新闻快讯
< >

鸡年献瑞 IPSE利剑锋从磨砺出

鸡年献瑞 IPSE利剑锋从磨砺出-E安全

(本文作者:余星辰,公安社工学研究组组长,宜昌市公安局。本文系余星辰授权E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。)

近年来,党中央审时度势,兼顾国内外局势,推动“一带一路”战略走出去,将“互联网+”写入政府工作报告,为中华民族崛起插上了网络的翅膀。随着国内越来越多的行业积极探索与互联网对接的时候,前所未有的对网络空间安全提出了重大考验。一是国家及企事业单位花费重金打造的传统安全防护体系,往往会被很多低成本、低科技含量的非技术因素社会工程学攻击轻松绕开,这种攻击巧妙跳过安全防护从人的角度寻找突破,对整个网络空间安全影响更为直接和巨大;二是“互联网+”大背景下大量国家及企事业单位数据联网,对个人隐私保护已刻不容缓,个人信息安全岌岌可危,如在网络空间黑产市场,个人隐私数据买卖,黑客们在互联网搭建“社工库”等行为为诈骗犯罪提供了便利;三是高级可持续性威胁(APT)等新型攻击方式中,社会工程学越来越起到临门一脚的重要角色,不从根本上认识社会工程学,并抵御它的攻击,必将会重演“一钉损一马,一马失社稷”的历史。公安社工学研究组从“互联网+社会工程学”战略角度出发,不得不提出的是以子之矛攻子之盾的理念是有效防护网络安全,打击危害网络空间安全的行为的法宝之一。如何推动“互联网+社会工程学”构建信息安全防御壁垒,是未来网络安全领域的重要发展方向。

“互联网+社会工程学” 剑坯百炼

广义来讲,社会工程学是关于社会工程活动的理论和方法的学问。恩格斯提到过,学科的分类是以其规律形式的分类为基础的。社会工程学作为一门特定的学科成立,也必须以特定领域的运动规律性作为研究对象的根据。通俗讲,社会工程学是在人类文明起源的特定环境中,人与人之间的社会工程规律独立存在和演进而成的。在历史的发展中,社会工程学逐步建立了理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。随着计算机网络的出现,二者产生了剧烈“化学”反应,变得密不可分。黑客凯文•米特里克(Kevin Mitnick)侵入北美空中防务指挥系统及美国防部、五角大楼、中央情报局等多个震惊的社会工程学攻击行为及出版的《欺骗的艺术》一书,将互联网和社会工程学两大要素揉合成了一件奇妙的艺术品。近年来,公安社工学研究组先后在公安部科技成果推广指定期刊《警察技术》、情报类核心期刊《情报杂志》等等中发表研究成果,引申社会工程学原理,将其提炼、改造、深化,运用于公安工作的多个领域,包括作为打击犯罪的技战法,应用于队伍管理、情报预警、舆情管控等。特别是信息化高速发展的现在,国际互联网、通讯网络等平台为人类构建起一个快捷、便利的网络空间。然而网络在给人们提供服务的同时,也给不法分子运用社会工程学原理实施诈骗、入侵贩卖用户隐私信息等犯罪活动提供了可乘之机,这种行为在上世纪九十年代台湾盛行,近年来在内地呈加速泛滥之势,网络体系或涉及全球任何角落,预防整顿难度极大。国际之间开始寻求合作。当今,社会工程学攻击盛行,已经不再是独立问题,而是全球亟需解决的共同问题,因此,“互联网+社会工程学”是新时期构建网络空间安全的必然产物。

那么,何为互联网时代发展下的社会工程学?社会工程学(Social engineering)是指通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等构建陷阱,采取诸如欺骗、伤害等危害手段,取得自身的利益。在很大程度上它不仅仅依赖技术手段。更多的是利用社交网络、心理学等知识,以欺骗手法获得可以利用的漏洞。公安社会工程学简称公安社工学(Police social engineering),广义上是指宏观把握各警种的整体合力,运用一切可用资源,寻找快速有效的方法加强公安各项工作的长效运作,保障国家安全、社会稳定;狭义上是指关于公安机关依法采取公开或者秘密的方法,依赖计算机网络和通信技术,融合长期积累的办案经验,通过搜集、审查、核实、运用各种类型的线索和证据,以查明案情、抓获犯罪嫌疑人的专门活动。

