1. 社會工程學簡介

社會工程攻擊是威脅行為者常用的攻擊方式。這是因為，誘騙人們提供訪問權限、信息或金錢通常比利用軟件或網絡漏洞更容易。

您可能還記得，社會工程學是一種利用人為錯誤來獲取私人信息、訪問權限或貴重物品的操縱技術。它是一個涵蓋性術語，可以涵蓋各種各樣的攻擊。每種技術都旨在利用人們的信任天性和他們樂于助人的本性。在本篇文章中，您將了解需要警惕的具體社會工程學策略。您還將了解組織應對這些威脅的方法。

2. 社會工程風險

社會工程學是一種利用人們思維方式的欺騙手段。它利用人們天生的好奇心、慷慨和興奮等情感。威脅者會利用這些情感來影響目標的判斷力，從而對目標進行攻擊。社會工程學攻擊極其容易實施，因此危害極大。

近年來最引人注目的社會工程攻擊之一是 2020 年 Twitter 黑客攻擊 在那次事件中，一群黑客假裝自己是Twitter IT部門的員工，并給他們打電話。利用這種簡單的伎倆，他們成功入侵了Twitter的網絡和內部工具。這讓他們得以控制一些知名用戶的賬戶，包括政客、名人和企業家。

此類攻擊只是威脅行為者利用基本社會工程學技術制造混亂的一個例子。這些攻擊構成了嚴重的風險，因為它們不需要復雜的計算機技能即可執行。防御這些攻擊需要采取多層次的方法，將技術控制與用戶意識相結合。

3. 襲擊跡象

人們常常無法察覺攻擊的發生，直到為時已晚。社會工程學之所以如此危險，是因為它通常能讓攻擊者繞過阻礙他們的技術防御。雖然這些威脅難以預防，但識別社會工程學的跡象是降低攻擊成功可能性的關鍵。

以下是需要警惕的常見社會工程類型：

1. 誘餌攻擊是一種社會工程學手段，旨在誘使人們損害自身安全。一個常見的例子是 USB 誘餌攻擊，它要求攻擊者找到受感染的 USB 驅動器并將其插入自己的設備。

2. 網絡釣魚是指利用數字通信手段誘騙他人泄露敏感數據或部署惡意軟件的行為。它是最常見的社會工程學形式之一，通常通過電子郵件進行。

3. 交換條件是一種誘餌手段，用于誘騙某人相信分享訪問權限、信息或金錢后會獲得獎勵。例如，攻擊者可能會冒充銀行的信貸員，致電客戶，聲稱可以降低信用卡利率。他們會告訴客戶，只需提供賬戶信息即可享受優惠。

4. 尾隨是一種社會工程學手段，指未經授權的人跟隨授權人員進入禁區。這種技術有時也被稱為“搭便車”。

5. 水坑攻擊是指威脅行為者入侵特定用戶群體經常訪問的網站而發動的一種攻擊。這些水坑網站通常會感染惡意軟件。例如，2020 年發生的圣水攻擊就感染了多個宗教、慈善和志愿者網站。

攻擊者可能會使用上述任何一種技術來獲取對組織的未授權訪問權限。從初級員工到高級管理人員，每個人都可能受到這些攻擊。但是，您可以通過告知其他人應注意哪些攻擊，來降低任何企業遭受社會工程學攻擊的風險。

4. 鼓勵謹慎

傳播安全意識通常始于全面的安全培訓。談到社會工程學，在進行相關培訓時，主要應關注以下三個方面：

• 對可疑通信和陌生人保持警惕，尤其是在電子郵件中。例如，注意拼寫錯誤，并仔細檢查發件人的姓名和電子郵件地址。
• 分享信息時務必謹慎，尤其是在社交媒體上。威脅行為者經常在這些平臺上搜索任何可以利用的信息。
• 當某些事情好得令人難以置信時，要控制自己的好奇心。例如，你可能會想點擊電子郵件和廣告中的附件或鏈接。

專業提示：實施防火墻、多因素身份驗證 (MFA)、阻止列表、電子郵件過濾等技術有助于在有人犯錯時分層防御。

理想情況下，安全培訓不應僅限于員工。向客戶普及社會工程學威脅也是緩解這些威脅的關鍵。安全分析師在推廣安全實踐方面發揮著重要作用。例如，分析師的一大工作就是測試系統并記錄最佳實踐，供組織中的其他人遵循。

5. 關鍵要點

人們樂于助人，且秉持信任的天性，這使得社會工程學對犯罪分子來說極具吸引力。只需一次善舉或一時判斷失誤，攻擊便會得逞。犯罪分子竭盡全力使他們的攻擊難以察覺。他們依靠各種操縱技術誘騙目標授予訪問權限。因此，實施有效的控制措施并識別攻擊跡象，對于預防威脅大有裨益。

6. 更多閱讀

OUCH! 是 SANS 研究所提供的免費月刊，報道社會工程趨勢和其他安全主題。

Scamwatch 是用于識別、避免和報告社會工程詐騙的新聞和工具資源。