《社會(huì)工程學(xué)原理 黑客心理學(xué)及應(yīng)用》課件 第2章 社工黑客的世界觀

第2章 社工黑客的世界觀本章學(xué)習(xí)目標(biāo)：2.1了解社工攻擊簡(jiǎn)史和特點(diǎn)2.2職業(yè)社工的基本素質(zhì)要求2.3社工攻擊測(cè)試的基本技巧2.4如何對(duì)付黑客發(fā)起的社工攻擊2.5社工黑客如何看待單個(gè)攻擊對(duì)象，這對(duì)網(wǎng)絡(luò)攻防有何借鑒2.6社工黑客如何看待和利用被攻擊的群體2.7黑客的常用心理學(xué)工具2.8心理生理特質(zhì)與安全的關(guān)系2.9失誤與安全問(wèn)題之間的關(guān)系案例導(dǎo)入世界“頭號(hào)黑客”凱文.米特尼克的故事要點(diǎn)：他其實(shí)從未掌握任何尖端的黑客技術(shù)，只是憑借其出色的社工技巧，就單槍匹馬讓全世界目瞪口呆，更讓FBI等強(qiáng)力機(jī)關(guān)丟盡面子，以至不得不將他作為首位公開(kāi)高價(jià)懸賞捉拿的要犯。由此可見(jiàn)社工的威力！米特尼克的人生和黑客故事（細(xì)節(jié)詳見(jiàn)教材）米特尼克之所以最終被抓住，仍然是警方動(dòng)用了社工手段。再次顯示了社工的威力米特尼克出獄后，為了更有效地打擊社工黑客，結(jié)合自己的親身經(jīng)歷，撰寫(xiě)了人類(lèi)歷史上第一部社會(huì)工程學(xué)專(zhuān)著《反欺騙的藝術(shù)》，揭露社工黑客的若干秘密，讓他人免于遭受社工攻擊。第2.1節(jié)社工攻擊的特點(diǎn)及簡(jiǎn)史學(xué)習(xí)目標(biāo)2.1.1了解社工攻擊簡(jiǎn)史和特點(diǎn)重點(diǎn)掌握：社工攻擊的對(duì)象是人，手段是信息，發(fā)動(dòng)時(shí)機(jī)通常都在技術(shù)攻擊之前，方式是由反饋、微調(diào)和迭代組成的賽博方式。特別是要意識(shí)到，黑客已精通社工攻擊，急需我們守方補(bǔ)課，否則將會(huì)越來(lái)越被動(dòng)。社工攻擊的特點(diǎn)網(wǎng)絡(luò)安全學(xué)中的社會(huì)工程學(xué)，主要起源于米特尼克假釋出獄后，結(jié)合自身經(jīng)歷，于2002年出版的一本暢銷(xiāo)書(shū)《反欺騙的藝術(shù)》?？上?，此書(shū)從理論方面的考慮不多，以至本課程不得不來(lái)補(bǔ)缺。作為黑客眾多攻擊手段中的一類(lèi)，社工攻擊的主要特點(diǎn)有五：特點(diǎn)1，攻擊的直接對(duì)象是熱血的“人”（用戶或紅客），而不是冷血的“設(shè)備”，雖然黑客可以運(yùn)用各種設(shè)備來(lái)當(dāng)武器。由于“人”是所有信息系統(tǒng)的核心，所以一旦“人”被攻破（比如，騙得了用戶的銀行密碼），那么接下來(lái)再輔以其他硬件或軟件攻擊手段（比如，克隆一張銀行卡），便可輕松達(dá)到其攻擊目的（比如，取走你的錢(qián)）。特點(diǎn)2雖然黑客攻擊的是“人”，但是黑客與被攻擊的“人”之間，并無(wú)直接的身體接觸比如，綁架、美人計(jì)、入室盜竊等手段，都不算社工攻擊，至少不是網(wǎng)絡(luò)黑客所關(guān)注的社工攻擊所以，社工攻擊的武器只是“信息”，攻擊成果的形式也是“信息”。即使是“人”被攻破了，受害者也幾乎感覺(jué)不到痛，甚至“自己被賣(mài)了后，還在幫騙子數(shù)錢(qián)”；待到黑客的全套攻擊最終完成時(shí)，受害者再哭天搶地，也已晚了。特點(diǎn)3社工攻擊仍然是一種賽博式攻擊，即，攻擊并非一蹴而就，而常常是需要與被攻擊者之間進(jìn)行多次信息互動(dòng)，逐步誘導(dǎo)受害者，一步一步地逼近黑客的最終目標(biāo)。換句話說(shuō)，在攻擊過(guò)程中，黑客需要針對(duì)被攻擊對(duì)象的具體反應(yīng)（即，反饋）進(jìn)行“微調(diào)”；然后，對(duì)相應(yīng)的“反饋→微調(diào)→反饋”封閉循環(huán)鏈，再進(jìn)行反復(fù)迭代，直到黑客滿意為止。社工攻擊的最典型例子，便是電信詐騙：騙子按照事先準(zhǔn)備好的劇本，只需幾個(gè)回合，便能誘導(dǎo)受害人，乖乖地把錢(qián)交出來(lái)；甚至連警察想攔都攔不?。　百惒┦健边^(guò)程在赤壁大戰(zhàn)中表現(xiàn)得更突出：曹操是是這樣被“賽博式”地，一步一步地誘致失?。合茸尣懿贇⒌糇约旱乃畮燁^目，然后把自己的船連成一體，再逆風(fēng)迎接黃蓋送來(lái)的火種，最后把自己送上華容道等。黑客的社工攻擊是一種賽博式攻擊，但賽博攻擊并不限于黑客社工特點(diǎn)4，社工攻擊，正在成為黑客攻擊的必備手段甚至在所有重大黑客事件中，社工攻擊幾乎都是先鋒隊(duì)的主力軍。特點(diǎn)5，社工攻擊的另一個(gè)突出特點(diǎn)是：如果你不了解它，那它將威力無(wú)窮；如果你知道它正在攻擊你，那你一定會(huì)逢兇化吉。比如，當(dāng)你知道正在接聽(tīng)的某個(gè)電話是詐騙電話時(shí)，就算騙子再高明，你也不會(huì)上當(dāng)，甚至還可以隨心所欲地戲弄他一番?？墒?，情形的嚴(yán)峻性在于，社工的攻擊對(duì)象，往往是全無(wú)防備而善良的普通網(wǎng)民，且每一個(gè)網(wǎng)民都可能成為受害者。因此，對(duì)付黑客的社工攻擊，絕不只是安全專(zhuān)家的任務(wù)，必須“全民皆兵、眾志成城”。這也是許多人都需要學(xué)習(xí)本課程的原因社工攻擊的其它特點(diǎn)社工的本質(zhì)雖然簡(jiǎn)單，但其心理學(xué)底蘊(yùn)卻相當(dāng)深厚。比如，需要搞清楚人類(lèi)到底是如何做出決定的，動(dòng)機(jī)如何影響行動(dòng)，如何在控制自身情緒的同時(shí)還要利用（甚至控制）別人的情緒。社工的名稱(chēng)雖是新的，但其思路卻絕不是新的。古今中外的正史、野史、傳說(shuō)、神話等，無(wú)一不留下社工的身影。任課老師可以在此自行講述一些歷史故事，比如，三國(guó)、西游等。雖不敢說(shuō)整個(gè)人類(lèi)史就是一部社工史，但如果抽去社工思路，歷史可能將會(huì)變得相當(dāng)蒼白無(wú)趣。社工攻擊的招數(shù)變化之多，真實(shí)案例之精彩，完全不亞于任何小說(shuō)、科幻和諜戰(zhàn)片。學(xué)習(xí)目標(biāo)2.1.2了解職業(yè)社工的基本素質(zhì)要求重點(diǎn)掌握：成功的專(zhuān)職社工黑客必須具有謙遜、勤奮、外向、膽大和心細(xì)等特質(zhì)，同時(shí)還要掌握心理學(xué)、社會(huì)學(xué)和網(wǎng)絡(luò)技術(shù)等專(zhuān)業(yè)技能。社工黑客的基本要求社工攻擊的效果主要取決于攻擊者在攻擊過(guò)程中的具體表現(xiàn)同樣的動(dòng)作和演技，經(jīng)驗(yàn)豐富者可能滿載而歸，新手則可能前功盡棄因此，需要從人的角度來(lái)充分了解社工的基本素質(zhì)，這既有利于今后及時(shí)識(shí)破社工黑客的伎倆，也有利于以毒攻毒對(duì)付他們。從特質(zhì)角度看，合格的社工黑客必須要足夠謙遜，以便接納別人的意見(jiàn)和建議，與別人合作，互利互惠足夠勤奮，隨時(shí)都得注意積累相關(guān)的知識(shí)和經(jīng)驗(yàn)，哪怕是看起來(lái)毫無(wú)用處的東西也不能輕易放過(guò)。