jié)賀卡，都是利用電子郵件和偽造的Web站點來進(jìn)行詐騙活動的。有調(diào)查顯示，在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會對這些騙局做出響應(yīng)。

4. 說服

說服是對信息安全危害較大的一種社會工程學(xué)攻擊方法，它要求目標(biāo)內(nèi)部人員與攻擊者達(dá)成某種一致，為攻擊提供各種便利條件。個人的說服力是一種使某人配合或順從攻擊者意圖的有力手段，特別地，當(dāng)目標(biāo)的利益與攻擊者的利益沒有沖突，甚至與攻擊者的利益一致時，這種手段就會非常有效。如果目標(biāo)內(nèi)部人員已經(jīng)心存不滿甚至有了報復(fù)的念頭，那么配合就很容易達(dá)成，他甚至?xí)蔀楣粽叩闹郑瑤椭粽攉@得意想不到的情報或數(shù)據(jù)。

攻擊者在施行攻擊時，經(jīng)常會采用維修人員、技術(shù)支持人員、經(jīng)理、可信的第三方人員，或者是企業(yè)同事等角色，這點在一個大公司是不難實現(xiàn)的。

因為每人不可能都認(rèn)識公司中的每個人員，而身份標(biāo)識是可以偽造的，這些角色中的大多數(shù)都具有一定的權(quán)利，讓別人會不由自主地去巴結(jié)。大多數(shù)的雇員都想討好老板，所以他們會點頭哈腰地對那些有權(quán)力的人提供他們所需要的信息。

5. 恐嚇

社會工程學(xué)師常常利用人們對安全、漏洞、病毒、木馬、黑客等內(nèi)容的敏感性，以權(quán)威機(jī)構(gòu)的身份出現(xiàn)，散布安全警告、系統(tǒng)風(fēng)險之類的信息，使用危言聳聽的伎倆恐嚇、欺騙計算機(jī)用戶，并聲稱如果不按照他們的要求去做，會造成非常嚴(yán)重的危害或損失。

6. 恭維

高明的黑客精通心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等社會工程學(xué)方面的知識與技能，善于利用人們的本能反應(yīng)、好奇心、盲目信任、貪婪等人性弱點設(shè)置陷阱，實施欺騙，控制他人意志為己服務(wù)。他們通常十分友善，很講究說話的藝術(shù)，知道如何借助機(jī)會去迎合人，投其所好，使多數(shù)人友善地做出回應(yīng)，樂意與他們繼續(xù)合作。

7. 反向社會工程學(xué)

反向社會工程學(xué)是指攻擊者通過技術(shù)或者非技術(shù)的手段給網(wǎng)絡(luò)或者計算機(jī)應(yīng)用制造“問題”，使其公司員工深信，誘使工作人員或網(wǎng)絡(luò)管理人員透露或者泄漏攻擊者需要獲取的信息。這種方法比較隱蔽，很難發(fā)現(xiàn)，危害特別大，不容易防范。

1.2 生活中的社會工程學(xué)攻擊案例

社會工程學(xué)作為信息時代發(fā)展出來的一門“欺騙的藝術(shù)”，在現(xiàn)今不論是虛擬的網(wǎng)絡(luò)空間還是現(xiàn)實的日常生活場景，凡是涉及信息安全的方面，無不有社會工程學(xué)的應(yīng)用。

本節(jié)將介紹幾種生活中常見的有關(guān)社會工程學(xué)攻擊的安全，希望大家能夠進(jìn)一步地了解社會工程學(xué)，并提高警惕。

1.2.1 巧妙地獲取用戶的手機(jī)號碼

社會工程學(xué)就是一種與計算機(jī)技術(shù)相結(jié)合的行騙過程，而社會工程學(xué)的實施者，則可以看作是一個精通計算機(jī)的超級騙子。

下面通過一個虛擬的例子，說明如何通過社會工程學(xué)獲取用戶的手機(jī)號碼。

假設(shè)攻擊者試圖入侵某個公司的內(nèi)部辦公系統(tǒng)，但無法破解管理員的登錄密碼。可先利用一些手段獲得管理員的手機(jī)號，再想辦法得到管理員的登錄密碼即可。