公安社工学研究组在对社会工程学溯源研究中发现,虽然“社会工程学”这一名词产生于现代,但隐藏其后的方法与原理与人类自身的发展历史一样久远。在史书、文学、魔术作品、催眠术等等中,都能找到许多有关社会工程学的影子。一是谋略思维中的社会工程学。如果从历史考证战争对抗兵之诡诈也,当属我国最早的一部兵书《孙子兵法》,它也是世界上最早的军事著作,被誉为“兵学圣典”。据《汉书•艺文志》记载“吴孙孙子孙子子兵法”八十二篇,司马迁《史记》有记载,(孙武)以兵法见於吴王阖闾。阖闾曰:“子之十三篇,吾尽观之矣,可以小试勒兵乎?”《孙子兵法》被誉为“兵学圣典”和“古代第一兵书”。它在我国古代汉族军事学术和战争实践中,都起过极其重要的指导作用。在漫漫历史长河中,以《孙子兵法》为蓝本演绎的社会工程学真实故事源源不绝,全文十三篇共有6111字涵盖了各种欺骗与操纵军事谋略。国外最为有名的一个兵不厌诈的故事叫做特洛伊木马,堪称人类历史长河中最为精巧的社会工程学诡计。二是文学作品中的社会工程学。在我国四大名著之一《三国演义》中描写了刘备使用说服力借刀斩吕布的社会工程学经典故事。建安三年(公元198年),吕布叛变,替袁术出力,派高顺去小沛进攻刘备,刘备被击败。曹操派夏侯惇去救刘备,被高顺战败。曹操亲自征讨吕布,抵达下邳城下,给吕布写了一信,为他分析了祸福利害。吕布打算投降,陈宫认为自己负罪太多,阻拦他的计划,所以吕布固守城池。吕布尽管勇猛,但没有谋略,而且遇事猜测疑忌,只相信几个将领,加之曹军水淹下邳,所以部下离心,绑了陈宫,投降了曹操,吕布也只好投降。刘备颇为担心吕布成为曹军大将,这将成为日后强劲之敌,于是刘备进言曹操,“你难道不见吕布是怎样对待丁原和董卓的吗?”于是,一句短短的话让曹操下定了立即下令缢死吕布并枭首示众的决心。三是魔术作品中的社会工程学。魔术是呈现于视觉上不可思议的事。历史上最早的魔术纪录是在埃及,大约是在西元前2600年,也就是距今四千多年前。1823年发现的威斯卡手稿,文献上记载了一位名叫德狄的魔术师,受召为法老王进行表演。他能将鹅的头砍下,而断了头的鹅依然能走动,最后再把头接回去恢复为原本的鹅。该纪录描述了这名魔术师对鹈鹕和公牛也进行了相同的戏法。但法老要求他也对犯人施行相同的戏法时,他拒绝了。 古希腊的神殿也利用了魔术的原理。例如祭师打开神殿大门时,风箱会吹向地面,祭台上便出现了火焰。还有应用风管制造的会说话的神像。四是催眠术中的社会工程学。 在社会工程学攻击中最为关键的一步是获取有效信息,催眠术不仅可以读取人们深层次的隐藏内心从未表达的信息,还可以帮助社会工程师掌握主动权。据历史记载,公元1774年奥地利的麦斯麦医生,他以“动物磁力”的心理暗示技术开创了催眠术治疗的先河。1841年英国医生布雷德尔出版了《神经催眠术》一书,在此书中他正式把心理暗示技术定名为“催眠”。

发展到如今的网络时代,专家们也不得不承认人始终是安全链路中最为薄弱的环节这一铁律。我们能够开发出最安全的系统或软件来保护用户,落实最严密的安全策略,并定期进行用户教育,但只要个人意识防范不够,就不可避免地会面对马奇诺防线溃败的悲剧。根据公安社工学研究组多年的研究,社会工程学不能简单地和一般的欺骗手法划上等号,这也是网络及书籍等讲解社会工程学经常出现的误差,因为它尤其复杂,需要广博的社交、心理、语言、伪装等知识。可以将社会工程学原理分为两类:一是情报信息收集。在很多社会工程学的教程和书籍中更多使用“信息收集”这个词汇,但公安社工学研究组在深度探讨中,发展这个词汇并不能与时俱进,使用“情报信息收集”。社会工程学攻击中,情报信息收集是实施有效攻击的前提,通过情报研判可以缩小攻击范围,提高攻击的效率及成功率。常见的有包括搜索引擎、个人信息泄露、网络攻击、心理透析、肢体语言、六度分隔理论等等。二是占据主导权方法。在社会工程学攻击中,利用受害人的自身弱点构造陷阱获取罪犯的信任是攻击中最关键的环节,这也是社会工程学攻击与传统的攻击的重要区别,操控局面的方式主要包括利用人性弱点、利用角色扮演、利用说服能力等等。

