一、了解什么是社会工程学攻击1、社会工程学的定义

简单来说，社会工程学，即攻击者通过人际关系中的欺骗手段，如伪装、胁迫和滥用信任，来获取机密信息，这种攻击方法利用了人类的天性和弱点。

在网络安全领域，当恶意攻击者无法仅仅依靠计算机技术来实现他们的目标时，他们将转向情商高超的手段。这意味着攻击者将利用心理和社交工具来欺骗和操纵人们，以获得他们的敏感信息或执行恶意操作。与此同时，安全专家也在研究这些恶意攻击手段，以便更好地了解和对抗它们，并在长期的实践中形成独具特色的安全理论。这种研究的目的是保护人们的信息和网络安全，确保他们在数字世界中能够安全地运作和交流。

2、什么是基于人的社会工程学攻击？

基于人的社会工程学攻击是一种需要人与人之间的互动才能成功获取所需信息的攻击方式。这些攻击者通常具备出色的人际交往能力，他们利用假冒身份来获取他人的信任、好感、同情或树立权威性。

而基于计算机的社会工程学攻击则是利用软件来获取所需信息的攻击方式。攻击者常常通过伪装真实意图的方式诱导受害者下载或点击恶意链接，从而导致系统未经授权访问或重要信息泄露。

针对社会工程学攻击，最有效的应对方式是定期进行培训、科普和演练，以提升全员的安全意识。通过培训，人们可以了解各种社会工程学攻击的手段和特点，学习如何警惕和防范这些攻击。科普活动可以向人们普及社会工程学攻击的知识，增强他们的警觉性。而演练则通过模拟攻击场景，让人们亲身体验并学习如何应对这些攻击，提高应急反应能力。

通过全员参与的培训、科普和演练，可以形成一种强大的安全意识和防御机制，有效抵御社会工程学攻击的威胁。这将为组织和个人提供更加可靠的信息安全保护。

二、社会工程学的攻击形式

假冒身份：攻击者冒充他人的身份，例如冒充银行职员、客服人员、公司员工等，以获取信任并获取敏感信息。

钓鱼邮件/短信：攻击者发送伪装成合法机构的电子邮件或短信，诱使受害者点击恶意链接或提供个人信息。

社交工程：攻击者通过社交媒体、聊天应用或电话等渠道与受害者互动，获取敏感信息或诱导其执行特定操作。

垃圾邮件/垃圾电话：攻击者发送大量垃圾邮件或拨打垃圾电话，通过欺骗手段引诱受害者提供个人信息或执行恶意操作。

偷窥/肩窃：攻击者通过观察、窃听或记录受害者的活动，获取敏感信息，例如密码、PIN码等。

假冒网站：攻击者创建与真实网站外观相似的假冒网站，引诱用户在其中输入个人信息，以获取敏感数据。

社会工程学攻击通过互联网和电话的结合：攻击者通过电话与受害者互动，冒充合法机构的员工，并引导受害者在网上提供个人信息。

这些只是社会工程学攻击的一些常见形式，攻击者不断创新和改进他们的手段。

三、关于社会工程学攻击的真实案例1、针对英国能源公司的深度伪造攻击

2019 年 3 月，英国的一家能源供应商的首席执行官接到了来自老板的电话

后者要求他将资金发送给匈牙利供应商，来电者表示请求很紧急，要求高管在一小时内付款。并且电话里的人声音听起来和他的老板一模一样，以至于首席执行官最终将 243,000 美元转给了所谓的“匈牙利供应商”的银行账户，而实际上该账户是黑客的。

负责诈骗这家英国能源公司的黑客一共打了三通电话。当243,000美元的转账完成后，黑客打了第二次电话说母公司已经转账以偿还这家英国公司的费用，

当天晚些时候，他们再次冒充首席执行官打了第三次电话，要求再次付款。由于偿还资金的转账尚未到达，而且第三个电话是奥地利的电话号码，因此该高管产生了怀疑。他没有支付第二笔费用。

2、Microsoft 365 网络钓鱼诈骗窃取用户凭据

2021 年 4 月，安全研究人员发现了一种商业电子邮件泄露 ( BEC ) 骗局，该骗局会诱骗收件人在其设备上安装恶意代码。 下面是攻击的工作流程。

目标会收到一封空白电子邮件，其主题会有非常强的针对性。该电子邮件包含一个看起来像 Excel 电子表格文件 (.xlsx) 的附件。但实际上是一个伪装的 .html 文件。

打开（伪装的）.html 文件后，目标将被重定向到包含恶意代码的钓鱼网站。该代码会触发弹出通知，告诉用户他们已从 Microsoft 365 注销，并邀请他们重新输入登录凭据。而当你输入凭据后，钓鱼网站则会将用户的凭据发送给网络犯罪分子。

四、社会工程学的防范1、冒充他人的身份

如银行职员、客服人员或公司员工，以获取信任并获取敏感信息。

防范措施：

2、针对钓鱼邮件、短信

防范措施：

3、社交媒体

防范措施：

4、针对垃圾邮件/垃圾电话

防范措施：

5、偷窥/肩窃

防范措施：

6、假冒网站

防范措施：