首先，打開公司的網(wǎng)站，在網(wǎng)站首頁的左上角有一個“內(nèi)部辦公系統(tǒng)登錄”鏈接，在該鏈接下有一個快速登錄口，在“登錄名”和“密碼”文本框中輸入相應(yīng)的內(nèi)容，即可進(jìn)入該公司的內(nèi)部辦公系統(tǒng)，如圖1-1所示。

或者直接單擊“內(nèi)部辦公系統(tǒng)登錄”鏈接，在打開的“內(nèi)部辦公系統(tǒng)”頁面中可直接登錄進(jìn)入公司的內(nèi)部辦公系統(tǒng)，如圖1-2 所示。現(xiàn)在要做的就是獲得管理員的登錄密碼，但可以先從管理員的手機(jī)號碼上入手，得到他的手機(jī)號碼后，再想辦法獲取登錄密碼。

攻擊者要想成功獲得管理員的手機(jī)號，需要按照下面的方法進(jìn)行。

1. 查詢用戶網(wǎng)絡(luò)信息

攻擊者可以使用社會工程學(xué)，詳細(xì)地搜集管理員在網(wǎng)上的各種信息。比如，管理員常用的郵箱，通常來說，經(jīng)常在網(wǎng)絡(luò)上活動的管理員，當(dāng)它們注冊一些論壇或博客站點服務(wù)等，都會用到郵箱。因此，攻擊者可以將這些郵箱地址作為關(guān)鍵字，在百度或Google等搜索引擎中搜索相關(guān)信息。

從搜索結(jié)果中可以看到許多有用的信息，如管理員注冊了哪些論壇。同樣，可以用管理員的其他郵箱、QQ號和MSN地址等信息為關(guān)鍵字在網(wǎng)上進(jìn)行搜索，也可以搜索到不少信息。

另外，還可以在當(dāng)下流行的“校內(nèi)網(wǎng)”和“校友網(wǎng)”等社交類型的網(wǎng)絡(luò)上搜索更詳細(xì)的信息，以獲得用戶的真實資料等信息。在這兩個網(wǎng)站上注冊的用戶通常都會在注冊信息中填寫真實的家庭住址、出生日期、手機(jī)號碼和QQ號碼等信息，通過這種方式可以了解到管理員的手機(jī)號碼或其他重要的信息。

2. 獲得手機(jī)號碼

如果從網(wǎng)絡(luò)中的搜索信息中可以直接得到目標(biāo)的手機(jī)號碼，就可以利用這個手機(jī)號碼進(jìn)行欺騙。如果只得到了目標(biāo)者的出生日期、家庭住址或QQ號碼，則可以先將管理員的QQ號加為好友，再通過其他方法騙到他的手機(jī)號碼即可。

1.2.2 利用社會工程學(xué)揭秘網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚就是指入侵者通過處心積慮的技術(shù)手段偽造出一些以假亂真的網(wǎng)站和誘惑受害者根據(jù)指定方法操作的E-mail等方法，使得受害者“自愿”交出重要信息或被竊取重要信息（例如銀行賬戶密碼）的手段。它并不是一種新的入侵方法，但其危害范圍卻在逐漸擴(kuò)大，并成為近期威脅網(wǎng)絡(luò)安全的最大危害之一。

無論IE還是Firefox瀏覽器，都在不斷出現(xiàn)各種各樣的漏洞，例如，有的瀏覽器漏洞可以讓黑客在網(wǎng)頁中插入惡意代碼，有的可以讓瀏覽器顯示錯誤的網(wǎng)址。黑客可以向用戶發(fā)送郵件或者QQ消息，讓他點擊某個網(wǎng)址。這個網(wǎng)址的URL看上去是個著名網(wǎng)站，打開之后顯示的頁面也像那個網(wǎng)站，但其實是黑客自己建立的釣魚網(wǎng)站。

此時，可能會有這樣的疑問——網(wǎng)絡(luò)釣魚與社會工程學(xué)類似，都是利用人們的弱點欺騙的？其實，網(wǎng)絡(luò)釣魚屬于社會工程學(xué)攻擊的一種，簡單地說，就是通過偽造信息獲得受害者的信任并且響應(yīng)，由于網(wǎng)絡(luò)信息是呈爆炸性增長的，人們面對各種各樣的信息往往難以辨認(rèn)真?zhèn)危劳芯W(wǎng)絡(luò)環(huán)境進(jìn)行釣魚攻擊是一種非常可行的攻擊手段。

