网络安全社会工程学起源与应用

在原始时代，当人们感到饥饿的时候，会想尽一切办法来进行食物获取。有的人选择狩猎、有的人选择掠夺、有的人选择耕种等，这些初级的社会活动可以称之为社会工程学雏形，即通过自然的、社会的和制度上的途径来逐步解决社会问题的模式。

网络安全根据百度百科可以知道，其是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

那何谓网络安全社会工程学呢？结合以上解释可以发现，通过利用自然的、社会的和制度上的途径，对受保护的数据进行破坏、更改、泄露。

举个例子，父母总喜欢利用子女的信任及家中通行便利的因素，借助家长与子女人员异地的机会，偷偷翻阅其日记本或电脑文件夹，获取子女相关信息，并在事后清除痕迹（日志）。

这就是典型的网络安全社会工程学数据窃取实例。

每一个人都是独立的“热血计算机”，包含输入系统（即视觉、触觉等）、输出系统（语言、情绪等）、存储（记忆、习惯等）、处理及控制器（大脑）；

而人活在社会，必然每天都无法避免被其他“热血计算机”监视其饮食作息；必然每天都无法避免进行“网络连接”信息交互；更必然无法避免被迫接受“查询语句”嗅探；把他们组合起来，通过“多重分隔法”，借助一台或者多台“热血计算机”数据交互最终完成入侵——网络安全社会工程学入侵。

一般而言，社会工程学攻击流程包含以下流程，如下图所示：

可以从上图很明显的发现，社会工程学攻击不是类似传统网络攻击一蹴而就的完成攻击，它主要是通过信息收集、数据筛选完成攻击策划编制，并通过子目的、里程碑、核心目的多重传递，完成服从性分析→身份伪造→建立信任→社会攻击的一个过程。采用的方法也不仅限于传统的技术入侵（网络陷阱、邮件钓鱼等），更包括垃圾搜索、正面潜入、电话诱骗及意识屈服等。相比于传统的技术突破，社会工程学更像是一场“心甘情愿”的出卖。

曾经本人策划过一起简单的基于兴趣的网络安全社会工程学攻击，攻击对象是我的大学同学A，目的是获取他现在的感情与家庭状况。

由于多年未联系，我并不知道他的手机、住址、工作单位及其他信息。有限的信息仅仅包括他的姓名。

第一步 信息收集。通过人人网、百度引擎、企查查、天眼查等工具搜索姓名、性别、伴侣、同学相关信息等其他特征。

第二步 数据筛选。排除同名人员，确认其开设公司名称、开设公司手机、开设公司邮箱、公司开设地址、公司股权分析。

第三步 服从性分析。根据其职业特性与社会人员结构分析，制定本次服从性分析计划。其一是通过搜集到的其他同班同学信息加微信、QQ等联络方式，以方案策划获取同学A婚姻、健康、住址；其二是通过搜集到的其伴侣B的信息，以方案策划获取同学A婚姻、家庭结构、未来规划；其三是通过搜集到的同学A信息，以方案策划侧面印证搜集信息与诱导其婚姻、家庭架构、生活状况、未来规划等。

第四步 身份伪造。其他同班同学里程碑以同班同学身份接近，伪造朋友圈、朋友聚会信息、朋友信息；伴侣B里程碑伪造其大学兴趣社团成员，伪造朋友圈、群成员组成、若干同名“QQ”友人账号；同学A里程碑伪造商业加盟合作伙伴，伪造朋友圈、真实商业公司信息（冒名）、个人信息。

第五步 建立信任。对于其他同班同学节点里程碑，通过信息收集以新手机号申请微信，补充朋友圈等信息以组织同学聚会的缘由进行信息获取，通过多个同学节点获得其已婚、未育、生活手机号及住址信息；

对于伴侣节点里程碑，通过信息收集的兴趣爱好为切入点，伪造兴趣QQ群邀请其加入，并通过以“群规矩”的方式，多方引导获取信息，包括已婚、未育、家庭经济状况、日常时间表、家庭架构及未来规划；

对于同学A里程碑，通过信息收集的公司模式为切入点，以“合作加盟”的方式进行商业探讨，发现其资金紧迫度、公司信息、伴侣信任度（其伴侣B为股东之一）、身份证信息、朋友周边、父母信息（以加盟担保为由）等；

第六步 社会攻击。本人未接下来进行社会攻击，但通过整理收集到信息可得：

1）同学A、伴侣B、父母的姓名、手机、住址、婚姻、家庭结构及未来规划

2）同学A资紧迫度、身份证信息

3）伴侣B信任度及其日常时间表

初步判断其婚姻状况已婚、未育及伴侣信任度较低；企业资金压力较大与生活状态一般；

本次攻击已经结束，但若进行社会攻击，可以进一步进行实地跟踪、调研、事件伪造等方式进行信息挖掘，或直接进行商业信誉打击（冒名投标或恶意宣传）、个人信誉打击（盗用账号或冒名发布恶意信息）、婚姻挑拨（暂且不表）、父母社会工程学攻击、钓鱼攻击（水坑攻击）以及简单QQ账号安全问题密码寻回及银行卡密码破解字典建立等。

本次网络安全社会工程学攻击完成后，本人已通过匿名方式告知同学A网络安全情况，并注销相关小号。

其实从以上例子看来，本人并未使用较多网络安全攻击技术层面手段，但仅从获取信息看来，毋庸置疑皆为现在所提倡保护的“个人隐私信息”。

总书记说过：“没有网络安全就没有国家安全。”我国的网络安全防护之所以还有很长的路要走，除了还需不断完善相关网络安全设备、网络安全技术防护外，公民的网络安全意识还需大大提高。

作者仅希望通过此篇文章，提醒大家网络安全就在生活的每一处，呼吁大家提高网络安全意识从现在做起。

上海地铁维护保障有限公司 沈青

2019年7月14日

沈青，上海地铁维护保障有限公司首席工程师，主要专注于企业顶层信息化框架设计、网络安全合规管理、网络安全意识提升、信息化人才队伍培养及企业网络安全防护。曾参与市网信办组织的以色列网络安全管理进修课程、获得上海市网络安全等级保护先进个人、优秀首席信息安全官等荣誉，并代表申通地铁集团荣获中国信息安全技能竞赛2017年“观安杯”管理运维赛总决赛亚军。

声明：本文来自安在，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。