“互联网+社会工程学”新时代的“刀光剑影”

历史长河中,关于社会工程学的经典案例数不胜数,凯文•米特里克更是将互联网背景下的社会工程学演绎的淋漓尽致,因为人性的弱点,所以社会工程学不论发展到任何时期都不会成为过去,除非人类文明的消失。公安社工学研究组为了挑选更具时效性和吸引力的案例,特将今年来几个比较有代表性的恶意社会工程学攻击和善意社会工程学攻击作为本节内容。

一是社会工程学伪装案例之美国高中生破解CIA局长邮箱。据《纽约时报》报道,一名高中生黑客和同学成功破解了美中情局局长约翰•布伦南(John Brennan)的邮箱,事发之后他们还在Twitter上公布了一些名单和社保号信息,炫耀此次行动,这也是今年最为典型社会工程学案例之一。据《连线》杂志报道,黑客自称还未满20岁,他和同伴一起合作首先通过反向调查,获得了布伦南的手机号码,得知其是运营商Verizon的客户,于是冒充Verizon技术员向运营商索要布伦南的详细信息,“我们告诉Verizon,我们是这个公司的员工,因为工具都坏掉了所以无法访问用户的数据。” 而在提供了一个伪造的验证码后(Verizon提供给员工的特定验证码),运营商却毫无防备的透露了包括布伦南的账号、四位数的手机PIN码、备份的手机号码、AOL电邮地址以及银行卡的后四位数字等敏感信息。然后黑客致电AOL说账号被锁定了,AOL工作人员询问了类似银行卡后四位数字的密保问题、账号绑定的姓名和手机号码等,黑客们告知正确信息后成功重置了美中情局局长约翰•布伦南(John Brennan)的邮箱密码。这几名黑客进入了约翰•布伦南的电子邮箱,查阅了通过附件发送的文件,并公布了部分信息,甚至包括白宫用于与布伦南联系的电邮地址。据黑客透露,他们成功访问到的敏感文件包括长达47页的SF-86s表格信息。这个表格包括了军人和合同工等美国政府雇员的多项信息,甚至会关联到这些人的朋友、配偶和其他家庭成员。这些信息一旦被泄露,黑客可以利用这些信息骗过联邦官员,盗取更多人的信息。去年6月,美国联邦政府机构就遭遇了一次这样的黑客攻击,导致2150万美国人的信息被泄露。更令人震惊的是,布伦南的邮件当中除了上述重要信息,还有一封来自参议院要求中情局(CIA)停止使用严厉审讯手段的信件——对,就是备受争议的严刑逼供手段。直到布伦南重新获得邮箱使用权时,黑客已经占领了布伦南的邮箱长达三天。黑客声称,这三天布伦南一直试图登录邮箱,但都未能成功。布伦南一把密码修改回来,他们同样也去申请重置,就这样来回了3个回合。最后,他们忍不住通过网络电话拨通布伦南的手机,戏弄性的和约翰•布伦南进行了短暂通话。而除了约翰•布伦南邮箱被黑,这几位黑客还黑掉了美国土安全部长杰伊•约翰逊(Jeh Johnson)的康卡斯特账号。这几名黑客根据掌握约翰•布伦南的初步信息,并对每一步可能出现的问题进行提前准备,在客服面前可谓天衣无缝,成功从技术员手中套取了信息,进而破解其邮箱。此前,科技记者Mat Honan的iCloud 帐户被盗事件也是同样的原理。当时黑客是通过苹果“人工帮助”的服务重置了Mat Honan的密码,成功进入被攻击者的账户。然后利用Mat Honan 的账户,黑客还获得了其他账户的访问权限,盗取了大量iPhone / Mac内的资料。一个简单的伪装身份的社会工程学小技巧,毫无任何技术含量可言的攻击,竟能够轻而易举攻破美中情局局长约翰•布伦南、美国土安全部长杰伊•约翰逊的邮箱以及科技记者Mat Honan的iCloud 帐户。这不得不引起我们反思,“互联网+”时代将大量信息与互联网相融合,让国家发展插上互联网的翅膀的同时,也隐藏着难以想象的风险。

