人性的弱点：“库尔尼科娃”病毒十周年回顾

作者：DavidSancho(趋势科技信息安全威胁高级研究员)

当年红极一时的安娜-库尔尼克娃(AnnaKournikova)病毒在今年2月11日届满十岁，每次当我想到这个病毒，我就想到一个故事，这是有关一通来自我们用户因系统遭该病毒感染而打来的电话。那位使用者非常生气，但并不是因为感染而生气,而是我们的防病毒软件移除了病毒,让他颇为不悦。因为他还是很想看到库妮可娃的照片。很显然地，感染的问题已经是其次，客户生气的原因是因为最后没有看到想看的照片。以下是该病毒的e-Mail讯息：

Subjectline:"Hereyouhave,:o)"

Messagetext:"Hi:Checkthis!"

Attachment:"AnnaKournikova.jpg.vbs".

这就是社交工程(SocialEngineering)陷阱活生生的案例！

社交工程(SocialEngineering)陷阱技巧在过去十年已经有长足的进步。十年前被库妮可娃电子邮件病毒感染的用户，现在对于不明来历的电子邮件普遍都存有戒心。因此，今日的战场已经转到网站上，所以歹徒总是想尽办法要让使用者点击恶意链接。现代的社交工程通常会利用用户“非要某种东西才可以”的强迫心态或是“可能觉得某某东西很有趣”的好奇心理。

在强迫心态方面，歹徒会让使用者觉得他们非要什么不可，然后再提供一个方便的链接，使用者只要点一下就能获得。这个非要不可的东西，通常是一项安全更新、一个视频解码器，或者是类似的东西。这类技巧通常都会巧妙运用使用者的恐惧心理(例如，不更新就可能遭到黑客攻击)。

而在好奇心方面，歹徒会让使用者觉得所提供的内容很有趣，因此会很想看。因为人们总是喜欢发掘新的事物，并且和好朋友分享(最典型的例子就是2008年的那一波<甜心主播>Maggie的影音新闻首播（安吉丽娜朱莉与布拉德皮特的新闻）)。

这些年来，即使手法已经有所不同，但社交工程攻击的基本原理还是离不开人性的弱点，这些弱点在过去十年并无太大改变，未来也不太可能有所差别。

十年后的如今，还有人在搜寻库尔尼科娃的照片，这就是为何社交工程(SocialEngineering)陷阱到现在都还历久不衰的原因。