一文帶你讀懂信息安全和社會工程學

近年來，電信詐騙無孔不入，各種詐騙層出不窮，讓人防不勝防。為了提高人們的反詐騙意識，切實減少詐騙案件發生。今年3月深圳市開展國家反詐中心app和全國反詐電話96110的宣傳推廣。

除了電信詐騙，相信很多人也都有收到過騷擾電話、垃圾郵件及短信。馬克思主義哲學告訴我們，要學會從現象發現本質，不難發現這些種種皆來自于信息的泄露。在如今，科技與防護手段的提升中使得傳統攻擊手段越來越難以獲取數據信息，而在非傳統攻擊手段中，社會工程學是針對最薄弱的一環進行攻擊，而這一環就是人，通過多學科交叉融會貫通，將攻擊泄露的數據信息，分析收集組裝，逐漸完善所有數據信息，以得到自己的利益。下面就讓我們來聊聊信息安全中的社會工程學。

何為社會工程學

社會工程學包含兩層含義，廣義的含義是利用社會中的各個方面要素，去解決復雜問題的方法論;狹義的含義則是針對互聯網領域中“安全”的一種攻擊手段。廣義的“社會工程學”是建立理論并通過利用自然的、社會的和制度上的途徑來逐步解決各種復雜的社會問題。狹義的“社會工程學”是一種針對受害者的心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱，實施諸如欺騙、傷害等危害的方法。密碼中的社會工程學（攻擊）是一種利用上述心理陷阱獲取用戶個人信息、系統/平臺信息、用戶的慣例/規則等信息的攻擊方法。社會工程學屬于非傳統的信息安全范疇，隨著網絡技術、產品和服務的日趨成熟，很多攻擊手段難以快速實現，此時社會工程學攻擊對于攻擊者來說凸顯重要，而對于防御者來說更要重視。

社會工程學之信息

攻擊者對社會工程學的運用目的是為了收集信息以得到自己的利益，了解攻擊者獲取信息的方式對我們防范社會工程學攻擊至關重要。

根據搜索引擎對目標信息及資料收集

如今是一個互聯網發達的時代，人們活躍在互聯網上，各種社交、購物軟件，幾乎都是實名制的，一個、一個評論、一個訂單都會留下記錄，還有個人的公開資料，如頭像、用戶名、電子郵件等，這些痕跡及資料幾乎都能通過搜索引擎進行查找。攻擊者能夠根據這些資料順藤摸瓜獲取到更多的信息，比如我們熟知的“人肉搜索”。

根據網絡釣魚攻擊獲取信息及資料

網絡釣魚攻擊是一種典型常見的欺詐式攻擊，攻擊發起者通常會偽裝成真實的人、系統或者企業，通過電子郵件或其他通信渠道，使用網絡釣魚電子郵件分發可執行各種功能的惡意鏈接或附件，從受害者中提取登錄憑據或帳戶信息，或者自動下載惡意軟件，讓受害者使用惡意軟件感染自己的計算機，并以捕獲最終用戶的敏感數據作為最終目標。釣魚攻擊較為常見的有電子郵件，釣魚郵件一般表現為送獎品、免費旅游等福利，誘使你登記個人信息或者安裝軟件來盜取敏感數據。除了網上的釣魚攻擊，現實中也會出現相似的行為，如路上撿到U盤、移動硬盤等，這些設備有可能是不法分子“不小心”弄丟的，那些好奇心重或貪小便宜的人撿到，在個人或公司電腦上打開，很可能就會“中病毒”。

根據企業或人員管理缺陷獲取的信息及資料

為保障信息系統及網絡的安全，企業往往投入大力氣和大成本進行信息安全建設，由于企業管理的特點，公司信息安全投入都集中在信息安全設備及信息安全防護系統的搭建上，通過網絡架構設計、入口管理、防火墻、備份設備、安全、審計、行為管理等設備通過技術手段來防范攻擊。通過技術手段進行安全防護基本可以防范絕大部分隨機攻擊者的正面入侵行為。但可能由于信息安全管理能力不足、全員防范意識薄弱等原因，容易遭受攻擊者利用

社會工程學進行APT攻擊，即定向威脅攻擊。企業中會存在筆記本、U盤等個人移動設備從企業外部帶入內部使用的情況，由于這些設備在企業外部使用容易受到威脅，帶入企業內部后威脅也會隨之而來；為了使用便捷，犧牲安全管理，如企業領導由于工作較為繁忙，密碼設置較為簡單，但領導賬戶權限通常較高，容易成為黑客的突破口。俗話說百密一疏，企業的安全防護如果出現一個薄弱環節被攻破，那花了大力氣搭建的防護體系將形如虛設。

根據現場踩點以及調查所得的信息及資料

不基于互聯網的信息收集方式包括收集垃圾堆里面的文件、閑聊套話、潛伏在攻擊對象的環境。攻擊者會從被攻擊者丟棄的快遞、收據、發票等，從中獲取手機號碼、公司名等個人信息。攻擊者還會潛伏在被攻擊對象的生活環境當中，觀察他的起居生活和行為習慣，以便后期攻擊時，讓你放下戒備，慢慢成為他們的囊中之物。例如，上下班攜帶電腦的人可能是計算機行業的；能說會道、表達能力強的人可能是銷售；下班后身上一股消毒水味道的可能是醫生。通過與被攻擊者身處同一環境獲得的信息便是最為直接的信息，也是被攻擊者與攻擊者建立基本信任的信息。當攻擊者提及這些信息時，仿佛就是你的某位熟人，這一層信任障礙便得到突破。

