在《社会工程渗透测试》（ibm.com 外部链接）中，安全专家 Gavin Watson、Andrew Mason 和 Richard Ackroyd 写道，大多数假托由两个主要元素组成：角色和情境。

角色是诈骗者在故事中扮演的角色。为了在潜在受害者心目中树立信誉，诈骗者通常会冒充对受害者有权威的人，例如老板或高管，或者冒充受害者倾向于信任的人，例如同事、IT 员工或服务提供商。一些攻击者可能会试图冒充目标受害者的亲朋好友。

其情境就是骗子假造的故事情节，也就是骗子要求受害人为其做事的原因。情境可能是通用的，例如，“您需要更新您的帐户信息”，或者它们可能非常具体，尤其是当诈骗者针对特定受害者时。

为了使他们的角色仿冒和情境可信，威胁参与者通常会在线研究他们的角色和目标。这并不难做到。根据 Omdia 的一份报告，黑客可以根据来自社交媒体信息源和其他公共来源的信息编造一个令人信服的故事，这只需 100 分钟的概括性 Google 搜索。

使角色更可信的其他技巧包括伪造角色的电子邮件地址或电话号码，或完全未经授权访问角色的实际电子邮件帐户或电话号码，并使用它来发送消息。下面的例子或许可以让我们一窥假托诈骗的未来：2019 年，诈骗者通过使用人工智能 (AI) 冒充一家英国能源公司母公司 CEO 的声音，并拨打欺诈电话要求向该公司的供应商付款，从而骗取了 243,000 美元。

商业电子邮件泄露诈骗

商业电子邮件泄露 (BEC) 是一种特别恶毒的有针对性的社会工程攻击，它十分依赖假托。在 BEC 中，角色是现实生活中的公司高管或高级商业伙伴，对目标拥有权威或影响力。其情境是角色需要帮助来完成一项紧急任务 - 例如，我被困在机场并忘记了密码 - 你能将我的密码发送到支付系统吗（或者你可以将 $XXX,XXX.XX 电汇到银行账户 #YYYYYY 来支付随附的发票吗）？

年复一年，BEC 始终跻身成本最高的网络犯罪之列。根据 IBM 2022 年数据泄露成本报告，因 BEC 导致的数据泄露平均给受害者造成 489 万美元的损失。根据 FBI 互联网犯罪投诉中心的数据（ibm.com 外部链接），2021 年，BEC 给受害者造成的总损失近 24 亿美元。

帐户更新诈骗

在这种手法中，骗子假装是某个公司的代表，向受害者报告其帐户存在问题，例如付款信息过期或存在可疑购买。诈骗者会提供一个链接，将受害者带到一个虚假网站，窃取他们的身份验证凭据、信用卡信息、银行帐号或社会保险号。

祖父母骗局

像许多社会工程骗局一样，此类骗局针对老年人。网络罪犯冒充受害者的孙辈，假装他们遇到了某种麻烦 - 例如，他们遭遇了车祸或被捕 - 并且需要他们的祖父母给他们寄钱，以便他们支付医院账单或保释金。

浪漫骗局

在约会假托骗局中，骗子假装想要与受害者建立浪漫关系。在赢得受害者的心之后，诈骗者通常会索要钱财，以消除他们在一起的最后一些障碍，例如沉重的债务、法律义务，甚至是探望受害者的机票费用。

加密货币诈骗

诈骗者冒充拥有必定获利的加密货币投资机会的成功投资者，将受害者引导到虚假的加密货币交易所，在那里盗窃受害者的财务信息或资金。根据联邦贸易委员会 (FTC)（ibm.com 外部链接）的数据，2021 年 1 月至 2022 年 3 月期间，美国消费者因加密币诈骗损失了超过 10 亿美元。

国税局/政府诈骗

诈骗者冒充美国国税局 (IRS) 官员、执法部门官员或其他政府代表，声称目标遇到了某种麻烦（例如，他们未能缴税，或者有针对目标的逮捕令），并指示目标付款以避免抵押留置权、扣压工资或入狱。当然，这笔款项会转入骗子的账户。

假托是许多社会工程诈骗的关键组成部分，其中包括：

网络钓鱼。如前所述，假托在有针对性的网络钓鱼攻击中尤为常见，包括鱼叉式网络钓鱼（一种针对特定个人的网络钓鱼攻击）和鲸鱼网络钓鱼（针对有权访问敏感信息或系统的高管或员工的鱼叉式网络钓鱼）。

但是，在非定向的“撒网并祈祷”式电子邮件网络钓鱼、语音网络钓鱼（语音钓鱼）或短信网络钓鱼（短信钓鱼）诈骗中，假托也会起作用。例如，骗子可能会将“[此处为全球银行名称]：您的账户透支了”这样的消息发送给数以百万计的人，希望其中一部分收信人是该银行的客户，而这些客户中又有一部分会回复该消息。

尾随。尾随有时被称为“捎带”，是指未经授权的人跟随授权人员进入需要许可的地点，例如有安保措施的办公楼。诈骗者使用假托使他们的尾随尝试更容易成功 - 例如，冒充送货员并要求毫无戒心的员工为他们打开一扇上锁的门。

利诱。在这种类型的攻击中，犯罪分子会用有吸引力但已被感染的诱饵引诱受害者下载恶意软件。诱饵可以是物理的（例如，装有恶意代码并放在公共场所显眼位置的 U 盘）或数字的（例如，宣传免费下载实际是恶意软件的电影）。诈骗者经常使用假托来使诱饵更具吸引力。例如，诈骗者可能会在受感染的 USB 驱动器上贴上标签，以暗示它属于特定公司并包含重要文件。

一些针对特定行业的法律明确禁止假托行为。1999 年的《Gramm-Leach-Bliley 法案》将针对金融机构的假托定为刑事犯罪，规定以虚假借口获取客户财务信息的行为构成犯罪行为；它还要求金融机构对员工进行识别和阻止假托行为的培训。2006 年《电话记录和隐私保护法案》明确禁止使用假托来获取电信提供商持有的客户信息。

2021 年 12 月，美国联邦贸易委员会 (FTC) 提出了一项新规则（ibm.com 外部链接），正式禁止冒充任何政府机构或企业。该规则将使 FTC 有权禁止常见的假托策略，例如未经许可使用企业徽标、创建模仿合法企业的虚假网站以及假冒企业电子邮件。

与任何其他形式的社会工程一样，对抗假托可能很困难，因为它利用的是人类心理，而不是可以补救的技术漏洞。但组织可以采取有效的措施。

• 基于域的消息认证报告 (DMARC)：DMARC 是一种可以防止仿冒的电子邮件认证协议。DMARC 验证电子邮件是否是从其声称的来源域发送的。如果发现电子邮件是仿冒的，可以自动将其转移到垃圾邮件文件夹或将其删除。
  
  
• 其他网络安全技术：除了 DMARC 之外，组织还可以使用人工智能驱动的电子邮件过滤器，以检测已知假托攻击中使用的短语和主题行。安全网络网关可以防止用户通过钓鱼电子邮件链接进入可疑网站。如果攻击者通过假托获得网络访问权限，端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR) 平台等网络安全技术可以拦截恶意活动。
   
• 安全意识培训：由于假托操纵人们危害自己的安全，因此培训员工发现并正确应对假托诈骗可以帮助保护组织。专家建议根据现实生活中的假托示例进行模拟，以帮助员工区分假托和同事的合法请求。培训还可能包括明确的协议，用于处理有价值的信息、批准付款以及在遵守要求之前向假定来源核实请求。