一、了解什么是社会工程学攻击

1、社会工程学的定义

简单来说，社会工程学，即攻击者通过人际关系中的欺骗手段，如伪装、胁迫和滥用信任，来获取机密信息，这种攻击方法利用了人类的天性和弱点。

在网络安全领域，当恶意攻击者无法仅仅依靠计算机技术来实现他们的目标时，他们将转向情商高超的手段。这意味着攻击者将利用心理和社交工具来欺骗和操纵人们，以获得他们的敏感信息或执行恶意操作。与此同时，安全专家也在研究这些恶意攻击手段，以便更好地了解和对抗它们，并在长期的实践中形成独具特色的安全理论。这种研究的目的是保护人们的信息和网络安全，确保他们在数字世界中能够安全地运作和交流。

2、什么是基于人的社会工程学攻击？

基于人的社会工程学攻击是一种需要人与人之间的互动才能成功获取所需信息的攻击方式。这些攻击者通常具备出色的人际交往能力，他们利用假冒身份来获取他人的信任、好感、同情或树立权威性。

而基于计算机的社会工程学攻击则是利用软件来获取所需信息的攻击方式。攻击者常常通过伪装真实意图的方式诱导受害者下载或点击恶意链接，从而导致系统未经授权访问或重要信息泄露。

针对社会工程学攻击，最有效的应对方式是定期进行培训、科普和演练，以提升全员的安全意识。通过培训，人们可以了解各种社会工程学攻击的手段和特点，学习如何警惕和防范这些攻击。科普活动可以向人们普及社会工程学攻击的知识，增强他们的警觉性。而演练则通过模拟攻击场景，让人们亲身体验并学习如何应对这些攻击，提高应急反应能力。

通过全员参与的培训、科普和演练，可以形成一种强大的安全意识和防御机制，有效抵御社会工程学攻击的威胁。这将为组织和个人提供更加可靠的信息安全保护。

二、社会工程学的攻击形式

1. 假冒身份：攻击者冒充他人的身份，例如冒充银行职员、客服人员、公司员工等，以获取信任并获取敏感信息。

2. 钓鱼邮件/短信：攻击者发送伪装成合法机构的电子邮件或短信，诱使受害者点击恶意链接或提供个人信息。

3. 社交工程：攻击者通过社交媒体、聊天应用或电话等渠道与受害者互动，获取敏感信息或诱导其执行特定操作。

4. 垃圾邮件/垃圾电话：攻击者发送大量垃圾邮件或拨打垃圾电话，通过欺骗手段引诱受害者提供个人信息或执行恶意操作。

5. 偷窥/肩窃：攻击者通过观察、窃听或记录受害者的活动，获取敏感信息，例如密码、PIN码等。

6. 假冒网站：攻击者创建与真实网站外观相似的假冒网站，引诱用户在其中输入个人信息，以获取敏感数据。

7. 社会工程学攻击通过互联网和电话的结合：攻击者通过电话与受害者互动，冒充合法机构的员工，并引导受害者在网上提供个人信息。

这些只是社会工程学攻击的一些常见形式，攻击者不断创新和改进他们的手段。

三、关于社会工程学攻击的真实案例

1、针对英国能源公司的深度伪造攻击

2019 年 3 月，英国的一家能源供应商的首席执行官接到了来自老板的电话

后者要求他将资金发送给匈牙利供应商，来电者表示请求很紧急，要求高管在一小时内付款。并且电话里的人声音听起来和他的老板一模一样，以至于首席执行官最终将 243,000 美元转给了所谓的“匈牙利供应商”的银行账户，而实际上该账户是黑客的。

负责诈骗这家英国能源公司的黑客一共打了三通电话。当243,000美元的转账完成后，黑客打了第二次电话说母公司已经转账以偿还这家英国公司的费用，

当天晚些时候，他们再次冒充首席执行官打了第三次电话，要求再次付款。由于偿还资金的转账尚未到达，而且第三个电话是奥地利的电话号码，因此该高管产生了怀疑。他没有支付第二笔费用。

