社会工程威胁社会 | 我国开始大数据安全整治 | 微信QQ聊天记录将成有效证据

社会工程威胁社会

微信公众号：计算机与网络安全

ID：Computer-network

社会工程主要指对人类进行心理干预，使人们以某种方式行事或泄露机密信息，这是一种利用我们的认知偏见和基本直觉的技术，用于信息收集，欺诈或系统访问，有时被称为“人类黑客”。

社会工程是全世界的黑客最受欢迎的工具，历史上它曾以面对面的形式，或通过电话、印刷书写来实现，但现在它可以通过社交媒体和其他互联网平台在社会大规模实践。平台设计者可能并不打算将用户的数据用于经济剥削和政治操纵，但最近有关剑桥分析使用Facebook数据的披露，揭示了这种全球威胁的征兆。

员工行为对组织网络安全产生严重影响，这意味着社会工程也可以做到这一点。我们在网络安全方面教育员工的方式，从根本上影响着网络安全本身。利用文化概念可以帮助组织的不同部门努力实现有效的信息安全，就像设计人类认知偏见的教育一样。这些原则属于信息安全文化的范畴，定义为有助于保护组织信息的整体行为模式。

安全文化的一部分需要对社会工程的认识。了解黑客试图积极操纵我们的行为对于日常风险管理和网络“本能”的发展至关重要。

社会工程的技术原理基于人类决策中被称为“认知偏差”的特性。这些偏差有时被称为“人类硬件中的缺陷”。尽管它们在进化意义上是有利的（可以更快速的处理信息），但它们也使我们对社交工程处于不设防的状态。

以代表性偏向（representativeness）为例：我们倾向于把长的相似的东西归为一类。每次我们看到一辆车，我们都不需要记住具体的颜色或品牌，大脑看着这个物体，看到它的四个轮子，运动和一般的形状，然后说“汽车”。这是社交工程师在网络领域可以利用的一种偏见。例如我们可能会收到很多来自苹果或亚马逊的电子邮件，但我们不一定会对一个带有相同标志的假邮件看得太仔细；我们的大脑只会说“亚马逊电子邮件”，然后点击链接输入我们信用卡号码的。

如上所述的攻击用于窃取员工的机密信息，但它们不是认知利用的唯一机制。例如一些社会工程师可能会打电话给公司，并通过电话使用操纵。事实证明这也非常有效; 没有得到适当训练来对抗这种攻击的人将不会意识到发生了什么。 

社会工程在很大程度上依赖于罗伯特·B·西奥迪尼（Robert Cialdini）劝说心理学中确立的六种影响原则： 

1.互惠：人们倾向于回报，因此市场营销中的免费样本普遍存在。

2.信守承诺：如果人们致力于一个想法或目标（口头或书面），他们更有可能兑现承诺，因为它现在与他们的自我形象一致。即使最初的激励或动机已经被删除，人们仍将继续遵守协议。

3.社会证明：人们会做他们看到别人做的事情。

4.权威：人们倾向于服从权威人物，即使他们被要求做出令人反感的行为。

5.喜欢：人们很容易被别喜欢的人说服。

6.稀缺：感知到的稀缺性将产生需求。例如零售商说“限时优惠”。

其他社会工程和操纵的其他技术包括启发、微信息和间接信息收集；框架，将信息强加于特定的语境；装腔作势，编造故事和问问题的借口(也称为情感定位)；通过看似随机的互动来获取信息。煤气灯是社会工程师特别感兴趣的另一种技术：这种技术包括误导、持续否认和欺骗，以迷惑目标并破坏他们的现实感。

社会工程是否有可能像2011年的阿拉伯之春一样推动局部战争或起义？外国对手是否可以欺骗一个民族国家的公民投票反对他们的国家利益？如果领导者想要操纵自己的公民，这也是可能的吗？所有这些问题的答案都是肯定的。通过普遍存在的数字平台进行社会工程是一个严重威胁。 

民主的核心是权力来自人民，为了人民。公民可以说出自己的想法，并进行开放和自由的对话，对政府官员、企业和公民的问责制也是同样重要的原则。然而通过大量的数据收集而没有问责，这将使得民主原则处于危险之中。

你想让候选人A当选吗？找出哪些最容易受到政治信仰A影响的人群，然后以错误和虚假信息为目标，将他们推向假定方向。利用“确认偏见”并利用“认知失调”来鼓励政治极端主义，然后利用“框架”和“喜欢”的原则来加强志同道合的群体中的这些想法。