二是社会工程学钓鱼案例之央视名嘴白岩松被电信诈骗。中央电视台13套曾播出的《新闻1+1》节目中,白岩松在《诈骗率先“互联网+”?》开场称,其在中国南方遭遇了一次电信诈骗,当天因北京大雪,正担忧第二天航班是否能够顺利起飞的时候,手机上突然接到了一条号码为“+8526643****”发来的短信,内容称航班因机械故障被取消,请联系“4006-***-***”客服号码。白岩松觉得信息无误,拨打了虚假客服电话,产生多个疑问,一是接电话的客服是广东福建口音,而且是男性,跟一般女性客服标准普通话不一致;二是终于反应过来短信来源号码不对,并不是客服常用号段。在通话中,诈骗团伙不断询问白岩松银行卡号、身份证信息等敏感隐私内容,白岩松觉得更为奇怪,于是挂断电话查看官网航班情况,发现都为正常状态,此次诈骗事件虽未得逞,但暴露出国内巨大的数据买卖利益链条。目前“互联网+”高速发展,社会工程学攻击从海选型到精确型转变,危害更为巨大。与白岩松被电信诈骗极为相似的案件就是近年以来异常火爆的手机短信发送木马链接的方式进行诈骗案件,诈骗分子通过不法渠道获取事主银行卡、姓名等个人信息,再向事主发送短信,并以各种理由吸引事主点击短信内附链接。一旦事主点开链接下载软件,就会被植入病毒,让犯罪分子可以远程操控。网上消费快捷支付无需银行卡密码,犯罪分子通过木马程序截获快捷支付的验证码,让受害人手机上无法显示验证码短信,从而实施转款盗刷。还有一个与该攻击手段相类似的国际大事件,去年 11月13日晚,在法国巴黎市发生一系列恐怖袭击事件,造成至少132人死亡。事件发生后国际黑客组织匿名者与ISIS黑客展开了一场网络攻防战。其实匿名者与 ISIS之间的较劲是从在今年一月份发生的《查理周刊》总部遭遇大屠杀开始的。匿名者持续对ISIS进行网络攻击,同时已经曝光了其超过5500个推特账户。在最近一段时间,匿名者为了带动新一轮攻击,公布了三个如何攻击的指南,寄希望于发动人海战术。有趣是看看ISIS发布的网络防护策略内容,它告诫成员,不要在推特或者Telegram上和陌生人交流,或者打开不明来源的链接。此外,他们也提醒成员尽可能变更VPN的IP地址,避免使用邮件用户名作为推特账户名称。从攻守方来看,匿名者能够精确通过数据库找出ISIS账户ID列表进行攻击,而ISIS的网络防护策略中提到的不和陌生人交流、不打卡不明来源链接都是针对社会工程学攻击制定的,也就是说,优秀的安全防护必须是从人为因素完善。这里必须补充说明的是,为何现在的社会工程学攻击更为精确命中目标呢?原因在于“互联网+”促成了大数据更快速的发展,大数据是“社工库”的升华,它将分散型数据向关联集中型数据转变,冗余数据向精准数据转变,固态化数据向智能化数据转变,单一数据向多种数据转变等,从而为社会工程学攻击提供了便利。

三是社会工程学情报分析案例之乌云酒会200黑客快速寻回IPAD。去年的乌云黑客酒会上,因一名网络安全爱好者大意丢失IPAD一部,后200名黑客运用社会工程学情报分析在只有一个微信号的情况下,得到此人姓名、年龄、性别、邮箱、QQ号码及群,曾经开过的公司、手机号码及之前用过的号码、支付宝信息、常去网站等等,经过30分钟追踪成功将丢失IPAD快速找回。这个案例中,黑客们根据收集的大量嫌疑人相关线索进行了高效的情报分析。黑客们从摄影师的照片入手,从中找到一个有些相似的人,因为此人大光头的特点较为明显,于是将其锁定。查看此人微信账号,“M130********”有可能数字为收集号码,但试着拨打是空号,接着用该手机号码在百度搜索中查询,搜索结果包括个人姓名、公司名称、邮箱、公司地址等信息。再用姓名上北京企业信用信息网查询,结果是公司早年已经注销。接黑客们查看目标嫌疑人的朋友圈,并没发现除了风景更为有用的个人信息,连张正脸照片都没出现,侧面反应此人日常个人隐私具有保护意识。“山穷水尽疑无路,柳暗花明又一村。”在社会工程学攻击中最为直接有效的还是与目标的直接交际。此时,一名黑客使用微信小号联系对方,目标嫌疑人果然中招,回复了一条群活动的有价值信息。黑客们用这个群活动信息,从豆瓣、绿野等网站,查出一些信息,其中包含一个“188********”的电话号码,如何确认电话号码和目标嫌疑人为同一人呢?支付宝付款的时候会提示,通俗点说,也就是测试支付宝账户(“130********”手机号)和该“188********”手机号的关联,结果名字相同,进一步锁定。有了目标嫌疑人的真实电话,反查出来QQ群、邮箱等信息,用QQ小号加入QQ群,看到群主网名与微信、支付宝同名,确认是此人。在实际操作中,有的黑客通过“社工库”更为简洁的查到了此人的诸多虚拟信息。最后,一名黑客直接打通了此人电话,对方承认了拿走IPAD的事实并将其归还。