開(kāi)朗的性格有助于社工，否則將很難與對(duì)方溝通，更難以發(fā)起社工攻擊。社工的失敗率很高，職業(yè)社工黑客必須經(jīng)得起打擊，敢于屢敗屢戰(zhàn)。創(chuàng)新是社工攻擊的法寶，只有出乎對(duì)方的意料，才可能達(dá)到你的既定目標(biāo)職業(yè)社工黑客必須膽大心細(xì)，否則就很容易露出破綻從專(zhuān)業(yè)技能角度看，職業(yè)社工所掌握的知識(shí)當(dāng)然是越多越好比如，你若想在網(wǎng)上發(fā)起社工攻擊，你或你的團(tuán)隊(duì)至少應(yīng)該知道一些計(jì)算機(jī)的基本知識(shí)，包括但不限于辦公軟件、操作系統(tǒng)、網(wǎng)絡(luò)信息、圖文編輯、數(shù)據(jù)挖掘和服務(wù)器等。對(duì)手若是安全專(zhuān)家，你還得至少掌握足夠的網(wǎng)絡(luò)安全技能，否則根本無(wú)法與他建立溝通渠道，更談不上對(duì)他發(fā)起社工攻擊了。至于職業(yè)社工黑客的教育背景要求嘛，反而可以寬松一些。比如，米特尼克本身就是一名沒(méi)上過(guò)大學(xué)的學(xué)渣另外，職業(yè)社工黑客還必須擁有很強(qiáng)的法律意識(shí)，最好還能學(xué)習(xí)必要的心理學(xué)、語(yǔ)言學(xué)和社會(huì)學(xué)等知識(shí)。第2.2節(jié)社工攻擊滲透測(cè)試與識(shí)別學(xué)習(xí)目標(biāo)2.1.3社工攻擊測(cè)試的基本技巧重點(diǎn)掌握：社工攻擊滲透測(cè)試的注意事項(xiàng)，比如怎么實(shí)施網(wǎng)絡(luò)釣魚(yú)測(cè)試和冒充測(cè)試。社工滲透的常見(jiàn)問(wèn)題電話詐騙測(cè)試和短信詐騙測(cè)試等。社工攻擊過(guò)程可分為五個(gè)階段：一是廣泛收集和存儲(chǔ)各種情報(bào)。這是每次社工攻擊花費(fèi)時(shí)間和精力最多的基礎(chǔ)工作，否則后續(xù)階段將無(wú)從談起。二是偽裝設(shè)計(jì)?；谇捌谑占男畔?，針對(duì)欲攻擊的目標(biāo)設(shè)計(jì)攻擊者的偽裝角色，并做好相應(yīng)的準(zhǔn)備工作。比如，支撐條件和攻擊工具等。三是規(guī)劃攻擊測(cè)試。此時(shí)至少需要搞清楚攻擊計(jì)劃是什么，預(yù)期效果是什么，被攻擊者的軟肋是什么，何時(shí)是發(fā)起攻擊的最佳時(shí)間，需要什么人在什么地方提供什么支持和配合等。四是發(fā)起攻擊測(cè)試。此時(shí)很可能出現(xiàn)意外情況，需要攻擊者隨機(jī)應(yīng)變，及時(shí)做出適當(dāng)調(diào)整。如果攻擊效果能夠滿足預(yù)期，就可以正式展開(kāi)相應(yīng)的攻擊。五是結(jié)果報(bào)告。此階段工作只針對(duì)那些受雇的社工黑客，他們得把盡量滿足預(yù)期的最終攻擊結(jié)果報(bào)告給雇主。滲透測(cè)試應(yīng)該遵守的原則：以毒攻毒的滲透測(cè)試是對(duì)付社工的法寶之一，實(shí)施滲透的原則有：原則1，盡量做好整個(gè)過(guò)程的記錄工作。這樣既有利于回放并分析可能存在的漏洞，也有利于收集更多的相關(guān)信息，畢竟社工攻擊的基礎(chǔ)是上述第一階段的信息收集和存儲(chǔ)工作。當(dāng)然，此舉也可能?chē)?yán)重威脅到雇主的隱私，比如發(fā)現(xiàn)雇主的一些敏感信息，甚至讓他難堪。因此，必須隨時(shí)與雇主保持溝通，由他在隱私和可能遭遇的社工攻擊之間做出獨(dú)立選擇。原則2，別以為雇主真正了解滲透測(cè)試的細(xì)節(jié)，必須讓他及時(shí)了解每一步的進(jìn)展和遇到的實(shí)際問(wèn)題，并按他的意愿進(jìn)行適當(dāng)?shù)恼{(diào)整，以避免今后的意外糾紛。原則3，確保滲透測(cè)試的每一個(gè)步驟都能按需回放，使得最終出具的滲透報(bào)告能夠經(jīng)得起事后審計(jì)與驗(yàn)證。原則4，要全面、準(zhǔn)確及時(shí)地向雇主匯報(bào)滲透過(guò)程中所發(fā)現(xiàn)的問(wèn)題和漏洞，但又不能向任何第三方公布這些漏洞。若雇主有特殊需要，還應(yīng)該積極提供可能的漏洞修補(bǔ)方案等。網(wǎng)絡(luò)釣魚(yú)測(cè)試案例網(wǎng)絡(luò)釣魚(yú)就是引誘受害者點(diǎn)擊看似可信的網(wǎng)絡(luò)鏈接或郵件，以便發(fā)送帶有惡意附件的郵件，從而實(shí)施后續(xù)的遠(yuǎn)程入侵；收集受害者的口令等敏感數(shù)據(jù)；廣泛收集其它信息，以便進(jìn)行后續(xù)的攻擊。雇主進(jìn)行釣魚(yú)測(cè)試的動(dòng)機(jī)各不相同，有時(shí)只是想測(cè)試內(nèi)部員工的人性，此類(lèi)測(cè)試稱(chēng)為教育型釣魚(yú)測(cè)試。此時(shí)只需向被測(cè)員工發(fā)送一封特殊郵件，其中并不含有任何惡意代碼，也不會(huì)引發(fā)任何遠(yuǎn)程攻擊，它只是返回一個(gè)測(cè)試信息，報(bào)告被測(cè)員工是否“上鉤”。這種“釣魚(yú)”主要想利用當(dāng)事者的好奇、貪婪、快樂(lè)或恐慌等心理狀態(tài)。比如，若向某位員工發(fā)送一封貌似某家著名公司的高薪邀請(qǐng)函，便可在一定程度上知悉該員工是否準(zhǔn)備跳槽等。滲透測(cè)試型網(wǎng)絡(luò)釣魚(yú)測(cè)試此類(lèi)測(cè)試的操作步驟與教育型網(wǎng)絡(luò)釣魚(yú)測(cè)試很相似，但其最終目的卻大不相同。它并非想教育員工，而是想進(jìn)行遠(yuǎn)程訪問(wèn)、獲取敏感信息或收集證據(jù)等黑客攻擊。這種釣魚(yú)主要想利用當(dāng)事都的恐懼、貪婪、驚喜和悲傷等情緒。此時(shí)的受害者將在適當(dāng)?shù)囊T下，多次點(diǎn)擊危險(xiǎn)鏈接，比如，引誘他打開(kāi)一個(gè)文檔，忽略相關(guān)安全警告，甚至輸入賬號(hào)口令等由于這些點(diǎn)擊需要花費(fèi)更多的精力和時(shí)間，因此在選擇攻擊時(shí)機(jī)等方面也必須小心謹(jǐn)慎，比如，最好在對(duì)方情緒不佳時(shí)發(fā)起攻擊，以便增加“上鉤”的可能性。魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)測(cè)試這是一種個(gè)性化的釣魚(yú)，需要對(duì)攻擊對(duì)象及其親朋好友的信息進(jìn)行全面而深入的挖掘，然后找出向受害者發(fā)送信息的假冒對(duì)象。比如，只要能足夠真實(shí)地冒充受害者的老板，發(fā)出一封指責(zé)員工業(yè)績(jī)的信件，那么受害者幾乎肯定中招，肯定會(huì)在第一時(shí)間就點(diǎn)擊信件附件或危險(xiǎn)鏈接，并按需做出回應(yīng)。電話詐騙測(cè)試電話詐騙是一種基于電話的釣魚(yú)式攻擊，目前已成為最常見(jiàn)的社工攻擊之一，它既能獲取敏感信息，也有助于發(fā)起隨后的入侵，更能豐富信息收集內(nèi)容。目前國(guó)內(nèi)最常見(jiàn)的電話詐騙主要有三：一是冒充社保、醫(yī)保、銀行和電信等工作人員，以欠費(fèi)、扣費(fèi)、消費(fèi)確認(rèn)、信息泄露、案件調(diào)查、系統(tǒng)升級(jí)、驗(yàn)資證明等為借口，以提供所謂的安全賬戶等為手段，引誘受害人將資金匯入施計(jì)者指定的賬戶。