基于社會工程學的微信詐騙犯罪實證研究

摘 要 隨著網絡媒體的飛速發展，微信現已成為人們日常交流所不可或缺的工具。一些不法分子趁機利用微信進行詐騙，渠道各種各樣，手段層出不窮，給人們的財產造成了重大的損害。本文以南京工業大學在校學生為主要調查對象，利用社會工程學知識對在校生受害群體進行研究，采用案例分析、模型構建和實地調研等形式，從受害人特征層面進行描述和歸納，并著力于研究相關防控策略。

關鍵詞 社會工程學 微信詐騙 群體特征 心理戰術

作者簡介：袁祎，江蘇警官學院學生，研究方向：公安學。

中圖分類號：D924.3 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2018.05.138

隨著互聯網逐步的融入大眾的生活，智能手機人手一部的現象也成了常態，它改變了人們的生活方式，種類繁多的應用軟件給生活帶來許多便利，微信作為大陸流行最廣的通訊軟件在人與人的日常交流中起著重要的作用。就像微信的廣告語所說：“微信，是一個生活方式”。確實，微信不僅作為溝通交流應用，它還在逐步向交通出行，電商平臺，工具，生活服務，IT科技等方面發展。但是，一項事物的新興發展必然會帶來他的弊端。由于溝通的越來越方便，生活的越來越便利，越來越多的犯罪形式以互聯網為媒介而發展起來。2017年上半年獵網平臺共接到來自全國各地的網絡詐騙舉報10882起，涉案金額高達12668.5萬元，人均損失11641.7元。目前，網絡詐騙的金額、數據、規模還在不斷的增加，而微信就成為一種新型的違法犯罪工具。我組同學利用社會工程學相關知識對在大學生受害群體進行研究，采用案例分析、模型構建和實地調研等形式，力圖從受害人特征層面進行描述和歸納，并研究相關防控策略建議。

一、社會工程學的基本理論

（一）社會工程學的基本概念

社會工程學最早是由黑客米特尼可在《反詐騙的藝術》中所提出的概念，綜合可以理解為其是藝術抑或是科學，他有技巧的操縱著人們在生活中的某方面采取 行動。社會工程學應用于社會的方方面面，所以，社會工程學的概念也可理解為：一種操縱他人采取特定行動的行為。

社會工程學攻擊社會工程學攻擊與其他類型攻擊的最大區別是： 會與受害者進行交互式行為建立一個陷阱讓對方掉入或是偽造身份來建立信任關系都屬于典型的社會工程學的手段。

（二）社會工程學攻擊的步驟與特點

社會工程學攻擊詳細的步驟可分為收集信息（收集信息→信息源→交流模型）、欺騙誘導（鋪墊→交流→提問）、偽裝（身份調查→愛好植入→提供邏輯結論）、心理戰術（思維→微表情→神經語言程序→采訪審訊→共識）、操控、反偵察（預防→補救）。

（三）社會工程學的發展趨勢

隨著越來越多的硬件設備和安全軟件的引入以及網絡安全解決方案的不斷完備，單純地使用技術手段完成入侵的難度大大增加。而且人們的提防心理也在隨著各種反詐騙案件的出現而提升。所以，在巨大的商業價值等因素的驅動下，一些人開始學習社會工程學。他們傳統的詐騙技術融入到社會工程學之中，就成為了新的發展方向。他們精湛的詐騙技術也給公安部門帶來了很大的壓力。

二、微信詐騙種類與其社會工程學聯系相分析

常見的詐騙形式有：代購詐騙、二維碼詐騙、盜號詐騙、假冒身份詐騙、微信公眾號詐騙、微信紅包詐騙、幫忙砍價詐騙和點贊詐騙等等。

通過這多種多樣的詐騙形式分析后不難看出都有共同的方式，利用了安全體系中的人性漏洞，真正讓客戶受騙不是因為詐騙方或者黑客有多么高超的技術破解了微信網銀客戶端或是破解客戶用戶密碼，而是利用了微信使用用戶防范心理低的特點，通過用戶信息的收集分類在進行誘導詐騙最后成功實施詐騙，盡管社會工程學的微信詐騙成功率比例不高，但是通過大數據顯示，被詐騙的人數，金額還是大的驚人。

三、社會工程學實際應用分析

在對南京工業大學進行問卷調查之前，我們聯系了相關網絡安全系研究社會工程學同學，結合已有相關案件犯罪嫌疑人的供述，這位同學為我們模擬了一次社會工程學攻擊的基本流程：

首先，必須掌握某個被攻擊人的基礎數據，比如名字、QQ、生辰籍貫等。然后利用技術手段通過這些原始數據掌握到關于被攻擊人或是與被攻擊人共同經歷過某段時間的中間人。一個掌握數據的社會工程師在第二個階段就基本能獲取到需要的所有信息，就避免了第三步偽造中間人。第三步作為對第二步的錯誤信息篩選和更多信息的獲取作為跳板，通過偽造成被攻擊者認識的人套取他的消息，這里的前提就是對中間人也要有所熟悉，所以一般社會工程中，中間人會不只一個，但是最終的指向都是認識被攻擊者但是關系不是很親近的人。

下面針對這三個步驟進行講解：

（一）基礎數據的獲取

首先，確認目標的姓名就可以進行操作，如果有出生日期、身份證號、籍貫、就讀學校、學號、圈內好友、好友資料等數據。當獲取到的數據達到30%以上，拿到私密信息的概率就會很大。

