互联网是人、组织机构与电脑之间相互联系的迷宫。而最简单的攻击方式便是找出关系中的薄弱环节。通常人是这三者中最弱的一环，因此也成为了攻击进入任何组织电脑网络最简单的方式。

现代黑客已经将攻击目标由组织机构的系统转为人类的操作系统（Human Operating System）。对个体攻击需要一套不同的工具和从蛮力转变为策略的技巧，而社会工程学利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益等等都为黑客攻击提供了极大的方便。

FreeBuf百科：社会工程学

社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。

现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码，电话诈骗如以知名人士的名义去推销诈骗等，都运用到社会工程学的方法。近年来，更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。

且不论形式及内容，社会工程攻击的成功很大程度上取决于人类在尝试谨慎分析不同情况时出现的盲点。实际上，网络安全就是知道在任何给定情况下你可以将机密信息托付给谁。保持警惕性以及避免在任何情况下根据表面想象进行判断可以让你在防御社会攻击中更胜一筹。

有哪些常见的社会工程学攻击？

社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。这是一个保持不断完善并快速发展的艺术。但一些社会工程攻击误区仍然时有出现，如下所示。

伪造一封来自好友的电子邮件：这是一种常见的利用社会工程学策略从大堆的网络人群中攫取信息的方式。在这种情况下，攻击者只要黑进一个电子邮件帐户并发送含有间谍软件的电子邮件到联系人列表中的其他地址簿。值得强调的是，人们通常相信来自熟人的邮件附件或者是链接，这便让攻击者轻松得手。

在大多数情况下，攻击者利用受害者账户给你发送电子邮件，声称你的“朋友”因旅游时遭遇抢劫而身陷国外。他们需要一笔用来支付回程机票的钱，并承诺一旦回来便会马上归还。通常，电子邮件中含有如何汇钱给你“被困外国的朋友”的指南。

钓鱼攻击：这是个运用社会工程学策略获取受害者的机密信息的老把戏了。大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者，例如FBI。

通常网络骗子冒充成你所信任的服务提供商来发送邮件，要求你通过给定的链接尽快完成账户资料更新或者升级你的现有软件。大多数网络钓鱼要求你立刻去做一些事，否则将承担一些危险的后果。点击邮件中嵌入的链接将把你带去一个专为窃取你的登录凭证而设计的冒牌网站。

钓鱼大师们另一个常用的手段便是给你发邮件声称你中了彩票或可以获得某些促销商品，要求你提供银行信息以便接收彩金。在一些情况下，骗子冒充FBI表示已经找回你“被盗的钱”，因此需要你提供银行信息一边拿回这些钱。

诱饵计划：在此类型的社会工程学阴谋中，攻击者利用了人们对于例如最新电影或者热门MV的超高关注，从而对这些人进行信息挖掘。这在例如Bit torrent等P2P分享网络中很常见。

另一个流行方法便是以1.5折的低价贱卖热门商品。这样的策略很容易被用于假冒eBay这样的合法拍卖网站，用户也很容易上钩。邮件中提供的商品通常是不存在的，而攻击者可以利用你的eBay账户获得你的银行信息。

主动提供技术支持：在某些情况下，攻击者冒充来自于微软等公司的技术支持团队，回应你的一个解决技术问题的请求。尽管你从没寻求过这样的帮助，但你会因为自己正在微软产品并存在技术问题而尝试点击邮件中的链接享用这样的“免费服务”。

一旦你回复了这样的邮件，便与想要进一步了解你的计算机系统细节的攻击者建立了一个互动。在某些情况下攻击者会要求你登录到“他们公司系统”或者只是简单寻求访问你的系统的权限。有时他们发出一些伪造命令在你的系统中运行。而这些命令仅仅为了给攻击者访问你计算机系统的更大权限。

如何免受社会工程学攻击？

当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话。在提供任何个人信息之前验证其可靠性和权威性。

缓慢并认真地浏览电子邮件和短信中的细节。不要让攻击者消息中的急迫性阻碍了你的判断。

自学。信息是预防社会工程攻击的最有力的工具。研究如何鉴别和防御网络攻击者。

永远不要点击‍‍来自未知发送者的电子邮件中的嵌入链接‍‍。如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL。

永远不要在未知发送者的电子邮件中下载附件。如果有必要，可以在保护视图中打开附件，这个在许多操作系统中是默认启用的。

拒绝来自陌生人的在线电脑技术帮助，无论他们声称自己是多么正当的。

使用强大的防火墙来保护你的电脑空间，及时更新杀毒软件同时提高垃圾邮件过滤器的门槛。

下载软件及操作系统补丁，预防零日漏洞。及时跟随软件供应商发布的补丁同时尽可能快地安装补丁版本。

关注网站的URL。有时网上的骗子对URL做了细微的改动，将流量诱导进了自己的诈骗网站。

不要幻想不劳而获。如果你从来没有买过彩票，那你永远都不会成为那个中大奖的幸运儿。如果你就没有丢过钱，那为什么还要接受来自FBI的退款呢？

不幸成了社会工程攻击的受害者，该怎么办？

由于社会工程攻击的温柔属性，大多数受害者都不知道他们已经被攻击了，而可能要耗费几个月的时候才能发现这个安全漏洞。一旦你怀疑自己是社会工程攻击的受害者时，你首先要做的就是重设一个密码。

为你的所有账户创建一个新的强密码，并且要确保你的新密码与你的家人无关，因为攻击者可能知道很多关于你和你的家人的信息。其次，联系你的银行，仔细检查你的财务报表。最后，可以考虑报告有关职能机构，以避免潜在发生的身份盗窃及冒名邮件诈骗。

总结

社会工程学攻击这个老掉牙的骗局随着时间的推移变得更好也更狡猾了。黑客将持续使用这一攻击方式，并年复一年地得到不俗的回报。防范社会工程学攻击就必须要知道在网上何时该相信何人。在你提供个人信息前请谨慎地分析每一个情况。更为重要的是，在网络上不要过于贪婪了。当一笔交易实在是太“划算”的时候，请三思而后行！

转载自 Free Buf．com