四是社会工程学综合案例之公安机关硕果累累。其一,越南海防市某公司向中国山东文远建材科技有限公司订购了价值75000美元的货物。但是越方公司付款后,中方公司并未收到货款。经核查,发现越方公司遭到网络诈骗,货款被汇入另外一个银行账户。山东文远建材公司向公安机关报案。同时,越南公安部也提出协助请求,希望中国公安机关协助开展调查。山东公安机关立即就此开展了调查。经侦查,民警发现犯罪嫌疑人采取入侵受害人电子邮箱获取中越两国公司往来贸易信息的手段,利用与中方公司电子邮箱地址类似的邮箱仿冒中方公司与越方联系,诱使其将货款汇入另一个银行账户。随后,公安机关转战上海、武汉、广州等地,打掉了一个以外籍人员为主,境内外人员相互勾连的犯罪团伙,抓获犯罪嫌疑人5名,其中外籍人员3名。其二,公安机关工作中发现一个由中韩两国犯罪嫌疑人组成的团伙涉嫌针对韩国网民银行卡实施跨国网银盗窃。公安机关成立专案组历经数月的缜密侦查,结合韩国警方提供的证据材料,逐渐查明该团伙由多个分工明确犯罪小组组成,分布在吉林省延边州、长春市,福建省龙岩市,广东省广州市、山东省威海市等地,专门针对韩国金融机构银行储户存款实施网络盗窃。公安机关开展统一行动,在吉林、福建、广东、山东、河南等地抓获犯罪嫌疑人31人,捣毁犯罪窝点4处。经查,该犯罪团伙利用“木马程序”和“钓鱼网站”等方式获取韩国居民银行卡信息,然后由韩国籍犯罪嫌疑人冒充韩国银行工作人员,通过电话方式诱骗用户解除银行卡保护设置,利用已获取的韩国居民的网银账户信息登录韩国受害人网银账户,将银行卡内的存款转移至专门用于接收赃款的韩国银行卡,再由位于韩国的犯罪嫌疑人通过银行ATM机取出赃款。经初步统计,该犯罪团伙一周内盗窃的资金就达到人民币300余万元。其三,淘宝卖家王某到公安机关报案,称其支付宝账号内余额被盗3996元。接报后,江苏徐州公安机关迅速展开侦查,发现犯罪嫌疑人以定做家具名义向受害人QQ发送伪造成图片样式的木马程序,利用该木马程序将受害人支付宝账号内余额盗走。徐州公安机关对植入木马分析发现,该木马程序具有远程控制、键盘记录、结束进程等功能,并且可以避免被主流杀毒软件发现。用户一旦被植入木马程序,用户电脑即被嫌疑人监控,当受害人登陆网银、支付宝等网站时可以获取受害人的账户密码等信息,实施盗窃行为。公安机关先后在广东、四川、辽宁等地抓获涉嫌制作销售木马、提供免杀、实施盗窃等环节的10名犯罪嫌疑人,彻底摧毁此包含植入木马、实施盗窃、销售木马、制作木马的分工明确、链条完整的网络盗窃犯罪团伙。目前已查实该犯罪团伙作案近20起,涉案价值10余万元。类似公安机关打击的社会工程学违法案件不胜枚举,这里不一一列举。

