《社會工程學(xué)原理 黑客心理學(xué)及應(yīng)用》課件 第2章 社工黑客的世界觀

第2章 社工黑客的世界觀本章學(xué)習(xí)目標(biāo)：2.1了解社工攻擊簡史和特點2.2職業(yè)社工的基本素質(zhì)要求2.3社工攻擊測試的基本技巧2.4如何對付黑客發(fā)起的社工攻擊2.5社工黑客如何看待單個攻擊對象，這對網(wǎng)絡(luò)攻防有何借鑒2.6社工黑客如何看待和利用被攻擊的群體2.7黑客的常用心理學(xué)工具2.8心理生理特質(zhì)與安全的關(guān)系2.9失誤與安全問題之間的關(guān)系案例導(dǎo)入世界“頭號黑客”凱文.米特尼克的故事要點：他其實從未掌握任何尖端的黑客技術(shù)，只是憑借其出色的社工技巧，就單槍匹馬讓全世界目瞪口呆，更讓FBI等強(qiáng)力機(jī)關(guān)丟盡面子，以至不得不將他作為首位公開高價懸賞捉拿的要犯。由此可見社工的威力！米特尼克的人生和黑客故事（細(xì)節(jié)詳見教材）米特尼克之所以最終被抓住，仍然是警方動用了社工手段。再次顯示了社工的威力米特尼克出獄后，為了更有效地打擊社工黑客，結(jié)合自己的親身經(jīng)歷，撰寫了人類歷史上第一部社會工程學(xué)專著《反欺騙的藝術(shù)》，揭露社工黑客的若干秘密，讓他人免于遭受社工攻擊。第2.1節(jié)社工攻擊的特點及簡史學(xué)習(xí)目標(biāo)2.1.1了解社工攻擊簡史和特點重點掌握：社工攻擊的對象是人，手段是信息，發(fā)動時機(jī)通常都在技術(shù)攻擊之前，方式是由反饋、微調(diào)和迭代組成的賽博方式。特別是要意識到，黑客已精通社工攻擊，急需我們守方補課，否則將會越來越被動。社工攻擊的特點網(wǎng)絡(luò)安全學(xué)中的社會工程學(xué)，主要起源于米特尼克假釋出獄后，結(jié)合自身經(jīng)歷，于2002年出版的一本暢銷書《反欺騙的藝術(shù)》?？上В藭鴱睦碚摲矫娴目紤]不多，以至本課程不得不來補缺。作為黑客眾多攻擊手段中的一類，社工攻擊的主要特點有五：特點1，攻擊的直接對象是熱血的“人”（用戶或紅客），而不是冷血的“設(shè)備”，雖然黑客可以運用各種設(shè)備來當(dāng)武器。由于“人”是所有信息系統(tǒng)的核心，所以一旦“人”被攻破（比如，騙得了用戶的銀行密碼），那么接下來再輔以其他硬件或軟件攻擊手段（比如，克隆一張銀行卡），便可輕松達(dá)到其攻擊目的（比如，取走你的錢）。特點2雖然黑客攻擊的是“人”，但是黑客與被攻擊的“人”之間，并無直接的身體接觸比如，綁架、美人計、入室盜竊等手段，都不算社工攻擊，至少不是網(wǎng)絡(luò)黑客所關(guān)注的社工攻擊所以，社工攻擊的武器只是“信息”，攻擊成果的形式也是“信息”。即使是“人”被攻破了，受害者也幾乎感覺不到痛，甚至“自己被賣了后，還在幫騙子數(shù)錢”；待到黑客的全套攻擊最終完成時，受害者再哭天搶地，也已晚了。特點3社工攻擊仍然是一種賽博式攻擊，即，攻擊并非一蹴而就，而常常是需要與被攻擊者之間進(jìn)行多次信息互動，逐步誘導(dǎo)受害者，一步一步地逼近黑客的最終目標(biāo)。換句話說，在攻擊過程中，黑客需要針對被攻擊對象的具體反應(yīng)（即，反饋）進(jìn)行“微調(diào)”；然后，對相應(yīng)的“反饋→微調(diào)→反饋”封閉循環(huán)鏈，再進(jìn)行反復(fù)迭代，直到黑客滿意為止。社工攻擊的最典型例子，便是電信詐騙：騙子按照事先準(zhǔn)備好的劇本，只需幾個回合，便能誘導(dǎo)受害人，乖乖地把錢交出來；甚至連警察想攔都攔不??！“賽博式”過程在赤壁大戰(zhàn)中表現(xiàn)得更突出：曹操是是這樣被“賽博式”地，一步一步地誘致失敗：先讓曹操殺掉自己的水師頭目，然后把自己的船連成一體，再逆風(fēng)迎接黃蓋送來的火種，最后把自己送上華容道等。黑客的社工攻擊是一種賽博式攻擊，但賽博攻擊并不限于黑客社工特點4，社工攻擊，正在成為黑客攻擊的必備手段甚至在所有重大黑客事件中，社工攻擊幾乎都是先鋒隊的主力軍。特點5，社工攻擊的另一個突出特點是：如果你不了解它，那它將威力無窮；如果你知道它正在攻擊你，那你一定會逢兇化吉。比如，當(dāng)你知道正在接聽的某個電話是詐騙電話時，就算騙子再高明，你也不會上當(dāng)，甚至還可以隨心所欲地戲弄他一番。可是，情形的嚴(yán)峻性在于，社工的攻擊對象，往往是全無防備而善良的普通網(wǎng)民，且每一個網(wǎng)民都可能成為受害者。因此，對付黑客的社工攻擊，絕不只是安全專家的任務(wù)，必須“全民皆兵、眾志成城”。這也是許多人都需要學(xué)習(xí)本課程的原因社工攻擊的其它特點社工的本質(zhì)雖然簡單，但其心理學(xué)底蘊卻相當(dāng)深厚。比如，需要搞清楚人類到底是如何做出決定的，動機(jī)如何影響行動，如何在控制自身情緒的同時還要利用（甚至控制）別人的情緒。社工的名稱雖是新的，但其思路卻絕不是新的。古今中外的正史、野史、傳說、神話等，無一不留下社工的身影。任課老師可以在此自行講述一些歷史故事，比如，三國、西游等。雖不敢說整個人類史就是一部社工史，但如果抽去社工思路，歷史可能將會變得相當(dāng)蒼白無趣。社工攻擊的招數(shù)變化之多，真實案例之精彩，完全不亞于任何小說、科幻和諜戰(zhàn)片。學(xué)習(xí)目標(biāo)2.1.2了解職業(yè)社工的基本素質(zhì)要求重點掌握：成功的專職社工黑客必須具有謙遜、勤奮、外向、膽大和心細(xì)等特質(zhì)，同時還要掌握心理學(xué)、社會學(xué)和網(wǎng)絡(luò)技術(shù)等專業(yè)技能。社工黑客的基本要求社工攻擊的效果主要取決于攻擊者在攻擊過程中的具體表現(xiàn)同樣的動作和演技，經(jīng)驗豐富者可能滿載而歸，新手則可能前功盡棄因此，需要從人的角度來充分了解社工的基本素質(zhì)，這既有利于今后及時識破社工黑客的伎倆，也有利于以毒攻毒對付他們。從特質(zhì)角度看，合格的社工黑客必須要足夠謙遜，以便接納別人的意見和建議，與別人合作，互利互惠足夠勤奮，隨時都得注意積累相關(guān)的知識和經(jīng)驗，哪怕是看起來毫無用處的東西也不能輕易放過。