一、社会工程学概述

1.1社会工程学的定义

社会工程学（Social Engineering）是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。

1.2社会工程学的提出

社会工程学的概念最早是由著名黑客凯文・米特尼克在《欺骗的艺术》中提出的[1]。目前，对于社会工程学并没有一个规范化的定义。根据《欺骗的艺术》中的 描述，可以将其总结为: 社会工程学就是通过自然的、社会的和制度上的途径，利用人的心理弱点( 如人的本能反应、好奇心、信任、贪婪) 以及规则制度上的漏洞，在攻击者和被攻击者之间建立起信任关系，获得有价值的信息，最终可以通过未经用户授权的路径访问某些敏感数据和隐私数据。

1.3社会工程学的现状

近年来，利用社会工程学实施信息窃取的行为日益严重，许多组织和个人深受其害，诸如有组织的进行短信诈骗、网络诈骗、QQ 或微信视频诈骗、垃圾电子邮件等均或多或少地利用了社会工程学的知识。

二、社会工程学的实施

2.1受害者在网络公开信息

在网络上公开信息即个人在网上（如微信、QQ、微博等社交账号）公开真实姓名、照片、地址等个人信息。攻击者们可以通过收集个人信息，结合社会工程师群体、网络社交平台等方式，了解到受害者个人资料、隐私，从而更好对受害者的行为做出制约。

举例：受害者在微信朋友圈分享自己居家照片，且朋友圈对陌生人开放，攻击者通过洞察照片上的周边特征来分析并通过定向蹲点跟踪，进一步确认受害者精确住宅地址，这样对受害者人身安全等造成很大威胁。

2.2社会工程师利用人性弱点

人的心理是整个信息安全保密体系中最脆弱的环节，社会工程学攻击的核心正是以人性的本能欲望、好奇、感恩、贪 婪、胆小、信任、健忘、粗心、恐惧等弱点为突破口，通过精心伪造身份和设置陷阱，在心理层面，攻击者会把自己打扮成值得信赖的、有礼貌的、友好的、某方面的专家等正面的形象来获得被攻击者的信任、好感或同情，降低被攻击者的心理防御。社会工程学攻击者常用的套路是：先博得人们的信任，取得信任后，有目的、有计划地实施信息安全攻击。

3.3社会工程师窃取商业机密

运用社会工程学窃取商业秘密一般分为三个步骤，即“信息收集”“假冒身份”“信息窃取与大数据分析”。这三个步骤是相互依存、紧密结合的，攻击者在实施攻击时通常会根据实际情况混用这三种手法以达到最终目的。

3.4 社会工程师群体分析猎物

社会工程师们通过学习理论的社会工程学，在网络上组成自我社会工程师的“圈子”，由领导位的社会工程师实施犯罪去“培训”新社会工程师。例如：网络相亲、网恋等途径通过亲密关系使得受害者们相信自己是他（她）的真命天子，实际上在网恋途中会有数十人分析受害者的性格、喜好，从而使得社会工程师的侵入更为简单。

3.5 社会工程师引诱受害者

网上冲浪经常碰到中奖、免费赠送等内容的「邮件」或「网页」，诱惑用户进入该页面进行下载程序，，或要求填写账户的口令以便“验证”身份，利用人们疏于防范的心理引诱用户，这通常是社会工程学使用者早已设好的圈套。

三、社会工程学受害者特点

4.1认知特征

4.1.1被害人自己或身边的人没有遭遇过社会工程学诈骗。

经历过社会工程学诈骗的被害人因为遭受过财物损失的心痛，或目睹过身边的人承受的损失，对于可能是诈骗的汇款、转账等信息肯定会多加防范，而大部分社会经验少、生活圈小的人对互联网上传播的信息认识不清，缺乏警惕和防范意识，易落入诈骗者布好的圈套中，成为被害人。

4.1.2被害人对社会工程学诈骗缺乏了解。

随着移动互联网的快速发展和智能手机的普及，诈骗方法越来越具有迷惑性。以QQ诈骗为例，2008年前后是通过木马盗号让QQ好友代为充缴电话费，2010年左右逐渐演化为QQ视频诈骗，用截取的视频确认身份增加对犯罪分子的可信度，2013年此类视频诈骗逐渐针对留学生的家人，借口手术、缴费等要求汇款，到2014年，冒充老板诈骗财务人员的“画皮诈骗”发案率最高，涉案金额巨大。社会工程学诈骗的被害人之所以中招，相当一部分原因是对此类犯罪“与时俱进”的犯罪手段不够了解，没有及时关注此类案件的信息，遭遇诈骗信息时就没有了辨别真伪的能力。

4.2情感特征

情感是行为人的情绪、感受的统称，是外部客 观事物是否符合自己需要的主观体验，在其心理外 化为行为的过程中起着催化作用，同样，对被害人 的情感冲击会对诈骗者达成目的具有相当程度的 刺激作用。社会工程学诈骗被害人最典型的情感 特征就是易焦虑、感性大于理性。犯罪分子会利用 亲人之间的感情和信任，在传播诈骗信息中使用 “车祸”“病重”等不寻常信息，被害人则在“突发事 件”前被犯罪分子渲染的紧张气氛所感染，立即陷 入恐慌、停止思考的状态，内心开始急躁焦虑，不能 冷静思考和理性决策，这是被犯罪分子所利用进而 导致被害的重要心理因素。