“互联网+社会工程学”或成为时代符号

近期,习近平总书记就公共安全工作作出重要批示,要求主动适应新形势,增强风险意识,坚持多方参与、合作共享、风险共担,坚持科技引领、法治保障、文化支撑,创新理念思路、体制机制、方法手段,推进公共安全工作精细化、信息化、法治化,不断提高维护公共安全能力水平,有效防范、化解、管控各类风险,努力建设平安中国。这要求我们必须,以理念、体制机制、方式手段创新为动力,以现代科学技术为引领,以基层基础建设为支撑,完善立体化社会治安防控体系,提高维护公共安全能力水平,促进社会安定有序、国家长治久安。如今,在社会工程学在网络空间安全中的成份越来越多的情况下,乃至保障国家安全,更需要我们重新认识它,将其上升至战略高度具有重大价值和意义。因此,公安社工学研究组断言,“互联网+社会工程学”构建网络空间安全体系或会成为新时代符号。

从国内外对社会工程学研究来看,由于在我国对社会工程学的误解极深,一直以来的认知都停留在社会工程学等同于欺骗,被国内网络安全领域的专家及学者们嗤之以鼻,系统认识和深入研究的人数更是少之又少,致使相对国际水平较为落后。中国工程院院士邬贺铨对中央提出的网络强国战略的论述中讲到,网络强国需要工业基础、网络基础设施、应用发展情况、安全保障能力、技术创新能力、人才、国际话语权、网络强国的法律环境。《中国信息安全》杂志社社长秦安、信息安全教指委秘书长封化民同时指出网络强国更需要重视人才建设,尽快培养一批能够在世界占在网络安全制高点的专家。我们国家所需要的这样一批专家应该是涵盖网络领域的方方面面,大力推动创新意识,将技术人才战略上升到更高的阶梯上来。“木桶原理”强调,水的高度取决于最短的一块木板,在我国网络安全领域研究的空白不少,尤其社会工程学研究最为薄弱,这个短板造成破坏国家安全、社会稳定的社会工程学攻击层出不穷,控制打击能力跟不上防护的水平。因此,必须将社会工程学的研究工作作为一项重要学科项目进行研究和探讨,才能占据国际主导权和话语权。

从社会工程学开放和封闭研究来看,目前我国网络安全领域大部分人还是将社会工程学的研究局限于接受型的探索,国内出版的社会工程学书籍或培训机构的PPT内容中,不难发现大致多以《欺骗的艺术》、《社会工程:安全体系中的人性漏洞》等国外书籍引申而来,毫无自主创新研究可言,甚至千篇一律,仿佛走不出井底之蛙的局面。除了凯文•米特里克的研究成果,指出在任何安全系统中,人总是最薄弱的环节这一观念外,不得不提到的是安全心理学方面的先驱,国际著名的安全专家布鲁斯•施尼尔(Bruce Schneier),他也曾指出,行为经济学、决策心理学、风险心理学和神经系统科学四个研究领域左右我们的安全情感会背离现实,而被社会工程学运用者所利用。国际上像这样的社会工程学大师还有很多,他们所占领的高地,和所作出的研究和贡献是国内无法比拟的。我们应该跳出固有定式,观望更大的天空,从网络安全领域的社会工程规律这个载体去作学科研究,将其丰富化、全面化发展。

从社会工程学和公安社工学的对比来看,公安机关打击网络犯罪是一项艰巨复杂和充满挑战性的工作,要成功侦破案件需要付出巨大的人力、物力、财力。特别是在打击社会工程学犯罪案件中,公安机关依靠有限的资源和基本的线索,往往成效甚微。办案侦查民警在与社会工程学犯罪斗争经验中总结,抓住社会工程学无论安全攻击以及为应对这些攻击而制定的防御措施如何不断演变,人类的本性是始终不变的这一铁律。提炼社会工程学原理和精髓,形成公安社工学的特有内核。公安社工学在打击犯罪方面,发挥以子之矛攻子之盾的模式,使公安案件侦破效率大大提高。原因在于,以国家层面的法律执行者而言,在获取得到有效信息的过程相较而言更为简洁,例如案件侦办合法手续前提下,在网络公司调取犯罪嫌疑人的虚拟身份产生的网络轨迹更为直接,可能对破坏安全环境构成犯罪的嫌疑人来说需要绕不少弯路。重视社会工程学的研究,以其人之道还治其人之身,在未来打击网络犯罪维护社会稳定中具有举足轻重的意义。

