社会工程学给法院网络安全带来的挑战

近年来，物联网、AI人工智能、大数据、云计算等科学技术不断发展并结合各个领域和场景，不断推进科技成果转化，为经济社会高质量发展提供了科技支撑。创新成果在各个行业中大放异彩的同时，网络安全问题也频繁发生，网络安全问题涉及面广、危害大，甚至会危害国家安全。社会工程学是通过获取人类社会上的各种资源和途径解决问题的学科。随着网络和信息技术的不断发展，社会工程学被黑客广泛利用到网络的攻击中，给人们的工作和生活带来极大的威胁。本文结合社会工程学攻击典型案例，分析社会工程学获取信息的方式，并从人民法院网络安全工作实际出发，分析社会工程学给人民法院网络安全的安全隐患并提出保障人民法院网络安全的主要措施。

不同于传统的网络攻击，社会工程学攻击利用人的漏洞非法获取各种资源、信息，而在信息化时代，人们在工作与生活中普遍用网络进行交流、通信，黑客使用社会工程学攻击，使得受害者防不胜防。人民法院在办理来信来访或者审理和执行案件过程中获取的商业秘密、个人隐私以及重要的汇总数据等案件信息，日常工作中获取、形成的干警个人信息、内部通讯录，供人民法院内部掌握的工作意见建议、方案、分析报告、应对口径等都属于人民法院工作秘密，一旦泄露，将造成难以弥补的损害。

信息时代，人们不断从网络上获取信息，同时也在网络上留下许多个人信息，个人信息安全的重要性不言而喻。对于黑客们来说，想要成功攻击对方，前提条件是准确获取对方的相关信息，信息搜集只是黑客们在发起网络攻击之前的开始阶段。社会工程学获取信息的常见方式有以下几种：

1、撞库

撞库，即网络黑客将互联网上已泄露的账号密码，拿到其他网站批量登录，从而“撞出”其他网站的账号密码。由于许多网民习惯多个网站使用同一个账号密码，所以“撞库”有着很高的成功率。

2019年2月，北京字节跳动公司旗下的抖音APP被人拿千万级外部账号密码恶意“撞库”攻击，经警方侦查，发现湖北籍男子汪某有重大作案嫌疑，5月底，海淀警方将汪某在其家中抓获。据汪某交代，其利用其掌握的计算机能力，控制了多个热门网络平台的大量账号，同时汪某还编写了大量“撞库”代码，对目前网络上比较热门的网络平台进行撞库，然后控制“撞库”获取的账户，累计获利上百万元。

2、利用钓鱼邮件攻击

钓鱼邮件指黑客通过发送带有木马程序的电子邮件，欺骗收件人回复账号、口令等个人信息；或引诱收件人连接到特定的网页，如黑客刻意制造出的虚假网络中奖信息网站，收件人在毫无防备下输入自己信用卡或银行卡号码、账户名称及密码等个人信息。

3、密码的“规律”

电子支付、系统登录等都需要大家设置账号密码，但设置的账号密码真的足够安全吗？善于利用人类心理的社会工程学通过分析人们设置密码的“规律”，以达到个人信息收集，进而发起攻击的目的。

那么密码的常见“规律”有哪些呢？

（一）使用有特定含义的密码，如将密码设置为自己的名字拼音全拼，密码中包含自己或伴侣、孩子的生日等。

（二）许多系统在首次登录时往往有初始密码，初始密码往往较为简单，人们在使用初始密码登录后未及时修改。

（三）为了方便记忆而在各登录平台上使用同一密码，或者在修改密码时设置之前已使用过的密码等。

（四）使用简单密码，如使用纯数字、纯字母或者设置相同的字母或数字的密码，密码设置长度较短等。

（五）随意写下自己的密码，如在设置路由器后在路由器上写下设置的密码，在电脑上用便利贴写上自己的密码等。

4、木马窃密

木马也称木马病毒，是隐藏在正常程序中的一段具有特殊功能的恶意代码，黑客们通过引诱用户点击带有木马程序的游戏链接、图片、应用程序等，非法获取受害者的个人信息，对受害人实施诈骗等非法活动。这些带有木马程序的游戏链接、应用程序等往往以大家在生活中常见的形式展现，由于不易被识别，所以黑客们利用此方式获取受害者个人信息的成功率较高。

2022年6月26日，部分用户反馈QQ号码被盗。腾讯公司QQ安全团队高度重视并立即展开调查，发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录，该登录行为被黑产团伙劫持并记录，随后被不法分子利用发送不良图片广告。

随着人民法院加快推进智慧法院的建设，人民法院应当从网络安全的技术标准出发，明确相关部门、人员权力和职责，建立科学、严密的网络安全制度，同时，为了和信息化发展相适应，人民法院对网络安全制度还应不断补充完善，确保将网络安全管理制度落实到每一个环节中；加强网络安全设施建设。网络应用程序漏洞和攻击的风险仍然大量存在于网络环境中，为了更好地保障网络安全，需要加强对人民法院网络安全设施建设； 更新更换软硬件设施。定期排查网络安全硬件设施设备老化，软件更新缓慢等问题，及时更换老化设备，按照实际需求进行性能提升；增强网络安全意识，认真传达学习上级关于网络安全的文件精神以及各项要求，加强对网络安全法律法规的学习，强化人民法院干警的网络安全防范意识。