社会工程学：或许是企业最大的信息安全挑战

相信很多人在追求另一半的时候，都曾预先向对方好友打听过他/她的爱好、作息、常去地点，甚至联系方式等个人信息，然后“对症下药”，使其放下防备心，从而获得更多与之接近的机会，表现好的话，最终还能得到对方的芳心。

在这个过程中，追求者通过简单的观察即可得知被追求者的好友是谁，然后给予对方好处（比如请客吃饭等）或直接苦苦哀求使其心软，就能轻松得到被追求者的部分隐私信息。当然，这些行为的出发点并无恶意，最终结果一般也没什么坏处。但是，如果黑客用类似手段获得企业关键信息，那么企业很可能将会蒙受不可估量的损失。在计算机科学中，这种手段有一个专门的术语：社会工程学。

人，是企业信息安全最薄弱的环节

所谓社会工程学（简称社工），是指黑客利用人的善良、信任、好奇心、贪婪等人性特点，通过人际交流的方式，用欺骗等手段使受害人心理受到影响，从而透露一些机密信息。

社工的概念，最初是由世界头号黑客凯文·米特尼克在他的著作《反欺骗的艺术》中提出的。这位黑客的经历堪称传奇，他曾成功黑进IBM、诺基亚、摩托罗拉等知名企业的电脑，也曾多次入侵美国国防部、FBI等政府部门的网络系统，是第一个被FBI通缉的黑客。关于他的传奇人生，我们会在以后详细介绍，本文重点讲述的则是他最善用的入侵手段，也就是社工。

社工攻击究竟能达到什么程度呢？理论上来讲，社工可以黑掉任何政府/企业的网络系统。

很多企业都把网络单纯看成一个由硬件和软件组成的系统，认为花费巨额资金和人力资源，不断进行软件升级、硬件加固、严防死守等就能保障网络安全。诚然，硬件和软件并没有真正的“天敌”，只要进行相应的迭代和升级，总能解决已有的软、硬件安全问题。

但是别忘了，使用这些软、硬件的其实还是人。也就是说，软件、硬件、人，这三者形成了一个闭环。只要“人”的环节出了问题，软、硬件的网络防御就会形同虚设，这个闭环也就不再安全。实际情况往往是，这个闭环中最重要、最薄弱的环节就是“人”，其天敌就是社工。

我们经常讲，最安全的计算机就是已经拔去了插头的那一台。事实上，你可以去说服某人把这台非正常工作状态下的、容易受到攻击的机器接上插头并启动。 

许多安全事件的发生都是由于“人”的环节出现疏漏。近些年来，利用社工突破信息安全防御的事件呈现出泛滥的趋势。社工已成为政府/企业网络安全面临的最大挑战之一。

一般来讲，社工并非像电脑病毒一样展开大面积攻击，而是采用点对点的方式。在黑客精心设计的陷阱中，一切皆有可能。黑客只要找准一个突破点，哪怕最开始仅获得一丁点儿信息，都有可滚雪球般进一步得到更多核心信息，并最终完成入侵。这些信息包括员工姓名、账号密码、ID号码、电话号码、通讯录名单、公司内部WiFi账号密码，等等。

常见的社工攻击手段

黑客利用社工发起攻击的手段多种多样，令受害者防不胜防。有些人会将社工等同于人肉搜索，但准确地说，人肉搜索只能算作社工的一种应用。典型的社工策略包括：

假托：比如黑客打电话给某位企业员工，制造某种虚假情景，以从员工口中套取信息。通常，黑客会使用专用术语，以建立合情合理的假象，打消员工疑虑，从而获套取更多信息。

调虎离山：黑客以伪装身份进入公司，编造理由取得员工信任并将员工支开，然后借机溜进不该进入的区域，或记住员工放在电脑旁便签上的账户密码。

介质投放：将含有木马的USB闪存设备故意放在公司某个显眼位置，或直接给公司员工寄送，一旦闪存被打开，就会发起攻击。

尾随：黑客偷偷摸摸跟随一个受权者进入一个限制区域，或加入一群受权者并假装是其中一员。以进入有门禁的办公楼作为类比：一个非内部员工表现出匆忙的样子，跟随一个员工进入办公楼，保安往往不会拦截。

钓鱼：黑客冒充员工亲属、朋友、同事或客户等身份，向其发送含有钓鱼链接的邮件。

等价交换：黑客伪装成公司技术支持人员，在“帮助”解决技术问题的过程中，悄悄在员工电脑中植入恶意程序或盗取信息；黑客还可以伪装成问卷调查人员，并以小礼品作为好处，要求员工给出密码等关键信息。有调查显示，90%的办公室员工愿意给出自己的密码，以换取调查人员声称提供的廉价礼品。

伪装成员工的知己：黑客通过人肉搜索等手段了解到某位员工的兴趣爱好，想方设法与之成为好友，进而操纵员工获得公司机密信息。

企业应如何防范社工攻击？

以上讲述的只是社工攻击手段的冰山一角。可以看出，社工并没有涉及到什么深奥的知识，更多的还是依靠黑客“欺骗的艺术”。一般来说，黑客通过社工攻击得到相关信息之后，会冒用员工身份进行登录并窃取信息。由于员工登录各系统的弱口令和密码复用现象十分严重，这也无疑降低了黑客攻击的难度，并极大增加了企业信息泄漏的风险。

对于企业来讲，一方面要做好渗透测试，另一方面也要制定好相应的安全制度，提高员工的安全意识。

而且，企业还可以用技术手段全面提升账户安全，把“人”的因素放到企业安全管理策略中，在工作邮箱以及各内部系统等使用二次强身份认证。比如锦佰安科技的SecID多因素身份认证系统，通过人脸识别、指纹识别、图片密码、一键确认、OTP动态口令等方式进行二次强身份认证，由于黑客无法绕过二次认证环节，所以即使窃取密码也无法登录。

此外，锦佰安科技最新研发的SecID AI行为识别身份认证系统，还能通过用户的操作行为进行精准的身份识别，确保只有用户本人才能登录系统执行相关操作。而且，用户的输入过程也就是验证过程，是在无感知状态下完成的，也就无需改变操作习惯。在启用SecID AI行为识别系统时，因为黑客的操作行为特征与用户本人有很大差异，所以仍然无法登录。

结语

只要有人参与其中，任何固若金汤的堡垒都必定存在漏洞。在企业没有相关意识时，社工攻击因为能充分利用人性的心理弱点，所以通常十分奏效。但这并非意味着社工攻击无所不能：通过安全意识教育和高级安全技术，企业也能令社工攻击无机可乘。