网络安全知识：社会工程学

什么是社会工程学？

社会工程是操纵、影响或欺骗受害者以控制计算机系统或窃取个人和财务信息的策略。 它利用心理操纵来诱骗用户犯安全错误或泄露敏感信息。

社会工程攻击通过一个或多个步骤发生。犯罪者首先调查目标受害者，以收集继续攻击所需的必要背景信息，例如潜在的进入点和薄弱的安全协议。然后，攻击者使用某种形式的借口 （例如假冒）来获得受害者的信任，并为后续破坏安全实践的行动提供刺激，例如泄露敏感信息或授予对关键资源的访问权限。

社会工程攻击的类型

社会工程攻击有多种不同的形式，可以在涉及人类交互的任何地方进行。以下是数字社会工程攻击的常见形式。

网络钓鱼：使用批量电子邮件、短信或电话伪装成值得信赖的实体，试图获取敏感信息（例如用户名、密码和信用卡详细信息）的过程。网络钓鱼邮件会让邮件收件人产生一种紧迫感、好奇心或恐惧感。该消息将促使受害者泄露敏感信息、点击恶意网站的链接或打开包含恶意软件的附件

诱饵：一种社会工程攻击，诈骗者使用虚假承诺引诱受害者落入陷阱，这可能会窃取个人和财务信息或给系统带来恶意软件。该陷阱可能采用带有诱人名称的恶意附件的形式。

最常见的诱饵形式是使用物理介质来传播恶意软件。例如，攻击者将受恶意软件感染的闪存驱动器作为诱饵，放在潜在受害者肯定会看到的显眼区域。当受害者将闪存驱动器插入工作或家庭计算机时，恶意软件就会自动安装在系统上。诱饵诈骗也以诱人广告的形式出现在网上，这些广告会导致恶意网站或鼓励用户下载受恶意软件感染的应用程序。

尾随：也称为“捎带”。未经授权的人员通过使用社会工程策略进入受限制或仅限员工授权的区域的物理违规行为。攻击者可能会冒充送货司机或保管人员。一旦员工打开门，攻击者就会要求员工把门，从而进入大楼。 

恐吓软件： 恐吓软件涉及受害者受到虚假警报和虚构威胁的轰炸。用户被欺骗，认为他们的系统感染了恶意软件，促使他们安装允许犯罪分子远程访问的软件，或者以比特币的形式向犯罪分子支付费用，以保留犯罪分子声称拥有的敏感视频。

垃圾箱潜水：诈骗者会在未经适当清理或销毁的垃圾中搜索敏感信息，例如银行对账单、预先批准的信用卡、学生贷款、其他帐户信息。 

交换条件： 交换条件涉及犯罪分子请求交换某种类型的敏感信息（例如关键数据、登录凭据或货币价值）以换取服务。例如，计算机用户可能会接到犯罪分子打来的电话，该犯罪分子冒充技术专家，提供免费的 IT 帮助或技术改进以换取登录凭据。如果某个报价听起来好得令人难以置信，那么它很可能是一个骗局并且不合法。 

社会工程预防

• 不要打开来自可疑来源的电子邮件附件。即使确实认识发件人并且该消息看起来可疑，最好直接与该人联系以确认该消息的真实性。

• 使用多重身份验证 (MFA)。攻击者寻求的最有价值的信息之一是用户凭据。使用 MFA 有助于确保您的帐户在帐户遭到泄露时得到保护。按照计算服务说明下载 DUO 双因素身份验证，为 Andrew账户添加另一层保护。

• 警惕诱人的优惠。如果某个提议看起来好得令人难以置信，那可能是因为它确实如此。使用搜索引擎查找主题，这可以帮助您快速确定您正在处理的是合法优惠还是陷阱。

• 清理社交媒体。社会工程师在互联网上搜索他们能找到的关于一个人的任何类型的信息。发布的有关自己的信息越多，犯罪分子就越有可能向您发送有针对性的鱼叉式网络钓鱼攻击。

• 安装和更新防病毒软件和其他软件。确保自动更新已打开。定期检查以确保已应用更新，并每天扫描系统是否存在可能的感染。有关使用和更新防病毒软件的更多说明，请访问计算服务网站上的保护计算机。

• 定期备份数据。如果成为社会工程攻击的受害者，导致整个硬盘驱动器损坏，则必须在外部硬盘驱动器上进行备份或保存在云中。 

• 避免将未知的 USB 插入计算机。当发现 USB 驱动器无人看管时，请将其交给集群顾问、计算机服务帮助中心、住宿助理 (RA) 或卡内基梅隆大学校园警察。

• 应该禁用计算机上的自动运行。自动运行是一项允许 Windows 在 CD、DVD 或 USB 设备插入驱动器时自动运行启动程序的功能。 

• 定期销毁敏感文件。 所有敏感文件，例如银行对账单、学生贷款信息和其他账户信息，均应在交叉粉碎机中物理销毁，或放入蓝色或灰色上锁容器之一并进行焚烧。 

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 网络安全等级保护：什么是等级保护？ 网络安全等级保护：等级保护工作从定级到备案 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 业控制系统安全：DCS风险与脆弱性检测要求思维导图 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 美国关于乌克兰战争计划的秘密文件泄露 五角大楼调查乌克兰绝密文件泄露事件 湖南网安适用《数据安全法》对多个单位作出行政处罚 如何减少制造攻击面的暴露 来自不安全的经济、网络犯罪和内部威胁三重威胁 2023 年OWASP Top 10 API 安全风险 全国网络安全等级测评与检测评估机构目录（6月6日更新） 什么是渗透测试，能防止数据泄露吗？ SSH 与 Telnet 有何不同？

原文始发于微信公众号（祺印说信安）：网络安全知识：社会工程学