在网络安全领域，社会工程学攻击（Social Engineering Attack）是一种通过心理操控来获取敏感信息的攻击手段，而非通过技术漏洞入侵系统。近年来，相关单位保障网络安全往往聚焦在改善相关技术，而忽视或至少没有充分关注到网络安全中“人为”的因素。其中有多种原因，但最主要的原因是普遍认为信息技术是一个技术领域，那么网络安全也会是一个技术问题。事实上，用户、开发人员、管理员和系统维护者等人员才是信息技术的核心，任何尝试剖析网络安全问题的尝试，如果忽视了这一点，那么系统势必会产生严重的缺陷。

1.什么是社会工程学攻击？

社会工程学攻击是一种基于人与人之间互动的欺骗行为，这种攻击方式往往利用人性的弱点，如好奇心、恐惧心理、信任感等，往往比传统的技术攻击更具有欺骗性和隐蔽性，因为它针对的是人，而不是系统。

攻击者通常利用心理学、社会学等知识，伪装成可信赖的个体或机构，通过电子邮件、电话、社交媒体等渠道，使用欺骗、诱导等手段，获取目标信息或实施网络入侵的行为。

2.社会工程学攻击常用手法

以下是一些常见的社会工程学攻击手法：

网络钓鱼攻击：攻击者发送看似来自正规渠道的电子邮件、短信或私信，冒充知名机构、服务提供商或上级领导等，以诱使受害者点击恶意链接或提供个人敏感信息。

假冒身份攻击：攻击者利用社交媒体或其他在线平台，冒充目标人员的朋友、同事或上级领导等，以获取机密信息、访问权限或执行特定任务。

电话诈骗攻击：攻击者通过电话进行欺骗，可能声称是银行工作人员、技术支持人员或公职人员等，以获取个人敏感信息或进行其他诈骗活动。

假冒网站攻击：攻击者创建和使用伪造的网站，与合法的网站外观相似，以诱使受害者输入敏感信息。

肩触式攻击：攻击者在公共场所或办公环境等位置，通过观察目标人员的行为、认证凭据或输入密码等来获取敏感信息。

社交工程式入侵：攻击者通过在社交媒体上建立信任关系、获取目标个人信息等来操纵目标人员，以获取敏感信息或进一步渗透目标系统或网络。

尾随攻击：尾随攻击是一种物理漏洞利用方式，攻击者会跟随他们前面的合法人员进入某些安全区域，从而绕过门禁卡或生物特征识别扫描器等安全措施。

诱饵攻击：攻击者通过奖励（比如免费软件或礼物）来引诱目标人物，并以此来设计一个欺诈陷阱，等待目标人物走进陷阱，以非法获取敏感信息或访问系统的权限。

心理操作：攻击者利用心理战术，如创造紧急情况、制造恐惧或施加压力等，以迫使目标人员采取某些行动，如共享密码、提供访问权限等。

以上只是一些常见的社会工程学攻击手法，攻击者可能使用组合或创新的方式来实施攻击。

3.如何防范社会工程学攻击？

要防范社会工程学攻击，可以采取以下措施：

谨慎对待信息请求：对于来自陌生人、不寻常的邮件、短信或电话，特别是要求提供敏感信息或执行不常见操作的，要保持警惕；核实发送者身份，并确认请求的合法性。

注意钓鱼攻击：警惕钓鱼邮件、信息和网站，避免点击不明链接或下载未经验证的附件；验证与银行、机构或服务提供商的通讯是否合法，可以直接在官方网站上登录账户或使用官方电话与其交流。

强化密码安全：使用强密码，包括字母、数字和符号的组合，并定期更改密码；避免在多个账户间使用相同的密码；使用密码管理器，确保密码的安全性和唯一性。

启用多因素身份验证：对于重要的在线账户，如电子邮件、社交媒体、银行账户等，启用多因素身份验证。这样即使密码被泄露，攻击者仍需要额外的身份认证才能登录账户。

定期更新软件和系统：通过可信渠道下载软件，及时安装操作系统、应用程序和安全补丁的更新等，修复已知漏洞，提升系统和应用程序的安全性。

保护个人信息：尽量不要在公共场合讨论和透露个人敏感信息；谨慎对待来自陌生人、电话、电子邮件或社交媒体的信息请求和物品。

严格访问控制：养成随手关门的习惯，警惕陌生人员尾随绕过门禁，使用安全摄像头监控出入口。

强化网络安全措施：为网络部署防火墙、入侵检测与防御系统（IDS/IPS）、安全信息和事件管理（SIEM）系统等，并定期检查和更新安全设备。

定期备份数据：定期备份重要数据，以防止数据丢失、勒索软件攻击等。

定期评估和更新安全策略：定期评估和更新安全策略和措施，以适应不断变化的威胁和攻击手段。

4.结语

社会工程学攻击是一种隐蔽性较强、具有欺骗性的网络安全威胁，对于个人和组织的网络安全构成了重大威胁。加强对社会工程学攻击的认识，提高防范意识，是保护个人隐私和组织信息安全的重要举措。