什么是社会工程学？

社会工程定义

社会工程是指利用人类互动和情感操纵目标的各种攻击。在攻击过程中，受害者被愚弄，泄露敏感信息或损害安全性。

社会工程攻击通常需要多个步骤。攻击者将研究潜在的受害者，收集有关他们的信息以及他们如何使用它们来绕过安全协议或获取信息。然后，攻击者会执行一些操作来获取目标的信任，然后最终操纵他们泄露敏感信息或违反安全策略。

社会工程学如何运作？

​
在社会工程学的这个定义中，社会工程学攻击始于攻击者弄清楚他们希望从组织或个人那里得到什么。然后，他们研究人类目标的行为或好恶，以找出如何最好地利用它们。然后，黑客将执行攻击，试图访问敏感数据或受保护的网络或系统。

​

滥用于实施社会工程攻击的人类行为

某些特征是人类行为特有的，社会工程网络攻击试图利用这些特征。

爱好

人们倾向于给予他们喜欢的人比他们不喜欢的人更多的可信度。为了利用这一点，社会工程攻击者可能会试图表现出值得信赖，有吸引力或像具有相似兴趣的人一样。

对等

已经得到了一些东西。社会工程攻击者通过提供建议，独家产品或个性化他们的报价来滥用这种倾向，以使目标感到有义务回馈一些东西。

承诺

在有人承诺采取一系列行动后，他们觉得有义务坚持自己的决定。使用社会工程工具的攻击者可以通过让受害者在要求他们做更大的事情之前同意一些小事情来利用这一点。他们也可能在风险明显之前让他们同意采取行动。

社会认同

如果其他人信任它，人们更有可能支持一个产品。攻击者可能使用社交网络来利用社交证明概念，声称受害者的在线朋友已经认可了某个行为、产品或服务。

柄

人们自然倾向于比那些经验或专业知识较少的人更信任权威。因此，攻击者可能会尝试使用诸如“根据专家”或“科学证明”之类的短语来说服目标同意某些内容。

社会工程学的历史

尽管存在如此多的现代社会工程学例子，但这种做法实际上有着悠久的历史 - 可以追溯到18千世纪。

法国贵族

法国大革命后，法国的囚犯谎称自己是法国贵族的仆人，他们发出信件，声称他们藏了主人的巨额宝藏，并提供一张地图来帮助接收者找到它。作为对这种“无价”信息的回报，他们会要求适度的金额，并希望得到一点优惠待遇。

虽然计算机距离发明已有几个世纪的历史，但这种骗局肯定符合常见的社会工程学定义。

欧洲贵族

这些早期的社会工程学攻击继续与类似的基于监狱的骗局有关，涉及在西班牙被监禁的人。

被定罪的人会写一封信，声称自己是被错误监禁的欧洲贵族。这些酒吧不仅使他无法获得自由，还使他无法摆脱贫困的女儿，她需要他自由生存。这封信将要求收件人提供足够的钱来确保囚犯的释放，同时承诺一旦囚犯看到曙光，就会支付丰厚的报酬 - 远远超过收件人提供的金额。

尼日利亚王子

什么是今天的社会工程？

随着时间的流逝，技术和文本发生了变化，但心理操纵却没有 - 正如尼日利亚王子骗局中所见。

此骗局的社会工程工具包仅涉及电子邮件帐户和一些伪造的文档。有人假装是尼日利亚王子，声称有钱被锁起来，没有帮助他们就无法获得。如果接受者向他们提供贿赂官员或支付获得资金所需的费用所需的现金，“王子”将与接受者分享战利品。当然，从来没有任何钱，目标电线的任何东西都不会得到回报。

社会工程学攻击技术

引诱

​
诱饵攻击试图通过承诺一些吸引他们好奇心或贪婪感的东西来吸引受害者。这会诱使目标安装或单击最终将恶意软件（例如用于域欺骗或间谍软件的恶意软件）放入其系统上的内容。

恐吓软件
恐吓软件用虚假威胁或虚假警报轰炸目标，希望他们保护自己或他们所珍视的东西的自然倾向驱使他们采取所需的行动。更常见的类型之一是使用逼真的横幅，警告他们的计算机可能感染了病毒或某种其他类型的恶意软件。

借口
在使用借口的攻击中，攻击者会谎报受害者的身份。在他们获得目标的信任后，他们诱骗他们交出敏感信息。

网络钓鱼
在网络钓鱼攻击中，攻击者会产生一种紧迫感或吸引受害者的好奇心。然后，他们要么让他们点击恶意链接，要么通过表单提供私人信息。

鱼叉式网络钓鱼
通过鱼叉式网络钓鱼攻击，受害者是专门针对的，攻击者通常会提前进行广泛的研究。一旦攻击者知道如何操纵受害者，他们就会发起攻击，对信息，凭据或敏感数据进行网络钓鱼。

​

水洞

通过水洞，攻击者试图通过感染他们信任的部位来破坏目标人群。攻击者可能会关注人们经常访问的网站，因为他们知道他们可能会在这些页面上感到安全。

交换条件

在交换攻击中，攻击者假装向受害者提供某些内容，以换取信息或特定操作。例如，攻击者可能假装是技术支持人员，然后说服目标输入命令或下载将恶意软件安装到其系统上的软件。

