前面两章，我们已经讲述了社会工程学的基本概念和一些案例。
　　现在我们开始讲第三章，剖析社会工程学。
     
    第一、第二章详细内容：http://www.ixpub.net/thread-660309-1-1.html

　　第三章 剖析社会工程学

　　社会工程学在计算机信息安全中的重要性

　　总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。

　　它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作的，这些工作甚至要比其本身还要更为繁重。

　　你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了，其实这样够公平的了。无论怎么说，“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下，像CERT发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于：“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而，这样的现象却常有发生。

　　那又如何呢？

　　社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲：最安全的计算机就是已经拔去了插头（注释：网络接口）的那一台（注释：“物理隔离”）。真实上，你可以去说服某人（注释：使用者）把这台非正常工作状态下的、容易受到攻击的（注释：有漏洞的）机器接上插头（注释：连上网络）并启动（注释：提供日常的服务）。

　　也可以看出，“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统，不依赖他人手动干预（注释：人有自己的主观思维）。由此意味着这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。

　　无论是在物理上还是在虚拟的电子信息上，任何一个可以访问系统某个部分（注释：某种服务）的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用，使其得到其它的信息。这意味着没有把“人”（注释：这里指的是使用者/管理人员等的参与者）这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。

　　一个大问题？

　　安全专家常常会不经意地把安全的观念讲得非常的含糊，这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实，原因我在之前已经声明过了，地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的，唯一的不同之处在于使用这些途径时的技巧高低而已。

　　方法

　　试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。第一种方法也是最简单明了的方法，就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。毫无疑问这是最容易成功的，也是最简单与最直观的方法了。当然，被指引的个体也会清楚地知道你想他们干些什么。

　　第二种就是为某个个体度身订造一个人为的（注释：通过捏造的手段）特定情形/环境。这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素，例如如何说服你的对象，你可以设定（注释：刻意安排）某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作，与大量你想得到的“目标”的相关知识。这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。

　　社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。在这个问题上黑客与系统管理员会更为侧重一点，特别是在某种事物与他们的领域有所关联的情况下。为了说明上述的方法，我准备列举一个小型的范例.......

　　[范例如下，当你把某个个体“置于”群体/社会压力（注释：其类型如舆论压力等）下的处境/形势时，个体很有可能会做出符合群体决定的行为，尽管这个决定很明显是错误的。]

　　一致性

　　若在某些情况下有人坚信他们群体的决定是对的话，那么这将有可能导致他们做出不同于往常的判断/行为。比方说如果我曾发表过某个结论，论点的理由非常充分（注释：这里指的是符合群体中多数人的意愿），那么往后无论我花多大的精力去尝试说服他们，都不可能令他们再改变自己的决定了。

　　另外，一个群体是由不同位置/层次的成员组成的。这个位置/层次问题被心理学者称之为“demand charac-teristics”（注释：“意愿的特征性”），这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。这种运用到特征的处理方式是引导人们行为的一种有效途径。

　　情形

　　无论怎么说，大多数的社会工程学行为都是被一些单独的个体所运用的，因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。

　　如果处于这样的情形下，当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。这些固有特征包括：

　　•目标个体以外的压力问题。如让个体相信某个行为的后果并不是他一个人的责任。

　　•借助机会去迎合某人。这些行为更多取决于此个体是否认为某个决定能为某人带来“好处”。这样的行为可以使你与老板的关系更为融洽。

　　•道德上的责任。个体会遵从你是因为他们觉得自己（注释：在道德上）有义务这么做。这就是利用了内疚感。人们比较愿意逃避内疚感，因此如果有一个“可能”会让他们觉得有内疚感的话他们都会尽可能地去避免这个“可能”。

　　个人的说服力

　　个人的声望/说服能力是一种常被用于促使某人配合/顺从你的有利手段。使用个人说服力的目的并不是要别人强行接受你所指派的“任务”，而是增强他们对完成你所指派的任务的主动顺从意识。

　　其实这是有些矛盾的。基本上，目标只是被我们简单地引导到一个已经设置好的、特定的（注释：故意安排的）思维模式上去。目标会认为他们可以控制住局面，在此同时他们也通过他们的力量帮助了你。

　　事实上，目标所得到的利益与他间接帮助你得到的利益此两者是没有冲突的。社会工程学使用者的目的是说服目标，使其有充分的理由去相信只需花费小量的时间与精力就可以“换取”得到利益了。

　　合作

　　存在着多个因素可以促使一个社会工程学使用者增加与目标“合作”的机会。

　　尽量少与目标发生冲突。使用平和的态度去面对对方可以提高达成目的成功几率。拉拢关系或者发展新的关系，共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。

　　在这里‘走向成功’的因素往往集中在你是否有能力去掌握与处理好你的说服力。这是非常重要的，这一点常被“骗子”（注释：常常使用欺骗手段的人）认为是万试万灵的手段。心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作（注释：并获得成功）时现在他/她就更可能会去遵照一个更大的（注释：指引）了。在这里如果曾有过合作的前科的话，那么这次再合作，达成的机会就很大了。

　　更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。尤其是一些非常逼真的视听感观，目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。这个观点一点也不稀奇，以书写形式或电子方式进行交流的信息是很难让人信服的。这就如同拒绝某人进行某个IRC风格的通信一样。

　　关联

　　不管怎么说，社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机/网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。