二是冒充公檢法或郵政人員，以遞送法院傳票和涉嫌郵包毒品等為借口，以傳喚、逮捕、凍結(jié)存款等為恐嚇手段，逼迫受害人向指定的賬戶匯款。三是以銷(xiāo)售廉價(jià)機(jī)票、車(chē)票或違禁品為誘餌，利用當(dāng)事者貪圖便宜的心理或好奇心理，引誘受害人就犯，自愿預(yù)交訂金等子虛烏有的款項(xiàng)。最容易上當(dāng)?shù)睦T式電話詐騙：1，冒充知名企業(yè)，通知中獎(jiǎng)。2，冒充娛樂(lè)節(jié)目組，通知中獎(jiǎng)。3，以兌換積分為名進(jìn)行詐騙。4，二維碼掃碼詐騙。5，以重金和美色為誘餌的求子詐騙。6，以高薪招聘為誘餌的詐騙。關(guān)于以上利誘式詐騙電話的細(xì)節(jié)，大家可見(jiàn)教材中的描述，此處略去不述。短信詐騙測(cè)試與電話詐騙類(lèi)似的是短信詐騙，只不過(guò)此時(shí)用短信代替了打電話而已，其它方面基本上都是大同小異。不過(guò)，在進(jìn)行短信詐騙的滲透測(cè)試時(shí)還是需要注意以下幾點(diǎn)：一是社工短信必須簡(jiǎn)捷明了，只需陳述事實(shí)和一個(gè)鏈接。二是社工鏈接必須與假冒目標(biāo)有足夠的相似度，以便受試者稍不注意就會(huì)中招。三是若需獲取口令等敏感信息，就必須更加小心謹(jǐn)慎，切不可讓社工短信露出破綻。四是引誘受試者完成的操作步驟越少越好，盡量不要超過(guò)三步。冒充測(cè)試所謂冒充就是假扮受試公司的員工或領(lǐng)導(dǎo)而進(jìn)行的攻擊測(cè)試比如，引誘受試者執(zhí)行預(yù)期的操作等。冒充既是最危險(xiǎn)的社工攻擊，也是最容易被識(shí)破的攻擊。因此，為了增加成功率就必須準(zhǔn)備大量的前期工作，比如，全面考慮受試者的所有感官等在進(jìn)行現(xiàn)場(chǎng)冒充時(shí)，廣泛收集信息尤其重要，否則就可能前功盡棄，比如，冒充粗工時(shí)就別選派細(xì)皮嫩肉者針對(duì)初步的滲透規(guī)劃，最好多做幾次盡量逼真的彩排，并根據(jù)彩排結(jié)果來(lái)調(diào)整優(yōu)化進(jìn)入偽裝階段后所考慮的因素就更多了，比如，與偽裝身份匹配的服裝、工具和形象等。在正式啟動(dòng)滲透測(cè)試后，偽裝者還必須牢記自己的權(quán)限和相關(guān)禁忌。比如，當(dāng)你混入受試的辦公大樓后，就必須記住自己的角色，別做與假冒者身份不相配的事情。完成滲透測(cè)試后，還必須向雇主詳細(xì)匯報(bào)滲透過(guò)程和結(jié)果。當(dāng)然，這里的冒充攻擊并非只限于人員冒充，也包括設(shè)備冒充，比如，故意將有毒U盤(pán)遺失在適當(dāng)?shù)胤剑屖茉囌邠斓讲⒉迦胂嚓P(guān)電腦，從而實(shí)施預(yù)期攻擊學(xué)習(xí)目標(biāo)2.1.4如何對(duì)付黑客發(fā)起的社工攻擊重點(diǎn)掌握：社工攻擊防治規(guī)劃的四大步驟學(xué)會(huì)識(shí)別社工攻擊，制定切實(shí)可行的安全規(guī)章制度，定期檢查實(shí)際情況，努力加強(qiáng)安全意識(shí)。下面對(duì)這四大步驟進(jìn)行一些簡(jiǎn)要介紹：第一步，學(xué)會(huì)識(shí)別社工攻擊任何人若能及時(shí)識(shí)別社工攻擊，那他就肯定不會(huì)上當(dāng)社工攻擊的識(shí)別既相當(dāng)困難，又相當(dāng)容易說(shuō)它相當(dāng)困難是因?yàn)?，被社工攻擊打敗的人?shí)在太多了。不知有多少人曾被網(wǎng)絡(luò)釣魚(yú)、電話詐騙、短信詐騙或冒充等社工攻擊打得慘不忍睹，不知有多少人未曾意識(shí)到自己隨手扔掉的垃圾已讓社工黑客如虎添翼，不知有多少人遭遇了社工黑客常用的惡意代碼、勒索軟件或木馬病毒等。但另一方面，識(shí)別社工攻擊又相當(dāng)容易。當(dāng)你被社工攻擊打敗后再回放整個(gè)過(guò)程時(shí)，你幾乎肯定會(huì)對(duì)當(dāng)初的愚蠢表示驚訝換句話說(shuō)，只要你足夠警惕，基本上就能發(fā)現(xiàn)所有社工攻擊。可惜，任何人都不可能在任何時(shí)間和任何事情上保持足夠的警惕。因此，若能讓普通網(wǎng)民及時(shí)知悉各種典型的社工手段，黑客的成功率將大打折扣第二步，制定切實(shí)可行的安全規(guī)章制度

在對(duì)付社工黑客方面，規(guī)章制度扮演著不可替代的關(guān)鍵角色。但在制定預(yù)防社工攻擊的規(guī)章制度時(shí)，必須權(quán)衡安全性和方便性比如，規(guī)章制度不能過(guò)于寬泛而籠統(tǒng)，否則就會(huì)使執(zhí)行者難以把握力度一般來(lái)說(shuō)，規(guī)章制度越簡(jiǎn)單越好，越具體越好。為了確保規(guī)范制度能夠得以貫徹落實(shí)，還應(yīng)該組織必要的培訓(xùn)。為了確保規(guī)章制度切實(shí)可行，也可以安排一個(gè)試行期，此時(shí)可以根據(jù)實(shí)際情況對(duì)相關(guān)條款進(jìn)行適當(dāng)調(diào)整。但規(guī)章制度一經(jīng)正式公布，就必須嚴(yán)格執(zhí)行。對(duì)違規(guī)者不能盲目同情或以“下不為例”等方式草草處理。當(dāng)然，對(duì)違規(guī)人員也不能為了懲罰而懲罰，否則就會(huì)埋下隱患。第三步，定期檢查實(shí)際情況既然大家都已足夠警惕，那基本上就能及時(shí)發(fā)現(xiàn)某些社工攻擊。既然已經(jīng)制定了切實(shí)可行的規(guī)章制度并已公開(kāi)執(zhí)行，那就可以對(duì)真實(shí)效果進(jìn)行檢驗(yàn)。比如，定期對(duì)相關(guān)員工進(jìn)行滲透性檢測(cè)，看看他們是否真能抵抗相關(guān)攻擊如果定期檢查的結(jié)果不夠理想，就必須全面分析相關(guān)原因并做出相應(yīng)的調(diào)整，要么加強(qiáng)對(duì)員工的教育，要么改進(jìn)包括規(guī)章制度在內(nèi)的安全保障體系。第四步，努力增加員工的安全意識(shí)針對(duì)不同的企業(yè)，量身訂制相應(yīng)的培訓(xùn)活動(dòng)，增強(qiáng)大家的安全意識(shí)，特別是要彌補(bǔ)各自的短板。實(shí)際上，根據(jù)安全的木桶原理可知：整體的安全強(qiáng)度，取決于最薄弱環(huán)節(jié)的安全強(qiáng)度。防治社工攻擊的幾點(diǎn)特點(diǎn)說(shuō)明：任何安全措施都不可能一勞永逸若想保持安全狀態(tài)，就必須保持及時(shí)更新，比如，安全系統(tǒng)要及時(shí)升級(jí)，新的社工攻擊手段出現(xiàn)后要及時(shí)加以防范，新員工入職后要及時(shí)進(jìn)行安全培訓(xùn)，若發(fā)現(xiàn)安全漏洞更要及時(shí)修補(bǔ)。掌握一些增強(qiáng)員工安全意識(shí)的小技巧也很實(shí)用。比如，通過(guò)獎(jiǎng)勵(lì)來(lái)樹(shù)立榜樣，達(dá)到安全意識(shí)正向強(qiáng)化的效果。