社会工程学的心理学分析温颖婷武汉大学哲学学院2007级心理学，430072引言：社会工程学作为信息时代发展出来的一门“欺骗的艺术”，在现今不论是虚拟的网络空间还是现实的日常生活场景，凡是涉及信息安全的方面，无不有社会工程学的应用。

本文将从心理学的角度，重点分析黑客是如何利用受众心理进行社会工程学攻击的，探究社会工程学背后的心理攻防。

（一）社会工程学与心理学社会工程学是一门通过各种社会工程学手段来获取自己想要的东西，即使人们顺从意愿，满足欲望的一门艺术与学问。

一直以来，都有不同的定义，比如“是一种让别人顺从你意愿的艺术和方法”①，“一个外部的黑客，为了得到他需要的信息来访问系统，而对计算机系统的合法用户使用心理骗局的方法” ②，“通过影响使他人泄密或做出特殊行为，来未授权访问并使用一个信息系统，网络的成功或不成功的尝试”③，或者是“从人那里获取需要信息（比如密码）胜过破解系统”④。

可我们看到这些定义都有大同小异的地方，那就是都涉及到黑客操纵他人，赢得他人信任的这一环。

这便与社会心理学，这门讨论人与人，人与社会之间的交往的学科有密切的关系。

心理学是研究人和动物心理活动和行为表现的一门科学。

其中社会心理学是研究个体和群体的社会心理现象的心理学分支。

个体社会心理现象指受他人和群体制约的个人的思想、感情和行为，如人际知觉、人际吸引、社会促进和社会抑制、顺从等。

群体社会心理现象指群体本身特有的心理特征，如群体凝聚力、社会心理气氛、群体决策等。

在社会工程学的实施过程中，黑客们往往都如一个熟练掌握社会心理学的专家，利用各种说服和人际交往的技巧，来最终达到自己的目的。

其实在信息安全中，最薄弱，最难控制的往往就是人的环节，资料显示，30%的交易失败于员工欺诈直接相关；FBI和CSI对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部。

在损失金额上，由于内部人员泄密导致的损失是黑客造成损失的16倍。

可见，安全并不仅仅是技术的问题，是人和管理的问题。

而心理学在社会工程学的成功运用中功不可没。

（二）心理学在社会工程学的应用1.说服途径的选择要赢得陌生人的信任，并使他们做出自己期望的行为，那么黑客们首先就要掌握说服的技巧。

在社会心理学中，将说服的途径分成两种，即中心途径（central route to persuasion）和外周途径（peripheral route to persuasion）。

说服的中心途径，也就是关注论据。

如果论据有力且令人信服，那么人们很可能就被说服，如果信息包含无力的论据，思维缜密的人会很快注意到这一点并且进行反驳。

这种说服往往比较有力，并且持续的时间较长久，黑客们在应用中可以利用一些伪造的专业资料来进行说服。

但此种途径成本耗费较大，操作起来有难度，并且受众往往都是一些同样专业的人员，因此使用较少。

说服的外周途径就是关注那些可能令人不假思索就接受的外部线索，而不考虑论据是否令人信服。

也就是说，在外围途径的说服中，被说服者是以周围环境线索和日常经验为依据，通过智力的捷径而非真正的逻辑推理来做出判断的。

说服者便可以利用受众的某种人性弱点或营造一些当下的特殊压力，激起他们某种情绪乃至使他们失去理智，最终做出平时也许不会做，但说服者期望的行为。

这种途径起作用的过程非常快，唯一的缺点就是效果持续并不久。

但在社会工程学的说服中，黑客们并不需要持久的说服效果，只需要暂时的蒙蔽和尽量赢得时间，所以外围途径的说服便成为最佳选择。

2.说服技巧的应用在实际的说服过程中，黑客们要达到的目的就是让对方做出某种特殊行为，在某种情况下，人做出与自己预期并不完全相符的行为，经常与社会影响相关。

接下来，我们可以从社会心理学典型的三种现象——从众、服从和依从来分析一些心理学效应在社会工程学中的应用。

●从众：从众指个人的观念与行为由于群体的引导或压力，而向与多数人相一致的方向变化的现象。

从众的原因有：1、行为参照2、对偏离的恐惧3、群体凝聚力。

在一个群体当中，迫于压力，人们是很容易做出一些不可思议的行为的。

有关群体行为中最著名的例子便是旁观者效应，根据心理学家的分析，旁观者之所以会对眼前的危机示置若罔闻，而且旁观的人越多这种现象越严重，是责任在一个大群体中被分散的结果。

于是，在进行社会工程学攻击时，可以单独针对一个个对象，告诉他，其它每个人都已将现在讯问他的这些信息提供给了黑客，来让用户信服。

例如黑客假扮IT经理。

当黑客用这种方式攻击，降低员工的压力，分散给出密码时员工的责任感。

●服从：服从是人由于外在强制力或他人影响而做出的遵照、顺从行为。

服从具有某种强制性的特征，服从的原因有：1、合法权力2、责任转移。

一般情况下，我们对于自己的行为都有自己的责任意识，但当我们不想为某件事情（一般是有风险的）负责的时候，就会选择服从，从而将一旦出错后的责任转移。

日常生活中最常见的就是人们面对权威的服从，有当时场景授权的权威，也有一贯以来的权威，即人们所说的专家。

在黑客利用电子邮件散播病毒的时候，就常以知名公司或网站的名义，伪装成诸如发布漏洞安全补丁的公告，让收件人一时被迷惑，掉入陷阱。

一些病毒如LeaveB, W32/Gibe@mm, and Klez.H,当初就是通过自称能提供微软安全漏洞补丁的邮件传播的。

●依从：这是人与人之间发生相互影响的基本方式，指人接受他人的请求而行动，使别人请求得到满足的行为。

依从与服从具有两个差别，一个是其自愿性，另一个就是依从理由的内发性。

依从的理论基础是认知失谐原理（cognitive dissonanceprinciple），它是指，如果我们觉察到信念、态度或行为的不一致，我们就会有强烈的不安感（认知失谐），它会驱使我们改变所作所为，以恢复认知一致。

