什么是社会工程？

一封看似来自可信同事的电子邮件，要求提供敏感信息；一封自称来自美国国税局的威胁性语音邮件；一份来自外国权贵的财富诱惑，这些只是社会工程的几个示例。由于社会工程学采用心理操纵并利用人为的错误或弱点而不是技术或数字系统漏洞，因此有时被称为“人类黑客攻击”。

网络罪犯经常使用社会工程计策来获取个人数据或财务信息，包括登录凭据、信用卡号、银行账号和社会保险号。他们利用窃取的信息进行身份盗窃，从而能够使用他人的资金或信用进行消费、以他人名义申请贷款、冒领他人的失业救济金等。

但是，社会工程攻击也可能是更大规模网络攻击的第一阶段。例如，网络罪犯可能会欺骗受害者共享用户名和密码，然后使用这些凭据在受害者雇主的网络中植入勒索软件。

社会工程对网络罪犯很有吸引力，因为成功后他们就能够访问数字网络、设备和账户，而无需进行绕过防火墙、防病毒软件和其他网络安全防控措施的高难度技术工作。

根据 ISACA《2022 年网络安全状况》报告，这也正是社会工程成为当前网络入侵首要原因之一。根据 IBM 的《数据泄露成本》 报告，由社会工程计策（例如网络钓鱼和商业电子邮件泄露）造成的泄露是成本最高的。

社会工程策略和技术植根于人类动机科学。他们操纵受害者的情绪和本能，其方式已被证明会驱使人们采取不符合自身最佳利益的行动。

大多数社会工程攻击采用以下一种或多种策略：

• 冒充受信任的品牌：诈骗者经常使用欺诈手段冒充受害者熟悉、信任的公司，这些公司可能经常或定期与之开展业务，以至于受害者会条件反射地听从这些品牌的指示，而不采取适当的预防措施。一些社会工程诈骗者使用广泛可用的工具包来建立虚假网站，仿冒主要品牌或公司的网站。

• 冒充政府机构或权威人物：人们信任、尊重或害怕权威（可能程度不同）。社会工程攻击利用这些本能，利用看似或声称来自政府机构（例如联邦调查局或国税局）、政治人物甚至名人的消息。

• 引起恐惧或紧迫感：人们在害怕或匆忙时往往会鲁莽行事。社会工程诈骗可以使用任意数量的方法来诱发受害者的恐惧或紧迫感。例如，告诉受害者最近的信贷交易未获批准，病毒感染了他们的计算机，他们网站上使用的图片侵犯了版权等等。社会工程学还可以利用受害者的“害怕错过”心理 (FOMO)，从而创造出一种不同的紧迫感。

• 迎合贪婪： “尼日利亚王子”骗局是社会工程中最著名的迎合贪婪的例子之一，在这封电子邮件中，有人自称是尼日利亚皇室成员，试图逃离自己的国家，并提供巨额经济奖励，以换取收件人的银行账户信息或少量预付款。这种类型的社会工程攻击也可能来自所谓的权威人物，并营造出一种紧迫感，这是一种强大的组合。这种骗局和电子邮件一样古老，但截至 2018 年，每年仍能骗取 70 万美元。

• 请求帮助或激发好奇心：社会工程策略还可以利用受害者的善良本性。例如，看似来自朋友或社交网站的消息可以提供技术帮助、要求参与调查、声称收件人的帖子已病毒式传播，并提供指向虚假网站或恶意软件下载的欺骗性链接。

网络钓鱼攻击是一种数字或语音信息，它试图操纵接收者共享敏感信息、下载恶意软件、向不法分子转移资金或资产，或采取其他破坏性行动。诈骗者精心制作网络钓鱼信息，使其看起来或听起来像是来自可信或可靠的组织或个人，有时甚至是收件人认识的个人。

网络钓鱼诈骗有多种类型：

• 批量网络钓鱼电子邮件一次发送给数百万收件人。这些电子邮件看似由大型知名企业或机构发送，例如全国性或全球性银行、大型在线零售商、流行的在线支付服务提供商等。在这些电子邮件中，他们会提出通用性请求，例如“我们无法处理您的购买交易，请更新您的信用卡信息”。这些消息通常包含恶意链接，将收件人引导至虚假网站，该网站会捕获收件人的用户名、密码、信用卡数据等。

• 鱼叉式网络钓鱼针对的是特定的个人，通常是有权访问用户信息、计算机网络或有权获取公司资金的人。骗子会对目标进行调查（通常是利用在 LinkedIn、Facebook 或其他社交媒体上找到的信息），伪造一条消息，看似来自目标认识和信任的人，或者提及目标熟悉的情况。鲸鱼网络钓鱼是一种针对知名人士（例如首席执行官或政治人物）的鱼叉式网络钓鱼攻击。在商业电子邮件泄露 (BEC) 中，黑客使用泄露的凭据从权威人物的实际电子邮件帐户发送电子邮件，从而使诈骗更加难以检测。