領(lǐng)導(dǎo)要帶頭示范，用行動(dòng)來(lái)鼓勵(lì)大家重視安全重視社工攻擊的群防群治，直至讓安全意識(shí)最終融入單位的文化第2.3節(jié)社工黑客如何看待個(gè)體學(xué)習(xí)目標(biāo)2.1.5社工黑客如何看待單個(gè)攻擊對(duì)象，這對(duì)網(wǎng)絡(luò)攻防有何借鑒重點(diǎn)掌握：黑客攻擊個(gè)體“人”的基本思路是：將人看成是一種特殊的電腦，“熱血電腦”。欲攻破該“電腦”，就必須使其信息失控。欲使信息失控，只需攻破輸入、輸出、存儲(chǔ)或處理等四大部分中的任何一個(gè)就行了。社工黑客如何看待“人”社工黑客將個(gè)體“人”看成一臺(tái)特殊的“計(jì)算機(jī)”或“熱血計(jì)算機(jī)”，即，讓人盡可能像計(jì)算機(jī)。所以，從社工黑客的視角看，個(gè)體“人”由輸入、輸出、存儲(chǔ)和處理四個(gè)部分組成。輸入部分，包括外部輸入（即感覺(jué)等）、內(nèi)部反饋輸入（即知覺(jué)、動(dòng)機(jī)、情緒和情感等）、噪聲輸入（即無(wú)意識(shí)等）。輸出部分，包括信息輸出（即語(yǔ)言等）、行為輸出、內(nèi)部反饋輸出（即動(dòng)機(jī)、知覺(jué)、情緒和情感等）、噪聲輸出（即無(wú)意識(shí)等）。存儲(chǔ)部分，包括記憶、習(xí)慣、無(wú)意識(shí)等。處理部分，包括計(jì)算（即思維、認(rèn)知等）、去噪（即注意等）、優(yōu)化（即學(xué)習(xí)、發(fā)展等）。上述四部分中，括號(hào)內(nèi)的名詞都是心理學(xué)術(shù)語(yǔ)，括號(hào)外的名詞是計(jì)算機(jī)術(shù)語(yǔ)。需要強(qiáng)調(diào)的是，由于社工黑客使用的是賽博式攻擊，所以他們特別重視循環(huán)反饋部分，這也是為什么此處要單獨(dú)重復(fù)列出“內(nèi)部反饋輸出”和“內(nèi)部反饋輸入”的原因；雖然它們括號(hào)內(nèi)的東西幾乎相同，但是，本輪輸出的一部分（或全部）將有可能作為下一輪循環(huán)的輸入，同理，本輪輸入的一部分可能來(lái)自上一輪循環(huán)的輸出。人類(lèi)本身的反饋循環(huán)機(jī)制（賽博機(jī)制），正好是社工黑客的用武之地，這也是社工攻擊具有賽博式特點(diǎn)的根源。社工黑客攻擊個(gè)體的基本思路至此，黑客攻擊個(gè)體“人”的基本思路就很清晰了，即，欲攻破“熱血電腦”，就必須使其信息失控；欲使信息失控，只需攻破輸入、輸出、存儲(chǔ)或處理四大部分中的任何一部分；欲攻破任何一部分，就必須充分利用心理學(xué)家已揭示的人性漏洞或弱點(diǎn)；欲充分利用這些漏洞或弱點(diǎn)，就必須：要么使攻擊對(duì)象在賽博式反饋循環(huán)中被誘入歧途，要么截獲并利用無(wú)意識(shí)的噪聲輸出等。至于如何達(dá)到這些目標(biāo)，將是隨后相關(guān)幾章的任務(wù)，到時(shí)我們將逐一介紹第2.4節(jié)社工黑客如何看待群體學(xué)習(xí)目標(biāo)2.6社工黑客如何看待和利用被攻擊的群體重點(diǎn)掌握：社工黑客在攻擊群體時(shí)可利用的各種機(jī)會(huì)，比如，合群的機(jī)會(huì)遵從和依從的機(jī)會(huì)模仿的機(jī)會(huì)暗示的機(jī)會(huì)單核心和雙核心信息傳輸模式等。在社工黑客眼中，“群體”又是什么呢?黑客攻擊群體的武器是信息，同樣，他們的攻擊成果也是信息，因此，社工黑客只需要從信息的角度去觀察群體，而沒(méi)必要像心理學(xué)家那樣去全面考慮群體。如果組成某群體的個(gè)體之間，完全隔離，即群體成員彼此沒(méi)有任何信息的交往；那么，黑客便可把這種群體，看成一些獨(dú)立的“熱血電腦”的堆積。既可以獨(dú)立地，分別攻破這些“熱血電腦”；又可以找出他們的共同特點(diǎn)，然后“一箭多雕”。比如，若組成某群體的成員都是產(chǎn)品推銷(xiāo)員，且他們彼此全無(wú)任何關(guān)聯(lián)，那么，社工黑客只需要以買(mǎi)家的身份出面，便可輕松獲得該群體所有成員的通訊聯(lián)系方式等個(gè)人信息。因?yàn)椋挟a(chǎn)品推銷(xiāo)員都有一個(gè)共同的愿望：盡可能多地找到潛在買(mǎi)家，并讓他們盡可能方便地聯(lián)系上自己。其實(shí)，絕大部分群體都應(yīng)該是這樣的：群體成員之間，存在著或多或少的信息交流；因此，在社工黑客看來(lái)，群體只不過(guò)是由“熱血電腦”組成的網(wǎng)絡(luò)更準(zhǔn)確地說(shuō)，這個(gè)“熱血網(wǎng)絡(luò)”還是一個(gè)“網(wǎng)絡(luò)之網(wǎng)”的互聯(lián)網(wǎng)！即，任何群體，都可以再細(xì)分為若干子群體，使得子群體的成員之間有更密切的信息交流，以至于在某些子群體中，還存在很少幾個(gè)“核心節(jié)點(diǎn)”?？傊?，在社工黑客眼里，群體的信息交流架構(gòu)，完全等同于眾所周知的、由冷血電腦搭建的互聯(lián)網(wǎng)的信息交流架構(gòu)；因此，黑客可以借用他們已經(jīng)相當(dāng)熟悉的、攻擊冷血網(wǎng)絡(luò)的思路，來(lái)攻擊群體這個(gè)“熱血網(wǎng)絡(luò)”。社工攻擊群體的額外有利機(jī)會(huì)之“合群機(jī)會(huì)”所謂合群，意指每個(gè)人都需要與其他人密切交往，每個(gè)人既會(huì)不斷被各種群體所影響，也會(huì)不斷影響各種群體。人類(lèi)為什么會(huì)有合群傾向呢，主要原因有：合群可能是人類(lèi)的本能，特別是人的內(nèi)在特性會(huì)強(qiáng)迫我們?nèi)ズ先?，比如，嬰兒為了生存，就得長(zhǎng)期依賴他人。學(xué)習(xí)和具體需要的滿足，也會(huì)促使合群。當(dāng)人們害怕時(shí)，就更需要借助合群來(lái)減小恐懼。當(dāng)然，與恐懼增加合群傾向相反，憂慮則會(huì)減少合群傾向。由于人們不能確定自己的感覺(jué)是否正確，便需要依靠合群來(lái)與其他人比較。而所選擇的比較對(duì)象，又幾乎都是同類(lèi)，這又更促進(jìn)了合群社工黑客如何利用“合群”來(lái)發(fā)起攻擊黑客并不關(guān)心人類(lèi)為什么合群，他們只在意合群帶來(lái)的如下攻擊機(jī)會(huì)：合群傾向，有助于社工黑客“打入敵人內(nèi)部”，從而有利于后續(xù)攻擊；充分合群后，群體成員之間會(huì)越來(lái)越趨同，從而有利于提高攻擊效率，甚至出現(xiàn)這種情況：攻破一個(gè)成員后，與其相似的其他成員也將全被攻破；充分合群后，“熱血網(wǎng)絡(luò)”中的信息交流將更加密切；于是，篡改、破壞或截獲相關(guān)信息的機(jī)會(huì)將更多；通過(guò)一臺(tái)“熱血電腦”做跳板，去遠(yuǎn)程攻擊另一臺(tái)“熱血電腦”將更加容易；黑客隱藏自身也更簡(jiǎn)單等?？傊?，人類(lèi)的合群傾向相當(dāng)于把若干臺(tái)孤立的“熱血電腦”連接成了四通八達(dá)的“熱血網(wǎng)絡(luò)”，所以，社工黑客的攻擊就更方便，社工攻擊的威力也就更大。遵從和依從的機(jī)會(huì)人類(lèi)普遍存在遵從和服從現(xiàn)象遵從和依從的原因與特點(diǎn)：“遵從”常使個(gè)體更適宜于群體，因?yàn)槿祟?lèi)需要與他人保持一致。在特殊環(huán)境中，他人的行動(dòng)可以為你提供有關(guān)最好行為方式的信息。人們之所以遵從，是因?yàn)樾湃蝿e人，害怕偏離。當(dāng)群體的其他人的意見(jiàn)不一致時(shí)，遵從率會(huì)急劇下降。