網(wǎng)絡(luò)釣魚從攻擊角度上分為兩種形式，一種是通過偽造具有“概率可信度”的信息來欺騙受害者。這里所說的“概率可信度”，從邏輯上說就是有一定的概率使人信任并且響應(yīng)，從原理上說，攻擊者使用“概率可信度”的信息進(jìn)行攻擊，這類信息在概率內(nèi)正好吻合了受害者的信任度，受害者就可能直接信任這類信息并且響應(yīng)。

另外一種則是通過“身份欺騙”信息來攻擊受害者。這與社會工程學(xué)攻擊一樣，攻擊者需要事先掌握對方的相關(guān)信息，利用人與人之間的信任關(guān)系，通過偽造身份來捏造信息，使受害者對攻擊者所說的話確信無疑并做出響應(yīng)。

我們在實際生活中常常會遇到釣魚事件，并且如此拙劣的手段仍能讓其頻頻得手，主要是因為網(wǎng)絡(luò)釣魚充分利用了人們的心理漏洞。首先，人們收到黑客發(fā)送的影響力很大的郵件時，很多人都不會懷疑信件的真實性，更會下意識地根據(jù)要求打開郵件里面指定的URL進(jìn)行操作。其次，頁面打開后，我們通常不會注意瀏覽器地址欄中顯示的地址，而只是留意頁面內(nèi)容，這正是讓釣魚者有機(jī)可乘的原因。

1.2.3 冒認(rèn)身份獲取系統(tǒng)口令

得到管理員的手機(jī)號碼后，可以利用身份偽造這種方法騙取系統(tǒng)口令。身份偽造是指攻擊者利用各種手段隱藏真實身份，以一種目標(biāo)信任的身份出現(xiàn)來達(dá)到獲取情報的目的。

攻擊者大多以能夠自由出入目標(biāo)內(nèi)部的身份出現(xiàn)，獲取情報和信息；或者采取更高明的手段，例如偽造身份證、ID卡等在沒有專業(yè)人士或系統(tǒng)檢測的情況下，要識別其真?zhèn)问怯幸欢y度的。

在“校內(nèi)網(wǎng)”和“校友網(wǎng)”等社交類型的網(wǎng)絡(luò)上搜索用戶的信息時，得到管理員的手機(jī)號碼后，攻擊者可以假裝是管理員所在公司的一個新員工，然后利用得到的手機(jī)號給目標(biāo)發(fā)信息，告訴他“我是你的新同事XXX，是新的銷售經(jīng)理助理，這是我的手機(jī)號碼”。再尋找話題與管理員聊天，使其對自己說的話深信不疑。

最后，告訴管理員，銷售部經(jīng)理讓我在公司內(nèi)部辦公系統(tǒng)上下載一份文檔，但我不知道公司的內(nèi)部辦公系統(tǒng)設(shè)的有密碼，忘了問他了，希望你可以把口令告訴我，我急需要這份文檔。當(dāng)管理員聽到這些話后，可能就會相信你所說的，并將口令告訴你。這樣，即可順利地從管理員口中獲得系統(tǒng)口令了。當(dāng)然，這種做法可能有一定的運行成分，但像這種疏忽大意且防備心理不強(qiáng)的人非常多，社會工程學(xué)正是利用這一特點對目標(biāo)進(jìn)行攻擊的。

1.2.4 社會工程學(xué)盜用密碼

利用社會工程學(xué)獲取密碼非常簡單，而且不需要其他的黑客工具便能辦到，危害非常大。

社會工程學(xué)破解密碼就是有針對性地搜集被破解人的相關(guān)信息，并對相關(guān)信息進(jìn)行整理加工，達(dá)到快速高效地破解密碼的目的。信息搜集的方法有普通搜集，即通過對平常可見的信息進(jìn)行系統(tǒng)的搜集，越全面越好。另一個方法就是借助功能強(qiáng)大的搜索引擎，搜索他人和相關(guān)人員的人名，從搜索結(jié)果中篩選有用信息加以整理利用。

例如，要破解某個人的賬號密碼，就搜集關(guān)于他的信息：姓名、生日、手機(jī)號、QQ號、家庭電話、學(xué)號、身份證號、家鄉(xiāng)及其所在地的郵政編碼和區(qū)號等。除此之外，還要搜集他身邊關(guān)系親密人員的信息，如：父母、女友等。將這些搜集到的信息加上其他一些常用的字母、數(shù)字進(jìn)行一定的排列組合組成一系列的密碼，即密碼字典。