4.3意识特征

4.3.1自制力薄弱，抵制不住“馅饼”的诱惑。 

社会工程学诈骗的类型之——假冒即时通信平台 的运营商传播虚假中奖信息，这类诈骗手段使对金 钱有强烈欲望的被害人屡屡中招。犯罪分子即抓 住被害人追求欲望被满足的心理，以巨额奖金为诱 饵，要求被害人缴纳各种名义的税费，“即使缴税， 我还是赚的”大部分人抱有这种心理，乐此不疲地 向犯罪分子指定的账户中转款，当税款交完之后才 发现“人财两空”

4.3.2从众心理

对大众的盲从行为映射在心理学上称作“从众 心理”。当某个人要做出决策的时候，会参考相似 背景下形成的决策。从众心理是社会工程中的致 命武器，通过告诉对方，其他人甚至是楷模都采取 某种行为或表现，可以刺激对方也这么做，这就是 从众原则的作用。犯罪分子利用这一点假冒好友 或直接发送信息要求被害人做出特定的行为，并透 露出大家都这样做，这时被害人随波逐流、想与他 人保持一致的从众心理就开始发挥效用，从而做出 犯罪分子要求的行为。典型的如诈骗者发布的虚 假的公益捐款信息，同时还会张贴已捐款的人数、 姓名、职业、金额等，这些名单极有可能是伪造的， 但是信息的接受者在看到这么多的捐款名单后，在 从众心理支配下大部分会选择主动捐款，让自己成 为了被害人。

四、预防社会工程师措施

4.1多了解社会工程学的知识

在日常生活中，社会工程学是陌生的学术名词。一些人并不了解社会工程学的本质，甚至还会有年龄较小的青少年认为社会工程学的内涵是善意的，是为了剖析人类内心的美好品质。我们应当将社会工程学在现实世界中的含义所普及，学校、家长应当更多的去警戒此方面的知识，避免绝大多数懵懂的青少年走上犯罪的不归路。

4.2 上网时避免泄露个人信息

在需要提交个人信息时保持警惕、清醒和一颗怀疑的心。保护好自己的个人隐私，不随意将个人隐私信息暴露在网络或者现实生活中，例如谨防攻击者通过礼品诱惑扫码或者填表从而获取个人隐私信息。在社交网络上发布拍摄的照片时注意将拍照功能的定位模式关闭，防止保存此图片即可看出拍摄此照片的时间地点。热爱生活不是错误，请善用马赛克。在日常工作中养成良好的习惯，不随意丢弃重要纸质文件，妥善保存，不需要留存时使用碎纸机碎掉。

4.3谨慎面对未知邮件或网站

对于明显含有诱导信息的网站和邮件保持警惕，防止攻击者通过链接进行攻击。对不明邮件不随意点开，对不明信息不随意执行，所有不明确信息要确认来源后再进一步操作，对所有未知的东西抱有一些“钝感力”，先想一想，再等一等，最后再视情况打开。

4.4谨慎面对未知软件，非必要不下载不受信任的软件

尽可能在正规应用商店下载日常软件，避免在不正规浏览器中下载软件，避免玩盗版游戏，避免下载盗版软件，防止攻击者在软件中插入木马从而进行攻击。

拒绝不明人员的问卷调查、微信扫码等行为，在路上行走时遇到有陌生人用物品、玩具等诱惑下载、扫码等行为，记得学会说：No。

4.5及时更新病毒库和防火墙

有些网络社会工程师熟练掌握网络技术，俗称“黑客”，为了预防这类人员，我们应当通过防护手段防止受到攻击者侵害或者减少受到侵害时的损失。下载正规的防止侵害软件并且及时更新不拖沓。

4.6及时安装最新的补丁

很多攻击者会利用暴露出的系统漏洞进行攻击，安装补丁可以有效防护系统安全。

五、结语

信息技术的高速发展为人们的工作、生活、学习带来了诸多便利，网上办公、网络电话、网上购物、网络支付、智能装备、共享单车等都使人们的生活发生翻天覆地的变化。但在便利的同时，我们的个人隐私、私人账户等重要信息也在不知不觉中暴露，被别有用心的商家、个人甚至黑客掌握。他们运用社会工程学的方法，通过对收集到的信息进行整理、分析，设计策略实施攻击。

社会工程学攻击方式多样、灵活，通过对人的入侵实施对网络的入侵，进而进行网络攻击和信息窃取，任何一个看似不起眼的疏忽，都有可能使我们辛苦部署的网络受到威胁和攻击。为了有效应对社会工程学攻击，我们要加强制度建设和政策研究，同时加强对人的保密意识和保密知识教育，使他们懂安全、知法规、有意识、保底线、守秘密。

网络的迅速发展虽然强化了人在网络中的可操作性、强化了人的主观思想意识，随之而来的却是安全问题。当一个越来越强大的平台崛起，越来越多不可控因素随之诞生，对自身而言，可控的只有自己。

六、参考文献

【1】Kevin  D.Mitnick. The Art of Deception：Controlling the Human Element of Security [M]. 2003.1