信息安全攻击的心理学分析_信息安全攻击

信息安全攻击的心理学分析

［关键词］社会工程学；
信息安全攻击；
心理规律 1社会工程学概述 社会工程学是一种针对受害者的心理弱点、本能反应、 好奇心、信任、贪婪等心理陷阱，实施诸如欺骗、伤害等危 害的方法。社会工程学攻击是一种利用以上这些心理弱点获 取系统口令、关键安全信息、金钱利益的攻击方法。社会工 程学的载体是网络，进攻的途径即为利用人的心理弱点，其 应用效果及频度与网络发达程度正相关。美国心理学家米尔 格兰姆（StanleyMilgram）提出的六度分割理论是社会工程 学应用的主要理论依据，该理论认为世界上任意两人之间最 多只需经手6个人便能建立联系。近50年来,随着网络与社交 平台快速发展，这一数值正在逐渐下降，全球最大社交网站 Facebook2011年底的报告指出,这个数值已经降到5人以下，表明陌生人之间的联系存在且能够找到，所以充分挖掘及利 用这些联系成为社会工程学的重要依据与方法。社会工程学 以网络为载体，利用人与人、人与信息之间的关系去解决问 题，其具有如下特征。①综合集成。社会工程学以心理学、 社会学等多学科为基础，强调学科间理论的综合作用。②信 息拓扑。根据网络中的信息碎片与人的活动痕迹进行分析推 理，再将结果与其他信息关联，逐渐获得完整清晰的信息拓 扑结构。③手段隐蔽。入侵者采用社会工程学攻击时为规避 风险总会采用各种手段藏匿自己的痕迹，导致受害者意识滞 后或毫无意识。④复杂关联。社会工程学攻击往往从零散信 息切入，经过分析与整合之后了解用户的行为与事件，再去 挖掘潜在有用信息。⑤欺骗性。社会工程学进攻实施中常常 有显在的主观欺骗因素，去影响被害人的行为。

2社会工程学攻击的主要手段 2.1伪装欺骗伪装欺骗往往有两种形式，一是信息伪装， 二是身份伪装。信息伪装即通常利用电话录音、网络病毒、 欺骗性的电子邮件和伪造的Web站点来进行诈骗活动。其中 “网络钓鱼攻击”（Phisingattack）最为常见。近些年出 现了多起银行、交易平台等主页被恶意网站假冒并进行诈骗 钱财的事件，受骗者往往没有识别出这些伪装过的网站继而 泄露出自己信用卡号、账户和口令等重要内容。身份伪装是 社会工程学入侵中一项极其重要的工作，以便攻击者能够在 与被攻击者接触时减少其疑虑、博得好感、增强信任，最终使被攻击者透露更多他想要的信息。2.2引诱欺骗引诱欺骗 是利用计算机用户寻求便利、知识匮乏、侥幸贪婪等心理弱 点诱使其主动地打开邮件、网站或下载程序，执行危险操作， 比如：一些攻击者冒充某技术公司向用户主动提供技术支持， 当用户回复了这样的邮件或点击了邮件中的“免费服务”链 接，便使攻击者与用户的计算机系统建立了互动，并一步步 在你计算机系统中争取到更大的权限。2.3说服与服从说服 是为了增强被攻击者主动完成所指派的任务的顺从意识，从 而使攻击者被充分信任并获得所需信息，为其下一步的攻击 提供条件，例如：某企业内部人员对公司心存不满甚至有了 报复心理时，他就很容易成为攻击者的帮手，被攻击者说服 主动帮助其获取信息或资料。而服从对于上下级关系严苛的 群体成员来说，更为有效，攻击者常常冒充上级下达指令使 被攻击者无条件执行。2.4恭维恭维利用的是大多数人爱听 好话的虚荣心理实施欺骗。攻击者往往态度友善、说话得体， 常常会不失时机而又自然而然地恭维他人。当被害人正自我 感觉良好时，就会降低防范，表现得更为友好，并愿意与攻 击者合作。2.5恐吓大部分计算机使用者对系统漏洞、病毒 等内容比较排斥和敏感，会害怕和担心自己的系统出现问题。