群體規(guī)模越大，遵從性也就越大；群體的專(zhuān)長(zhǎng)越突出，個(gè)體對(duì)專(zhuān)長(zhǎng)的遵從性就越大；自信心越不足就越容易遵從他人。責(zé)任越大的人，其遵從性就會(huì)越小。借用獎(jiǎng)賞、懲罰、威脅和環(huán)境等壓力，可增加依從性和服從性。但壓力太大時(shí)，也可能適得其反，產(chǎn)生對(duì)抗心理。首先提出小的要求，然后提出較大的要求，可以增加依從性；在有些條件下，相反的戰(zhàn)術(shù)也可以增加依從性，即，一個(gè)很大的要求后面，緊跟著一個(gè)小的要求。黑客如何利用遵從和依從來(lái)發(fā)起社工攻擊黑客可將被攻擊目標(biāo)納入事先偽好的某個(gè)大群體，然后通過(guò)操控這個(gè)“假冒群體”，來(lái)達(dá)到操控受害者的目的。比如，群體詐騙和各種依靠“托兒”來(lái)坑人的騙子早就在這么干了黑客若想更充分地利用“遵從和依從”，他就會(huì)使：“假冒群體”的規(guī)模要足夠大，以至能夠給被攻擊的目標(biāo)造成足夠大的壓力“假冒群體”的權(quán)威性要足夠高，以至能給被攻擊的對(duì)象提供足夠的信任度“假冒群體”成員本身的意見(jiàn)要盡可能一致如果允許選擇，那么，社工黑客最好選擇那些自信度較低的攻擊目標(biāo)如果能夠輔之以名利等誘惑，被攻擊目標(biāo)將更容易就犯。適時(shí)采用懲罰和威脅等壓力手段，有時(shí)也有助于被攻擊對(duì)象“遵從或依從”循序漸進(jìn)地引誘被攻擊對(duì)象模仿的機(jī)會(huì)

模仿是一種普遍的社會(huì)現(xiàn)象，與攻擊理論類(lèi)似，模仿理論也有本能論和社會(huì)學(xué)習(xí)論兩種：本能論認(rèn)為，模仿是人類(lèi)的一種本能。達(dá)爾文甚至認(rèn)為，模仿是大多數(shù)高等動(dòng)物的本能。本能論還認(rèn)為，模仿是社會(huì)發(fā)展和社會(huì)存在的基本原則，正是因?yàn)橛辛四７?，才可能產(chǎn)生群體的社會(huì)規(guī)范和價(jià)值觀。模仿是社會(huì)進(jìn)步之源，是創(chuàng)新之源，是社會(huì)同化的基礎(chǔ)。模仿滿足以下三定律：其一是下降律，即，下層階級(jí)具有模仿上層階級(jí)的傾向；其二是幾何級(jí)定律，即，在無(wú)干擾的情況下，模仿行為將以幾何級(jí)數(shù)的速度擴(kuò)展；其三是先內(nèi)后外律，即，個(gè)體對(duì)本土文化及行為的模仿優(yōu)先于對(duì)外域文化的模仿社會(huì)學(xué)習(xí)理論則認(rèn)為，模仿是后天習(xí)得的，是強(qiáng)化學(xué)習(xí)的結(jié)果。還認(rèn)為，模仿和觀察學(xué)習(xí)，是人類(lèi)獲得社會(huì)行為的基本途徑。社工黑客若能讓受害者模仿其所期望的行為，他的攻擊就勝券在握了暗示的機(jī)會(huì)

所謂暗示，就是用含蓄而間接的方式去影響別人的情緒和行為暗示可讓對(duì)方不自覺(jué)地按照既定的方式行動(dòng)，或不加抵制地接受一定的意見(jiàn)或信念，從而使得社工黑客可以在一定程度上控制對(duì)方的行為。暗示既不同于勸說(shuō)，也不同于明確的指示，還不同于感染和模仿等，它讓對(duì)方從心理上接受某種觀念，并按這種觀念行事，而不是簡(jiǎn)單的外在行為變化。暗示的作用很大，對(duì)人的心理、生理和行為都會(huì)產(chǎn)生嚴(yán)重影響，這也是“安慰劑”常常會(huì)讓人康復(fù)的原因。暗示的分類(lèi)若以暗示的工具來(lái)分類(lèi)，則有如下四種暗示：一是以談虎色變?yōu)榇淼恼Z(yǔ)言暗示，二是以商業(yè)“托兒”為代表的行動(dòng)暗示，三是以觀戲流淚為代表的表情暗示，四是以商業(yè)廣告為代表的符號(hào)暗示等。若以暗示的來(lái)源分類(lèi)，則有他人暗示和自我暗示。他人暗示是由他人發(fā)出暗示信息后而引起的心理暗示，這也是社工黑客需要完成的任務(wù)。自我暗示是指自己發(fā)出信息對(duì)自己的暗示，比如，“一次被蛇咬，十年怕井繩”就是典型的自我暗示。若以暗示的方式來(lái)分類(lèi)，則有直接暗示、間接暗示和反暗示。直接暗示是社工黑客常用的暗示，其特點(diǎn)是刺激信息直截了當(dāng)，比如，直陳式的說(shuō)明等。此時(shí)，暗示者有意識(shí)地把刺激信息直接提供給被暗示者，使其迅速而無(wú)意識(shí)地加以接受的一種暗示。間接暗示是由暗示者以其它行為或事物為中介，將刺激信息間接提供給受暗示者，使他迅速而無(wú)意識(shí)地加以接受的一種暗示。間接暗示更隱蔽，社工黑客若能成功，其效果會(huì)更好，因?yàn)槭馨凳菊邥?huì)誤以為相關(guān)行為是由自己獨(dú)立做出的，不會(huì)產(chǎn)生心理抗拒或逆反心理。反暗示是指暗示者發(fā)出刺激信息后引起了受暗示者性質(zhì)相反的行為，比如，“此地?zé)o爭(zhēng)三百兩”便是不打自招的反暗示，它事與愿違地提醒路人前來(lái)尋寶影響暗示效果的主觀因素社工在實(shí)施暗示時(shí)很需要技巧，因?yàn)榘凳拘Ч麜?huì)受很多因素的影響：與成人相比，幼兒就更容易被暗示。但年齡太小的幼兒卻沒(méi)有能力接受暗示女性比男性更容易接受暗示從社會(huì)地位上看，越是位高權(quán)重者，越不易接受他人的暗示，或者說(shuō)越容易暗示他人，反之亦然。比如，老者的暗示影響力大于青年，壯士的暗示影響力大于病人，教士的暗示影響力大于信眾，官員的暗示影響力大于平民，富人的暗示影響力大于窮人，專(zhuān)家的暗示影響力大于群眾，貴族的暗示影響力大于常人等。人在疲倦、狂躁或遭受精神打擊時(shí)更容易接受暗示，而在精神飽滿、情緒愉悅、感情冷漠時(shí)就不易接受他人的暗示。幼稚、沒(méi)主見(jiàn)、獨(dú)立性差或自我意識(shí)不強(qiáng)者，容易被暗示；反之，成熟、獨(dú)立性強(qiáng)、自我意識(shí)強(qiáng)或意志堅(jiān)強(qiáng)者，則不易被暗示。影響暗示效果的客觀因素影響暗示效果的客觀因素也至少有兩種：一是頻繁的刺激有助于提高暗示效果，難怪“謊言重復(fù)一千遍就可能變成真理”，難怪商業(yè)廣告經(jīng)過(guò)鋪天蓋地的狂轟濫炸后便會(huì)產(chǎn)生魔力。二是刺激發(fā)生時(shí)的情境將嚴(yán)重影響暗示效果，比如，當(dāng)多數(shù)人都認(rèn)為某事正確時(shí)，受暗示者也會(huì)盲從?！盁嵫W(wǎng)絡(luò)”的單核心信息傳輸模式無(wú)論在什么環(huán)境下，幾乎所有群體都會(huì)出現(xiàn)單核心模式，即，該群體無(wú)論是有結(jié)構(gòu)的（比如，同班同學(xué)）還是無(wú)結(jié)構(gòu)的（比如，隨意湊合的某團(tuán)伙），也不論他們正在討論的是什么問(wèn)題，還不論群體成員是否是陌生人，總有某些人（意見(jiàn)領(lǐng)袖）說(shuō)得很多，而其他人則說(shuō)得很少。不管群體規(guī)模的大小，其中最健談?wù)咄瓿山涣餍畔⒌募s百分之四十，而其他成員的交流信息總量銳減，交流信息量的區(qū)別也銳減：第一健談?wù)吲c第二健談?wù)叩慕涣餍畔⒘恐?