1. 社会工程学简介

社会工程攻击是威胁行为者常用的攻击方式。这是因为，诱骗人们提供访问权限、信息或金钱通常比利用软件或网络漏洞更容易。

您可能还记得，社会工程学是一种利用人为错误来获取私人信息、访问权限或贵重物品的操纵技术。它是一个涵盖性术语，可以涵盖各种各样的攻击。每种技术都旨在利用人们的信任天性和他们乐于助人的本性。在本篇文章中，您将了解需要警惕的具体社会工程学策略。您还将了解组织应对这些威胁的方法。

2. 社会工程风险

社会工程学是一种利用人们思维方式的欺骗手段。它利用人们天生的好奇心、慷慨和兴奋等情感。威胁者会利用这些情感来影响目标的判断力，从而对目标进行攻击。社会工程学攻击极其容易实施，因此危害极大。

近年来最引人注目的社会工程攻击之一是 2020 年 Twitter 黑客攻击 在那次事件中，一群黑客假装自己是Twitter IT部门的员工，并给他们打电话。利用这种简单的伎俩，他们成功入侵了Twitter的网络和内部工具。这让他们得以控制一些知名用户的账户，包括政客、名人和企业家。

此类攻击只是威胁行为者利用基本社会工程学技术制造混乱的一个例子。这些攻击构成了严重的风险，因为它们不需要复杂的计算机技能即可执行。防御这些攻击需要采取多层次的方法，将技术控制与用户意识相结合。

3. 袭击迹象

人们常常无法察觉攻击的发生，直到为时已晚。社会工程学之所以如此危险，是因为它通常能让攻击者绕过阻碍他们的技术防御。虽然这些威胁难以预防，但识别社会工程学的迹象是降低攻击成功可能性的关键。

以下是需要警惕的常见社会工程类型：

1. 诱饵攻击是一种社会工程学手段，旨在诱使人们损害自身安全。一个常见的例子是 USB 诱饵攻击，它要求攻击者找到受感染的 USB 驱动器并将其插入自己的设备。

2. 网络钓鱼是指利用数字通信手段诱骗他人泄露敏感数据或部署恶意软件的行为。它是最常见的社会工程学形式之一，通常通过电子邮件进行。

3. 交换条件是一种诱饵手段，用于诱骗某人相信分享访问权限、信息或金钱后会获得奖励。例如，攻击者可能会冒充银行的信贷员，致电客户，声称可以降低信用卡利率。他们会告诉客户，只需提供账户信息即可享受优惠。

4. 尾随是一种社会工程学手段，指未经授权的人跟随授权人员进入禁区。这种技术有时也被称为“搭便车”。

5. 水坑攻击是指威胁行为者入侵特定用户群体经常访问的网站而发动的一种攻击。这些水坑网站通常会感染恶意软件。例如，2020 年发生的圣水攻击就感染了多个宗教、慈善和志愿者网站。

攻击者可能会使用上述任何一种技术来获取对组织的未授权访问权限。从初级员工到高级管理人员，每个人都可能受到这些攻击。但是，您可以通过告知其他人应注意哪些攻击，来降低任何企业遭受社会工程学攻击的风险。

4. 鼓励谨慎

传播安全意识通常始于全面的安全培训。谈到社会工程学，在进行相关培训时，主要应关注以下三个方面：

• 对可疑通信和陌生人保持警惕，尤其是在电子邮件中。例如，注意拼写错误，并仔细检查发件人的姓名和电子邮件地址。
• 分享信息时务必谨慎，尤其是在社交媒体上。威胁行为者经常在这些平台上搜索任何可以利用的信息。
• 当某些事情好得令人难以置信时，要控制自己的好奇心。例如，你可能会想点击电子邮件和广告中的附件或链接。

专业提示：实施防火墙、多因素身份验证 (MFA)、阻止列表、电子邮件过滤等技术有助于在有人犯错时分层防御。

理想情况下，安全培训不应仅限于员工。向客户普及社会工程学威胁也是缓解这些威胁的关键。安全分析师在推广安全实践方面发挥着重要作用。例如，分析师的一大工作就是测试系统并记录最佳实践，供组织中的其他人遵循。

5. 关键要点

人们乐于助人，且秉持信任的天性，这使得社会工程学对犯罪分子来说极具吸引力。只需一次善举或一时判断失误，攻击便会得逞。犯罪分子竭尽全力使他们的攻击难以察觉。他们依靠各种操纵技术诱骗目标授予访问权限。因此，实施有效的控制措施并识别攻击迹象，对于预防威胁大有裨益。

6. 更多阅读

OUCH! 是 SANS 研究所提供的免费月刊，报道社会工程趋势和其他安全主题。

Scamwatch 是用于识别、避免和报告社会工程诈骗的新闻和工具资源。