社会工程（Social Engineering）是IT安全领域中的一种严重依赖于与人本身而非计算机进行交互的攻击方式。

在信息安全领域，我们可以根据需要加强网络安全防御，例如在最先进的安全基础设施上花费重金，打造安全网络的护盾。如果某个系统管理员拥有对系统的所有访问权限，但却为人欺骗利用从而获取了其认证信息，那么我们将无法阻止他人对系统的控制或影响。

社会工程就好比是一种骗局游戏，攻击者利用欺骗技术获取个人信息，然后试图让用户执行某个行动，基本上是诱使受害者完成该行为。

1. 网络钓鱼攻击（Phishing Attack）：通常是将恶意电子邮件伪装成合法邮件发送给受害者。

用户收到一封电子邮件，称其银行账户已被泄露，然后邮件中提给了一个链接，通过点击该链接可以重置密码。当转到链接后，看起来像是银行的网站，但实际上是一个假网站，从而用户被诱使输入其密码和凭据，以重置当前密码。这样的话，攻击者便能获得用户的银行账户信息，实施恶意行为。

网络钓鱼的一种变化形式是鱼叉式网络钓鱼，其最终目标是相同的，只不过针对的是个人或团体，攻击对象收到的假邮件可能会包含一些个人信息，比如名字、朋友或家人的名字，所以看上去更值得信赖。

2. 电子邮件欺骗/仿冒（Email Spoofing）：一个消息源伪装成其他东西，以电子邮件为例，当用户收到一封带有误导性发件人地址的电子邮件时，就会发生这种情况。

在发送电子邮件时，假设这邮件是来自一个朋友，该朋友的真实邮件地址在最前面的部分，邮件上说必须查看某个有趣的链接。我们以为是朋友发来的消息，但一旦点击了提供的链接，很有可能就会安装了恶意软件。

并不是所有的社会工程都是数字化的，有一种攻击是需要物理接触的。

3. 诱钓（Baiting）：诱使受害者进行某个行为。

例如，攻击者可以把一个USB驱动器放在某处，如果有人把它插到自己使用的机器上，看看USB里面有什么，这时在机器上便会安装恶意软件，而随手拿走USB的人甚至都不知道这个过程。

4. 尾随攻击（Tailgating）：本质上是通过跟踪真实员工进入限制区域或建筑物，在大多数企业环境中，员工通过使用钥匙卡或其他进入方式限制建筑物。但尾随者可以使用社会工程策略，诱使员工认为他们是出于正当理由进入限制区，比如对大楼进行维护，或者交付包裹等。一旦尾随者进入，他们就可以访问公司的资源。

当然，或许还有很多安全泄露的情况是我们所未意识到的，我们了解得越多，对于构筑网络安全越有利。

#网络安全#