　　有高度关联性的个体大多会被强而有利的论据所说服。事实上你可以给予他们更多强而有利的论据来支持你的观点。当然，那些观点也有薄弱的一面。你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。当某人有可能直接被社会工程学攻击所影响，若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。所以面对与你的目的有关联的人时你必须给予强而有力的论据，而避免出现理由薄弱的论据。

　　相对于对你的指引或你想得到的结果并不敢兴趣的人，你可以把他们列入“低关联的人”这个类别中去。相关的例子如：一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。因为低关联类别的个体并不会直接对你的目的/结果造成影响，而且他们往往不会去分析你用来说服他们的论点的双面性问题。他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。这些的“意识”如：社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。凭经验而论，在这样的情况下我们只能尽可能地给予其更多的论据与理由了，估计这样的效果会更好一些。基本上，对于那些与你的意识不一致的人，试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。

　　有一点是需要注意的：在进行某些工作的时候，能力低的个体更多会去仿效能力高的个体的行为模式。在计算机系统管理方面，“能力低的个体”大多是指上文所提到的“低关联的人”。站在上述的观点上考虑，不要试图对系统管理员这类别的个体进行社会工程学攻击，除非其能力不及你，不过这样的可能性非常的低。

　　防御他人的攻击

　　综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢？其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。这不但需要你无条件地增强他们的安全防范意识，而且你自身也必须具备更高的警惕性。打个比方，如果你让某人专门负责保护你的计算机系统安全的话，那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。

　　无论如何，对付与防御这类型攻击的最有效手段，也作为最常见的手段，就是“教育/培训”了。第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。不过要记着，在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。这并不是我自己的个人喜好哦。当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。而且如果他们是专注于计算机安全技术的话，那么他们更有可能会站在维护你的数据安全的立场上。

　　也有不会遵从人们的说服力倾向而作出行动的思维因素的。在这里你必须有清晰的思维、高度的创造力、可以应付和处理压力的能力与适当的自信。压力的处理能力与自信可以通过后天培养。至于自身的主张和见解常常被用于对员工的管理方面，训练它可以减少某些个体被施行社会工程学攻击的机会，也有助于其他方面的工作。

　　了解各种使人们的信息安全意识降低与威胁你的安全策略的因素。其实这方面只需要投入小量的精力就可以在降低安全风险方面产生很大的成效了。

　　结论

　　与普遍的思想观念相反，运用社会工程学捕捉人们的心理状态的技巧要比入侵一个sendmail容易得多。但如果你想让你的员工去预防与检测社会工程学攻击的话，其效果绝对不会比你让他们去维护UNIX系统安全的效果明显。

　　站在系统管理员的立场上，不要让“人之间的关系”问题介入你的信息安全链路之中，以至于让你的努力前功尽弃。站在黑客的立场上呢，当系统管理员的“工作链”上存放有你所需要的数据时，千万不要让他“摆脱”自身的脆弱环节。

[ 本帖最后由 Bugkidz 于 2007-7-3 00:38 编辑 ]

社会工程学（Social Engineering）就是一种利用人们心理弱点、本能反应、好奇心、信任、贪婪进行欺骗，获取利益的手段。
近年来，社会工程学犯罪案例迅速上升，甚至到了无处不在、无孔不入的地步。Gartner预计：社会工程学是未来几年中最大的安全风险，许多破坏力最大的行为都是黑客利用社会工程学造成的。还有一些信息安全专家称：社会工程学就是未来入侵与反入侵间的直接对抗。

不同于一般的欺骗手法，社会工程学尤其复杂，防不胜防，即使自认为最警惕最小心的人也有可能受其欺骗，做些比如打开带有恶意软件的附件，或点击未知URL的举动。

社会工程学犯罪两手都很硬

网络中的社会工程学是一种非技术手段的黑客行为。利用社会工程学攻击可以分为两个层次：精神层和物质层。精神层就是在精神上诱骗你，攻破你的心理防线；物质层就是攻击者获取的最终利益，可能是现金、重要数据、隐秘信息等。都说“两手抓，两手都要硬”，社会工程学犯罪也不例外，利用伪装、诱骗等手段，让人们精神上麻痹大意，然后通过植入木马程序、套取密码等手段，最终达到控制者的目的。

攻陷企业网络其实并不需要多高深的黑客技巧，有时只需要一个经过包装过的信件主题即可。比如几年前的Sobig.B病毒，就是假扮成微软技术支持人员传送邮件，让许多使用者不假思索的打开电子邮件的附件。还有就是十大热门病毒之一的 “Lovgate 爱情后门”病毒会从受害者信箱里搜寻最近的信件，并且一一回信，而收件者误以为自己寄出的信得到回复，其实都是病毒找上门了。还有你的MSN好友会突然给你发来一条信息，说这是他的近照，你一定会打开查看的，岂知已经被病毒成功入侵了。这种情况越来越普遍，说明了什么问题？说明“社会工程学犯罪”是非常难以防范的，而且很难用什么产品技术手段防范。