这就是剑桥分析公司和俄罗斯在2016年美国总统大选中的干预行动，利用诸如确认偏见之类的认知缺陷被用来鼓励某些投票行为。

当然，并非所有的虚假信息或政治操纵都是别人的错。并非所有的社交媒体偏见都是平台的错。正如Kartan Hosanagar在2016年的《连线》杂志上所指出的，Facebook的回音室是我们现有偏见的症状。Hosanagar解释说:“我们刻意选择那些能将我们推向回音室的行为。”“首先，我们只与志同道合的人交往，创造出孤立的世界。”其次，即使新闻提要算法显示横切内容（cross-cutting content），我们也不会单击它。事实上Facebook是在遵循对内容的需求，它重视自我验证、验证和建立信任网络。可以说，他们只是在做客户想做的事情。

因此尽管在数据收集和广告实践方面肯定存在道德问题需要解决。但社会工程对社会的威胁不是来自Facebook或Google本身的组织，剑桥Analytica丑闻和美国对俄罗斯互联网研究机构的起诉证明，真正的威胁是恶意行为者如何利用这些平台。 

对于在互联网上和通过互联网发生的所有伤害，该平台还帮助政治运动，为其他受压迫的声音提供平台，并授权对腐败政权进行检查。但是大规模社会工程破坏了所有这些积极影响。它利用人类的信任，将错误和虚假的信息注入合法的公共话语，歪曲对现实的看法，可以将社会推向边缘。真理比以往任何时候都受到质疑。合法的媒体报道时间和资源被剥夺了，而是用于反驳显而易见的虚假消息和声明。政治两极分化似乎在增长，这是两极分化或极端媒体报道极端或两者的结果。  

社交媒体上的新闻文章的共享和重新分享，以及以不负责任，秘密的方式植入微广告，请愿和政治信息，打破了对政治制度的信任机制，使政治失真成为可能。可能导致极端主义政党的当选，如匈牙利和奥地利所发生的那样，或者形成挑战政治和经济结构的公民投票结果（英国脱欧等）。我们可以想象许多其他尚未实现的扭曲结果。     

在网络安全意义上，社会工程对全球社会都具有直接影响，特别是私营机构已经通过大规模数据收集实现了这一点，对政治稳定的威胁是需要解决的。

我国开始大数据安全整治

根据今年6月公安部召开的“2018年全国公安机关网络安全执法检查工作电视电话会议”精神，今年将开展全国网络安全执法大检查，全面排查重要信息系统、关键信息基础设施和大数据安全保护状况，摸清风险，堵塞漏洞，落实责任，深入实施国家网络安全等级保护制度，全面提高网络安全保障能力和防护水平，严厉打击入侵破坏计算机信息系统、侵犯公民个人信息等网络黑产等行为。

数据显示，2017年仅上半年被盗数据多达19亿条，已超过2016年全年被盗数据的总量，平均每天有1050万条记录被盗。2017年因内部恶意泄露、员工疏忽无意泄露的数据占被盗数据的86%。

在开展的全国网络安全执法大检查行动中，首次开展针对大数据安全的整治工作：一是开展对大数据的采集、存储、应用、传输、销毁等全生命周期的监管、安全以及保护。包括全面对我国大数据信息内容、存储位置、所涉企业进行摸底；企业采集信息来源开展执法检查，对数据采集的合法性、应用的范围限制等进行确定。二是对合法采集内容与非法采集内容进行分类。对非法采集信息予以打击、销毁，对合法、合规采集的信息纳入保护监管范围。

公安部网络安全保卫局总工程师郭启全接受采访时指出，大数据安全整治是我国近期正在开展的全国网络安全执法大检查行动中的重要内容，这也是首次将大数据安全纳入检查对象，尤其是针对公民个人信息的保护将是执法的重中之重。

“现阶段大数据安全是网络安全问题中最为突出的，也是与公民个人关系最为紧密的。其不仅会影响国家安全、政治安全、军事安全，还会影响企业商业利益、公民的生命安全。”郭启全说。

当前中国网民规模已达数亿人，大数据的汇集不可避免地加大了公民个人信息和隐私数据信息泄露的风险。这个庞大的网络群体每天在网上买卖商品、缴费、发邮件、聊天、存取资料等等，其中本来很多应是私密信息，但实际上被部分企业或个人采集，甚至关联分析和挖掘出公民个人身份、账户、位置、轨迹等敏感或隐私信息。