開朗的性格有助于社工，否則將很難與對方溝通，更難以發(fā)起社工攻擊。社工的失敗率很高，職業(yè)社工黑客必須經(jīng)得起打擊，敢于屢敗屢戰(zhàn)。創(chuàng)新是社工攻擊的法寶，只有出乎對方的意料，才可能達(dá)到你的既定目標(biāo)職業(yè)社工黑客必須膽大心細(xì)，否則就很容易露出破綻從專業(yè)技能角度看，職業(yè)社工所掌握的知識當(dāng)然是越多越好比如，你若想在網(wǎng)上發(fā)起社工攻擊，你或你的團(tuán)隊至少應(yīng)該知道一些計算機(jī)的基本知識，包括但不限于辦公軟件、操作系統(tǒng)、網(wǎng)絡(luò)信息、圖文編輯、數(shù)據(jù)挖掘和服務(wù)器等。對手若是安全專家，你還得至少掌握足夠的網(wǎng)絡(luò)安全技能，否則根本無法與他建立溝通渠道，更談不上對他發(fā)起社工攻擊了。至于職業(yè)社工黑客的教育背景要求嘛，反而可以寬松一些。比如，米特尼克本身就是一名沒上過大學(xué)的學(xué)渣另外，職業(yè)社工黑客還必須擁有很強(qiáng)的法律意識，最好還能學(xué)習(xí)必要的心理學(xué)、語言學(xué)和社會學(xué)等知識。第2.2節(jié)社工攻擊滲透測試與識別學(xué)習(xí)目標(biāo)2.1.3社工攻擊測試的基本技巧重點掌握：社工攻擊滲透測試的注意事項，比如怎么實施網(wǎng)絡(luò)釣魚測試和冒充測試。社工滲透的常見問題電話詐騙測試和短信詐騙測試等。社工攻擊過程可分為五個階段：一是廣泛收集和存儲各種情報。這是每次社工攻擊花費時間和精力最多的基礎(chǔ)工作，否則后續(xù)階段將無從談起。二是偽裝設(shè)計?；谇捌谑占男畔ⅲ槍τ舻哪繕?biāo)設(shè)計攻擊者的偽裝角色，并做好相應(yīng)的準(zhǔn)備工作。比如，支撐條件和攻擊工具等。三是規(guī)劃攻擊測試。此時至少需要搞清楚攻擊計劃是什么，預(yù)期效果是什么，被攻擊者的軟肋是什么，何時是發(fā)起攻擊的最佳時間，需要什么人在什么地方提供什么支持和配合等。四是發(fā)起攻擊測試。此時很可能出現(xiàn)意外情況，需要攻擊者隨機(jī)應(yīng)變，及時做出適當(dāng)調(diào)整。如果攻擊效果能夠滿足預(yù)期，就可以正式展開相應(yīng)的攻擊。五是結(jié)果報告。此階段工作只針對那些受雇的社工黑客，他們得把盡量滿足預(yù)期的最終攻擊結(jié)果報告給雇主。滲透測試應(yīng)該遵守的原則：以毒攻毒的滲透測試是對付社工的法寶之一，實施滲透的原則有：原則1，盡量做好整個過程的記錄工作。這樣既有利于回放并分析可能存在的漏洞，也有利于收集更多的相關(guān)信息，畢竟社工攻擊的基礎(chǔ)是上述第一階段的信息收集和存儲工作。當(dāng)然，此舉也可能嚴(yán)重威脅到雇主的隱私，比如發(fā)現(xiàn)雇主的一些敏感信息，甚至讓他難堪。因此，必須隨時與雇主保持溝通，由他在隱私和可能遭遇的社工攻擊之間做出獨立選擇。原則2，別以為雇主真正了解滲透測試的細(xì)節(jié)，必須讓他及時了解每一步的進(jìn)展和遇到的實際問題，并按他的意愿進(jìn)行適當(dāng)?shù)恼{(diào)整，以避免今后的意外糾紛。原則3，確保滲透測試的每一個步驟都能按需回放，使得最終出具的滲透報告能夠經(jīng)得起事后審計與驗證。原則4，要全面、準(zhǔn)確及時地向雇主匯報滲透過程中所發(fā)現(xiàn)的問題和漏洞，但又不能向任何第三方公布這些漏洞。若雇主有特殊需要，還應(yīng)該積極提供可能的漏洞修補方案等。網(wǎng)絡(luò)釣魚測試案例網(wǎng)絡(luò)釣魚就是引誘受害者點擊看似可信的網(wǎng)絡(luò)鏈接或郵件，以便發(fā)送帶有惡意附件的郵件，從而實施后續(xù)的遠(yuǎn)程入侵；收集受害者的口令等敏感數(shù)據(jù)；廣泛收集其它信息，以便進(jìn)行后續(xù)的攻擊。雇主進(jìn)行釣魚測試的動機(jī)各不相同，有時只是想測試內(nèi)部員工的人性，此類測試稱為教育型釣魚測試。此時只需向被測員工發(fā)送一封特殊郵件，其中并不含有任何惡意代碼，也不會引發(fā)任何遠(yuǎn)程攻擊，它只是返回一個測試信息，報告被測員工是否“上鉤”。這種“釣魚”主要想利用當(dāng)事者的好奇、貪婪、快樂或恐慌等心理狀態(tài)。比如，若向某位員工發(fā)送一封貌似某家著名公司的高薪邀請函，便可在一定程度上知悉該員工是否準(zhǔn)備跳槽等。滲透測試型網(wǎng)絡(luò)釣魚測試此類測試的操作步驟與教育型網(wǎng)絡(luò)釣魚測試很相似，但其最終目的卻大不相同。它并非想教育員工，而是想進(jìn)行遠(yuǎn)程訪問、獲取敏感信息或收集證據(jù)等黑客攻擊。這種釣魚主要想利用當(dāng)事都的恐懼、貪婪、驚喜和悲傷等情緒。此時的受害者將在適當(dāng)?shù)囊T下，多次點擊危險鏈接，比如，引誘他打開一個文檔，忽略相關(guān)安全警告，甚至輸入賬號口令等由于這些點擊需要花費更多的精力和時間，因此在選擇攻擊時機(jī)等方面也必須小心謹(jǐn)慎，比如，最好在對方情緒不佳時發(fā)起攻擊，以便增加“上鉤”的可能性。魚叉式網(wǎng)絡(luò)釣魚測試這是一種個性化的釣魚，需要對攻擊對象及其親朋好友的信息進(jìn)行全面而深入的挖掘，然后找出向受害者發(fā)送信息的假冒對象。比如，只要能足夠真實地冒充受害者的老板，發(fā)出一封指責(zé)員工業(yè)績的信件，那么受害者幾乎肯定中招，肯定會在第一時間就點擊信件附件或危險鏈接，并按需做出回應(yīng)。電話詐騙測試電話詐騙是一種基于電話的釣魚式攻擊，目前已成為最常見的社工攻擊之一，它既能獲取敏感信息，也有助于發(fā)起隨后的入侵，更能豐富信息收集內(nèi)容。目前國內(nèi)最常見的電話詐騙主要有三：一是冒充社保、醫(yī)保、銀行和電信等工作人員，以欠費、扣費、消費確認(rèn)、信息泄露、案件調(diào)查、系統(tǒng)升級、驗資證明等為借口，以提供所謂的安全賬戶等為手段，引誘受害人將資金匯入施計者指定的賬戶。二是冒充公檢法或郵政人員，以遞送法院傳票和涉嫌郵包毒品等為借口，以傳喚、逮捕、凍結(jié)存款等為恐嚇手段，逼迫受害人向指定的賬戶匯款。