美国著名黑客Kevin Mitnick曾说道：人们通常习惯于用技术来解决问题，但社会工程学绕过了所有技术，包括防火墙。技术很关键，但我们更应该看重人和方法。社会工程学是一种利用诱惑策略的攻击方式。它不单单是个技术性问题，更是关于人的问题。黑客们为什么要使用社会工程学方式？因为这比寻找技术漏洞更简单。社会工程学无需花费或者花费很低，没什么风险，可以避开所有的防护系统，在任何操作系统上都能进行，不会留下犯罪痕迹，几乎百分之百有效，而且人们还没有普遍意识到这个问题。它可以很简单，也可以很复杂；可以只花几分钟时间，也可以花上好几年。

利用社会工程学 揭开网络钓鱼(Phishing)秘密

南方的早春总是伴着绵绵细雨，难得今天是个晴朗天，某服装公司的张经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。张经理放置好钓具后，便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最近的一笔生意。秘书见他在这种时候还离不开工作，便劝他：“经理，今天是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了？”张经理对秘书笑了笑，看着身前的钓竿缓缓说道：“都说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会溜走的。等这笔生意谈妥，我再休息也不迟。”说罢又继续低头敲键盘。

生意终于谈妥，客户把货款转入张经理的银行账户，张经理笑了：“这条大鱼终于被我钓到了。”然后他登上网络银行账户查看转账情况。当页面上显示出账户剩余金额时，张经理心里一紧，接着有了晕眩的感觉：账户里原来的存款不翼而飞，页面里惟有客户刚刚转入的货款，仿佛在嘲笑着张经理。

张经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼。

释疑网络钓鱼

网络钓鱼（Phishing），并不是一种新的入侵方法，但是它的危害范围却在逐渐扩大，成为近期最严重的网络威胁之一。Phishing就是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站和诱惑受害者根据指定方法操作的email等方法，使得受害者“自愿”交出重要信息或被窃取重要信息（例如银行账户密码）的手段。入侵者并不需要主动攻击，他只需要静静等候这些钓竿的反应并提起一条又一条鱼就可以了，就好像是“姜太公钓鱼，愿者上钩”。

看到这里，有些读者可能会说，这不是社会工程学吗？两者都是骗人的手段啊。不错，网络钓鱼里面的确有社会工程学的影子，但是与后者相比，网络钓鱼更趋向于技术方面，因为它不仅仅是欺骗，里面还必须掺入技术成分，否则如果连“垂钓者”自己都无法控制“钓竿”的话，又怎么可能钓到鱼呢？

视觉陷阱：网页背后的钓竿

警察正在分析张经理那台笔记本电脑硬盘里的数据，张经理本人在报案时因心脏病发作而住进了医院。由于无法得知张经理最后一次登录网络银行的时间，而且系统里也没有感染任何偷盗账号的后门程序，案件变得有点扑朔迷离起来。一个分析员无意中打开了Foxmail，发现最后一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”，分析员预测案件与这封信件有重大关系，马上打开阅读。这是一封HTML网页模板的信件，内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL链接。

幕后黑手果然在这里！分析员马上查看信件源代码，很快就找出了其中的猫腻：正如常说的 “说的一套，做的一套”，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样：“〈A HREF="http://www.xxxbank.com.cn/account/index.asp"〉http://www.xxbank.com.cn/account/index.asp〈/A〉”，由于心理作用，受害者潜意识里都会直接点击那个写着“http://www.xxbank.com.cn/account/index.asp”的URL链接，然而他们并不知道，这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿！而这个所谓的更改密码页面，当然伪造得与真正的银行页面完全一致，但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼，即使是小鱼也会让“垂钓者”在梦里发出笑声来了，即使一条太小，积累起来的数目也会变得相当可观了。在金钱的诱惑下，“垂钓者”一次又一次提竿，殊不知，他自己也是被金钱钓竿钓上的一条鱼。

拙劣手段成功的关键

为什么如此拙劣的技术却能频频得手呢？在你的实际生活中有没有遇到类似的情况呢？你会采取什么样的预防措施呢？
因为网络钓鱼充分利用了人们的心理漏洞，首先，人们收到银行这类影响力很大的商务邮件时几乎都会紧张，很多人都不曾怀疑信件的真实性，更会下意识地根据要求打开邮件里面指定的URL进行操作；其次，页面打开后，我们通常都只会留意页面内容而不会注意浏览器地址栏的显示，正是这点让“垂钓者”有了可乘之机。
其实“垂钓者”们是可以利用IE的URL欺骗漏洞把自己伪装得更像一回事似的，只是现在IE普遍打了补丁，这种情况下还使用这个漏洞就会“不打自招”了，所以只有极少数“垂钓者”会采用这个方法，有的“垂钓者”根本连个看起来“比较正规”的域名都没有，而是采用IP地址形式甚至直接光明正大把真实地址显示在浏览器的地址栏里——因为他们知道，除非出现意外情况，否则大部分人根本是不会注意浏览器的地址栏的。
这里顺便提一下那封email，为什么张经理会上当呢？纵然，如果那封email的发件人地址不是银行网站的，那么白痴都看得出来这是伪造的邮件。但是问题就出在这里，这封email的发件人地址清清楚楚写着该银行网站的技术支持信箱地址！“垂钓者”是怎么做到的呢？很简单，一些未经设置的email服务器并不会验证用户信息是否真实，于是骗子用这样的邮件服务器发送一封伪造了发件人地址的信件简直是易如反掌。