郭启全表示，在对大数据安全本身进行检查的同时，还需把控信息储存硬件、信息通道等信息集聚资产的安全。

郭启全指出，一方面是大数据集中后，给非法势力攻击、窃取大量信息提供了便利，另一方面，则是相关企业打擦边球获得数据，采集公民个人信息，非法对用户精准画像。他举例说，在某平台进行购物，大数据技术会通过人们的网络活动采集信息，如手机用户的身份信息、手机号码、地址、网络搜索痕迹、手机软件的实时定位以及社交动态等。

“互联网企业未来也可能成为检查的重点对象。”公安部第一研究所副主任，中央网信办网络应急组专家胡光俊表示，因为互联网企业涉及个人信息越来越多，互联网企业将成“关键信息基础设施”的另一种主体存在。

“我们必须认识到，信息泄露不仅仅来自外部攻击，更多的是内部管控存在漏洞。”胡光俊说。

郭启全建议，除监管部门开展定期检查外，企业自身还需建立具体的网络安全建设方案。该方案需对应信息系统安全级别并符合等级保护标准要求、与公安机关三协同，突出等级保护制度2.0、关键信息基础设施和大数据安全、网络安全综合防御体系建设等。

微信QQ聊天记录将成有效证据

如今微信、QQ、Email等各类移动应用成为人们生活、商业贸易中不可或缺的一部分，与此同时，在司法案件中，互联网电子证据的使用也越来越频繁。而现在，司法已经明确微信、QQ聊天记录将成为有效证据，这也给予用户警告：再不能不负责任的随便发东西了！那么微信、QQ记录截图在何种情况下能当证据使用呢？法官又如何确定微信记录的真实性呢？

现在，这些事项都被写入到了具体的明文条例中去，而先走出这一步的是广州市南沙区法院。

近日，为了统一司法实践中互联网电子证据举证、认定标准，广州市南沙区人民法院发布了《互联网电子数据证据举证、认证规程》（以下简称《规程》），对微信聊天记录等电子证据的举证认证作出指引。

根据《规程》的界定，目前互联网电子证据的类型限定为短信、电子邮件、QQ、微信、支付宝或者其他具备通讯、支付功能的互联网软件所产生的，能够有形地表现所载内容并可以随时调取查用的数据信息。

也就是说，现在微信、QQ、支付宝等具备通信功能的 App 所产生的聊天记录，都可以作为证据了。另外朋友圈信息、支付转账信息等也都可以作为证据使用。

并且，微信、QQ、电子邮件等电子数据证据越来越成为认定案件关键事实的主要依据，在部分案件中甚至是唯一证据。

据统计，在电子证据中，最主要的证据形式是涉微信证据，占所有涉电子证据案件数量的65%，其次是电子邮件和短信，分别占14%，支付宝和QQ共占约7%。在涉及银行等金融机构的金融类纠纷中也出现了电子合同这一新的证据类型。

然而，当前互联网电子证据案件还存在主体确认难、证据甄别难、内容认定难等问题。

以微信为例，一般情况下，当事人的微信交流内容比较随意，不易形成完整的证据链，甄别哪些属于有效证据存在较大困难。而在内容认定上，微信中的聊天记录容易通过技术手段伪造或者删改，对其是否具有真实性也较难认定。

针对这些问题，《规程》提出了具体解决办法。

对于微信中的聊天记录，当事人应当提供的证据要素包括几个方面：

一是使用终端设备登录本方微信账户的过程演示，用于证明其持有微信聊天记录的合法性和本人身份的真实性；

二是聊天双方的个人信息界面，借助微信号不可更改的特点，并结合个人信息界面中显示的手机号码、头像等信息固定双方当事人的真实身份；

三是完整的聊天记录，根据微信聊天记录在使用终端中只能删除不能添加的特点，根据双方各自微信客户端中完整聊天信息进行对比，以验证相关信息的完整性和真实性。

那么法官在采信微信相关证据时，该如何确定微信使用者的身份呢？

由于微信并未强制进行实名认证，但根据当事人提供的对方微信号、绑定的手机号码以及聊天中透露的相关信息内容，法官可以结合日常生活经验，综合相关信息，适用高度盖然性原则对微信使用者的身份进行分析认定。

法官又如何确定微信聊天记录的真实性呢？

《规程》提出，可以通过双方各自所持有的微信聊天记录对比来分析是否存在删除篡改关键内容的情况，并据此作出事实认定。

微信公众号：计算机与网络安全

ID：Computer-network