密碼字典主要是配合解密軟件使用的，密碼字典里包括許多人們習(xí)慣性設(shè)置的密碼，這樣可以提高解密軟件的密碼破解命中率，縮短解密時間。當(dāng)然，如果一個人密碼設(shè)置沒有規(guī)律或很復(fù)雜，未包含在密碼字典里，這個字典就沒有用了，甚至?xí)娱L解密時間。

下面以“亦思社會工程學(xué)字典生成器”為例，介紹如何利用搜集的信息生成密碼字典。

“亦思社會工程學(xué)字典生成器”用于生成特定組合的密碼字典，在相應(yīng)位置輸入相應(yīng)的字符，并單擊“生成字典”按鈕，即可在同目錄下生成“mypass.txt”字典文件。

打開“亦思社會工程學(xué)字典生成器”軟件，在主窗口左側(cè)的“社會信息”欄中的相應(yīng)文本框中輸入搜集到的信息，如圖1-3 所示。單擊“生成字典”按鈕，即可生成一個名為“mypass.txt”字典文件，打開該文件，即可看到該軟件利用搜集到的信息生成的密碼字典，如圖1-4所示。

需要注意的是，信息填寫得越準(zhǔn)確，填寫的項目越多，生成的密碼字典中出現(xiàn)真實密碼的可能性就越大。在填寫時不要局限于選項的提示，相關(guān)的重要信息都可以填寫，以增加擊中密碼的幾率。

利用搜集到的信息生成密碼字典后，即可利用破解密碼的程序一個一個地從生成的字典里讀取可能是密碼的字條，一個一個地試，直到找到正確的密碼。

1.3 防范社會工程學(xué)

通過前面的學(xué)習(xí)，我們知道社會工程學(xué)攻擊是一種非常危險的黑客攻擊技術(shù)，它就像一雙隱形的眼睛一樣，時刻盯著我們并找準(zhǔn)時機(jī)進(jìn)行攻擊。因此，為了避免個人用戶或企業(yè)遭受社會工程學(xué)攻擊，要掌握一些防范社會工程學(xué)攻擊的方法。

1.3.1 個人用戶防范社會工程學(xué)

社會工程學(xué)攻擊中核心的東西就是信息，尤其是個人信息。黑客無論出于什么目的，若要使用社會工程學(xué)，必須先要了解目標(biāo)對象的相關(guān)信息。對于個人用戶來說，要保護(hù)個人信息不被竊取，需要避免我們在無意識的狀態(tài)下，主動泄露自己的信息。

1. 了解一些社會工程學(xué)的手法

俗話說：知己知彼，百戰(zhàn)不殆。如果你不想被人坑蒙拐騙，那就得多了解一些坑蒙拐騙的招數(shù)，這有助于了解各種新出現(xiàn)的社會工程的手法。

2. 保護(hù)個人信息資料

在網(wǎng)絡(luò)普及的今天，很多論壇、博客、電子信箱等都包含了個人的大量私人信息，這些信息中對社會工程學(xué)攻擊有用的信息主要有生日、年齡、E-mail郵件地址、手機(jī)號碼、家庭電話號碼等，入侵者根據(jù)這些信息再次進(jìn)行信息挖掘，將提高入侵成功的幾率。因此，在提供注冊的地方盡量不使用真實的信息，例如，網(wǎng)絡(luò)上鋪天蓋地的社交網(wǎng)站，它無疑是無意識泄露信息最好的地方，成為黑客們最喜歡光顧的地方。

在網(wǎng)絡(luò)上注冊信息時，如果需要提供真實信息的，需要查看這些網(wǎng)站是否提供了對個人隱私信息的保護(hù)，是否采取了一些安全措施。對于提供論壇等需要用戶注冊服務(wù)的公司需要從保護(hù)個人隱私的角度出發(fā)，從程序上采取一些安全措施保護(hù)個人信息資料不被泄露。

3. 時刻提高警惕

利用社會工程學(xué)進(jìn)行攻擊的手段千變?nèi)f化，比如我們收到的郵件，發(fā)件人地址是很容易偽造的；公司座機(jī)上看到的來電顯示，也可以被偽造；收到的手機(jī)短信，發(fā)短信的號碼也可以偽造。所以，要時刻提高警惕，保持一顆懷疑的心，不要輕易相信所看到的。

