淺析社會工程學中的信息泄漏

◆金莉莎 朱翔 張雅雯

淺析社會工程學中的信息泄漏

◆金莉莎 朱翔 張雅雯

（四川傳媒學院 四川 611745）

層出不窮的數據信息隱私泄密事件，一直是全球各國安全領域防范的重點，如今社會工程學的興起，成了攻擊手段的最重要的一種方式，這種方式擊中了人性中最脆弱的一環，使得更輕松的竊取數據信息。文章對社會工程學的信息收集方式進行分析與日常預防方式提出自己的見解。

信息泄漏；社會工程學；網絡安全

21世紀隨著信息智能化，物聯網，大數據分析，人工智能等新興技術興起，網絡數據安全的重要性逐步凸顯出來。在如今，科技與防護手段的提升中使得傳統攻擊手段越來越難以獲取數據信息，而在非傳統攻擊手段中，社會工程學是針對最薄弱的一環進行攻擊，而這一環就是人，通過多學科交叉融會貫通，將攻擊泄露的數據信息，分析收集組裝，逐漸完善所有數據信息，以得到自己的利益。

1 社會工程學

近幾年隨著網絡技術的飛速發展，人們接觸到網絡的方式也可謂多元化的，互聯網像是一個放大器，它放大了人的欲望、在人性的貪婪、弱點上做了加法。建筑、醫療有它的工程，互聯網也有它的工程----社會工程學。一提到信息安全隱患，我們就會想到攻擊者利傳統攻擊手段，層層突破我們的信息安全保護，但實質上，他們還通過社會工程學這個途徑。社會是由千千萬萬的個人組成，而每個人的欲望、貪婪、弱點都截然不同，因此將這些異同點進行歸納分析便會產生一個令人聞風喪膽的“學問”。比方說，作為求職者的你收到了一封來自知名公司的offer，在毫無戒備的情況下，你便會點擊這個郵件，按照攻擊者預先設定的陰謀，從而獲取你的私密信息。為什么正在求職的你，剛好會收到應聘的郵件？為什么你看到這個郵件你不會懷疑它的真假性？這便是攻擊者通過各種途徑掌握了你最近動態，利用欺騙的手段，喚醒你人性底層的欲望與弱點，并且偽造一些浮于表面的假象打消你的猜疑，建立相互信任感，引誘你自發泄露你的私密信息。當你的信息赤裸裸的暴露在別人面前時，此時人為刀俎，我為魚肉。社會工程學便是這樣一門“學問”，人性本來脆弱，在眾多攻擊方法中，攻破人心理的防線，是最輕而易舉之事，也是成本最低的。

2 信息收集

信息收集是進行攻擊的前提，也是關鍵的環節。一個攻擊者的攻擊方案是否優秀絕大程度取決于前期的信息收集，但信息收集過程絕不僅僅在于前期，而是嵌套在我們攻擊的始終，這也就意味著我們的攻擊者需要根據被攻擊方的實時動態有效地進行方案策略的更改。了解一個人包括知道他基本信息，包括姓名、年齡、出生日期、電話號碼，行為習慣、性格特點、近期活動等，這些信息收集的來源十分的廣泛，也許不經意之間我們便泄露了重要信息。例如，大多數人都喜歡網購，拆了包裹就往垃圾箱里扔，殊不知，快遞盒上有我們電話和地址，而有的攻擊者會間接獲取你的重要信息。這只是信息收集方式的冰山一角，我們將信息收集的方式分為兩大類，一種是基于互聯網的信息收集，一種是不基于互聯網方式的信息收集。

（1）常見信息收集方式

基于互聯網的信息收集方式包括搜索引擎、社交平臺、權威網站、數據公司等。

我們一般都會去搜索引擎上面獲得資料，大多數的搜索引擎都會有網頁緩存，上面有歷史記錄、搜索時間等信息。

如今是一個互聯網發達的時代，我們的社交也越來越廣泛，而任何互聯網的社交都會存在某種程度的信息安全隱患。我們會通過微信、QQ、微博、抖音等社交平臺進行信息的分享，如果在個性資料里面我們填寫了真實的出生日期、郵箱、地址，那么當攻擊者搜索到你的賬號時，同樣也獲取到了你的這些信息。

不基于互聯網的信息收集方式包括收集垃圾堆里面的文件、閑聊套話、潛伏在攻擊對象的環境。

企業的垃圾箱里面往往包含了許多重要資料，可也被我們很多人給忽略。比如員工的便利貼、活動安排、電話號碼、會議記錄等，如果將這些碎片拼湊在一起會獲得一個人的最近活動信息。一個聰明的攻擊者會從你身邊的人開始了解你，他們會佯裝成為你的同事、朋友，利用這些信息與街坊鄰居建立信任，套出你的更多個人信息，而此刻的你完全不會察覺，同樣一些咨詢臺也成為攻擊者有跡可循的場所，一般咨詢臺都是向外部人員提供咨詢服務的，對于咨詢者也是盡量幫助，攻擊者就會利用咨詢臺更加方便獲取一些重要信息。