如何應對防范社會工程學

了解了社會工程學信息獲取的方式，相應的，我們需要采取必要的措施進行應對，同時提高自我防范意識，對行為和意識進行武裝。

保護個人信息資料不外泄

目前網絡環境中，社交、購物等網站、app都包含用戶的個人信息，包括用戶名賬號密碼、電話號碼、通訊地址等私人敏感信息，尤其是目前網絡環境中大量的社交網站，是用戶無意識泄露敏感信息的最好地方，這些是黑客最喜歡的網絡環境。因此，應該選擇可靠、安全的網站及平臺進行使用。

除了防范黑客的攻擊，也要謹防商家的信息收集。如今購物平臺、打車平臺出現的“大數據殺熟”現象，還有各種廣告精準投放的“大數據推薦”，商家利用大數據分析對個人的基本信息及習慣操作構造出用戶畫像，進而實現各種“便利”的功能推送，對于使用的相關軟件、app需認真閱讀相關隱私保護協議，謹慎開放相關權限，如相冊、位置等權限，防止相關信息被收集，也可以通過瀏覽毫無興趣的商品，多人共用一個賬號，擾亂大數據分析，俗稱往大數據“投毒”。

如今第三方軟件掃描個人隱私數據的安全事件屢見不鮮，年初發生的PC端QQ掃描瀏覽器事件，PC端眾多游戲為了防外掛對硬盤數據進行掃描等等，為了應對這種情況，我們可以通過一些手段進行防范。我們可以將個人隱私信息和常用軟件分開使用，如常用的軟件或游戲運行在虛擬機中，個人數據存放在外部主機，有條件的可以在不同的電腦進行使用，存放個人隱私數據的電腦還可以采用不連接外部網絡的方式以達到“更安全”的效果；還可以通過相關的隱私信息保護技術，如通過BitLocker對windows系統上的個人數據進行加密。我們都知道穿裙子還需要穿打底褲，話糙理不糙，對于個人隱私數據的保護也一樣，需要通過一些有效的手段進行防護。

在生活中，應該養成在丟掉自己的消費憑據、火車票、快遞單據、取款憑條之前，先將其撕毀的習慣，千萬不能小看這些單據，很多攻擊者都是從這些看似沒用的東西上獲得我們的個人信息。現在的快遞單、外賣單都是熱敏紙，使用打火機燙一下就能讓文字消失，銷毀的方式可以是多樣化的。還有在購物中心等地，會通過禮品誘惑你掃碼或填表的方式收集個人信息，然后利用這些信息去做違法的事情?？傊?，只要自己在日常生活中注意不漏出破綻，別人就不可能輕易獲得我們的個人信息。

盡可能的不去碰觸一些未知的鏈接、網站、網絡詐騙電話

在現實中，由于監管不嚴、利益驅使，大量的網絡誘騙鏈接充斥于我們的生活中，正確的區分鏈接是否合規，成為我們必備的一個知識點，如認真檢查網站，重視證書警告。我們應避免盡可能不去點擊、下載一些未知鏈接、app等，對于陌生電話，號碼較為怪異的組合直接拒接，謹防“釣魚”類鏈接、郵件、電話。對于自己感興趣的郵件，我們要注意檢查發件人，謹慎下載附件，對于需要填寫個人信息的網站、app，確保其可信。

普及社會工程學知識

有人覺得自己在網上摸爬滾打這么多年，使用過的網站、app數不勝數，幾乎所有平臺都填寫過個人信息，留下過“足跡”，個人信息已經暴露無遺，隱私信息保護已經沒必要了，“躺平”就完事了。對于隱私泄露，關鍵在于你的隱私掌握在誰手中，可以劃分為幾個等級：

給國家知道

給商業機構知道

隨隨便便一個人都能知道

大多數人的隱私和便利的平衡只需要到讓有信用的商業機構知道的等級。如果隱私數據隨隨便便泄露，讓不法分子拿到隱私數據，那整個社會就亂套了。

我們不求像《三體》中羅輯參悟“黑暗森林法則”那樣參透社會工程學，只需學習基本社會工程學的知識，了解社會工程學的意義，黑客常用的攻擊手段，盡可能的避免在日常生活、工作中，給對方留下可以攻擊的漏洞信息。企業也應加強對相應員工安全意識的培訓，提升最基本安全素質。如今國家也很重視這部分的內容，本文開頭的反詐宣傳就是如此，此外還頒發了相關法律法規來保護個人信息的權益，如《個人信息安全規范》、《深圳經濟特區數據條例》等。

互聯網的普及也是近十幾年的事，給我們生活帶來了極大的便利，但也帶來了更多的信息泄露的隱患。以前還沒有手機支付、手機點外賣、網上聊天、網上購物等，人們照樣能夠正常生活，人們常說物極必反，對于互聯網的使用，過度依賴不是什么好事，我們應該放平心態，理性對待。如今安全問題越來越得到重視，相應的密碼技術也在快速發展，未來實現量子密碼，實現完美的密碼技術也不是不可能。如果量子密碼進入實用領域，我們就能夠實現完美的安全了嗎？很遺憾，這是不可能的。在安全問題中，密碼技術能夠覆蓋到的范圍是非常有限的。在確保系統整體安全方面，人是一個巨大的弱點，存在各種針對人的社會工程學攻擊。理解了互聯網的意義和密碼技術的局限性之后，我們就要懂得在生活中不應該盲目相信計算機，而是應該注重培養健全的安全意識。當人們的信息安全意識普遍提高，積極抵制不合理、不合規的信息收集，再加上法制健全，監管到位，相信這些肆無忌憚收集個人信息的現象將會大幅度改善。

希望我們都能，給信息以安全，給時光以生命。

芒果坑坑/宋新德 -沃通開發工程師，熟悉c/c++語言，擅長Qt開發，喜歡用博客記錄學習。

大數據 網絡 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。