欺騙的藝術——你被社工了嗎？

社會工程透過人類互動來完成駭客活動，在網路攻擊中，駭客們可以憑藉一些細微的線索，比如使用者名稱、圖片或者社交平臺的動態來完成資訊的重新梳理，並以此拼湊出你的個人情況，社會背景等資訊，使用心理操縱來誘騙使用者犯安全錯誤或洩露敏感資訊。

社會工程攻擊發生在網路攻擊的一個或多個步驟中。攻擊者首先調查目標受害者以收集必要的背景資訊，採取行動以獲得受害者的信任，併為破壞安全實踐的後續行動提供刺激，例如洩露敏感資訊或授予對關鍵資源的訪問許可權。社會工程的危險的在於它依賴人為錯誤，而非軟體和作業系統中的漏洞。合法使用者犯的錯誤更難預測，這使得它們比基於惡意軟體的入侵更難識別和阻止。

本篇文章將詳細介紹社會工程攻擊方式以及如何進行防範。

社會工程攻擊

社會工程攻擊有許多不同的形式，可以在涉及人機互動的任何地方執行。以下是五種最常見的數字社會工程攻擊形式。

實物/線上誘餌

顧名思義，誘餌攻擊使用虛假承諾來激起受害者的貪婪或好奇心，引誘使用者進入一個竊取他們的個人資訊或給他們的系統帶來惡意軟體的陷阱。

最受詬病的誘餌形式使用物理媒體來傳播惡意軟體，比如公司工資單中的標籤，電腦桌上的隨身碟，這些日常中隨處可見的工具有可能其實是駭客留下的誘餌。受害者出於好奇拿起誘餌並將其插入工作或家庭計算機中，從而導致系統上自動安裝惡意軟體。

誘餌騙局不一定要在現實世界中進行，線上誘餌形式包括引向惡意網站或透過一些虛假廣告、非法網站鼓勵使用者下載受惡意軟體感染的應用程式。

恐嚇軟體

恐嚇軟體涉及受害者受到虛假警報和虛構威脅的轟炸。駭客透過掌握受害者的個人資訊，欺騙他們系統感染了惡意軟體或遭到攻擊，從而促使使用者安裝真正的惡意軟體。恐嚇軟體也稱為欺騙軟體、流氓掃描軟體和欺詐軟體。

一個常見的恐嚇軟體示例是在您瀏覽網頁時出現在您的瀏覽器中的看似合法的彈出橫幅，顯示諸如“您的計算機可能感染了有害的間諜軟體程式”之類的文字。從而為使用者提供安裝工具（通常受惡意軟體感染），或者引導使用者通往計算機被感染的惡意站點。

恐嚇軟體還透過垃圾郵件分發，發出虛假警告，或為使用者提供購買無價值/有害服務的提議。

資訊刺探

該騙局通常由犯罪者發起，假裝需要受害者的敏感資訊以執行關鍵任務。攻擊者通常首先透過冒充同事、警察、銀行和稅務官員或其他具有知情權的人與受害者建立信任，並藉機提出需要確認受害者身份，透過這些問題收集重要的個人資料。

各種相關資訊和記錄都是透過這種騙局收集的，例如社會安全號碼、個人地址和電話號碼、電話記錄、員工休假日期、銀行記錄，甚至與實體工廠相關的安全資訊。

網路釣魚

作為最流行的社會工程攻擊型別之一， 網路釣魚詐騙直接透過電子郵件和簡訊讓受害者產生緊迫感、好奇心或恐懼感，促使他們洩露敏感資訊、點選惡意網站的連結或開啟包含惡意軟體的附件。

攻擊者透過傳送電子郵件，提醒使用者違反政策，需要他們立即採取行動，例如要求更改密碼，從而將使用者指向非法網站——外觀幾乎與其合法版本相同——促使使用者輸入他們當前的憑據和新密碼。

網路釣魚的漏洞在於，攻擊者在此過程中項向所有使用者傳送相同或幾乎相同的訊息，對於一些有權訪問威脅共享平臺的郵件伺服器來說，可以更容易的發現這些攻擊並予以攔截。

魚叉式網路釣魚

這是網路釣魚詐騙的更有針對性的版本，攻擊者可以選擇特定的個人或企業。根據受害者的特徵、工作職位和聯絡人來定製他們的資訊，並且可能需要數週和數月才能完成，但是這種攻擊往往更難被發現並且成功率更高。

社會工程學預防

社會工程師操縱人類的感情，透過讓受害者產生好奇或恐懼，從而將受害者拉入設計好的陷阱。天上不會掉餡餅，當你在網頁或郵件中看到一些令人難以拒絕的優惠時，那大機率可能是個陷阱。保持警惕可以保護自己免受數字領域中發生的大多數社會工程攻擊。

· 不要開啟來自可疑來源的電子郵件和附件 ——如果不認識相關發件人，無需回覆郵件。即使確實認識他們也要保持警惕，交叉檢查並確認來自其他來源的訊息，例如透過電話或直接來自服務提供商的網站。即使是據稱來自可信來源的電子郵件也可能實際上是由攻擊者發起的。

· 使用多因素身份驗證 ——攻擊者尋求的最有價值的資訊之一是使用者憑據，使用多因素身份驗證有助於確保您的帳戶在系統受損時得到保護。

保持您的防病毒/反惡意軟體更新 - 確保使用自動更新，定期檢查以確保已應用更新，並掃描您的系統以查詢可能的感染。