社会工程学,是利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法。而现在,这种方法或者说是技巧,也被“与时俱进”的黑客更多地利用来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势,而采用传统安全方法很难杜绝这种针对用户的潜意识和心理惯性的攻击,使得网民面临比以往更大的安全风险。
据瑞星近期发布的《瑞星2011年度安全报告》显示,目前威胁国内互联网安全的因素主要包括三个方面:病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击。黑客开始利用“社会工程学”原理对用户进行全面的诈骗、密码猜解、身份伪造、病毒和挂马等攻击,这种新型的社会工程学攻击已经全面渗透到黑色产业的各个环节,显示出巨大的现实危害。
黑客把社会工程学原理应用到了钓鱼诈骗的各个环节之中。据分析,从黑客建立网站开始,共有四个主要环节,建立网站→推广→浏览(建立信任)→支付。在这四个环节当中,黑客尤其对后三个环节不断进行创新,加强推广效果,降低体现难度。
在推广钓鱼网站的方式上,黑客主要利用了搜索引擎攻击、手机短信、IM 软件、电子邮件群发等四种方式。其中搜索引擎攻击得到了黑客的重点使用。常见的搜索引擎攻击方式包括:利用病毒点击提高网站权值,攻击大型网站在其中放入钓鱼网站的链接,热点词优化,甚至通过购买搜索引擎广告的方式来推广钓鱼网站。种种花样翻新的攻击方式,使得网民对于钓鱼网站防不胜防。
除了钓鱼网站之外,黑客以窃取到的用户数据库为基础,频繁尝试进行“充值卡诈骗”、“假快递诈骗”等。瑞星报告显示,2011年下半年,通过QQ、MSN等聊天软件推广钓鱼网站、或直接进行诈骗的案例有大幅上升。具体表现形式为,黑客登录窃取的QQ号、MSN账号等,给其好友发送钓鱼网站,或者直接要求好友帮其购买手机充值卡、网游点卡等容易销脏的数字卡产品。中招者无法统计,数量级可能在数万到数十万之间。这些就是社会工程攻击危害力的现实例证。
在黑客所有的主流攻击手法中,正在从以技术为主的“硬黑客攻击”发展到以心理学、社会工程学、商业数据分析等多个领域综合的“软黑客攻击”为主。这些攻击手段其实并没有太高的技术含量,但是企业花费大量资金打造的传统安全防护体系往往很难起到作用。
容易招致社会工程学攻击的主要因素就是安全意识匮乏,传统的信息安全观主张“三分技术,七分管理”,但无论是技术还是管理,都是围绕那些不断发展的物质技术和外在行为,忽视了处于核心地位的人的内在心理。面对这些层出不穷的“黑客”新手段,我们还要再加上一句——“十分警觉”。