，隨著群體范圍的增加而增加；健談?wù)呓涣餍畔⒘繌母叩降团帕谐鰜?lái)時(shí)，遵從指數(shù)遞減規(guī)律總之，當(dāng)意見(jiàn)領(lǐng)袖滔滔不絕時(shí)，別人就講得很少了即使剛形成的群體，就算起初這種單核心模式還不太清晰，但經(jīng)一段時(shí)間的磨合后，這種單核心模式也一定會(huì)出現(xiàn)群體的單核心模式顯然對(duì)黑客有幫助“熱血網(wǎng)絡(luò)”的信息傳輸單核心拓?fù)浣Y(jié)構(gòu)，遠(yuǎn)比真實(shí)互聯(lián)網(wǎng)這些冷血網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)還要簡(jiǎn)單明晰；因?yàn)樗挥幸粋€(gè)信息交流的主節(jié)點(diǎn)，而其他節(jié)點(diǎn)的信息交流量都很少。這種單核心結(jié)構(gòu)，對(duì)社工黑客顯然是有利的。因?yàn)?，通過(guò)其說(shuō)話量的多少，社工黑客便可準(zhǔn)確判斷某個(gè)“熱血網(wǎng)絡(luò)”中的意見(jiàn)領(lǐng)袖；這相當(dāng)于找到冷血網(wǎng)絡(luò)中的骨干路由器節(jié)點(diǎn)，從而有利于準(zhǔn)確找到其攻擊目標(biāo)?！盁嵫W(wǎng)絡(luò)”的雙核心信息交流結(jié)構(gòu)心理學(xué)家們還發(fā)現(xiàn)了另一個(gè)驚人的事實(shí)：一般認(rèn)為“說(shuō)什么要比說(shuō)得多更重要”，但該直觀印象有問(wèn)題。事實(shí)表明：對(duì)領(lǐng)導(dǎo)能力的估價(jià)，說(shuō)話的量比質(zhì)更重要；領(lǐng)導(dǎo)這個(gè)概念，幾乎完全取決于量；某人講話越多，他就越被看成是領(lǐng)袖，而不論他對(duì)討論的實(shí)際貢獻(xiàn)是大或小“質(zhì)”確實(shí)有一定的影響，但它屬于別的考慮范圍。但確實(shí)存在這種情況：“熱血網(wǎng)絡(luò)”中某些真正決策者也許少言寡語(yǔ)。這時(shí)的“熱血網(wǎng)絡(luò)”中就會(huì)出現(xiàn)兩個(gè)核心：其一，是意見(jiàn)領(lǐng)袖，他說(shuō)話最多；其二，是決策者，他說(shuō)話最管用。不過(guò)，這兩個(gè)核心都是社工黑客的重點(diǎn)關(guān)注對(duì)象如何發(fā)現(xiàn)決策者除了意見(jiàn)領(lǐng)袖外，社工黑客如何利用過(guò)往的交流信息，在“熱血網(wǎng)絡(luò)”中較準(zhǔn)確地找出真正的決策者，并將他作為攻擊目標(biāo)呢?為此，貝爾斯提出了一套判斷體系：它使用一種相對(duì)少量的范疇，去分析復(fù)雜的交流信息；而且可以用一種可控?cái)?shù)量的量度，來(lái)描述群體成員的相互作用，從而找出那個(gè)“說(shuō)話最管用”的決策者實(shí)際上，貝爾斯發(fā)現(xiàn)：群體的所有交流信息都可以納入如下12個(gè)范疇中：反對(duì)或同意、緊張或放松、團(tuán)結(jié)或?qū)?、提供或征求建議、提供或征求意見(jiàn)、提供或征求信息。其中，前面6個(gè)范疇是富有感情色彩的，后6個(gè)則是認(rèn)知的。貝爾斯判斷體系的操作每次交流信息都被分為上述12個(gè)范疇中的不同部分，而每一部分也被單獨(dú)記錄。這種相互交流信息的分類(lèi)和記錄并不難，只需經(jīng)過(guò)簡(jiǎn)單的訓(xùn)練，觀察者便能在復(fù)雜的相互作用條件下，以很高的可靠性運(yùn)用貝爾斯系統(tǒng)，找出那位真正的決策者。當(dāng)然，貝爾斯系統(tǒng)僅限于評(píng)判外在行為，不能判斷內(nèi)在情感；比如，有人氣憤地說(shuō)“我贊成你”時(shí)，文字記錄顯然就是詞不達(dá)意?？傊?，無(wú)論如何，至少在心理學(xué)家的幫助下，社工黑客可以較準(zhǔn)確地掌握“熱血網(wǎng)絡(luò)”信息交流拓?fù)浣Y(jié)構(gòu)，從而可以找出重點(diǎn)攻擊對(duì)象；這遠(yuǎn)遠(yuǎn)比冷血網(wǎng)絡(luò)中的情形容易多了。第2.5節(jié)黑客的心理特質(zhì)與心理學(xué)工具學(xué)習(xí)目標(biāo)2.1.7黑客的常用心理學(xué)工具重點(diǎn)掌握：促成黑客行為的自我表現(xiàn)心理、好奇探秘心理、義憤抗議心理、戲謔心理、非法占有心理和渴望認(rèn)同心理等六大常見(jiàn)心理。被黑客利用的受害者的恐懼心理、服從心理、貪婪心理、同情心理、省能心理、僥幸心理、逆反心理、湊興心理和群體心理等。黑客發(fā)動(dòng)攻擊時(shí)的心理黑客行為有時(shí)非常危險(xiǎn)，很可能為自己帶來(lái)牢獄之災(zāi)。但為什么黑客還是要干呢？若從動(dòng)機(jī)角度來(lái)看，形象地說(shuō)，這主要源于黑客的以下六種心理：1，自我表現(xiàn)心理：許多黑客發(fā)動(dòng)攻擊，只是想顯示自己“有高人一等的才能，可以攻入任何信息系統(tǒng)”。2，好奇探秘心理：因獵奇而侵入他人系統(tǒng)，試圖發(fā)現(xiàn)相關(guān)漏洞，并分析原因，然后，公開(kāi)其發(fā)現(xiàn)的東西，與他人分享。3，義憤抗議心理：這類(lèi)黑客，好講哥們義氣，愿為朋友兩肋插刀，以攻擊網(wǎng)絡(luò)的行為來(lái)替朋友出氣，或表示抗議。4，戲謔心理：這種惡作劇型黑客，以進(jìn)入別人信息系統(tǒng)、刪除別人文件、篡改主頁(yè)等惡作劇為樂(lè)。5，非法占有心理：也叫“物欲型黑客”。他們以獲取別人的財(cái)富為目的，是一種犯罪行為。甚至，有的黑客，受他人雇傭，專(zhuān)門(mén)從事破壞活動(dòng)。這種黑客，危害極大。6，渴望認(rèn)同心理：這類(lèi)黑客，追求歸屬感，想獲得其他黑客的認(rèn)可。很像水滸中，好漢們上梁山前，要首先“見(jiàn)紅”一樣。這既是一種自我表現(xiàn)，也是獲得同類(lèi)認(rèn)可的需要。此外，還有諸如自我解嘲心理、發(fā)泄心理等，都是引發(fā)黑客行為的心理因素。特別是，還有少數(shù)“心理變態(tài)型黑客”，他們從小家庭變異，或遭受過(guò)來(lái)自社會(huì)的打擊，由于心理受過(guò)嚴(yán)重創(chuàng)傷，所以，長(zhǎng)大后就想報(bào)復(fù)社會(huì)。被利用的受害者心理反過(guò)來(lái)，黑客發(fā)動(dòng)攻擊時(shí)，又利用了被害者的哪些心理呢？歸納起來(lái)，至少有如下四種：恐懼心理。這是一種負(fù)面情緒，它是“由據(jù)信某人或某物可能造成的痛苦或威脅”所引發(fā)的危險(xiǎn)意識(shí)。比如，電話詐騙犯，利用多種途徑，營(yíng)造恐懼感，要求受害者“趕緊匯款，以避免血光之災(zāi)”等。服從心理。假借某些人或機(jī)構(gòu)的權(quán)威，迫使受害者服從其命令。比如，假冒執(zhí)法機(jī)構(gòu)，要求受害者配合提供相關(guān)信息等。貪婪心理。利用受害者對(duì)事物，特別是財(cái)富，的強(qiáng)烈占有欲，來(lái)實(shí)施攻擊。比如，以祝賀“中大獎(jiǎng)”為由，誘騙受害者上當(dāng)。同情心理。聲稱(chēng)自己有難，急需好人幫忙，誘發(fā)受害者的同情心，實(shí)施攻擊行為。引發(fā)內(nèi)部安全問(wèn)題的心理因素除了黑客攻擊之外，還有許多心理因素，會(huì)引發(fā)用戶的不安全行為。