从社会工程学在国家网络空间战略中来看,我国对社会工程学的研究滞后问题,不利于国家整体网络安全防护。对于网络攻击者而言,社会工程学要比诸如暴力破解加密算法、模糊测试以找寻新的软件漏洞或者增加恶意软件复杂程度等技术更为有效,见效也更快。哪怕国家拥有多么完善的防御系统,社会工程学恰恰是绕过防御寻找目标关键人的一种技术,对国家安全层面破坏巨大。习近平总书记在中央网络安全和信息化领导小组成立大会上曾指出,没有网络安全就没有国家安全,没有信息化就没有现代化。中央网络安全和信息化领导小组的成立,标准着我国对网络空间威胁的认识上升到国家战略的高度。网络空间已成为大国博弈的战略制高点。因此,从国家网络空间战略出发,研究社会工程学这门学科,特别是“互联网+”时代的到来,将其应用于国家网络安全防护等领域中具有极大的战略意义。

“互联网+社会工程学”双刃剑的未来发展趋势

战争是永不停息的伤痛,刀剑之下,和平化为虚有,打造“互联网+社会工程学”之剑更像是希望永远牢记网络世界使用社会工程学对于攻守双方的残酷性,让纷争永远相望于江湖。纵观时代发展,对社会工程学在网络安全中的研究与应用已引起高度重视,“互联网+社会工程学”模式或成为新一轮科技竞争的战略制高点,将直接影响国家安全和社会稳定。各国大数据战略部署、网络攻击对社会工程学愈加依赖、全球科技的高速发展等都将影响社会工程学的进程轨迹,公安社工学研究组依据掌握材料,作出如下趋势预判:

(一)恶意的社会工程学发展趋势。

一是社会工程学诈骗犯罪也将高速发展。这里引用一组某地公安机关今年来涉及社会工程学犯罪案件数据统计。(1)电话欠费诈骗。嫌疑人冒充电话局或公安局人员声称事主电话欠费,银行账号可能被人利用“洗黑钱”,要求事主将存款汇至某账号以保护资金。(2)虚假刷卡信息诈骗。嫌疑人冒充银行工作人员谎称客户银行卡透支,可能被人复制盗用,要求用户到银行ATM机上“更改数据信息”,实际上是骗当事人将卡内现金划转到嫌疑人指定的账户上。(3)中奖信息诈骗。嫌疑人利用事主侥幸心理,借助网络、短信、电话、信件等媒介发送虚假中奖信息,继而以收取手续费、保证金、邮资、税费为由,骗取事主将钱财划至设定帐户。(4)冒充熟人诈骗。嫌疑人冒充事主的熟人、朋友,通过嫖娼被抓、自己受伤住院等各种理由请求事主汇款。(5)网络购物诈骗。嫌疑人在互联网上发布虚假廉价商品信息,骗取事主“预付金”或“手续费”。(6)低息贷款诈骗。嫌疑人发布可提供低息贷款的信息,要求事主网上划拨“担保费”。(7)虚构“购车/房退税”诈骗。嫌疑人谎称根据国家优惠政策,转账交纳一定手续费或保证金,事主可享受购车/房退税。(8)炒股诈骗。嫌疑人谎称为事主提供股票信息或代为炒股,收取费用。此外,还发生虚构绑架案件诈骗、虚假招聘诈骗各2起。上述数据不难看出,诈骗犯罪不再只是简单技术问题,依靠社会工程学进行操控之风愈刮愈盛。因此,社会工程学诈骗犯罪的下一个新领域是如何降低其可追溯性或将持续变种。