蜂蜜陷阱

通过蜂蜜陷阱攻击，社会工程师假设一个有吸引力的人的身份。然后，他们在网上与受害者建立关系，试图从他们那里获得敏感信息。

尾随

尾随涉及攻击者跟踪具有安全许可的人进入建筑物。目标要么信任尾翼，要么出于礼貌，为他们打开门。

流氓

通过流氓攻击，受害者被欺骗付费从其系统中删除恶意软件。恶意软件不会从系统中移除，但受害者最终仍然向攻击者付款。

虚拟信息

Vishing是语音网络钓鱼的缩写，它使用电话对话从目标获取财务或个人信息。他们经常使用欺骗来隐藏自己的身份，这会更改其呼叫者ID。与其他社会工程策略一样，攻击者试图获得个人的信任或利用恐惧来让他们泄露有价值的信息。

众所周知的社会工程学攻击示例

​
弗兰克·阿巴格纳尔（Frank Abagnale）可能是社会工程攻击中最著名的例子。这本书和电影《如果你可以抓住我》描绘了阿巴格纳尔如何冒充几个人，包括医生、律师和飞机飞行员，以赢得人们的信任并利用他们。

2011年，攻击者通过向员工群体发送网络钓鱼电子邮件来渗透安全公司RSA。这些电子邮件附有一个Excel电子表格。电子表格中嵌入了恶意代码，该代码利用Adobe Flash中的漏洞在系统中安装了后门。如果员工没有被社会工程设计来打开文件，那么攻击就不会成功。

大流行中的网络钓鱼也很常见，因此用户应始终保持警惕。

​

如何识别社会工程攻击

要发现社交工程攻击，请查找以下迹象：

1. 利用恐惧、好奇心、兴奋、愤怒、悲伤或内疚的情感请求
2. 对请求的紧迫感
3. 尝试与收件人建立信任

简而言之，每当有人试图通过操纵或胁迫让你提供资金或敏感信息时，你都会成为社会工程攻击的目标。

防止社会工程攻击的提示

安全沟通和帐户管理习惯

在线交流时始终要小心，切勿信任您无法确认身份的任何人。最重要的是，永远不要点击任何看起来可疑的东西，也不要泄露敏感信息。

切勿点击电子邮件或消息中的链接

无需单击统一资源定位器 （URL），而是在地址栏中手动键入它。在单击所有URL之前，请仔细检查它们的来源，如果无法验证其合法性，请避免使用它们。

多重身份验证 （MFA）

使用多个密码访问帐户可以帮助防止社会工程师破坏系统。这可能包括生物识别或通过短信发送的临时密码。

使用强密码和密码管理器

您的密码应该既复杂又唯一，绝不能对多个站点或帐户重复。您可以使用安全的密码管理器来组织它们，并在需要时使用它们。

谨慎建立纯在线友谊

​
不包括任何面对面互动或电话交谈的关系可以很容易地在2021年用于社交工程。当心任何只想在线互动的人。

安全网络使用习惯
永远不要让陌生人连接到您的主要Wi-Fi网络

允许某人访问您的主要Wi-Fi网络会使它容易受到窃听。为防止出现这种情况，请为访问您的办公室或家的人使用访客网络。

使用虚拟专用网络

虚拟专用网络 （VPN） 为您提供了一条安全的加密隧道，通信通过该隧道通过该隧道。即使有人窥探您的通信，VPN也会加密传输，使其对攻击者无用。

​

确保所有网络连接设备和服务的安全

虽然您在办公室内外的Wi-Fi连接可能是安全的，但重要的是不要忽视其他设备，例如汽车中的信息娱乐系统。进入这些系统可以帮助社会工程师进一步个性化他们的攻击。

安全设备使用习惯

使用全面的互联网安全软件

互联网安全软件可以保护您的系统免受通过社会工程攻击植入的恶意软件的侵害。一些安全解决方案还可以跟踪攻击的来源，可以向当局报告，以帮助他们调查犯罪。

永远不要让您的设备在公共场所不安全

您的计算机和移动设备应始终锁定或安全地放在您的人身上。无论您是在公共场所还是在半公共环境中（例如您的工作），这都是正确的。

保持所有软件更新

软件更新有助于确保您的应用程序不受环境中最新类型的攻击的影响。攻击成功后，软件的设计团队可能会在更新中解决漏洞，因此频繁的更新可为您提供最新的安全性。

检查您的在线帐户的已知数据泄露

一些公司会跟踪被黑客入侵的帐户。如果你的帐户信息在其列表中，请采取措施通过更改密码或添加 MFA 来保护它。

常见问题

什么是社会工程？

社会工程是指利用人类互动和情感操纵目标的各种攻击。在攻击过程中，受害者被愚弄，泄露敏感信息或损害安全性。

社会工程如何运作？

社会工程攻击始于攻击者弄清楚他们希望从组织或个人那里得到什么。然后，他们研究人类目标的行为或好恶，以找出如何最好地利用它们。然后，黑客将执行攻击，试图访问敏感数据或受保护的网络或系统。

社会工程学攻击的著名例子有哪些？

众所周知的社会工程的例子包括Frank Abagnale和对安全公司RSA的攻击。阿巴格纳尔冒充几个人来欺骗他的受害者，正如书和电影《如果可以的话，抓住我》中所描述的那样。在 RSA 攻击中，嵌入在 Excel 电子邮件附件中的恶意链接被用来破坏公司的系统。