当攻击者以权威机构的面目出现，针对被攻击者的系统安全 问题进行恐吓欺骗时，被攻击者出于自我保护很快会被诱骗 成功，按照攻击者的要求逐步操作，最终导致安全防御被攻 破。3社会工程学攻击的心理机制分析 引发人行为的因素多种多样，人也有规避风险的心理。

但是社会工程学攻击的驱动力却恰恰利用人们心理的一些 普遍规律和机制，从而达到了窃取信息危害安全的目的。3.1 神经语言程序神经语言程序 （Neuro-LinguisticProgramming，NLP）是关于人类语言与 沟通程序的一套模式。这种理论认为人们思维及行为上的习 惯，就如同电脑中的程序，可以通过更新软件的方式实现其 改变。在利用社会工程学攻击过程中，攻击者通过自我控制 神经系统达到影响被攻击者的目的。如前文所述，经常使用 的社会工程学方法就是伪装欺骗，例如：通过行为、语言等 方面的伪装冒充行业内部的人员，那么人们会很自然地相信 那些熟悉公司内部业务流程和专业用语的人，NLP把这种技 法称之为模仿。如果在行为上的模仿无误，别人便不会对他 产生怀疑接下来如再提出进一步请求，如询问口令或讨论重 要情报。3.2虚假同感偏差虚假同感偏差 （falseconsensusbias）指人们常常高估或夸大自己的信念、 判断及行为的普遍性――即每个人都觉得别人和自己想的 一样，但有时事实上却并非如此，例如：某黑客破坏了一个 网络系统并引起一些故障，然后宣称他是来进行技术帮助的， 人们往往在出现故障无从解决的情况下，更加坚定地相信这 名黑客是来提供帮助的，而不会进行更多怀疑，在这种情况 下黑客就轻而易举得到了他想窃取的资料和信息。3.3从众心理反应从众心理是指个人的观念和行为受到外界群体的 影响而与多数人趋于一致的现象。从众的内在心理原因是害 怕自己做错或害怕自己被群体排斥，正是这种心理，人们就 会选择和大家一样的行为来减少自己内心的不安和焦虑，比 如：在运用社会工程学攻击时，隐蔽的黑客单独告诉一个攻 击对象其他人都已经按自己的要求提供了信息，那么这个被 攻击者就会轻而易举地选择和大家一样的行为，向黑客泄露 重要的信息或情报。3.4服从理论服从是人由于外在强制力 或他人影响而做出的遵照、顺从行为。社会工程学攻击最常 利用的就是对权威的服从，有时这种服从会超越规则的约束 甚至道德的判断，比如：在黑客利用电子邮件进行诱骗时， 常常把发件人篡改为被攻击者的权威上司或是上级授权人 员，让收件人笃信权威，掉入陷阱。3.5刻板效应影响刻板 印象指人们常常对某个社会群体形成的一种概括而固定的 看法。刻板印象是固化的，很难随着环境的改变而改变，比 如：人们看到微软公司的制服和工作证，会坚信他是规范的、 专业的和安全的，因此,会放松警惕丝毫不会产生怀疑。社 会工程学攻击的手段看似并不复杂，但是它的攻击效果却很 明显，目前，人们还没有完善的技术防御手段，难以控制掌 握信息和设备的“人”的因素，但是人们若能了解其实施的 心理原理和机制，有针对性地进行防范和教育，就会最大限 度地减少安全隐患和各类损失。

主要参考文献［1］周磊.浅谈社会工程学攻击与防范［J］.计算机光 盘软件与应用,2013(15). ［2］李术红.思想政治教育心理学学科建构研究［D］. 哈尔滨:哈尔滨工程大学,2014. ［3］吕方兴.网络钓鱼的特点与形式［J］.科技视 界,2012(26). ［4］薛晨,杨世平.基于社会工程学的入侵渗透的研究 ［J］.贵州大学学报:自然版,2015(1). ［5］韩臻.信息安全工作需关注心理学的研究及应用 ［J］.信息安全与通信保密,2010(1). ［6］林晶,王天羲,石元泉,等.社会工程学背景下的网 络安全［J］.怀化学院学报,2013(5).