借竿钓鱼：爱恨交加的搜索引擎

   由于Internet的迅速发展，信息量大爆炸时代随着网络的普及耸立在世人面前，我们可以获取信息的途径越来越多，但是查找特定的信息数据也开始变得困难，为此人们急切需要一种能尽量把各种信息统一管理并提供简便搜索功能的工具，搜索引擎因此而诞生。与此同时，搜索引擎的代表作Google由于技术的强大已经成为病毒和入侵者窥视的焦点。

   这次，依旧是Google惹的祸。很早以前，Google就“提供”了一种“搜索入侵”：入侵者通过在Google上查询某些特定的字符，可以发现甚至直接进入存在该漏洞的计算机，当年有许多存在Unicode漏洞的计算机就是被Google拎了出来——只要搜索诸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此类的关键字就能发现很多包含“Directory of”字符串的IP地址，点击进去，你会发现你已经用Unicode漏洞入侵了该计算机……现在虽然这个方法已经基本失效，但是Google带来的安全性问题却更值得引起所有人的重视。面对强大的Google，“垂钓者”已经不满足于仅靠Web页面钓鱼，他们还看上了Google的桌面搜索工具Desktop Search，这个工具存在一个信息泄漏的漏洞，入侵者能通过脚本程序欺骗Desktop Search提供用户信息，最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息，“垂钓者”可以伪造相关信件并建立欺骗性的电子商务网站，让用户误以为是大公司发给自己的信函而受欺骗。一些“垂钓者”用假的口令验证得以窃取用户信息，另一些则欺骗用户点击一些商品信息而被种植木马程序。

   跨站钓鱼：真实网站的噩梦

   前面提到的伪造页面欺骗是“垂钓者”利用虚假信函和人们寻求方便的心理，直接点击信函给出的恶意链接而达到钓鱼的目的，如今随着媒体的揭露以及用户警惕性的提高，这种手段成功率逐渐降低了。于是处心积虑的骗子们开始制造一种新的迷雾：他们同样是用某种手段把用户骗到商务网站，但是与以前不同的是，这次用户访问到的是真正的商务站点。难道“垂钓者”们改邪归正了？答案是否定的，这个真正的商务站点依然会把用户带到“垂钓者”的恶意页面——骗子利用一种称为“跨站攻击”的技术，在真实网站上插入恶意链接，用户即使再细心也很难想到真实网站也会暗藏杀机。这种被称为“鸡尾酒钓鱼术”的手段使商务网站的可信度大大降低。
什么是“跨站攻击”呢？业界对其定义如下：“跨站攻击是指入侵者在远程Web页面的HTML代码中插入具有恶意目的的数据，使得用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。”

   跨站攻击有多种方式，典型的方式有两种：其一，由于HTML语言允许使用脚本进行简单交互，入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息（Cookie），由于Cookie保存了完整的用户名和密码资料，用户就会遭受安全损失。让我们举一个例子来说明这种情况：比如某个正规论坛是你经常去的，你当然不会怀疑这个论坛有问题，但是有些无聊的用户可能在这个论坛发布带有恶意脚本的帖子，当你浏览这个帖子时，就有可能被攻击。

   “垂钓者”自然不会索要用户的Cookie信息，如今有多少商务网站会允许用户保存Cookie呢？所以他们只能让用户自己送上门来，这就出现了第二种同时也是目前更为流行的跨站攻击方式：“垂钓者”利用一段特殊的跨站攻击脚本代码让页面弹出一个设计时根本不曾有的网页对话框，它要求用户输入密码或者把用户带到伪造的站点。因为这些对话框是用户在正常网站看到的，他们自然不会怀疑它的合法性，然而正是这种心理欺骗法导致了又一场信任危机。
这种方法迫害的不仅仅是用户，更是无辜的商务站点，因为跨站攻击并不是入侵服务器，而是在客户那边进行篡改，商务站点根本不知道发生了什么事情，直到用户找上门来，他们才发现自己的信誉被这些骗子给毁了。

危险的HOSTS文件

   对网络了解较多的读者一般都会知道Windows的系统目录中有个HOSTS文件，它的作用是把IP地址和网址映射起来。大家都知道，访问网站时必须通过DNS服务器把域名解析为IP地址，这样浏览器才能知道连接到哪里才是我们要的网站。在Windows的处理逻辑里，它总是先在HOSTS文件里查找这个域名和IP的对应关系，如果对应关系存在，Windows就直接连接HOSTS表里描述的IP地址，只有在找不到的时候才向DNS服务器发送解析域名的请求，这个逻辑关系在某些程度上的确方便了用户，因为HOSTS表的优先度比任何一个DNS服务器都高，然而可怕的是，正是由于HOSTS表的特性，我们可能再次成为被钓的“鱼”。
HOSTS表的原理是更改域名与IP的映射关系，我们能改，“垂钓者”就也能更改。通过利用诸如MIME、EML等下载漏洞，甚至只是简单的网页脚本，骗子就能在HOSTS表里添加任何他们想要的映射关系，因为HOSTS藏得太深了，一般用户很少会留意到这个文件的变化，这就给“垂钓者”钻了个空子，虽然HOSTS表是为域名和IP地址建立映射关系，但是它并不能判断这个映射关系的准确性！于是“垂钓者”把用户访问几率较大的商务网站域名和他们伪造的网站IP地址映射起来，以后用户即使是自己输入的域名，即使安装了无数杀毒监视程序也无法扭转被带入欺骗站点的厄运——谁让HOSTS的优先权那么高呢？