4. 保持理性

很多黑客在利用社會工程學(xué)進(jìn)行攻擊時，采用的手法不外乎都是利用人感性的弱點，然后施加影響。所以，我們應(yīng)盡量保持理性的思維，特別是在和陌生人溝通時，這樣有助于減小上當(dāng)受騙的概率。

5. 不要隨手丟棄生活垃圾

看來毫無用處的生活垃圾可能會被隨意丟掉，但這些生活垃圾一樣也會被有心的黑客利用。因為這些垃圾中可能包含有賬單、發(fā)票、取款機(jī)憑條等內(nèi)容，在丟棄時并沒有完全銷毀它們，而是隨意丟在垃圾桶中。這樣，如果被一些人撿到，就會造成個人信息的泄露。

1.3.2 企業(yè)或單位防范社會工程學(xué)

俗話說道高一尺，魔高一丈，面對社會工程學(xué)帶來的安全挑戰(zhàn)，企業(yè)必須適應(yīng)新的防御方法。如表1-2所示列出了一些常見的入侵伎倆和防范策略。

總的來說，針對社會工程學(xué)攻擊，企業(yè)或單位還應(yīng)主動采取一些積極的措施進(jìn)行防范。這里將防范措施歸納為兩大類，即網(wǎng)絡(luò)安全培訓(xùn)和安全審核。

1. 網(wǎng)絡(luò)安全培訓(xùn)

社會工程學(xué)主要是利用人的弱點來進(jìn)行各種攻擊的。所以說，“人”是在整個網(wǎng)絡(luò)安全體系中最薄弱的一個環(huán)節(jié)。對于國內(nèi)企業(yè)來講，往往是注重技術(shù)技能的培訓(xùn)，而輕于網(wǎng)絡(luò)安全方面的培訓(xùn)，只有在接受嚴(yán)重的損失以后，才會意識網(wǎng)絡(luò)安全的重要性。

因此，為了保證企業(yè)免遭損失，要對員工進(jìn)行一些網(wǎng)絡(luò)安全培訓(xùn)，讓他們知道這些方法是如何運用和得逞的，學(xué)會辨認(rèn)社會工程學(xué)攻擊，在這方面要注意培養(yǎng)和訓(xùn)練企業(yè)員工的幾種能力，包括辨別判斷能力、防欺詐能力、信息隱藏能力、自我保護(hù)能力、應(yīng)急處理能力等。

（1）網(wǎng)絡(luò)安全意識的培訓(xùn)。

在進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)時要注重社會工程學(xué)攻擊以及反社會工程學(xué)攻擊防范的培訓(xùn)，無論是老員工還是新員工都要進(jìn)行網(wǎng)絡(luò)安全意識的培訓(xùn)，培養(yǎng)員工的保密意識，增強(qiáng)其責(zé)任感。在進(jìn)行培訓(xùn)時，結(jié)合一些身邊的案例進(jìn)行培訓(xùn)，例如QQ賬號的盜取等，讓普通員工意識到一些簡單社會學(xué)攻擊不但會給自己造成損失，而且還會影響到公司利益。

（2）網(wǎng)絡(luò)安全技術(shù)的培訓(xùn)。

雖然目前的網(wǎng)絡(luò)入侵者很多，但對于有著安全防范意識的個人或者公司網(wǎng)絡(luò)來說，入侵成功的幾率很小。因此對員工要進(jìn)行一些簡單有效的網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，降低網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)安全技術(shù)培訓(xùn)主要從系統(tǒng)漏洞補(bǔ)丁、應(yīng)用程序漏洞補(bǔ)丁、殺毒軟件、防火墻、運行可執(zhí)行應(yīng)用程序等方面入手，讓員工主動進(jìn)行網(wǎng)絡(luò)安全的防御。

2. 安全審核

加強(qiáng)企業(yè)內(nèi)部安全管理，盡可能把系統(tǒng)管理工作職責(zé)時進(jìn)行分離，合理分配每個系統(tǒng)管理員所擁有的權(quán)力，避免權(quán)力過分集中。為防止外部人員混入內(nèi)部，員工應(yīng)佩戴胸卡標(biāo)示，設(shè)置門禁和視頻監(jiān)控系統(tǒng)；嚴(yán)格辦公垃圾和設(shè)備維修報廢處理程序；杜絕為貪圖方便，將密碼粘貼或通過QQ等方式進(jìn)行系統(tǒng)維護(hù)工作的日常聯(lián)系等。