2、Microsoft 365 网络钓鱼诈骗窃取用户凭据

2021 年 4 月，安全研究人员发现了一种商业电子邮件泄露 ( BEC ) 骗局，该骗局会诱骗收件人在其设备上安装恶意代码。 下面是攻击的工作流程。

目标会收到一封空白电子邮件，其主题会有非常强的针对性。该电子邮件包含一个看起来像 Excel 电子表格文件 (.xlsx) 的附件。但实际上是一个伪装的 .html 文件。

打开（伪装的）.html 文件后，目标将被重定向到包含恶意代码的钓鱼网站。该代码会触发弹出通知，告诉用户他们已从 Microsoft 365 注销，并邀请他们重新输入登录凭据。而当你输入凭据后，钓鱼网站则会将用户的凭据发送给网络犯罪分子。

四、社会工程学的防范

1、冒充他人的身份

如银行职员、客服人员或公司员工，以获取信任并获取敏感信息。

防范措施：

• 怀疑并验证：对于收到的电话、电子邮件或信息，要保持怀疑态度，并通过独立的渠道验证其真实性，如直接拨打机构的官方电话号码。
• 不要轻易提供个人信息：避免在未经确认的情况下向陌生人提供个人敏感信息，如银行账号、社保号码等。
• 教育培训：组织应定期开展针对员工的社会工程学培训，以提高他们对假冒身份的识别能力。

2、针对钓鱼邮件、短信

防范措施：

• 警惕链接和附件：不要轻易点击邮件中的链接或下载附件，尤其是来自不明或可疑的发件人。
• 验证来源：对于需要提供个人信息的邮件或短信，要通过独立的渠道验证其来源的真实性，如直接访问机构的官方网站或拨打官方电话。
• 看邮件标题：主题关键字涉及“系统管理员”、“通知”、“订单”、“采购单”、“会议日程”、“参会名单”、“历届会议回顾”等，收到此类关键词的邮件，需提高警惕。
• 看正文目的：当心对方索要登录密码，一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的，所以在收到邮件后要留意此类要求避免上当。
• 看正文内容：当心邮件内容中需要点击的链接地址，若包含“&redirect”字段，很可能就是钓鱼链接； 当心垃圾邮件的“退订”功能，有些垃圾邮件正文中的“退订”按钮可能是虚假的。点击之后可能会收到更多的垃圾邮件，或者被植入恶意代码。可以直接将发件人拉进黑名单，拒收后续邮件。

3、社交媒体

防范措施：

• 谨慎分享信息：在社交媒体上谨慎分享个人信息，避免透露敏感数据，如生日、住址等。
• 保持警惕：对于陌生人的请求或提问，要保持警惕，并避免随意泄露个人信息。
• 不轻信电话指令：如接到电话要求执行某项操作，如转账等，要进行独立验证，避免受骗。

4、针对垃圾邮件/垃圾电话

防范措施：

• 使用防垃圾邮件软件：安装和更新反垃圾邮件软件，可以帮助过滤和拦截大量的垃圾邮件。
• 不随意泄露信息：对于垃圾电话的要求和提问，要保持警惕，并避免泄露个人信息。

5、偷窥/肩窃

防范措施：

• 保护屏幕和键盘：在公共场所使用电脑或手机时，要注意保护屏幕和键盘，避免他人窥视。
• 注意周围环境：在输入密码或敏感信息时，要确保周围没有可疑人员，以防止他们偷窥。
• 使用隐私屏幕保护：在使用移动设备或笔记本电脑时，可以考虑安装隐私屏幕保护膜，只有正对屏幕的人才能看到内容。
• 谨慎处理文件和纸张：要妥善处理包含敏感信息的文件和纸张，避免被他人获取。

6、假冒网站

防范措施：

• 验证网站的安全性：在输入个人信息或进行在线交易时，确保网站使用了安全的HTTPS协议，并查看网站的证书是否有效。
• 警惕链接和广告：避免点击来自不明来源的链接，尤其是在电子邮件或社交媒体中的链接和广告。