歸納起來(lái)，至少有如下幾種：省能心理，比如，嫌麻煩、怕費(fèi)勁、圖方便、得過(guò)且過(guò)等僥幸心理，比如，當(dāng)你發(fā)現(xiàn)“某人某天，雖有違章操作但也安全無(wú)恙”時(shí)，可能就會(huì)產(chǎn)生僥幸心理，就會(huì)放松警惕，從而為安全事件埋下隱患逆反心理，比如，許多違規(guī)操作，明明知道有危險(xiǎn)，卻偏要以身試法湊興心理，比如，許多電腦病毒，就是借助“湊興心理”迅速擴(kuò)散的群體心理。所有行為，包括安全行為，都會(huì)受到群體心理的影響注意與不注意。比如，軟件或系統(tǒng)的安全漏洞，都是保衛(wèi)者的“不注意”產(chǎn)物；用戶被釣魚(yú)網(wǎng)站欺騙，也是因?yàn)椤安蛔⒁狻闭婕倬W(wǎng)址的那一丁點(diǎn)差別而已。學(xué)習(xí)目標(biāo)2.1.8心理生理特質(zhì)與安全的關(guān)系重點(diǎn)掌握：人的性格、能力、動(dòng)機(jī)、情緒與情感、意志、感知覺(jué)、個(gè)性心理特征、氣質(zhì)、個(gè)性缺陷和行為退化等都與網(wǎng)絡(luò)安全存在一定的關(guān)系。心理和生理特質(zhì)與安全的關(guān)系人的許多心理因素都與安全密切相關(guān)，具體說(shuō)來(lái)，性格與安全。不利于安全的八種性格有：第一，攻擊型性格。這類(lèi)人妄自尊大，喜歡冒險(xiǎn)，爭(zhēng)強(qiáng)好勝，不接納別人意見(jiàn)，容易引發(fā)重大事故第二，性情孤僻、固執(zhí)、心胸狹窄、對(duì)人冷漠、不善處理同事關(guān)系第三，性情不穩(wěn)定者，易于沖動(dòng)從而忽略安全問(wèn)題第四，心境抑郁，浮躁不安者。由于長(zhǎng)期悶悶不樂(lè)，他們?nèi)菀滓l(fā)失誤第五，馬虎、敷衍、粗心。這是對(duì)安全的主要威脅。第六，驚慌失措、優(yōu)柔寡斷、魯莽行事者。他們常坐失發(fā)現(xiàn)漏洞和應(yīng)急的良機(jī)第七，思維和運(yùn)動(dòng)懶惰者。他們反應(yīng)遲鈍、無(wú)所用心，也常引發(fā)安全問(wèn)題。第八，懦弱、沒(méi)主見(jiàn)者。他們遇事不敢堅(jiān)持原則，不辨是非，不負(fù)責(zé)任能力與安全能力包括一般能力和特殊能力；它們相互聯(lián)系，彼此促進(jìn)。一般能力，包括觀察力、記憶力、注意力、思維力、感覺(jué)力和想象力等特殊能力，比如，操作能力、節(jié)奏感、識(shí)別力、顏色鑒別力等。能力是安全的重要制約因素，比如，思維能力強(qiáng)的人，在面對(duì)重復(fù)的、一成不變的、不需動(dòng)腦筋的簡(jiǎn)單操作時(shí)，就會(huì)感到單調(diào)乏味；從而埋下安全隱患。反之，能力較低的人，在面對(duì)力所不及的任務(wù)時(shí)，就會(huì)感受到無(wú)法勝任，甚至?xí)^(guò)度緊張；從而，也容易引發(fā)安全問(wèn)題?？傊挥挟?dāng)能力與任務(wù)難度匹配時(shí)，才不容易出現(xiàn)安全問(wèn)題。動(dòng)機(jī)與安全動(dòng)機(jī)是一種內(nèi)部心理過(guò)程，它是由“需求”推動(dòng)的、有目標(biāo)的動(dòng)力；或者說(shuō)，它是為達(dá)目的，而付出的努力。動(dòng)機(jī)的作用是激發(fā)、調(diào)節(jié)、維持和停止某種行為。動(dòng)機(jī)也是一種“激勵(lì)”，是由需要、愿望、興趣和情感等內(nèi)外刺激的作用，而引發(fā)的一種持續(xù)興奮狀態(tài)。動(dòng)機(jī)，還是促進(jìn)行為的一種手段。不同的動(dòng)機(jī)，將引發(fā)不同的行為；因此，在安全因素分析中，動(dòng)機(jī)是重要因素。情緒、情感與安全情緒既有積極的，也有消極的；積極情緒包括滿意、愉快、熱情等消極情緒包括不滿、郁悶、悲傷等。情緒對(duì)行為的效率和質(zhì)量有重要影響；它與能力的發(fā)揮密切相關(guān)積極情緒可加深對(duì)安全重要性的認(rèn)識(shí)，具有“增力作用”，能激發(fā)安全動(dòng)機(jī)，采取積極態(tài)度。消極的情緒會(huì)使人帶著厭惡的情感去看待安全，具有“減力作用”，采取消極的態(tài)度，從而容易引發(fā)不安全行為。由于安全是一種基本需要，所以當(dāng)安全問(wèn)題順利解決，就會(huì)給當(dāng)事者帶來(lái)喜悅和興奮的感覺(jué)；如果被黑客攻擊，受到傷害，就會(huì)令人不安，并帶來(lái)負(fù)面情緒；如果損失很大，甚至?xí)n傷和恐懼。意志與安全意志是規(guī)范自己的行為，抵制外部影響，戰(zhàn)勝自己的能力。它對(duì)安全行為，起著重要作用：第一，推進(jìn)人們?yōu)檫_(dá)到既定的安全目標(biāo)而行動(dòng)；第二，阻止和改變與安全目標(biāo)相矛盾的行動(dòng)。能否充分發(fā)揮意志的調(diào)節(jié)作用，至少應(yīng)考慮下列兩方面：一是對(duì)安全目標(biāo)的認(rèn)識(shí)水平，決定了意志行動(dòng)力。比如，若對(duì)安全目標(biāo)持懷疑態(tài)度，則意志行動(dòng)就會(huì)削弱甚至消失；只有真正理解了安全目標(biāo)，才能激發(fā)自覺(jué)性，以堅(jiān)強(qiáng)的意志力去實(shí)現(xiàn)目標(biāo)二是意志的調(diào)節(jié)作用與人的情緒體驗(yàn)相聯(lián)系不穩(wěn)定性的情緒，對(duì)意志行動(dòng)肯定不利。意志的調(diào)節(jié)作用在于合理控制情緒，調(diào)動(dòng)有利的心理因素，堅(jiān)定實(shí)現(xiàn)安全目標(biāo)感知覺(jué)與安全感覺(jué)是通過(guò)感覺(jué)器官對(duì)客觀事物個(gè)別屬性的反映。感覺(jué)是最簡(jiǎn)單的認(rèn)識(shí)活動(dòng)，如視覺(jué)、聽(tīng)覺(jué)、嗅覺(jué)、觸覺(jué)等知覺(jué)就是“在感覺(jué)基礎(chǔ)上，人對(duì)客觀事物的各屬性、各部分及相互關(guān)系的整體反映”，如外觀大小等。為了保證網(wǎng)絡(luò)安全，首先要使大家感知風(fēng)險(xiǎn)，也就是要察覺(jué)危險(xiǎn)的存在；在此基礎(chǔ)上，通過(guò)大腦進(jìn)行信息處理，識(shí)別風(fēng)險(xiǎn)，并判斷其可能的后果，才能對(duì)安全隱患做出反應(yīng)。因此，安全預(yù)防的水平，首先取決于對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)水平；對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)越深刻，出現(xiàn)問(wèn)題的可能性就越小。個(gè)性心理特征與安全個(gè)性心理特征與安全關(guān)系很大；不良的個(gè)性心理特征，常是引發(fā)安全問(wèn)題的直接原因。比如，安全態(tài)度不同的人，也會(huì)表現(xiàn)出不同的個(gè)性心理特征：有的認(rèn)真負(fù)責(zé)，有的馬虎敷衍；有的謹(jǐn)慎細(xì)心，有的粗心大意。對(duì)待前人的安全經(jīng)驗(yàn)，有的不予盲從實(shí)事求是；有的不敢抵制違心屈從在安全應(yīng)急時(shí)，有的人鎮(zhèn)定、果斷、勇敢、頑強(qiáng)；有的人則驚慌失措、優(yōu)柔寡斷、或垂頭喪氣。