三是以銷售廉價機(jī)票、車票或違禁品為誘餌，利用當(dāng)事者貪圖便宜的心理或好奇心理，引誘受害人就犯，自愿預(yù)交訂金等子虛烏有的款項。最容易上當(dāng)?shù)睦T式電話詐騙：1，冒充知名企業(yè)，通知中獎。2，冒充娛樂節(jié)目組，通知中獎。3，以兌換積分為名進(jìn)行詐騙。4，二維碼掃碼詐騙。5，以重金和美色為誘餌的求子詐騙。6，以高薪招聘為誘餌的詐騙。關(guān)于以上利誘式詐騙電話的細(xì)節(jié)，大家可見教材中的描述，此處略去不述。短信詐騙測試與電話詐騙類似的是短信詐騙，只不過此時用短信代替了打電話而已，其它方面基本上都是大同小異。不過，在進(jìn)行短信詐騙的滲透測試時還是需要注意以下幾點：一是社工短信必須簡捷明了，只需陳述事實和一個鏈接。二是社工鏈接必須與假冒目標(biāo)有足夠的相似度，以便受試者稍不注意就會中招。三是若需獲取口令等敏感信息，就必須更加小心謹(jǐn)慎，切不可讓社工短信露出破綻。四是引誘受試者完成的操作步驟越少越好，盡量不要超過三步。冒充測試所謂冒充就是假扮受試公司的員工或領(lǐng)導(dǎo)而進(jìn)行的攻擊測試比如，引誘受試者執(zhí)行預(yù)期的操作等。冒充既是最危險的社工攻擊，也是最容易被識破的攻擊。因此，為了增加成功率就必須準(zhǔn)備大量的前期工作，比如，全面考慮受試者的所有感官等在進(jìn)行現(xiàn)場冒充時，廣泛收集信息尤其重要，否則就可能前功盡棄，比如，冒充粗工時就別選派細(xì)皮嫩肉者針對初步的滲透規(guī)劃，最好多做幾次盡量逼真的彩排，并根據(jù)彩排結(jié)果來調(diào)整優(yōu)化進(jìn)入偽裝階段后所考慮的因素就更多了，比如，與偽裝身份匹配的服裝、工具和形象等。在正式啟動滲透測試后，偽裝者還必須牢記自己的權(quán)限和相關(guān)禁忌。比如，當(dāng)你混入受試的辦公大樓后，就必須記住自己的角色，別做與假冒者身份不相配的事情。完成滲透測試后，還必須向雇主詳細(xì)匯報滲透過程和結(jié)果。當(dāng)然，這里的冒充攻擊并非只限于人員冒充，也包括設(shè)備冒充，比如，故意將有毒U盤遺失在適當(dāng)?shù)胤?，讓受試者撿到并插入相關(guān)電腦，從而實施預(yù)期攻擊學(xué)習(xí)目標(biāo)2.1.4如何對付黑客發(fā)起的社工攻擊重點掌握：社工攻擊防治規(guī)劃的四大步驟學(xué)會識別社工攻擊，制定切實可行的安全規(guī)章制度，定期檢查實際情況，努力加強(qiáng)安全意識。下面對這四大步驟進(jìn)行一些簡要介紹：第一步，學(xué)會識別社工攻擊任何人若能及時識別社工攻擊，那他就肯定不會上當(dāng)社工攻擊的識別既相當(dāng)困難，又相當(dāng)容易說它相當(dāng)困難是因為，被社工攻擊打敗的人實在太多了。不知有多少人曾被網(wǎng)絡(luò)釣魚、電話詐騙、短信詐騙或冒充等社工攻擊打得慘不忍睹，不知有多少人未曾意識到自己隨手扔掉的垃圾已讓社工黑客如虎添翼，不知有多少人遭遇了社工黑客常用的惡意代碼、勒索軟件或木馬病毒等。但另一方面，識別社工攻擊又相當(dāng)容易。當(dāng)你被社工攻擊打敗后再回放整個過程時，你幾乎肯定會對當(dāng)初的愚蠢表示驚訝換句話說，只要你足夠警惕，基本上就能發(fā)現(xiàn)所有社工攻擊?？上?，任何人都不可能在任何時間和任何事情上保持足夠的警惕。因此，若能讓普通網(wǎng)民及時知悉各種典型的社工手段，黑客的成功率將大打折扣第二步，制定切實可行的安全規(guī)章制度

在對付社工黑客方面，規(guī)章制度扮演著不可替代的關(guān)鍵角色。但在制定預(yù)防社工攻擊的規(guī)章制度時，必須權(quán)衡安全性和方便性比如，規(guī)章制度不能過于寬泛而籠統(tǒng)，否則就會使執(zhí)行者難以把握力度一般來說，規(guī)章制度越簡單越好，越具體越好。為了確保規(guī)范制度能夠得以貫徹落實，還應(yīng)該組織必要的培訓(xùn)。為了確保規(guī)章制度切實可行，也可以安排一個試行期，此時可以根據(jù)實際情況對相關(guān)條款進(jìn)行適當(dāng)調(diào)整。但規(guī)章制度一經(jīng)正式公布，就必須嚴(yán)格執(zhí)行。對違規(guī)者不能盲目同情或以“下不為例”等方式草草處理。當(dāng)然，對違規(guī)人員也不能為了懲罰而懲罰，否則就會埋下隱患。第三步，定期檢查實際情況既然大家都已足夠警惕，那基本上就能及時發(fā)現(xiàn)某些社工攻擊。既然已經(jīng)制定了切實可行的規(guī)章制度并已公開執(zhí)行，那就可以對真實效果進(jìn)行檢驗。比如，定期對相關(guān)員工進(jìn)行滲透性檢測，看看他們是否真能抵抗相關(guān)攻擊如果定期檢查的結(jié)果不夠理想，就必須全面分析相關(guān)原因并做出相應(yīng)的調(diào)整，要么加強(qiáng)對員工的教育，要么改進(jìn)包括規(guī)章制度在內(nèi)的安全保障體系。第四步，努力增加員工的安全意識針對不同的企業(yè)，量身訂制相應(yīng)的培訓(xùn)活動，增強(qiáng)大家的安全意識，特別是要彌補各自的短板。實際上，根據(jù)安全的木桶原理可知：整體的安全強(qiáng)度，取決于最薄弱環(huán)節(jié)的安全強(qiáng)度。防治社工攻擊的幾點特點說明：任何安全措施都不可能一勞永逸若想保持安全狀態(tài)，就必須保持及時更新，比如，安全系統(tǒng)要及時升級，新的社工攻擊手段出現(xiàn)后要及時加以防范，新員工入職后要及時進(jìn)行安全培訓(xùn)，若發(fā)現(xiàn)安全漏洞更要及時修補。掌握一些增強(qiáng)員工安全意識的小技巧也很實用。比如，通過獎勵來樹立榜樣，達(dá)到安全意識正向強(qiáng)化的效果。領(lǐng)導(dǎo)要帶頭示范，用行動來鼓勵大家重視安全重視社工攻擊的群防群治，直至讓安全意識最終融入單位的文化第2.3節(jié)社工黑客如何看待個體學(xué)習(xí)目標(biāo)2.1.5社工黑客如何看待單個攻擊對象，這對網(wǎng)絡(luò)攻防有何借鑒重點掌握：黑客攻擊個體“人”的基本思路是：將人看成是一種特殊的電腦，“熱血電腦”。