    系统升级补丁：骗子的鱼饵

    相信每个Windows用户都会对Windows时不时冒出一个漏洞然后再冒出一个补丁的做法恨得牙齿发痒，也因为漏洞危害的日趋严重，一般用户都会很紧张地留意新的Windows升级补丁，骗子也不例外，不过他们更在意的是如何借用漏洞补丁程序入侵用户机器。骗子伪造一封貌似Microsoft“好心”主动发送给用户的“针对某个严重安全漏洞而开发的补丁”，然而附件里是个木马程序。一般用户难得碰上这种殊遇，自然不会起戒心而运行这个“补丁”。而骗子也够精明，他们会将运行后出现的界面做得与真正的补丁程序一模一样，但是最后安装到用户机器的是什么呢？这个不用我说了吧。
    除了这些涉及技术手段的“网络钓鱼”，还有许多接近社会工程学的手段，如利用QQ骗取信任、发送假冒中奖资讯、买空卖空骗钱术等，骗子们处心积虑用尽一切方法，就是为了侵害你的利益！

    远离钓鱼：一道沉重的难题

    网络钓鱼之所以如此猖獗并且能够频频得手，最大的原因就是利用了人们疏于防范的心理以及“贪小便宜”和“贪图便利”的弱点。“垂钓者”投下足够吸引猎物上钩的“美味鱼饵”——或恐吓，或诱惑，用户的防线在这些因素的干扰下彻底崩溃而咬住了钩子。这是任何杀毒软件也无法解决的，因为“毒”在内心，而非软件。当然这些骗术也涉及了一些技术手段，但是社会工程学的影响却成了最大的干扰。我们无法阻止全部网络钓鱼攻击，稍不留意，厄运就会降临，我们能做的，惟有提高自己的警惕性和降低贪欲，同时学习网络安全技术，才能尽量减少“上钩”的几率。

社会工程学—信息刺探

一、善用你身边的信息
尽量利用现有所知道的信息，这些信息将能处理好突发事件，此类信息指的是规章、制度、方法、约定。规章，指的是一个行业的规章，我们可以认为是行规，或是内部约定，比如，货摊A为了抢掉货摊B的生意，故意低压低价格来龚断是不对，违反了不正当经营法了。　所以我们要尽量了解各行各业的之间的此类信息，比如校园，只有领导层内的人员才会拥有一份全校的师生的联系名单，服务行业通常有这样和那样的内部约定，了解此类信息对我们非常有利。

除了我们必须知道那些方法外，还需要的是业内术语。看到这儿，小菜一定会问什么是术语了，它主要有什么用？嗯，业内术语即不同行业之间的”黑话”，比如，我们黑客界的网络钓鱼术语，一般人会认为是到网上去钓鱼。当然，业内术语用处大着了，社会工程学的身份都是经常变换的，假设我们要冒充银行业务员，就必须知道一些压缩贷款、反担保、关联企业……等等一些术语，否则当我们试图拨通一个分行经理的电话，他们就会出现激警，即经理发现你的攻击行为，由此可见术语的重要性。

所以在一个攻击的起始，我们得做一些准备，假设我们的目标是一个数据恢复的企业，我们可以去买一本关于数据恢复的书，熟悉一些术语的概念。顺便伪装成一个访客看看一些员工办室墙上或是桌上的规章制度，如果去他们的垃圾处理场所，总会有一堆废纸什么的，但这里面包含了重要的信息，我们可以称之为垃圾的价值，比如会有一些客户书，员工身份号联系等。现在，小菜们一定明白，任何的信息都有利用的价值。

二、学习侦探的伪装
假设我们获取了目标部分信息，但必须通过对话得到更加敏感的信息，我们不可能直接让对方发现吧，所以我们得先完成身份的伪装。假设一个小菜的目标是某电器分行的销售部，那么我们最好伪装成另一分行的销售人员，而且我们知晓他们公司内部的销售术语，或我们再带一份分行销售报告书，我想对方一定不会怀疑你不是内部人员的。

任何的社会工程学师都会使人认为他是可信任的，友好的，有礼貌的，然而，这都是他们伪装出来的假象。如果要表现出文质彬彬，这会要求我们行为与语气上伪装。社会工程学师有一点比侦探更妙的地方是不需要去往自已嘴上贴胡子，哈哈。所以说，如果小菜想让MM喜欢的话，不妨去模仿她心目中的男孩。

再谈一下伪装的要点，任何情况不不要泄露自身的真实信息。或许我们会碰到一些意外事件，所以，在开始准备的时候，带上一张没有多少余额的手机，用完后就别再用了，这样可免遭怀疑。还有比如通讯账号QQ，永别使用自已的QQ，最好为自已准备一个信封，目标信息拿到后，将对方拖入黑名单。

三、人性的弱点
每个人都有心理弱点，没有人永远没有心理弱点。可以说，此部分是社会工程学重要的部分，他们能够利用人们的信任、乐于助人的愿望和同情心使你上当。那么，我们应该怎样去发现这类弱点呢？很简单，我们只要构造一个精心的问题，冒称他们的同事，设计一个帮助他们解决一个问题，那么，对方便会信任我们了，我们会更轻松获得想要的信息，而且更不容被发现。菜鸟们一定经常有很多问题吧，但他们总是茫目的去找一个人帮助，或是想认一个师父，我有个这样的经验，一个晚上我收了50个徒弟，然而只是开了一个玩笑，我的方法很简单，直接在Google搜索：本人找师父，或在qihoo搜索：找师父。然后帮助他们解决一个问题，两三句话便获取了他们的信任，有的还打算花钱请我，但我告诉他，只是开了一个玩笑，这个实例利用了他们对帮助的人信任。此部分最具危害性，所以我进行分开来讲，请参照社会工程学－－心理学应用。