二是网络黑市买卖互联网用户隐私数据的行为日趋猖獗。马克思在《资本论》中有段经典的描述,一旦有适当的利润,资本就胆大起来。如果有10%的利润,它就保证被到处使用;有20%的利润,它就活跃起来;有50%的利润,它就铤而走险;为了100%的利润,它就敢践踏一切人间法律;有300%的利润,它就敢犯任何罪行,甚至冒绞首的危险。社会工程学的发展中,非常重要的一个辅助工具就是“社工库”,它也就是数据库,总能出其不意的为社会工程学攻击提供有效帮助。“社工库”的大小决定了其实战价值,特别是大数据高速发展下,黑客们将“社工库”的发展更加与时俱进和智能化。数字经济时代中,个人数据的商业市场已经形成,与此同时,一些专门买卖用户信息的网络犯罪组织也越来越张狂,像“cybercrime-as-a-service”服务更是激发了网络犯罪的发生。网络黑市数据买卖已经成为国际黑市一个大的发展趋势。通过多年执法部门对在线平台、社区、买卖数据市场的长期监视,发现了一些地下网络犯罪市场的商业交易、业务和价格情况。报告中列出了所有黑市上可以买卖的物种,包括PayPal账户、信用卡/借记卡数据等。银行登陆凭证的价格从190美元到1200美元不等,含2200美元的结算帐户登录凭证售价190美元。能够暗中向美国银行转移资金的银行帐户登录凭证价格中,余额为6000美元的售价500美元,余额为20000美元的账户售价1200美元。而可向英国转移资金的银行帐户登录凭证中,余额为10000美元的售价为700美元帐户,16000美元的账户价格是900美元。信用卡和借记卡的价格也会因地域不同有所差异,在美国是从5美元到30美元不等,在英国是20到35美元不等,加拿大是20到40美元不等,澳大利亚是21到40美元不等,欧盟是25到45美元不等。事实上,买卖用户数据的地下市场都有一个隐秘的入口,但不是每个人都能找到并进入。现在黑市上交易的物品种类繁多,所有网络犯罪者得到的非法信息都可以拿来买卖。未来“互联网+”的高速发展,可供选择数据类型更为丰富,网络黑市数据交易将会成为国际舞台最为活跃的“商品”之一。

(二)善意的社会工程学发展趋势。

一是公安社工学是未来发展趋势。从2011年公安社工学得到公安课题研究支持伊始,再到公安社工学的正式提出,以及后期的发展,将其成功应用于案件侦办、队伍管理、情报预警、舆情管控等领域,为保障国家安全、社会稳定提出了一些行之有效的建议,在实战中成效颇丰。社会工程学是网络安全领域的一块宝藏,更是一把威力巨大的“双刃剑”。以网络追逃为例,笔者在某地初任片区民警时,时逢“清网行动”,全国公安部门使用各种侦察措施,投入了大量人力物力财力。因辖区逃犯拒绝自首,笔者在追逃中运用角色扮演成功锁定目标嫌疑人,并真诚以待,为其讲解自首与否的厉害关系,并提供自首宽松政策。随着首战告捷,其他逃犯也相继投案自首,以逸待劳大大提高追逃效率的做法得到了多地借鉴,如去年11月10日,公安部从印度尼西亚雅加达、柬埔寨金边起飞的押解回国254名大陆犯罪嫌疑人,全国打击治理电信网络新型违法犯罪专项行动首战告捷,涉及内地20多个省区市以及香港的4000余起特大跨国跨境电信诈骗案成功告破。事实证明,“互联网+社会工程学”构建的公安社工学新体系,对于预防打击违法犯罪行为,提高维护公共安全能力水平,促进社会安定有序、国家长治久安成效显著。

二是人工智能将会改变生活方方面面。人工智能是计算机科学、控制论、信息论、神经生理学、心理学、语言学等多种学科互相渗透而发展起来的一门综合性学科。人工智能研究的一个主要目标是使机器能够胜任一些通常需要人类智能才能完成的复杂工作,通俗的讲,人工智能也就是试图为机器提供人类的“心脏”。“互联网+大数据+人工智能”将会让整个人类发展跨进一个新纪元,就连著名科学家霍金也称人工智能可能在100之内取代人类。网络安全领域对社会工程学依赖越来越强的时候,人工智能也与它密不可分了。这个方向的研究在目前及未来将成为趋势,应用或将更加广阔。如去年8月19日有一项叫做“一种基于社会工程学的网页验证码识别方法及系统”(CN104852916A)的专利,所述方法包括下述步骤:获取验证码文件;将验证码文件发送至社会工程节点;通过社会工程节点引诱第三方用户人工识别验证码;根据人工识别的结果,在原始网页中填入验证码识别结果或构造登录数据包,完成验证码认证;本发明通过计算机网络技术结合社会工程学中欺骗和利用第三方来进行信息攻击的思想,实现网页验证码的高效、准确识别。因此,公安社工学研究组敢断言,合理开发人工智能,可以有效降低因社会工程学引起的网络攻击行为,保护网络安全、国家安全。

综上所述,社会工程学从历史演进,直至搭上互联网这趟高速列车,将人性的弱点作为整个安全体系的致命一环,让整个列车处处渐渐烙上它的痕迹,未来发展必会愈加明显。在国家网络空间安全战略上,善于使用IPSE这把宝剑,有利于斩断一切安全“毒瘤”,捍卫国家安全、全球安全。

E安全注:本文系余星辰授权E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。