欲攻破該“電腦”，就必須使其信息失控。欲使信息失控，只需攻破輸入、輸出、存儲或處理等四大部分中的任何一個就行了。社工黑客如何看待“人”社工黑客將個體“人”看成一臺特殊的“計算機(jī)”或“熱血計算機(jī)”，即，讓人盡可能像計算機(jī)。所以，從社工黑客的視角看，個體“人”由輸入、輸出、存儲和處理四個部分組成。輸入部分，包括外部輸入（即感覺等）、內(nèi)部反饋輸入（即知覺、動機(jī)、情緒和情感等）、噪聲輸入（即無意識等）。輸出部分，包括信息輸出（即語言等）、行為輸出、內(nèi)部反饋輸出（即動機(jī)、知覺、情緒和情感等）、噪聲輸出（即無意識等）。存儲部分，包括記憶、習(xí)慣、無意識等。處理部分，包括計算（即思維、認(rèn)知等）、去噪（即注意等）、優(yōu)化（即學(xué)習(xí)、發(fā)展等）。上述四部分中，括號內(nèi)的名詞都是心理學(xué)術(shù)語，括號外的名詞是計算機(jī)術(shù)語。需要強(qiáng)調(diào)的是，由于社工黑客使用的是賽博式攻擊，所以他們特別重視循環(huán)反饋部分，這也是為什么此處要單獨重復(fù)列出“內(nèi)部反饋輸出”和“內(nèi)部反饋輸入”的原因；雖然它們括號內(nèi)的東西幾乎相同，但是，本輪輸出的一部分（或全部）將有可能作為下一輪循環(huán)的輸入，同理，本輪輸入的一部分可能來自上一輪循環(huán)的輸出。人類本身的反饋循環(huán)機(jī)制（賽博機(jī)制），正好是社工黑客的用武之地，這也是社工攻擊具有賽博式特點的根源。社工黑客攻擊個體的基本思路至此，黑客攻擊個體“人”的基本思路就很清晰了，即，欲攻破“熱血電腦”，就必須使其信息失控；欲使信息失控，只需攻破輸入、輸出、存儲或處理四大部分中的任何一部分；欲攻破任何一部分，就必須充分利用心理學(xué)家已揭示的人性漏洞或弱點；欲充分利用這些漏洞或弱點，就必須：要么使攻擊對象在賽博式反饋循環(huán)中被誘入歧途，要么截獲并利用無意識的噪聲輸出等。至于如何達(dá)到這些目標(biāo)，將是隨后相關(guān)幾章的任務(wù)，到時我們將逐一介紹第2.4節(jié)社工黑客如何看待群體學(xué)習(xí)目標(biāo)2.6社工黑客如何看待和利用被攻擊的群體重點掌握：社工黑客在攻擊群體時可利用的各種機(jī)會，比如，合群的機(jī)會遵從和依從的機(jī)會模仿的機(jī)會暗示的機(jī)會單核心和雙核心信息傳輸模式等。在社工黑客眼中，“群體”又是什么呢?黑客攻擊群體的武器是信息，同樣，他們的攻擊成果也是信息，因此，社工黑客只需要從信息的角度去觀察群體，而沒必要像心理學(xué)家那樣去全面考慮群體。如果組成某群體的個體之間，完全隔離，即群體成員彼此沒有任何信息的交往；那么，黑客便可把這種群體，看成一些獨立的“熱血電腦”的堆積。既可以獨立地，分別攻破這些“熱血電腦”；又可以找出他們的共同特點，然后“一箭多雕”。比如，若組成某群體的成員都是產(chǎn)品推銷員，且他們彼此全無任何關(guān)聯(lián)，那么，社工黑客只需要以買家的身份出面，便可輕松獲得該群體所有成員的通訊聯(lián)系方式等個人信息。因為，所有產(chǎn)品推銷員都有一個共同的愿望：盡可能多地找到潛在買家，并讓他們盡可能方便地聯(lián)系上自己。其實，絕大部分群體都應(yīng)該是這樣的：群體成員之間，存在著或多或少的信息交流；因此，在社工黑客看來，群體只不過是由“熱血電腦”組成的網(wǎng)絡(luò)更準(zhǔn)確地說，這個“熱血網(wǎng)絡(luò)”還是一個“網(wǎng)絡(luò)之網(wǎng)”的互聯(lián)網(wǎng)！即，任何群體，都可以再細(xì)分為若干子群體，使得子群體的成員之間有更密切的信息交流，以至于在某些子群體中，還存在很少幾個“核心節(jié)點”?？傊?，在社工黑客眼里，群體的信息交流架構(gòu)，完全等同于眾所周知的、由冷血電腦搭建的互聯(lián)網(wǎng)的信息交流架構(gòu)；因此，黑客可以借用他們已經(jīng)相當(dāng)熟悉的、攻擊冷血網(wǎng)絡(luò)的思路，來攻擊群體這個“熱血網(wǎng)絡(luò)”。社工攻擊群體的額外有利機(jī)會之“合群機(jī)會”所謂合群，意指每個人都需要與其他人密切交往，每個人既會不斷被各種群體所影響，也會不斷影響各種群體。人類為什么會有合群傾向呢，主要原因有：合群可能是人類的本能，特別是人的內(nèi)在特性會強(qiáng)迫我們?nèi)ズ先?，比如，嬰兒為了生存，就得長期依賴他人。學(xué)習(xí)和具體需要的滿足，也會促使合群。當(dāng)人們害怕時，就更需要借助合群來減小恐懼。當(dāng)然，與恐懼增加合群傾向相反，憂慮則會減少合群傾向。由于人們不能確定自己的感覺是否正確，便需要依靠合群來與其他人比較。而所選擇的比較對象，又幾乎都是同類，這又更促進(jìn)了合群社工黑客如何利用“合群”來發(fā)起攻擊黑客并不關(guān)心人類為什么合群，他們只在意合群帶來的如下攻擊機(jī)會：合群傾向，有助于社工黑客“打入敵人內(nèi)部”，從而有利于后續(xù)攻擊；充分合群后，群體成員之間會越來越趨同，從而有利于提高攻擊效率，甚至出現(xiàn)這種情況：攻破一個成員后，與其相似的其他成員也將全被攻破；充分合群后，“熱血網(wǎng)絡(luò)”中的信息交流將更加密切；于是，篡改、破壞或截獲相關(guān)信息的機(jī)會將更多；通過一臺“熱血電腦”做跳板，去遠(yuǎn)程攻擊另一臺“熱血電腦”將更加容易；黑客隱藏自身也更簡單等?？傊祟惖暮先簝A向相當(dāng)于把若干臺孤立的“熱血電腦”連接成了四通八達(dá)的“熱血網(wǎng)絡(luò)”，所以，社工黑客的攻擊就更方便，社工攻擊的威力也就更大。遵從和依從的機(jī)會人類普遍存在遵從和服從現(xiàn)象遵從和依從的原因與特點：“遵從”常使個體更適宜于群體，因為人類需要與他人保持一致。在特殊環(huán)境中，他人的行動可以為你提供有關(guān)最好行為方式的信息。人們之所以遵從，是因為信任別人，害怕偏離。