（1）身份審核（認(rèn)證）

認(rèn)證是一個信息安全的常用術(shù)語。通俗地說，認(rèn)證就是解決某人到底是誰。由于大部分的攻擊者都會用到“身份冒充”這個步驟，所以認(rèn)證就顯得非常必要。只要進(jìn)行一些簡單的身份確認(rèn)，就能夠識破大多數(shù)假冒者。比如，碰到公司內(nèi)不認(rèn)識的人找你索要敏感資料，你可以把電話打回去進(jìn)行確認(rèn)（最好是打回公司內(nèi)部的座機(jī)）。而對于在公司進(jìn)出口的身份審核，一定要認(rèn)真仔細(xì)，層層把關(guān)，只有在真正的核實身份之后并進(jìn)行相關(guān)登記后才能給予放行。在某些重要安全部門，還應(yīng)根據(jù)實際情況需要，采取指紋識別、視網(wǎng)膜識別等方式進(jìn)行身份核定，以確保網(wǎng)絡(luò)的安全運行。

（2）操作流程審核

操作流程審核要求在操作流程的各個環(huán)節(jié)進(jìn)行認(rèn)真的審查，杜絕違反操作規(guī)程的行為。一般情況下，遵守操作流程規(guī)范，進(jìn)行安全操作，能夠確保信息安全；但是如果個別人員違規(guī)操作就有可能泄露敏感信息，危害網(wǎng)絡(luò)安全。

（3）安全列表審核

定期對公司個人電腦進(jìn)行安全檢查，這些安全檢查主要包括計算機(jī)的物理安全檢查和計算機(jī)操作系統(tǒng)安全檢查。計算機(jī)物理安全是指計算機(jī)所處的周圍環(huán)境或計算機(jī)設(shè)備能夠確保計算機(jī)信息不被竊取或泄露。

計算機(jī)操作系統(tǒng)安全是指從操作系統(tǒng)層面著手，維護(hù)計算機(jī)信息安全。計算機(jī)操作系統(tǒng)安全的內(nèi)容比較多，主要從殺毒軟件定期升級、操作系統(tǒng)漏洞補(bǔ)丁及時升級、安裝防火墻、U盤殺毒、不運行不明程序和禁止打開來歷不明的附件等方面進(jìn)行考慮。

（4）建立完善的安全響應(yīng)措施

應(yīng)當(dāng)建立完善的安全響應(yīng)措施，當(dāng)員工受到了社會工程學(xué)的攻擊或其他攻擊，或者懷疑受到了社會工程學(xué)和反社會工程學(xué)的攻擊，應(yīng)當(dāng)及時報告，相關(guān)人員按照安全響應(yīng)措施進(jìn)行相應(yīng)的處理，降低安全風(fēng)險。

1.4 專家課堂（常見問題與解答）

點撥1：社會工程學(xué)攻擊者常利用身份竊取這種手機(jī)，對目標(biāo)進(jìn)行攻擊，用戶應(yīng)如何避免這種情況發(fā)生？

解答：身份竊取指通過假裝為另外一個人的身份而進(jìn)行欺詐、竊取等，并獲取非法利益的活動。社交網(wǎng)絡(luò)的信息可透露一些頗有價值的內(nèi)容，如受害者的姓名和出生日期。身份竊賊可以用這些信息猜測用戶的口令或模仿這些用戶，并最終竊取其身份。

這里提醒用戶不要回答社會網(wǎng)站提交的全部問題，或不要提供自己真實的出生日期。用戶不必告訴網(wǎng)站自己真實的教育背景、電話號碼等，還要想方設(shè)法讓竊賊得到錯誤的其他敏感信息。

點撥2：如果某用戶認(rèn)為自己已受到社會工程學(xué)攻擊，并泄露了公司的相關(guān)信息時，應(yīng)如何做呢？

解答：如果認(rèn)為自己已經(jīng)泄露了有關(guān)公司的敏感信息，要把這個事情報告給公司內(nèi)部的有關(guān)人員，包括網(wǎng)絡(luò)管理員。他們能夠?qū)θ魏慰梢傻幕蛘卟煌瑢こ５男袆颖３志琛?/p>