• 语音网络钓鱼或语音钓鱼是通过电话进行的网络钓鱼。个人通常会接到自称来自联邦调查局的威胁性录音电话，诈骗者利用这种形式进行网络钓鱼。

• 短信网络钓鱼，或称短信钓鱼，是通过短信进行的网络钓鱼。

• 搜索引擎网络钓鱼涉及黑客创建恶意网站，这些网站在热门搜索词的搜索结果中排名靠前。

• 灯笼式网络钓鱼是通过虚假社交媒体帐户进行网络钓鱼，这些帐户伪装成受信任公司的客户服务或客户支持团队的官方帐户。

根据 IBM® X-Force Threat Intelligence Index，网络钓鱼是主要的恶意软件感染途径，占所有事件的 41%。根据《数据泄露成本》报告，网络钓鱼是导致代价最高的数据泄露的最初攻击媒介。

利用诱饵引诱（非刻意双关）受害者在知情或不知情的情况下提供敏感信息或下载恶意代码，方法是用利益许诺甚至是实物的小恩小惠来诱惑他们。

尼日利亚王子骗局可能是这种社会工程技术的最著名例子。更常见的例子包括免费但受恶意软件感染的游戏、音乐或软件下载。但有些形式的诱饵，几乎谈不上任何技巧。例如，一些威胁参与者将受恶意软件感染的 USB 驱动器留在人们可以找到它们、拿到它们并使用它们的地方，因为“嘿，免费的 USB 驱动器”。

尾随（也称为“搭便车”）是指未经授权的人员紧跟授权人员进入包含敏感信息或有价值资产的区域。尾随可以亲自进行，例如，威胁参与者可以跟踪员工通过未锁的门。但尾随也可以是一种数字计策，例如，当一个人将电脑置于无人看管的状态，同时仍在登录私人账户或网络时。

在“假托”中，威胁参与者会为受害者制造一个假的情况，并冒充合适的人来解决这个问题。（最讽刺的是）很多时候其声称受害者受到了安全漏洞的影响，然后提出如果受害者提供重要的账户信息或者由他们接管受害者电脑或设备的控制权，他们就会修复问题。（从技术上讲，几乎每次社会工程攻击都涉及某种程度的“假托”。）

在交换式骗局中，黑客用一种理想的商品或服务来换取受害者的敏感信息。虚假的比赛奖金或看似无害的忠诚度奖励（“感谢您的付款，我们为您准备了一份礼物”）都是交换式计谋的例子。

假冒安全软件也被认为是恶意软件的一种形式，它是利用恐惧来操纵人们共享机密信息或下载恶意软件的软件。假冒安全软件通常采用虚假执法通知的形式，指控用户犯罪，或者采用虚假技术支持信息的形式，警告用户设备上有恶意软件。

在获名自短语“有人在水坑里下毒”的攻击方式中，黑客将恶意代码注入其目标经常光顾的合法网页中。从凭据被盗到无意中下载勒索软件，都是水坑攻击造成的。

众所周知，社会工程攻击很难预防，因为它们依赖于人类心理而不是技术途径。攻击面也很重要：在较大的组织中，只需要一名员工的错误就能损害整个企业网络的完整性。专家建议采取一些措施来降低社会工程诈骗的风险和成功率，其中包括：

• 安全意识培训：许多用户不知道如何识别社会工程攻击。当用户频繁地用个人信息换取商品和服务时，他们并没有意识到，交出电话号码或出生日期等看似普通的信息，可能会让黑客入侵账户。安全意识培训与数据安全 政策相结合，可以帮助员工了解如何保护其敏感数据，以及如何检测和应对正在进行的社会工程攻击。

• 访问控制策略：安全的访问控制策略和技术，包括多重身份验证、自适应身份验证和零信任安全方法，可以限制网络犯罪分子访问公司网络上的敏感信息和资产，即使他们获得了用户的登录凭证。

• 网络安全科技：垃圾邮件过滤器和安全电子邮件网关，是防止某些网络钓鱼攻击到员工的第一道防线。防火墙和防病毒软件可以减轻攻击者进入网络后造成的破坏程度。使用最新补丁更新操作系统还可以消除攻击者通过社会工程利用的一些漏洞。此外，先进的检测和响应解决方案，包括端点检测和响应 (EDR) 和扩展检测和响应 (XDR)，可以帮助安全团队快速检测和消除通过社会工程计策感染网络的安全威胁。