四、组织信息　构造陷阱
假设现在我们通过目标的同事撑握了信息，比如目标的真实姓名、联系方式、作休时间…等等。这还不够的，高明的社会工程学师会把前前后后的信息进行组织、归类、筛选。以构造精心准备的陷阱，这样，可使目标自行走入。我打个比方吧，声明哦，这是我朋友的一个案例，
A：你现在打不开论坛对吗？
B：是的，打开是一片空白
A：那是由于身份认证错误，我是XX论坛管理员，你要把论坛的用户名与密码发送到XX@263.com，以免系统稍后会恢复你的访问。
B：现在吗？
A：是的，我得马上给你恢复，不然我作废账户了。
不一会儿，朋友很顺利得到他在某论论的VIP账户，论坛为什么打不开了，被DDOS了，从这个例子我们可以看出组织信息的重要性，如果B能正确回答第一个问题，A可能会考虑换种方式，这个案例非常的简单，那就是B对计算机方面不了解，害怕账户丢失，一点也不怀疑A就给了密码，而这个密码已乎通用了，所以现在小菜明白前辈们总告诉你不要使用同一个密码，永别把密码告诉第三者。

社会工程学—心理学的应用
从前面所说，我们知道人性的弱点在社会工程学中是重要的一部分，实际上，这是一种心理学的应用，是社会工程学的一个分支，本文从心理学角度分析社会工程学师凯文. 米特尼克所著《欺骗的艺术》三个典型攻击案例，为大家揭开心理学在社会工程学中的应用。
信誉支票
攻击者需要从国家银行查询一个用户的交易记录，然而，银行不可能答应这样的要求，所以攻击者开始他的动作。第一个电话，攻击者拨通了国家银行的电话，以私人问题顺利从吉姆.安德鲁斯获知内部专业术语。第二个电话，攻击者以信誉支票的客服代表拨通银行开户处，以调查方式获取了他想要的信息。第三个电话，攻击者以国家银行职员拨通信誉支票处，最终知道目标的用户的账户交易记录。以下标有双引号的文字，均为引用凯文.米特尼克的分析与总结。

"我给银行打电话时，第一位年轻的小姐，吉姆，在我询问他们如何向信誉支票确定自己身份时就有所迟疑，她犹豫着，不知道是否应该告诉我"。犹豫给我们传递了一个有效的信号，可以说此时的心理想法完全在于她左脑的判断。左脑主管言语活动（听、说、读、写）、数学运算、逻辑推理等具有连续性、有序性、分析等功能，是进行抽象思维的中枢，所以这个时候我们需要给对方一个可信的理由。我想你一定有过在外借钱的经验，当你试图询问一个陌生的小姐时，她会有点儿犹豫，而如果你告诉她，你是一名导演，在外迷路了，并给她一张导演名片，我想陌生的小姐都不会拒绝，因为小姐确信他是一名导演，名片使她无从怀疑。

" 你必须依靠自己的感觉，仔细的倾听马克[受骗者]的说话内容和说话方式"。我们每个人的人生是奠基于两种形式的信息传送上。第一种是内在的传送，那是在内心里的描绘、细语和感受；第二种是外在的传送、包括言词、语气、表情、举止、行为等来与外界接触，这决定了社会工程学是否成功。社会工程学师必须通过外在的传送来筛选最有用的信息，来判断对方的性格，感觉类型，心理特点。各种情绪的反应过程和导演的工作很像。不错，他们为了确实达到戏剧效果，就得掌握住观众的视觉及听觉。如果他要你害怕，就会提高音调，并出奇不意地在银幕上跳出意想不到的画面；如果他要你兴奋，他会利用音乐、灯光，以及会有那种效果的的画面。即使是一个素材，导演也可以弄出一部喜剧或悲剧来，全看他是打算如何在银幕上呈现。如果我们要控制一个人的心智活动，产生生理的行动，我们完全可以模仿斯皮尔博格导演一样灵巧。

"获得公司职员认为无关紧要的信息（实际上它是有用的）"。人人都有一种心理，那就是自已无关紧要的信息随处放着，或许，他们认为很方便。我曾住在校外时，总有一些人让我帮他们去取钱，然而，他们总把密码写在存拆卡上，他们似乎认为别人没有卡就不能取钱，便如果我拿着他的身份证去挂失呢？你经常一定看到 QQ上某人的个人资料吧，通常是站点、一段数字、手机、邮件、个性签名，QQ-Zone，这给攻击者很大便利，他们会很快判断你的事业，心理弱点。某天一个陌生人说，我与你是同一个学校(公司)，我知道你的名字，请别怀疑，快去更改你的资料吧，最好不要泄露你真实的联系方式，社会工程学师都精于此道。

