最常见的社会工程攻击

人是安全链中最薄弱的环节

你可以拥有所有最好的技术来抵御恶意攻击的风险，但是任何不培训其员工或没有采取最佳实践训练的组织会有更大的风险。实际上，危害网络最有效的形式就是针对人，利用欺骗手段就可以轻而易举的获得对内部系统的访问权限、电子邮件帐户或秘钥。能够充分利用这些手段的攻击者是最难防范的，因为他们善于运用社交以及谎言。这就是所谓的社会工程学，一项难以利用技术进行评估或防御的攻击。

社会工程的核心是社交和谎言，这是其中最古老的策略。实际上，即使威胁形势变得越来越复杂，但诱骗网络钓鱼的方法却往往可以造成很大的威胁。

一些最常见的社会工程攻击类型

1.网络钓鱼
可以采取多种形式轻易地获取个人信息或凭证。可能是在诱使用户在看起来合法的网站上输入个人凭证，用户名密码等等，该网站会将信息反馈给攻击者。通常，受害者会收到一封看起来像是来自真实企业的电子邮件，例如steam的打折资讯或某某银行的个人账单，然后引诱用户登录。所以，当你进行登录时，你的个人信息等就会被窃取。

2.鱼叉式网络钓鱼
与网络钓鱼类似，鱼叉式网络钓鱼旨在通过秘密手段获得证书的使用权，但是又与其方法不同的是，它具有高度针对性。鱼叉式网络钓鱼攻击中，攻击者通常根据公开的信息来精心构建猎物轮廓。众所周知，一旦你的信息在网络上散播地多而广时，你已经成为这些攻击的受害者，有时你会收到跟你近期活动相关的短信或邮箱什么的，那就要小心了。

3.语音网络钓鱼
本质上是对电话的网络钓鱼攻击，呼叫某人并要求他们提供凭据。语言来源可能是个人，也可能是使用合成语音的自动拨号系统，以试图说服受害者提供不应提供的信息。语音识别技术的进步可能会在不久的将来造成新的，更复杂的威胁。

4.水坑攻击
一旦攻击者确定了受害者的个人资料，水坑攻击便试图在该人或组织经常访问的网站上进行攻击。这种利用访问会将恶意软件植入到他们的计算机中，例如远程访问木马，从而使攻击者可以开始窃取数据的工作。

5.信任攻击
攻击者将向受害者提供真正有价值的东西，并以蠕虫的方式侵入目标网络。举个例子，攻击者冒充技术支持人员，帮助你解决了遇到的问题，但同时也说服你输入一行代码（后门）。简而言之，这种攻击很简单，就像提供一块巧克力来换取你的密码。

6.诱饵攻击
在这里，攻击者通常是通过激发好奇心或说服你运行带有隐藏恶意软件的硬件或软件来诱使受害者执行代码。例如，在办公楼下分发的看上去无辜的U盘，实际上可能包含恶意木马；或者是在人多的地方，故意掉落一些USB接口的硬件等等。

7.好感攻击
就是指攻击者创造了一个合理的场景，他们诱骗受害者一起玩耍以窃取其信息。比如，攻击者先和你成为朋友，获取你的一些基本信息，然后伪装成你办理业务的银行，骗取受害者钱财。它依赖于与受害者建立虚假的友谊，而受害者无论出于何种原因都会给攻击者带来更多的信息，攻击者再基于信息进行攻击。

8.伪身份攻击
本质上是将经过高级身份验证的人员跟踪到限制区域内，使用伪装之类的欺骗手段使受害者获得虚假的安全感。举个例子，在现实生活中，你穿着一身电信的工作人员的衣服，提个工具包，可以借此进出保安系统相当完备的企业大楼，如果要求出示证件，伪造一张类似的，并在进出表上填写虚假个人信息。

---

题外话， 二向箔安全

最近出了很多免费的课程，想学黑客知识、渗透测试、CTF等等 的小伙伴可以去看看
这些都是免费的，很新颖，想了解更多骚操作的，可以去学习学习

暗号：P01ar