當(dāng)群體的其他人的意見不一致時，遵從率會急劇下降。群體規(guī)模越大，遵從性也就越大；群體的專長越突出，個體對專長的遵從性就越大；自信心越不足就越容易遵從他人。責(zé)任越大的人，其遵從性就會越小。借用獎賞、懲罰、威脅和環(huán)境等壓力，可增加依從性和服從性。但壓力太大時，也可能適得其反，產(chǎn)生對抗心理。首先提出小的要求，然后提出較大的要求，可以增加依從性；在有些條件下，相反的戰(zhàn)術(shù)也可以增加依從性，即，一個很大的要求后面，緊跟著一個小的要求。黑客如何利用遵從和依從來發(fā)起社工攻擊黑客可將被攻擊目標(biāo)納入事先偽好的某個大群體，然后通過操控這個“假冒群體”，來達(dá)到操控受害者的目的。比如，群體詐騙和各種依靠“托兒”來坑人的騙子早就在這么干了黑客若想更充分地利用“遵從和依從”，他就會使：“假冒群體”的規(guī)模要足夠大，以至能夠給被攻擊的目標(biāo)造成足夠大的壓力“假冒群體”的權(quán)威性要足夠高，以至能給被攻擊的對象提供足夠的信任度“假冒群體”成員本身的意見要盡可能一致如果允許選擇，那么，社工黑客最好選擇那些自信度較低的攻擊目標(biāo)如果能夠輔之以名利等誘惑，被攻擊目標(biāo)將更容易就犯。適時采用懲罰和威脅等壓力手段，有時也有助于被攻擊對象“遵從或依從”循序漸進(jìn)地引誘被攻擊對象模仿的機(jī)會

模仿是一種普遍的社會現(xiàn)象，與攻擊理論類似，模仿理論也有本能論和社會學(xué)習(xí)論兩種：本能論認(rèn)為，模仿是人類的一種本能。達(dá)爾文甚至認(rèn)為，模仿是大多數(shù)高等動物的本能。本能論還認(rèn)為，模仿是社會發(fā)展和社會存在的基本原則，正是因為有了模仿，才可能產(chǎn)生群體的社會規(guī)范和價值觀。模仿是社會進(jìn)步之源，是創(chuàng)新之源，是社會同化的基礎(chǔ)。模仿滿足以下三定律：其一是下降律，即，下層階級具有模仿上層階級的傾向；其二是幾何級定律，即，在無干擾的情況下，模仿行為將以幾何級數(shù)的速度擴(kuò)展；其三是先內(nèi)后外律，即，個體對本土文化及行為的模仿優(yōu)先于對外域文化的模仿社會學(xué)習(xí)理論則認(rèn)為，模仿是后天習(xí)得的，是強(qiáng)化學(xué)習(xí)的結(jié)果。還認(rèn)為，模仿和觀察學(xué)習(xí)，是人類獲得社會行為的基本途徑。社工黑客若能讓受害者模仿其所期望的行為，他的攻擊就勝券在握了暗示的機(jī)會

所謂暗示，就是用含蓄而間接的方式去影響別人的情緒和行為暗示可讓對方不自覺地按照既定的方式行動，或不加抵制地接受一定的意見或信念，從而使得社工黑客可以在一定程度上控制對方的行為。暗示既不同于勸說，也不同于明確的指示，還不同于感染和模仿等，它讓對方從心理上接受某種觀念，并按這種觀念行事，而不是簡單的外在行為變化。暗示的作用很大，對人的心理、生理和行為都會產(chǎn)生嚴(yán)重影響，這也是“安慰劑”常常會讓人康復(fù)的原因。暗示的分類若以暗示的工具來分類，則有如下四種暗示：一是以談虎色變?yōu)榇淼恼Z言暗示，二是以商業(yè)“托兒”為代表的行動暗示，三是以觀戲流淚為代表的表情暗示，四是以商業(yè)廣告為代表的符號暗示等。若以暗示的來源分類，則有他人暗示和自我暗示。他人暗示是由他人發(fā)出暗示信息后而引起的心理暗示，這也是社工黑客需要完成的任務(wù)。自我暗示是指自己發(fā)出信息對自己的暗示，比如，“一次被蛇咬，十年怕井繩”就是典型的自我暗示。若以暗示的方式來分類，則有直接暗示、間接暗示和反暗示。直接暗示是社工黑客常用的暗示，其特點是刺激信息直截了當(dāng)，比如，直陳式的說明等。此時，暗示者有意識地把刺激信息直接提供給被暗示者，使其迅速而無意識地加以接受的一種暗示。間接暗示是由暗示者以其它行為或事物為中介，將刺激信息間接提供給受暗示者，使他迅速而無意識地加以接受的一種暗示。間接暗示更隱蔽，社工黑客若能成功，其效果會更好，因為受暗示者會誤以為相關(guān)行為是由自己獨立做出的，不會產(chǎn)生心理抗拒或逆反心理。反暗示是指暗示者發(fā)出刺激信息后引起了受暗示者性質(zhì)相反的行為，比如，“此地?zé)o爭三百兩”便是不打自招的反暗示，它事與愿違地提醒路人前來尋寶影響暗示效果的主觀因素社工在實施暗示時很需要技巧，因為暗示效果會受很多因素的影響：與成人相比，幼兒就更容易被暗示。但年齡太小的幼兒卻沒有能力接受暗示女性比男性更容易接受暗示從社會地位上看，越是位高權(quán)重者，越不易接受他人的暗示，或者說越容易暗示他人，反之亦然。比如，老者的暗示影響力大于青年，壯士的暗示影響力大于病人，教士的暗示影響力大于信眾，官員的暗示影響力大于平民，富人的暗示影響力大于窮人，專家的暗示影響力大于群眾，貴族的暗示影響力大于常人等。人在疲倦、狂躁或遭受精神打擊時更容易接受暗示，而在精神飽滿、情緒愉悅、感情冷漠時就不易接受他人的暗示。幼稚、沒主見、獨立性差或自我意識不強(qiáng)者，容易被暗示；反之，成熟、獨立性強(qiáng)、自我意識強(qiáng)或意志堅強(qiáng)者，則不易被暗示。影響暗示效果的客觀因素影響暗示效果的客觀因素也至少有兩種：一是頻繁的刺激有助于提高暗示效果，難怪“謊言重復(fù)一千遍就可能變成真理”，難怪商業(yè)廣告經(jīng)過鋪天蓋地的狂轟濫炸后便會產(chǎn)生魔力。二是刺激發(fā)生時的情境將嚴(yán)重影響暗示效果，比如，當(dāng)多數(shù)人都認(rèn)為某事正確時，受暗示者也會盲從?！盁嵫W(wǎng)絡(luò)”的單核心信息傳輸模式無論在什么環(huán)境下，幾乎所有群體都會出現(xiàn)單核心模式，即，該群體無論是有結(jié)構(gòu)的（比如，同班同學(xué)）還是無結(jié)構(gòu)的（比如，隨意湊合的某團(tuán)伙），也不論他們正在討論的是什么問題，還不論群體成員是否是陌生人，總有某些人（意見領(lǐng)袖）說得很多，而其他人則說得很少。不管群體規(guī)模的大小，其中最健談?wù)咄瓿山涣餍畔⒌募s百分之四十，而其他成員的交流信息總量銳減，交流信息量的區(qū)別也銳減：第一健談?wù)吲c第二健談?wù)叩慕涣餍畔⒘恐?