心理学中诱导他人依从的常用效应之一就是门内效应（foot-in-the-door effect），在提出较大要求之前，先提出一个小的要求，从而使别人对较大要求也会接受，也就是俗话说的“得寸进尺”。

门内效应之所以会成功，就是利用人们的认知失谐，就如人们在面对一个宣称用户中奖的网站时，若禁不起一时的诱惑点击进入，便会一步步从当初认为只是点一下鼠标，填几个验证码，到最后落入被欺诈钱财的陷阱。

3.假身份的使用在社会工程学攻击中使用的常见伪装角色有：维修工，IT技术人员，经理，受信赖的第三方（比如，总裁执行秘书，他说总裁授权他来取某个文件），或是同事。

在一个大公司里，这并不难做到。

因为你没有办法认识所有人，而身份标志可以是假的。

而黑客们为什么会选择这些角色来作假呢？是因为人们经常会对这类人不怎么提防，假扮这类人比较容易迅速获得信任。

这就与心理学中的社会刻板印象有关。

社会心理学对社会刻板印象的定义是：“人们对某个社会群体形成的一种概括而固定的看法。

”一般来说，生活在同一地域或同一社会文化背景中的人，在心理和行为方面总会有一些相似性；同一职业或同一年龄段的人，他们的观念、社会态度和行为也可能比较接近。

人们在认识社会时，会自然地概括这些特征，并把这些特征固定化，这样便产生了社会刻板印象。

利用刻板印象可以简化我们的认识过程，使我们能迅速地适应某种环境。

但刻板印象也有非常不好的一面。

由于它是固定化的，所以也很难随着现实的变化而发生变化。

因此,当攻击对象遇见所谓的工作人员,只要看到制服，工作证，便轻易地相信他们是公司派来做某项工作的，不是什么“闲杂人等”。

4.让他人“好心做坏事”最近比较热门的校园交友网站“校内网”，因其由于允许用户通过“涂鸦板”自定义个人以及班级主页，很多网站就专门为网友提供各式各样的“校内网页面代码”，可正是有些来源不清代码，使得一些人的个人主页变成了一个含病毒网页，本想让自己的blog更加美观，却反而为病毒提供了温床。

这便源于一种大家没有察觉的心理现象：虚假同感偏差（false consensus bias）。

这是人们高估与他们的特定行为和态度有相同偏好的人数之倾向——即我们每个人都觉得别人和自己想的一样，可是实际上并非如此。

刚才的那个例子就是因为那些用户自认为那些提供代码的网站只是提供方便和技术支持而已，才忽略了隐藏在背后的目的。

在另一个案例中，黑客破坏一个网络，引起一些故障。

然后那个黑客宣称他是联系来修复问题的，然后，当他过来修复网络故障时，从雇员那里要走一些信息并达到他此行的真正目的。

雇员们永远不会认为他是一个黑客，因为他们的网络故障排除了，每个人都很高兴。

这些员工在不知情的情况下，为黑客提供了一些内部资料，都是虚假认同那些资料固定流向的后果。

（三）心理学的社会工程学应用反思经过以上的分析，我们可以看到社会工程学看似简单的欺骗而已，却又包含了复杂的心理学因素，其可怕程度要比直接的技术入侵大得多，对于技术入侵我们可以防范，但是心理漏洞谁又能时刻警惕呢？毫无疑问，社会工程学将会是未来入侵与反入侵的重要对抗领域。

随着大家对社会工程学的重视程度逐渐上升，以及对信息安全保障的要求的提高，在社会工程学这场没有硝烟的战争，不仅有黑客敏锐智慧的攻击，更应该有我们与之相对的谨慎、严密防守。

著名的分析心理学学家荣格认为心理有四种机能，即思维、情感、感觉和直觉。

他认为“思维”是用来评价事物的正确与否，“情感”的作用是判断和确定事物的价值是否可以接受。

它们是一对相互对立的功能，人们用它们来进行判断和评价，因此可称之为理性功能。

“感觉”是一个人确定事物存在与否的功能，但不指明那是什么事物；“直觉”是对过去或将来事物的预感。

感觉与直觉也是一对相互对立的功能，因没有理性参与，又称为非理性判断。

其实四种机能的交互运作，正准确地描绘了社会心理学背后的心理攻防战场。

攻击一方总是利用人们思维的漏洞和松懈，并通过激发情感，使人丧失理智来达到目的，受众也总是因为感觉和直觉运用的不当，落入陷阱。

根据UCLA传播中心的调查，受访者有58%依旧相信网络上大部分的消息是准确真实的，只有 5.7%的人认为网络上的消息经常不真实或几乎不可信。

这可以从一个侧面反映出大部分人在享受着网络带来的好处时，缺乏一定理性认知。

无论如何，对付与防御社会工程学攻击的最有效手段，也作为最常见的手段，就是“教育/培训”了。

第一步是教育雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。

直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。

在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。

当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。

而且如果他们是专注于计算机安全技术的话，那么他们更有可能会站在维护数据安全的立场上。

这实际上就是旨在培养不会遵从人们的说服力倾向而作出行动的思维型人格。