如今的網絡威脅不僅僅隻有關于技術的漏洞了，更多的其實是依賴于人際互動。在Verizon的2022年“數據洩露調查報告”中顯示，82%的數據洩露涉及人為因素。網絡攻擊者們利用社會工程學來誘騙人們點擊不安全的鍊接、打開惡意文件、輸入相關數據、發送敏感信息、轉移資金等等。

安全意識的培訓的最終目标是将員工轉變為網絡安全的積極防禦者。員工必須了解他們在幫助保護組織方面所扮演的關鍵角色。并且需要知道網絡攻擊是如何進行的，這就讓社會工程學成為一個基本的網絡安全意識。

一、什麼是社會工程學？

社會工程學是著名的黑客米特尼克在《反欺騙的藝術》中所提出的，是一種通過受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。

最開始的表現方式就是以人的因素攻擊信息安全鍊中，最薄弱的環節，并且通過欺騙的手段入侵被騙者的計算機系統的一種攻擊方式。

後來延伸到真實的社會生活中後，社工通常以跟你交流的方式套取用戶的秘密，從而收集信息對被害人進行滲透。

二、網絡攻擊者如何利用社會工程學？

在把社會工程學作為網絡安全意識的一部分時，就要仔細考慮攻擊者如何利用這些技術來控制用戶。通常情況下，都會通過以下這些角度來切入：

情緒上：通過傳達一種緊迫感，産生對機會的興奮，或者制造對賠錢或者做錯事的恐懼

信任上：一般利用社會工程學的人會通過冒充你信任的人或利用受信任的品牌或權威機構

疲勞：通過定時的攻擊，當被攻擊者感到疲勞和分心的時候，會利用被攻擊者的情緒思維，來指導他們的決策時刻。

三、社會工程學有多可怕？

社會工程學其實是非常可怕的，通常精通社工的人，僅僅是利用一個手機号、一個名字、一個單位、一個住址等等就可以對相關的人進行欺騙。

打個比方：某公司想要挖走競争對手的員工，可以假裝蛋糕店搞活動，隻需要填寫手機号和姓名就可以得到一塊免費的蛋糕。通常沒有網絡安全意識的人都會上當，甚至會有可能拿到公司所有人的姓名和聯系方式。

再舉個例子，你有一個暗戀的人，你就可以通過社工輕而易舉地知道他的詳細情況。

四、社會工程學獲取相關人的信息包括什麼？

真實姓名/網絡昵稱

出生日期

身份證号

籍貫

手機号

QQ、微博、論壇、網易雲等賬号

就讀的學校（包括小學、中學、大學）

學号

對方的朋友圈子

共同好友的資料

各種照片等等

拿到以上信息，大概有以下幾種常用的方法：

1. 網絡釣魚

會通過發惡意電子郵件來誘騙企業人員執行某些操作。通常涉及單擊電子郵件或電子郵件附件中的惡意web鍊接。

roofpoint對“2022年網絡釣魚狀況”報告的研究顯示了網絡釣魚的普遍性和有效性：到2021年，86%的組織面臨批量網絡釣魚攻擊。在網絡釣魚模拟中，每 5 個用戶中就有 1 個打開了電子郵件附件，每 10 個用戶中就有 1 個用戶單擊了鍊接。

1、社交媒體

攻擊者經常使用社交媒體來收集有關用戶的信息，他們可以将其用作另一個活動的一部分。例如，他們可能會從企業信息網站收集有關公司高管的信息，以便在網絡釣魚活動中冒充該高管。攻擊者可能會以财務部門的用戶為目标。攻擊者的偵察工作也可能包括直接接觸目标。

2、發聲和彈奏

通過這種社會工程技術，攻擊者使用文本消息和語音更改軟件向用戶發送郵件消息或機器人呼叫他們。這些消息通常承諾提供禮物或服務以換取付款。這些類型的詐騙稱為網絡釣魚（語音網絡釣魚）和短信（短信/文本網絡釣魚）。

3、電話攻擊

近幾個月來，面向電話的攻擊（也稱為回撥網絡釣魚）激增。這些攻擊通常從電子郵件開始，并通過多個渠道進行。但這種方法的關鍵是人與人之間的電話交談。當然，這些攻擊需要受害者的積極參與。面向電話的攻擊從聲稱來自合法來源的電子郵件開始，并包含用于客戶幫助的電話号碼。呼叫者連接到虛假的客戶服務代表。然後，這些“代表”引導受害者完成攻擊。

五、如何避免社會工程學攻擊？

1. 永遠不要盲目的信任任何電子郵件、電話、社交媒體
2. 行動之前要謹慎思考，任何需要付款、彙款的情況要再三确認
3. 不要任何社交媒體上分享任何個人信息
4. 點開鍊接和文件時都要小心

社會工程學是網絡安全行業裡的一個魔法，因為他不需要任何的技術手段，甚至不需要用到電腦就能輕易地得到别人的信息或者入侵别人的計算機。想要免受社會工程學的攻擊就一定要提升自己的網絡安全意識，都說魔法打敗魔法，但是目前隻有這一個方法能夠打敗社會工程學！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!