，隨著群體范圍的增加而增加；健談?wù)呓涣餍畔⒘繌母叩降团帕谐鰜頃r，遵從指數(shù)遞減規(guī)律總之，當(dāng)意見領(lǐng)袖滔滔不絕時，別人就講得很少了即使剛形成的群體，就算起初這種單核心模式還不太清晰，但經(jīng)一段時間的磨合后，這種單核心模式也一定會出現(xiàn)群體的單核心模式顯然對黑客有幫助“熱血網(wǎng)絡(luò)”的信息傳輸單核心拓?fù)浣Y(jié)構(gòu)，遠(yuǎn)比真實互聯(lián)網(wǎng)這些冷血網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)還要簡單明晰；因為它只有一個信息交流的主節(jié)點，而其他節(jié)點的信息交流量都很少。這種單核心結(jié)構(gòu)，對社工黑客顯然是有利的。因為，通過其說話量的多少，社工黑客便可準(zhǔn)確判斷某個“熱血網(wǎng)絡(luò)”中的意見領(lǐng)袖；這相當(dāng)于找到冷血網(wǎng)絡(luò)中的骨干路由器節(jié)點，從而有利于準(zhǔn)確找到其攻擊目標(biāo)?！盁嵫W(wǎng)絡(luò)”的雙核心信息交流結(jié)構(gòu)心理學(xué)家們還發(fā)現(xiàn)了另一個驚人的事實：一般認(rèn)為“說什么要比說得多更重要”，但該直觀印象有問題。事實表明：對領(lǐng)導(dǎo)能力的估價，說話的量比質(zhì)更重要；領(lǐng)導(dǎo)這個概念，幾乎完全取決于量；某人講話越多，他就越被看成是領(lǐng)袖，而不論他對討論的實際貢獻(xiàn)是大或小“質(zhì)”確實有一定的影響，但它屬于別的考慮范圍。但確實存在這種情況：“熱血網(wǎng)絡(luò)”中某些真正決策者也許少言寡語。這時的“熱血網(wǎng)絡(luò)”中就會出現(xiàn)兩個核心：其一，是意見領(lǐng)袖，他說話最多；其二，是決策者，他說話最管用。不過，這兩個核心都是社工黑客的重點關(guān)注對象如何發(fā)現(xiàn)決策者除了意見領(lǐng)袖外，社工黑客如何利用過往的交流信息，在“熱血網(wǎng)絡(luò)”中較準(zhǔn)確地找出真正的決策者，并將他作為攻擊目標(biāo)呢?為此，貝爾斯提出了一套判斷體系：它使用一種相對少量的范疇，去分析復(fù)雜的交流信息；而且可以用一種可控數(shù)量的量度，來描述群體成員的相互作用，從而找出那個“說話最管用”的決策者實際上，貝爾斯發(fā)現(xiàn)：群體的所有交流信息都可以納入如下12個范疇中：反對或同意、緊張或放松、團(tuán)結(jié)或?qū)?、提供或征求建議、提供或征求意見、提供或征求信息。其中，前面6個范疇是富有感情色彩的，后6個則是認(rèn)知的。貝爾斯判斷體系的操作每次交流信息都被分為上述12個范疇中的不同部分，而每一部分也被單獨記錄。這種相互交流信息的分類和記錄并不難，只需經(jīng)過簡單的訓(xùn)練，觀察者便能在復(fù)雜的相互作用條件下，以很高的可靠性運用貝爾斯系統(tǒng)，找出那位真正的決策者。當(dāng)然，貝爾斯系統(tǒng)僅限于評判外在行為，不能判斷內(nèi)在情感；比如，有人氣憤地說“我贊成你”時，文字記錄顯然就是詞不達(dá)意?？傊?，無論如何，至少在心理學(xué)家的幫助下，社工黑客可以較準(zhǔn)確地掌握“熱血網(wǎng)絡(luò)”信息交流拓?fù)浣Y(jié)構(gòu)，從而可以找出重點攻擊對象；這遠(yuǎn)遠(yuǎn)比冷血網(wǎng)絡(luò)中的情形容易多了。第2.5節(jié)黑客的心理特質(zhì)與心理學(xué)工具學(xué)習(xí)目標(biāo)2.1.7黑客的常用心理學(xué)工具重點掌握：促成黑客行為的自我表現(xiàn)心理、好奇探秘心理、義憤抗議心理、戲謔心理、非法占有心理和渴望認(rèn)同心理等六大常見心理。被黑客利用的受害者的恐懼心理、服從心理、貪婪心理、同情心理、省能心理、僥幸心理、逆反心理、湊興心理和群體心理等。黑客發(fā)動攻擊時的心理黑客行為有時非常危險，很可能為自己帶來牢獄之災(zāi)。但為什么黑客還是要干呢？若從動機(jī)角度來看，形象地說，這主要源于黑客的以下六種心理：1，自我表現(xiàn)心理：許多黑客發(fā)動攻擊，只是想顯示自己“有高人一等的才能，可以攻入任何信息系統(tǒng)”。2，好奇探秘心理：因獵奇而侵入他人系統(tǒng)，試圖發(fā)現(xiàn)相關(guān)漏洞，并分析原因，然后，公開其發(fā)現(xiàn)的東西，與他人分享。3，義憤抗議心理：這類黑客，好講哥們義氣，愿為朋友兩肋插刀，以攻擊網(wǎng)絡(luò)的行為來替朋友出氣，或表示抗議。4，戲謔心理：這種惡作劇型黑客，以進(jìn)入別人信息系統(tǒng)、刪除別人文件、篡改主頁等惡作劇為樂。5，非法占有心理：也叫“物欲型黑客”。他們以獲取別人的財富為目的，是一種犯罪行為。甚至，有的黑客，受他人雇傭，專門從事破壞活動。這種黑客，危害極大。6，渴望認(rèn)同心理：這類黑客，追求歸屬感，想獲得其他黑客的認(rèn)可。很像水滸中，好漢們上梁山前，要首先“見紅”一樣。這既是一種自我表現(xiàn)，也是獲得同類認(rèn)可的需要。此外，還有諸如自我解嘲心理、發(fā)泄心理等，都是引發(fā)黑客行為的心理因素。特別是，還有少數(shù)“心理變態(tài)型黑客”，他們從小家庭變異，或遭受過來自社會的打擊，由于心理受過嚴(yán)重創(chuàng)傷，所以，長大后就想報復(fù)社會。被利用的受害者心理反過來，黑客發(fā)動攻擊時，又利用了被害者的哪些心理呢？歸納起來，至少有如下四種：恐懼心理。這是一種負(fù)面情緒，它是“由據(jù)信某人或某物可能造成的痛苦或威脅”所引發(fā)的危險意識。比如，電話詐騙犯，利用多種途徑，營造恐懼感，要求受害者“趕緊匯款，以避免血光之災(zāi)”等。服從心理。假借某些人或機(jī)構(gòu)的權(quán)威，迫使受害者服從其命令。比如，假冒執(zhí)法機(jī)構(gòu)，要求受害者配合提供相關(guān)信息等。貪婪心理。利用受害者對事物，特別是財富，的強(qiáng)烈占有欲，來實施攻擊。比如，以祝賀“中大獎”為由，誘騙受害者上當(dāng)。同情心理。