氣質(zhì)與安全在安全管理過(guò)程中，應(yīng)針對(duì)不同氣質(zhì)，進(jìn)行不同的管理。例如，有些人理解能力強(qiáng)、反應(yīng)快，但粗心大意。對(duì)他們就應(yīng)從嚴(yán)要求有些人理解能力較差，反應(yīng)較慢，但工作細(xì)心。對(duì)他們就需加強(qiáng)督促有些人則較內(nèi)向，工作不夠大膽。對(duì)他們就應(yīng)多鼓勵(lì)，增強(qiáng)信心，提高積極性面對(duì)高風(fēng)險(xiǎn)工作，在物色人選時(shí)，也要考慮其氣質(zhì)類(lèi)型特征。比如，有些工作需要反應(yīng)迅速、動(dòng)作敏捷、活潑好動(dòng)、善于交際的人去承擔(dān)。有些工作則需要仔細(xì)的、情緒比較穩(wěn)定的、安靜的人去做。在安全管理中，應(yīng)適當(dāng)搭配不同氣質(zhì)的人；比如，對(duì)抑郁質(zhì)類(lèi)型的人，就應(yīng)該有活潑的同事去消除其情感上的障礙，以利安全個(gè)性缺陷對(duì)不安全行為的影響一些個(gè)性有缺陷的人，如思想保守、容易激動(dòng)、膽小怕事、大膽冒失、固執(zhí)己見(jiàn)、自私自利、自由散漫、缺乏自信等，會(huì)對(duì)安全產(chǎn)生不利影響。個(gè)性對(duì)安全行為的影響，主要表現(xiàn)在以下兩方面：第一，態(tài)度的影響。比如，若對(duì)待安全風(fēng)險(xiǎn)的態(tài)度有問(wèn)題，那么，出現(xiàn)安全問(wèn)題的可能性將很大。第二，動(dòng)機(jī)的影響。動(dòng)機(jī)，是想努力達(dá)到的目標(biāo)，以及用來(lái)追求這些目標(biāo)的動(dòng)力?？傊?，人的行為受各種因素的影響，可靠和良好的個(gè)性、正確的態(tài)度和正確的動(dòng)機(jī)，有利于安全保障工作。行為退化對(duì)安全的影響人，只有在理想環(huán)境下，才能達(dá)到最佳行為。人的行為，具有靈敏靈活性；人，易受許多因素的影響。人的行為，有時(shí)會(huì)出現(xiàn)緩慢而微妙的減退，比如：若勞動(dòng)時(shí)間太長(zhǎng)，就會(huì)產(chǎn)生疲勞；若生活節(jié)律被干擾，就不能有效發(fā)揮體能；若失去完成任務(wù)的動(dòng)力，就會(huì)懶散懈怠；若缺乏鼓勵(lì)，就會(huì)泄氣；若突然面對(duì)危險(xiǎn)，就會(huì)產(chǎn)生應(yīng)激反應(yīng)等。第2.6節(jié)失誤給黑客提供可乘之機(jī)學(xué)習(xí)目標(biāo)2.9失誤與安全問(wèn)題之間的關(guān)系重點(diǎn)掌握：失誤的種類(lèi)與原因，特別是感覺(jué)過(guò)程失誤、判斷過(guò)程失誤和行為過(guò)程失誤所造成的安全隱患。失誤及其安全問(wèn)題許多安全問(wèn)題，其實(shí)都是某種失誤造成的。所謂失誤，意指行為的結(jié)果偏離了規(guī)定的目標(biāo)或超出了可接受的界限，并產(chǎn)生了不良的影響。失誤的性質(zhì)主要有：第一，失誤是不可避免的副產(chǎn)物，失誤率可以測(cè)定。第二，工作環(huán)境可以誘發(fā)失誤；故可通過(guò)改善工作環(huán)境，來(lái)防止失誤。第三，下級(jí)的失誤，也許能反映上級(jí)的職責(zé)缺陷。第四，人的行為，反映其上級(jí)的態(tài)度；比如僅憑直覺(jué)去解決安全問(wèn)題，或僅靠?jī)e幸來(lái)維護(hù)安全，那遲早會(huì)出問(wèn)題。第五，過(guò)時(shí)的慣例，可能促發(fā)失誤。第六，不安全行為，是操作員促發(fā)的、直接導(dǎo)致危害的失誤，屬于失誤的特例。級(jí)別越高的人，其失誤的后果就越嚴(yán)重。失誤的分類(lèi)若按失誤原因，可將失誤分為以下三類(lèi)：隨機(jī)失誤，是由行為的隨機(jī)性，引起的失誤。軟件Bug就是隨機(jī)失誤的典型。隨機(jī)失誤往往不可預(yù)測(cè)，不能重復(fù)。系統(tǒng)失誤，是由系統(tǒng)設(shè)計(jì)問(wèn)題，或人的不正常狀態(tài)引起的失誤。系統(tǒng)失誤主要與工作環(huán)境有關(guān)；在類(lèi)似的環(huán)境下，該失誤可能再次發(fā)生。通過(guò)改善環(huán)境等，就能有效克服此類(lèi)失誤。系統(tǒng)失誤又有兩種情況：任務(wù)要求超出了能力范圍，或者操作程序出了問(wèn)題等。偶發(fā)失誤，是一種偶然的過(guò)失，它是難以預(yù)料的意外行為。許多違反規(guī)程的不安全行為，都屬于偶發(fā)失誤。若按失誤的表現(xiàn)形式，可將失誤分為以下三類(lèi)：遺漏或遺忘；做錯(cuò)，包括未按要求操作、無(wú)意識(shí)的動(dòng)作等；做了規(guī)定以外的動(dòng)作感覺(jué)過(guò)程失誤的分類(lèi)從外表看，幾乎所有失誤都源于“錯(cuò)敲了某些鍵或錯(cuò)點(diǎn)了鼠標(biāo)”所謂“不安全行為”就是由信息輸入失誤，導(dǎo)致判斷失誤，而引起的操作失誤考慮由“感覺(jué)（信息輸入）、判斷（信息加工處理）和行為（反應(yīng)）”三者，構(gòu)成的人體信息處理系統(tǒng)，所以可按“感覺(jué)、判斷、行為”的過(guò)程來(lái)對(duì)不安全行為的典型因素進(jìn)行分類(lèi)。第一類(lèi)，感覺(jué)（信息輸入）過(guò)程失誤。由于沒(méi)看見(jiàn)或看錯(cuò)、沒(méi)聽(tīng)見(jiàn)或聽(tīng)錯(cuò)信號(hào)，產(chǎn)生的失誤。感覺(jué)過(guò)程失誤的原因主要有：原因1，屏幕上顯示的信號(hào)，缺乏足夠的誘引效應(yīng)。即，信號(hào)未引發(fā)操作員的“注意”轉(zhuǎn)移。比如，誤將數(shù)字0，當(dāng)成英文字母o；沒(méi)注意到字母大小寫(xiě)的區(qū)別；忽略了相關(guān)的提醒信息等。所以，為確保及時(shí)正確發(fā)現(xiàn)信號(hào)，僅依賴用戶的某一種感官是不夠的，還必須使屏幕內(nèi)容，以多種方式呈現(xiàn)（比如，字體大小、顏色、聲音等），使其具備較強(qiáng)的誘引效應(yīng)，引起用戶注意。原因2，認(rèn)知的滯后效應(yīng)。人對(duì)輸入信息的認(rèn)知能力，總有些滯后時(shí)間如在理想狀況下，看清一個(gè)信號(hào)需0.3秒，聽(tīng)清一個(gè)聲音約需1秒。若屏幕信息呈現(xiàn)時(shí)間太短，速度太快，或信息不為用戶所熟悉，均會(huì)造成認(rèn)知的滯后效應(yīng)因此，對(duì)保衛(wèi)者來(lái)說(shuō)，若軟件界面太復(fù)雜，那就需要設(shè)置預(yù)警信號(hào)，以補(bǔ)償滯后效應(yīng)，避免用戶不必要的失誤。原因3，判別失誤。判別是大腦將“當(dāng)前的感知表象信息”和“記憶中信息”加以比較的過(guò)程。若屏幕信號(hào)顯示不夠鮮明，缺乏特色，則用戶印象不深，再次呈現(xiàn)時(shí)，就有可能出現(xiàn)判別失誤。黑客釣魚(yú)網(wǎng)站，就常利用此種失誤，使用戶上當(dāng)。原因4，知覺(jué)能力缺陷。由于用戶的感覺(jué)缺陷，如近視、色盲、聽(tīng)力障礙等，不能全面感