一美分的手机
无线通讯公司发起了一个大规模的促销活动，只要你登记接受一种资费方式，便可以得到一部全新的手机，只收一美分，然而精明的人知道有很多问题要问清楚。然而攻击者讨厌捆绑资费方式，他开始行动......第一个电话拨往西吉拉德电器连锁店的泰德，谎称是顾客很顺利套取到另一职员姓名威廉.哈德利。第二个电话拨往北广街连锁店的凯蒂，冒称威廉.哈德利使凯蒂信任他是连锁店内部人员，并遵从他的要求将一美分的手机售给泰得.岩西(攻击者)。

"人们会很自然地相信熟悉公司内部的业务流程和专业用语，并声称自己是公司同事的人"。在这一部分，我试图以心理学中的NLP神经语言学来解释，简单说 NLP就是研究语言，不论是有声或是无声，对神经的影响。我们的能力是奠基于自我控制神经系统的能力，凯文.米特尼克就是透过神经系统传送特别的信息。你知道社会工程学经常使用的技法便是冒称身份，使对方认可为内部人员。然而以NLP来说，这种技法称之为模仿，NLP的三种形式：信念系统、心智序列、生理状态，这三种形式你并不用花过多时间理解。事实上，NLP是强调行为、内心储忆、生理状态模仿，而社会工程学师冒称身份以及使用专业术语，那是行为上的模仿。如果在行为的模仿无误，别人便不会对你产生丝毫怀疑，由于公司强调的是团队与协作精神，这成为每个职员左右铭，对于同事的请求与帮助都不会怀疑其可信，否则便与公司的团队精神背道而驰，除非对方细心确认。

有必要单独介绍一下NLP内心储记作用，它经由五类感觉器官而测得的，换句话说，我们对周遭的认识，是透过视觉、听觉、触觉、嗅觉、味觉而传送的讯息。所传至脑子的信息就称之为感元，其中以视、听、触感元为主。不同的人感元不同，有些人觉得图画对他们会有较大诱力，另外一些人都具种感觉倾向，内心储记很少在社会工程学中利用，因为这种攻击来去匆匆以保证免遭发现，若想一个星期使人信任你，未为失一个很好的方法。很多人一定有过追女生的经验，你们一定会问她：你喜欢看电影还是听歌？或是喜欢小饰物？假设她说喜欢看电影(视觉型)，你可以夜晚放烟花，或是在一堆气球写上我爱你，那么，对方会开始对你产生信任感。你现在一定明白一些家庭不合，假设男的是听觉型，女的视觉型，女的若是问，你爱我吗？若男的说我爱你，女的说我无法感觉你爱我，很显然，他们存在信任的危机，如果男的开着车去她公司送一束鲜花，结果显而易见。

网络故障
鲍比的任务：对斯达伯德造船长办公室电脑进后木马植入。第一个电话，鲍比冒称服务中心艾迪.马丁，谎称网络问题的出现，并套取到计算机端口号。第二个电话，鲍比冒称鲍勃请求厂技术支持封掉端口号。第三个电话，汤姆.狄雷的求助掉入艾迪的陷阱，第四个电话，汤姆完全信任艾迪了，运行了鲍比的木马程序。

"这一次由于帮他解决了问题，令对方心存感激，于是汤姆同意下载一个软件到他的计算机上"。这种心理很多人都存在，因为我们无法质疑对方诚意的帮助，而松懈对攻击者的信任，若不能识别这种伪造的帮助的话。正如凯文.米特尼克所说：那很令人惊讶，基于那些精心构造的请求社会工程师可以轻易地让人们帮他做事。前提是引起基于心理作用的自动回应，依赖于当他们觉得这个打电话的人是盟友时人们心理的捷径。人们建立信任有多种途径，然而他们都是无恶意的有意或是无意地通过交谈与帮助建立信任关系。可社会工程师才不这样想，他可以调查你暂时遇到哪些问题？如果你不经意在论坛或Google讨论组进行求助，他会很轻松帮你解决，否则他可以自行给你制造问题，以期建立信任关系。对于伪帮助式的攻击，我们中国人或是大部人心理都存在这样的弱点，人是善良的，不可能时刻对攻击者保持警惕性，除非个人进行细心验证。

　　社会的与风险的

　　社会工程学（Social Engineering)是一种利用人的弱点：如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段，获取自身利益的手法。

　　近年来，由于信息安全厂商不断开发出更先进的安全产品，系统安全防范在技术上越来越严密，使得攻击者利用技术上的漏洞变得越来越困难。于是，更多的人转向利用人为因素的手段----社会工程学来进行攻击。

　　许多信息技术从业者都普遍存在着类似的一种观念：他们认为自己的系统部署了先进、周密的安全设备----防火墙、IDS、IPS、漏洞扫描、防病毒网关、内容过滤、安全审计、身份认证和访问控制系统，甚至于最新的UTM和防水墙，以为靠这些安全设施即可保证系统的安全。

　　事实上，很多安全行为出现在骗取内部人员（信息系统管理、使用、维护人员等）的信任，从而轻松绕过所有技术上的保护。信任是一切安全的基础，对于保护与审核的信任，通常被认为是整个安全链条中最薄弱的一环。为规避安全风险，技术专家精心设计的安全解决方案，却很少重视和解决最大的安全漏洞----人为因素。