聲稱自己有難，急需好人幫忙，誘發(fā)受害者的同情心，實施攻擊行為。引發(fā)內(nèi)部安全問題的心理因素除了黑客攻擊之外，還有許多心理因素，會引發(fā)用戶的不安全行為。歸納起來，至少有如下幾種：省能心理，比如，嫌麻煩、怕費勁、圖方便、得過且過等僥幸心理，比如，當(dāng)你發(fā)現(xiàn)“某人某天，雖有違章操作但也安全無恙”時，可能就會產(chǎn)生僥幸心理，就會放松警惕，從而為安全事件埋下隱患逆反心理，比如，許多違規(guī)操作，明明知道有危險，卻偏要以身試法湊興心理，比如，許多電腦病毒，就是借助“湊興心理”迅速擴(kuò)散的群體心理。所有行為，包括安全行為，都會受到群體心理的影響注意與不注意。比如，軟件或系統(tǒng)的安全漏洞，都是保衛(wèi)者的“不注意”產(chǎn)物；用戶被釣魚網(wǎng)站欺騙，也是因為“不注意”真假網(wǎng)址的那一丁點差別而已。學(xué)習(xí)目標(biāo)2.1.8心理生理特質(zhì)與安全的關(guān)系重點掌握：人的性格、能力、動機(jī)、情緒與情感、意志、感知覺、個性心理特征、氣質(zhì)、個性缺陷和行為退化等都與網(wǎng)絡(luò)安全存在一定的關(guān)系。心理和生理特質(zhì)與安全的關(guān)系人的許多心理因素都與安全密切相關(guān)，具體說來，性格與安全。不利于安全的八種性格有：第一，攻擊型性格。這類人妄自尊大，喜歡冒險，爭強(qiáng)好勝，不接納別人意見，容易引發(fā)重大事故第二，性情孤僻、固執(zhí)、心胸狹窄、對人冷漠、不善處理同事關(guān)系第三，性情不穩(wěn)定者，易于沖動從而忽略安全問題第四，心境抑郁，浮躁不安者。由于長期悶悶不樂，他們?nèi)菀滓l(fā)失誤第五，馬虎、敷衍、粗心。這是對安全的主要威脅。第六，驚慌失措、優(yōu)柔寡斷、魯莽行事者。他們常坐失發(fā)現(xiàn)漏洞和應(yīng)急的良機(jī)第七，思維和運動懶惰者。他們反應(yīng)遲鈍、無所用心，也常引發(fā)安全問題。第八，懦弱、沒主見者。他們遇事不敢堅持原則，不辨是非，不負(fù)責(zé)任能力與安全能力包括一般能力和特殊能力；它們相互聯(lián)系，彼此促進(jìn)。一般能力，包括觀察力、記憶力、注意力、思維力、感覺力和想象力等特殊能力，比如，操作能力、節(jié)奏感、識別力、顏色鑒別力等。能力是安全的重要制約因素，比如，思維能力強(qiáng)的人，在面對重復(fù)的、一成不變的、不需動腦筋的簡單操作時，就會感到單調(diào)乏味；從而埋下安全隱患。反之，能力較低的人，在面對力所不及的任務(wù)時，就會感受到無法勝任，甚至?xí)^度緊張；從而，也容易引發(fā)安全問題?？傊?，只有當(dāng)能力與任務(wù)難度匹配時，才不容易出現(xiàn)安全問題。動機(jī)與安全動機(jī)是一種內(nèi)部心理過程，它是由“需求”推動的、有目標(biāo)的動力；或者說，它是為達(dá)目的，而付出的努力。動機(jī)的作用是激發(fā)、調(diào)節(jié)、維持和停止某種行為。動機(jī)也是一種“激勵”，是由需要、愿望、興趣和情感等內(nèi)外刺激的作用，而引發(fā)的一種持續(xù)興奮狀態(tài)。動機(jī)，還是促進(jìn)行為的一種手段。不同的動機(jī)，將引發(fā)不同的行為；因此，在安全因素分析中，動機(jī)是重要因素。情緒、情感與安全情緒既有積極的，也有消極的；積極情緒包括滿意、愉快、熱情等消極情緒包括不滿、郁悶、悲傷等。情緒對行為的效率和質(zhì)量有重要影響；它與能力的發(fā)揮密切相關(guān)積極情緒可加深對安全重要性的認(rèn)識，具有“增力作用”，能激發(fā)安全動機(jī)，采取積極態(tài)度。消極的情緒會使人帶著厭惡的情感去看待安全，具有“減力作用”，采取消極的態(tài)度，從而容易引發(fā)不安全行為。由于安全是一種基本需要，所以當(dāng)安全問題順利解決，就會給當(dāng)事者帶來喜悅和興奮的感覺；如果被黑客攻擊，受到傷害，就會令人不安，并帶來負(fù)面情緒；如果損失很大，甚至?xí)n傷和恐懼。意志與安全意志是規(guī)范自己的行為，抵制外部影響，戰(zhàn)勝自己的能力。它對安全行為，起著重要作用：第一，推進(jìn)人們?yōu)檫_(dá)到既定的安全目標(biāo)而行動；第二，阻止和改變與安全目標(biāo)相矛盾的行動。能否充分發(fā)揮意志的調(diào)節(jié)作用，至少應(yīng)考慮下列兩方面：一是對安全目標(biāo)的認(rèn)識水平，決定了意志行動力。比如，若對安全目標(biāo)持懷疑態(tài)度，則意志行動就會削弱甚至消失；只有真正理解了安全目標(biāo)，才能激發(fā)自覺性，以堅強(qiáng)的意志力去實現(xiàn)目標(biāo)二是意志的調(diào)節(jié)作用與人的情緒體驗相聯(lián)系不穩(wěn)定性的情緒，對意志行動肯定不利。意志的調(diào)節(jié)作用在于合理控制情緒，調(diào)動有利的心理因素，堅定實現(xiàn)安全目標(biāo)感知覺與安全感覺是通過感覺器官對客觀事物個別屬性的反映。感覺是最簡單的認(rèn)識活動，如視覺、聽覺、嗅覺、觸覺等知覺就是“在感覺基礎(chǔ)上，人對客觀事物的各屬性、各部分及相互關(guān)系的整體反映”，如外觀大小等。為了保證網(wǎng)絡(luò)安全，首先要使大家感知風(fēng)險，也就是要察覺危險的存在；在此基礎(chǔ)上，通過大腦進(jìn)行信息處理，識別風(fēng)險，并判斷其可能的后果，才能對安全隱患做出反應(yīng)。因此，安全預(yù)防的水平，首先取決于對風(fēng)險的認(rèn)識水平；對風(fēng)險認(rèn)識越深刻，出現(xiàn)問題的可能性就越小。個性心理特征與安全個性心理特征與安全關(guān)系很大；不良的個性心理特征，常是引發(fā)安全問題的直接原因。比如，安全態(tài)度不同的人，也會表現(xiàn)出不同的個性心理特征：有的認(rèn)真負(fù)責(zé)，有的馬虎敷衍；有的謹(jǐn)慎細(xì)心，有的粗心大意。