攻擊者還會潛伏在被攻擊對象的生活環境當中，觀察他的起居生活和行為習慣，以便后期攻擊時，讓你放下戒備，慢慢成為他們的囊中之物。例如，上下班攜帶電腦的人可能是計算機行業的；能說會道、表達能力強的人可能是銷售；下班后身上一股消毒水味道的可能是醫生。

通過與被攻擊者身處同一環境獲得的信息便是最為直接的信息，也是被攻擊者與攻擊者建立基本信任的信息。當攻擊者提及這些信息時，仿佛就是你的某位熟人，這一層信任障礙便得到突破。

（2）信息的交叉泄露

信息的交叉泄露原意指的是數據信息通過不同的方向暴露在社會公眾面前，但現如今因為云計算、大數據分析技術興起的環境下，交叉泄露是指數據信息一旦發生泄露，將造成其他數據信息泄露在開放網絡中，這毫無安全可言。

在曾經，個人的數據資料只有國家機關才有，何況更全面的個人資料還需要自己去登記。現如今，每個人都有一臺智能手機，手機號綁定身份證號，出行使用GPS定位，系統激活時會讓你去同意他的用戶數據使用條款，因此你的所有出行數據全部被記錄在里面。同樣，在我們使用電商平臺時，例如淘寶，京東，拼多多等，基本都為實名制，這也表示你的所有信息也被記錄在數據庫中。在云計算和大數據分析平臺上，查詢被泄露的手機號就可獲得你全部的個人信息。若攻擊者通過身份證和手機號相互交叉驗證的方式，一個人的隱私將會被他輕易獲取。例如一個人丟失了手機，可能會出現第二天信用卡被盜刷，社交網站用戶名密碼被修改等情況。這種情況應該給政府和我們敲響一記警鐘，如何去重視和預防如今的大數據時代隱私的泄露風險問題。

3 信息泄露危害

在當今這個信息互聯的時代，無論是微信的注冊，美團的使用還是各種App的注冊都會用到我們的身份信息，而當我們將信息公布給這些App后，其實我們的個人信息就已經存在某種程度的安全隱患，你無法確定掌握我們信息的公司是否會有相應技術漏洞或者間接將信息透露給攻擊者。個人信息泄漏，最輕的后果就是會長時間收到騷擾電話和垃圾信息，而最恐怖的后果就是，這些攻擊者在擁有完整的個人信息后，就會利用這些身份信息去做違法的事情，不法分子可以利用你的身份證號碼、電話號碼、銀行賬號等等信息去向其他App借款，現在大多數的支付機構都可以用不同的手機號注冊相同的已經實名認證過的支付賬號，而且還允許多個賬號綁定相同的銀行卡，甚至有些平臺在用戶使用該張銀行卡進行貸款時，不會進行人臉識別，這也讓犯罪分子鉆了空子，他們能更簡便的利用被攻擊者的銀行卡，甚至可以讓被攻擊者銀行賬戶的錢財不翼而飛。

4 社會工程學預防

個人方面：在生活中，應該養成在丟掉自己的消費憑據、火車票、快遞單據、取款憑條之前，先將其撕毀的習慣，千萬不能小看這些單據，很多攻擊者都是從這些看似沒用的東西上獲得我們的個人信息。例如在購物中心等地，會通過禮品誘惑你掃碼或填表的方式收集個人信息，然后就利用這些信息去做違法的事情。總之，只要自己在日常生活中注意不漏出破綻，這些人就不可能輕易獲得我們的個人信息。

企業方面：應該加強對企業內部管理用戶信息的存儲監控，對用戶權限嚴格管控，防止攻擊者以不合法的用戶竊取相關私密信息。企業應熟悉了解自身網絡環境和所處風險，建立系統的安全管理體系，培養一支自己的安全團隊，定時對企業安全架構進行滲透測試，對暴露出的漏洞進行及時修復。加強對相應員工安全意識的培訓，提升最基本安全素質。

5 結語

進入二十一世紀后，計算機的信息時代飛速發展催生了信息新時代的各行各業，但同時網絡中的數據信息安全問題日益突出，層出不窮的個人數據信息泄露事件愈發嚴重，隨著大數據時代的來臨，針對個人的社會工程學的攻擊手段的興起，也為我們提出了更高的要求，研究社會工程學，了解攻擊者的手段與心理，為如何防范生活中無處不在的社會工程學攻擊與防止數據信息的交叉泄露提供有效的防御措施。

[1]李亞利.網絡信息安全之社會工程學[J].科技經濟導刊，2020，28（26）：24-25.

[2]高小輝.社會工程學的攻擊原理及其實現方式[J].中阿科技論壇（中英阿文），2020（06）：147-150.

[3]廖壽豐.淺析社會工程學攻擊[J].數字通信世界，2019（08）：255.