基礎數據拿到后，就開始進行技術手段強化了。

（二）技術手段

通過基礎數據獲取更多信息的方法非常多，簡單分為以下兩種。

1.搜索引擎搜索

搜索引擎收錄了網絡上大多數的網頁，如果被攻擊人在這些網頁上留下過記錄或者被網站主動紀錄在網頁上，就容易得到附帶的一些數據，可以驗證基礎數據的正確性，也可以添加到基礎數據中以獲得更多數據。

2.直接搜索

這是獲取數據最簡單方法，也是獲得數據比較多的辦法，比如說：搜索qq號、搜索不大眾化的網絡昵稱、搜索姓名或者學號、去各個社交軟件上搜索、通過github搜索等模式。這些不同的模式可以組合，也可以很容易的自己發現新模式應用。

（三）篩選出開發者的邏輯錯誤

很多學校的網站因為不好統一學生做身份驗證和密碼修改，需要學生使用身份證號或身份證后6位登錄系統，這就存在著很大的安全隱患。

舉個例子來說：通過學號姓名查詢系統可以得到指定學號的擁有人→圖書館默認登陸賬戶為學號，默認密碼為學號，完成學號→姓名認證后可以得到用戶的身份證號→教務系統默認登陸密碼為身份證號→智慧校園默認登陸密碼為身份證號后6位，于是便可以獲取用戶每天的消費記錄。

由此可見，社會工程學攻擊一套完整的模式下來，基本已經能確認一個陌生人的大部分信息，接下來再逐步進行誘導欺騙，突破受害人心理防線，一次詐騙就可以成功。當然以上是一次較為復雜的社會工程學詐騙信息收集模式，能較為準確的把握一個人的動態再進行攻破，而很多大學生不注意防范，有的詐騙犯通常只需要簡單的將受害人分類再進行框架分類，通過廣撒網的方法進行詐騙，而還是有很多人會在簡單的圈套中中鉤。

四、微信詐騙侵犯對象心理分析

絕大部分社會工程學的攻擊方法、手段都是建立在人的心理脆弱的基礎之上，即使是那些自詡謹慎、小心的人一般也很難逃脫。

我們團隊就微信詐騙相關問題邀請了南工大1500位同學完成了我們的調查問卷。在對南京工業大學的社會問卷調查結果分析中，大學生的心理狀態可以從外部和內部兩個主導因素來分析。

（一）外部因素

外部因素主要是指大學生所生活的環境，個體由于生活經歷、成長方式以及行為習慣的不同，對自身情況與外部情境的相互關系的認知、理解不同，對外部事物的認識不夠深刻，對各種刺激、反應的應答也就不同。

第一，大學生自己或者身邊的人沒有經歷過社會工程學詐騙。在針對南京工業大學的調查中，有92%的大學生在各種網絡軟件平臺上使用自己的真實信息來注冊。這就是因為大學生意識不到自身的信息安全重要性，會有著“我的信息又不值錢，我窮學生一個”之類的想法，這就導致信息被釣魚網站、軟件盜取。此外，87%的大學生在面對親朋在微信的分享會毫無戒備的“點”進去，最終結果就是你的信息資料真的進去了。

第二，在調查報告中，77%的大學生在外經常隨意使用微信中的掃一掃等功能，使用免費WiFi。這就是取決于大學生的生活環境了，大學生出門拿著手機看到各種優惠活動都不免想去蹭一下。這就是大學生對于新型的詐騙技術手段不了解。停滯在過去的環境中，只有在自己身邊人或自己因此遭受損失后才會去了解新型詐騙。這就是大學生的滯后型心理狀態。

（二）內部因素

自身的情感、意志這都是內部心理因素的組成部分。內部因素是建立在對于外部因素條件有一定認識的情況下建立的。

第一，情感特征在一定條件下是由外部條件所帶來的情緒、感受。在情感達到一種升華的條件狀態下，感性會大于理性，這時候也是免疫能力最差的時候。大學生由于尚未完全進入社會，沒有學習到如何正確掌控自己的情緒往往會忘記如何調節自己，在遇到一些不可控的外部因素時。其中最突出的便是焦慮、恐慌當然也包括過于興奮。此時遇到第三方詐騙者時往往會因為對方一些簡單的話語而往自己所需要的那一方面來靠，而詐騙者傳遞的就只有聲音和文字內容，其他信息則被屏蔽，此時，交互的信息量下降到一個很低甚至危險的程度，高明的社會工程師會通過各種手段來隱藏痕跡，使攻擊更加隱蔽。

第二，意志也可以理解為定力或者說自制力。自制力薄弱，定力不夠，導致自己陷入“餡餅”的誘惑，這是社會工程學常用的攻擊手段。在針對南京工業大學的調查報告中發現，大部分大學生會參加微信掃一掃送禮物，以及微信特價購買之類的。這種貪婪的心里一旦被抓住，就會被各種方法牢牢拴住，不斷地被追加費用，直到最后發現自己人財兩空。

五、總結

網絡的迅速發展既強化了人在網絡中的可操作性，也強化了人的主觀思想意識，隨之而來的也就是安全問題。一個越來越強大的平臺，越來越靈活的平臺是不可控的，可控的只有自己。當代大學生在使用微信的過程中應該更加保持本心，提高警惕。信息安全以人為本，社會工程學建立在信息基礎之上。

注釋：

李妍.利利用社會工程學實施的詐騙案件剖析及被害預防.新疆警察學院學報.2015，35（3）.1672-1195.

林晶、王天羲、石元泉、彭小寧.社會工程學背景下的網絡安全.懷化學院報.2013，32（5）.1671-9743.