對待前人的安全經(jīng)驗，有的不予盲從實事求是；有的不敢抵制違心屈從在安全應(yīng)急時，有的人鎮(zhèn)定、果斷、勇敢、頑強(qiáng)；有的人則驚慌失措、優(yōu)柔寡斷、或垂頭喪氣。氣質(zhì)與安全在安全管理過程中，應(yīng)針對不同氣質(zhì)，進(jìn)行不同的管理。例如，有些人理解能力強(qiáng)、反應(yīng)快，但粗心大意。對他們就應(yīng)從嚴(yán)要求有些人理解能力較差，反應(yīng)較慢，但工作細(xì)心。對他們就需加強(qiáng)督促有些人則較內(nèi)向，工作不夠大膽。對他們就應(yīng)多鼓勵，增強(qiáng)信心，提高積極性面對高風(fēng)險工作，在物色人選時，也要考慮其氣質(zhì)類型特征。比如，有些工作需要反應(yīng)迅速、動作敏捷、活潑好動、善于交際的人去承擔(dān)。有些工作則需要仔細(xì)的、情緒比較穩(wěn)定的、安靜的人去做。在安全管理中，應(yīng)適當(dāng)搭配不同氣質(zhì)的人；比如，對抑郁質(zhì)類型的人，就應(yīng)該有活潑的同事去消除其情感上的障礙，以利安全個性缺陷對不安全行為的影響一些個性有缺陷的人，如思想保守、容易激動、膽小怕事、大膽冒失、固執(zhí)己見、自私自利、自由散漫、缺乏自信等，會對安全產(chǎn)生不利影響。個性對安全行為的影響，主要表現(xiàn)在以下兩方面：第一，態(tài)度的影響。比如，若對待安全風(fēng)險的態(tài)度有問題，那么，出現(xiàn)安全問題的可能性將很大。第二，動機(jī)的影響。動機(jī)，是想努力達(dá)到的目標(biāo)，以及用來追求這些目標(biāo)的動力。總之，人的行為受各種因素的影響，可靠和良好的個性、正確的態(tài)度和正確的動機(jī)，有利于安全保障工作。行為退化對安全的影響人，只有在理想環(huán)境下，才能達(dá)到最佳行為。人的行為，具有靈敏靈活性；人，易受許多因素的影響。人的行為，有時會出現(xiàn)緩慢而微妙的減退，比如：若勞動時間太長，就會產(chǎn)生疲勞；若生活節(jié)律被干擾，就不能有效發(fā)揮體能；若失去完成任務(wù)的動力，就會懶散懈??；若缺乏鼓勵，就會泄氣；若突然面對危險，就會產(chǎn)生應(yīng)激反應(yīng)等。第2.6節(jié)失誤給黑客提供可乘之機(jī)學(xué)習(xí)目標(biāo)2.9失誤與安全問題之間的關(guān)系重點掌握：失誤的種類與原因，特別是感覺過程失誤、判斷過程失誤和行為過程失誤所造成的安全隱患。失誤及其安全問題許多安全問題，其實都是某種失誤造成的。所謂失誤，意指行為的結(jié)果偏離了規(guī)定的目標(biāo)或超出了可接受的界限，并產(chǎn)生了不良的影響。失誤的性質(zhì)主要有：第一，失誤是不可避免的副產(chǎn)物，失誤率可以測定。第二，工作環(huán)境可以誘發(fā)失誤；故可通過改善工作環(huán)境，來防止失誤。第三，下級的失誤，也許能反映上級的職責(zé)缺陷。第四，人的行為，反映其上級的態(tài)度；比如僅憑直覺去解決安全問題，或僅靠僥幸來維護(hù)安全，那遲早會出問題。第五，過時的慣例，可能促發(fā)失誤。第六，不安全行為，是操作員促發(fā)的、直接導(dǎo)致危害的失誤，屬于失誤的特例。級別越高的人，其失誤的后果就越嚴(yán)重。失誤的分類若按失誤原因，可將失誤分為以下三類：隨機(jī)失誤，是由行為的隨機(jī)性，引起的失誤。軟件Bug就是隨機(jī)失誤的典型。隨機(jī)失誤往往不可預(yù)測，不能重復(fù)。系統(tǒng)失誤，是由系統(tǒng)設(shè)計問題，或人的不正常狀態(tài)引起的失誤。系統(tǒng)失誤主要與工作環(huán)境有關(guān)；在類似的環(huán)境下，該失誤可能再次發(fā)生。通過改善環(huán)境等，就能有效克服此類失誤。系統(tǒng)失誤又有兩種情況：任務(wù)要求超出了能力范圍，或者操作程序出了問題等。偶發(fā)失誤，是一種偶然的過失，它是難以預(yù)料的意外行為。許多違反規(guī)程的不安全行為，都屬于偶發(fā)失誤。若按失誤的表現(xiàn)形式，可將失誤分為以下三類：遺漏或遺忘；做錯，包括未按要求操作、無意識的動作等；做了規(guī)定以外的動作感覺過程失誤的分類從外表看，幾乎所有失誤都源于“錯敲了某些鍵或錯點了鼠標(biāo)”所謂“不安全行為”就是由信息輸入失誤，導(dǎo)致判斷失誤，而引起的操作失誤考慮由“感覺（信息輸入）、判斷（信息加工處理）和行為（反應(yīng)）”三者，構(gòu)成的人體信息處理系統(tǒng)，所以可按“感覺、判斷、行為”的過程來對不安全行為的典型因素進(jìn)行分類。第一類，感覺（信息輸入）過程失誤。由于沒看見或看錯、沒聽見或聽錯信號，產(chǎn)生的失誤。感覺過程失誤的原因主要有：原因1，屏幕上顯示的信號，缺乏足夠的誘引效應(yīng)。即，信號未引發(fā)操作員的“注意”轉(zhuǎn)移。比如，誤將數(shù)字0，當(dāng)成英文字母o；沒注意到字母大小寫的區(qū)別；忽略了相關(guān)的提醒信息等。所以，為確保及時正確發(fā)現(xiàn)信號，僅依賴用戶的某一種感官是不夠的，還必須使屏幕內(nèi)容，以多種方式呈現(xiàn)（比如，字體大小、顏色、聲音等），使其具備較強(qiáng)的誘引效應(yīng)，引起用戶注意。原因2，認(rèn)知的滯后效應(yīng)。人對輸入信息的認(rèn)知能力，總有些滯后時間如在理想狀況下，看清一個信號需0.3秒，聽清一個聲音約需1秒。若屏幕信息呈現(xiàn)時間太短，速度太快，或信息不為用戶所熟悉，均會造成認(rèn)知的滯后效應(yīng)因此，對保衛(wèi)者來說，若軟件界面太復(fù)雜，那就需要設(shè)置預(yù)警信號，以補償滯后效應(yīng)，避免用戶不必要的失誤。原因3，判別失誤。判別是大腦將“當(dāng)前的感知表象信息”和“記憶中信息”加以比較的過程。若屏幕信號顯示不夠鮮明，缺乏特色，則用戶印象不深，再次呈現(xiàn)時，就有可能出現(xiàn)判別失誤。黑客釣魚網(wǎng)站，就常利用此種失誤，使用戶上當(dāng)。原因4，知覺能力缺陷。由于用戶的感覺缺陷，如近視、色盲、聽力障礙等，不能全面感