　　无论是在现实世界还是在虚拟的网络空间，任何一个可以访问系统的人，都有可能构成潜在的安全风险与威胁。很多最敏感的信息存在于人的头脑当中，各种安全设施要由人来掌控，这意味着如果没有把“人”这个因素放进整体安全管理策略中去，仅仅热衷于技术层面的所谓全面解决方案，仍将会存在一个很大的安全“裂缝”，或者说是整个安全“木桶”存在着最短的一块木板。

　　缺乏对社会工程学防范的信息系统，不管其安全技术多么先进完善，很可能会成为一种自我安慰的摆设，其投入大笔资金购置的最先进的安全设备，很可能成为一种浪费。

　　Gartner集团信息安全与风险研究主任Rich Mogull认为：“社会工程学是未来10年最大的安全风险，许多破坏力最大的行为是由于社会工程学而不是黑客或破解行为造成的”。一些信息安全专家预言，社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。

　　新的攻击手段

　　社会工程学攻击基本上可以分为两个层次：物理的和心理的。与以往的入侵行为相类似，社会工程学在实施之前要完成很多相关的前期工作的，这些工作甚至要比后续的入侵行为本身更为繁重和更具技巧，或者说更为“艺术”。

　　这些工作包括：社会工程学的实施者（一般称为社会工程师）必须掌握心理学、人际关系学、行为学等知识与技能，以便收集和掌握实施入侵行为所需要的相关资料与信息。通常为了达到预期目的，社会工程学攻击都要将心理的和行为的攻击两者结合运用。其常见形式包括了：

　　第一，伪装。从早期的求职信病毒、爱虫病毒、圣诞节贺卡到目前流行的网络钓鱼，都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。攻击者越来越喜欢玩弄社会工程学的手段，把恶件、间谍软件、勒索软件（ransom-ware）、流氓软件等网络陷阱伪装起来欺骗被害者。

　　第二，引诱。社会工程学是现在多数蠕虫病毒进行传播时所使用的技术，它使计算机用户本能地去打开邮件，执行具有诱惑性同时具有危害的附件。例如，用一些关于某些型号的处理器存在运算瑕疵的“瑕疵声明”或更能引起人的兴趣的“幸运中奖”、“最新反病毒软件”等说辞，并给出一个页面连接，诱惑你进入该页面运行下载程序或在线注册个人相关信息，利用人们疏于防范的心理引诱你上钩。

　　第三，恐吓。利用人们对安全、漏洞、病毒、木马、黑客等内容会特别敏感，以权威机构的面目出现，散布诸如安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户，声称如果不及时按照他们的要求去做就会造成致命的危害或遭受严重损失。

　　第四，说服。社会工程师说服目标的目的是增强他们主动完成所指派的任务的顺从意识，从而变为一个可以被信任并由此获得敏感信息的人。大多数企业咨询帮助台人员一般接受的训练都是要求他（她）们热情待人并尽可能地为来人来电提供帮助，所以这里就成了社会工程学实施者获取有价值信息的“金矿”。

　　第五，恭维。社会工程师通常十分友善，很讲究说话的艺术，知道如何借助机会去迎合人，投其所好，使多数人会友善地作出回应，恭维和虚荣心的对接会让目标乐意继续合作。

　　第六，渗透。通常社会工程学攻击者都擅长刺探信息，很多表面上看起来豪无用处的信息都会被他们利用来进行系统渗透。通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料，比如一个人的姓名、生日、ID、电话号码、管理员的IP地址、邮箱等都可能被利用起来，通过这些收集信息来判断目标的网络架构或系统密码的大致内容，从而用口令心理学来分析口令，而不仅仅是使用暴力破解。

　　除了以上的攻击手段，一些比较另类的行为也开始在社会工程学中出现，其中包括像翻垃圾（dumpster diving）、背后偷窥（shoulder surfing）、反向社会工程学等都是窃取信息的捷径办法。

　　催生新型防御手段

　　俗话说道高一尺，魔高一丈，面对社会工程学带来的安全挑战，企业必须适应新的防御方法，主要包括了：

　　第一，增加网站被假冒的难度。据国际反网络诈骗组织2005年的报告显示，中国已经成为世界上第二大拥有仿冒域名及网站的国家，占全球的12%。银行界人士分析，域名过长是假冒的根源。据悉，为预防不法分子用假域名进行网络钓鱼，截至今年上半年国内已有14家银行更改了网银域名，包括更多地使用.CN域名。如建设银行网银域名从ccb.com.cn升级为ccb.cn，中国银行域名由bank-of-china.com变更为boc.cn。同时，企业需要定期对DNS进行扫描，以检查是否存在与公司已注册的相类似的域名。此外，一般来说，在网页设计技术上不使用弹出式广告、不隐藏地址栏及框架的企业网站被假冒的可能性较小。

　　第二，加强内部安全管理。尽可能把系统管理工作职责时进行分离，合理分配每个系统管理员所拥有的权力，避免权限过分集中。为防止外部人员混入内部，员工应佩戴胸卡标示，设置门禁和视频监控系统；严格办公垃圾和设备维修报废处理程序；杜绝为贪图方便，将密码粘贴或通过QQ等方式进行系统维护工作的日常联系。

　　第三，开展安全防范训练。安全意识比安全措施重要的多。防范社会工程学攻击，指导和教育是关键。直接明确地给予容易受到攻击的员工一些案例教育和警示，让他们知道这些方法是如何运用和得逞的，学会辨认社会工程攻击。在这方面，要注意培养和训练企业和员工的几种能力，包括：辨别判断能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。