社会工程学

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
防范社会工程学攻击的简单技巧与姿势明明知道2015-05-06共662972人围观 ，发现 14 个不明物体网络安全
社会工程学的方方面面

互联网是人、组织机构与电脑之间相互联系的迷宫。而最简单的攻击方式便是找出关系中的薄弱环节。通常人是这三者中最弱的一环，因此也成为了攻击进入任何组织电脑网络最简单的方式。

现代黑客已经将攻击目标由组织机构的系统转为人类的操作系统（Human Operating System）。对个体攻击需要一套不同的工具和从蛮力转变为策略的技巧，而社会工程学利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益等等都为黑客攻击提供了极大的方便。

FreeBuf百科：社会工程学

社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。

现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码，电话诈骗如以知名人士的名义去推销诈骗等，都运用到社会工程学的方法。近年来，更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。

且不论形式及内容，社会工程攻击的成功很大程度上取决于人类在尝试谨慎分析不同情况时出现的盲点。实际上，网络安全就是知道在任何给定情况下你可以将机密信息托付给谁。保持警惕性以及避免在任何情况下根据表面想象进行判断可以让你在防御社会攻击中更胜一筹。

有哪些常见的社会工程学攻击？

社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。这是一个保持不断完善并快速发展的艺术。但一些社会工程攻击误区仍然时有出现，如下所示。

伪造一封来自好友的电子邮件：这是一种常见的利用社会工程学策略从大堆的网络人群中攫取信息的方式。在这种情况下，攻击者只要黑进一个电子邮件帐户并发送含有间谍软件的电子邮件到联系人列表中的其他地址簿。值得强调的是，人们通常相信来自熟人的邮件附件或者是链接，这便让攻击者轻松得手。

在大多数情况下，攻击者利用受害者账户给你发送电子邮件，声称你的“朋友”因旅游时遭遇抢劫而身陷国外。他们需要一笔用来支付回程机票的钱，并承诺一旦回来便会马上归还。通常，电子邮件中含有如何汇钱给你“被困外国的朋友”的指南。

钓鱼攻击：这是个运用社会工程学策略获取受害者的机密信息的老把戏了。大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者，例如FBI。

通常网络骗子冒充成你所信任的服务提供商来发送邮件，要求你通过给定的链接尽快完成账户资料更新或者升级你的现有软件。大多数网络钓鱼要求你立刻去做一些事，否则将承担一些危险的后果。点击邮件中嵌入的链接将把你带去一个专为窃取你的登录凭证而设计的冒牌网站。

钓鱼大师们另一个常用的手段便是给你发邮件声称你中了彩票或可以获得某些促销商品，要求你提供银行信息以便接收彩金。在一些情况下，骗子冒充FBI表示已经找回你“被盗的钱”，因此需要你提供银行信息一边拿回这些钱。

诱饵计划：在此类型的社会工程学阴谋中，攻击者利用了人们对于例如最新电影或者热门MV的超高关注，从而对这些人进行信息挖掘。这在例如Bit torrent等P2P分享网络中很常见。

另一个流行方法便是以1.5折的低价贱卖热门商品。这样的策略很容易被用于假冒eBay这样的合法拍卖网站，用户也很容易上钩。邮件中提供的商品通常是不存在的，而攻击者可以利用你的eBay账户获得你的银行信息。

主动提供技术支持：在某些情况下，攻击者冒充来自于微软等公司的技术支持团队，回应你的一个解决技术问题的请求。尽管你从没寻求过这样的帮助，但你会因为自己正在微软产品并存在技术问题而尝试点击邮件中的链接享用这样的“免费服务”。

一旦你回复了这样的邮件，便与想要进一步了解你的计算机系统细节的攻击者建立了一个互动。在某些情况下攻击者会要求你登录到“他们公司系统”或者只是简单寻求访问你的系统的权限。有时他们发出一些伪造命令在你的系统中运行。而这些命令仅仅为了给攻击者访问你计算机系统的更大权限。

如何免受社会工程学攻击？

钓鱼攻击

当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话。在提供任何个人信息之前验证其可靠性和权威性。

缓慢并认真地浏览电子邮件和短信中的细节。不要让攻击者消息中的急迫性阻碍了你的判断。

自学。信息是预防社会工程攻击的最有力的工具。研究如何鉴别和防御网络攻击者。

永远不要点击‍‍来自未知发送者的电子邮件中的嵌入链接‍‍。如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL。

永远不要在未知发送者的电子邮件中下载附件。如果有必要，可以在保护视图中打开附件，这个在许多操作系统中是默认启用的。

拒绝来自陌生人的在线电脑技术帮助，无论他们声称自己是多么正当的。

使用强大的防火墙来保护你的电脑空间，及时更新杀毒软件同时提高垃圾邮件过滤器的门槛。

下载软件及操作系统补丁，预防零日漏洞。及时跟随软件供应商发布的补丁同时尽可能快地安装补丁版本。

关注网站的URL。有时网上的骗子对URL做了细微的改动，将流量诱导进了自己的诈骗网站。

不要幻想不劳而获。如果你从来没有买过彩票，那你永远都不会成为那个中大奖的幸运儿。如果你就没有丢过钱，那为什么还要接受来自FBI的退款呢？

不幸成了社会工程攻击的受害者，该怎么办？

由于社会工程攻击的温柔属性，大多数受害者都不知道他们已经被攻击了，而可能要耗费几个月的时候才能发现这个安全漏洞。一旦你怀疑自己是社会工程攻击的受害者时，你首先要做的就是重设一个密码。

为你的所有账户创建一个新的强密码，并且要确保你的新密码与你的家人无关，因为攻击者可能知道很多关于你和你的家人的信息。其次，联系你的银行，仔细检查你的财务报表。最后，可以考虑报告有关职能机构，以避免潜在发生的身份盗窃及冒名邮件诈骗。

总结

社会工程学攻击这个老掉牙的骗局随着时间的推移变得更好也更狡猾了。黑客将持续使用这一攻击方式，并年复一年地得到不俗的回报。防范社会工程学攻击就必须要知道在网上何时该相信何人。在你提供个人信息前请谨慎地分析每一个情况。更为重要的是，在网络上不要过于贪婪了。当一笔交易实在是太“划算”的时候，请三思而后行！

* 参考来源hackread，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

更多精彩# 社会工程学
明明知道
明明知道
131 篇文章
等级： 8级
||
相关推荐

电子邮件安全问题分析（一）

2019年最大的网络威胁：电子商务网络攻击的崛起

电子邮件安全问题分析（二）

网络攻击瞄准个人银行，谈谈5个典型攻击手段

社交媒体和骗局：赛门铁克发布2015网站安全威胁报告

BEC诈骗横行，企业员工如何防钓鱼？

当微信遇上社会工程学，明枪易躲暗箭难防

卡巴斯基2019年Q1垃圾邮件与钓鱼攻击统计分析

这些评论亮了

Mr_ettercap回复
对于刚刚成年的我来说，社会工程学基本无效。没有女朋友，没有存款，更不会有人找我借钱
)19(亮了
发表评论已有 14 条评论

Mr_ettercap 2015-05-06回复1楼
对于刚刚成年的我来说，社会工程学基本无效。没有女朋友，没有存款，更不会有人找我借钱

亮了(19)

TMS (1级) 2015-05-06回复2楼
专业社工师表示，很难预防。。。成功率依然还是比较高的

亮了(5)

M 2015-05-06回复
@ TMS 肿么才能称谓专业社工师呢

亮了(3)

jacker (6级)Ubuntu Arch Vim爱好者 2015-05-06回复3楼
对于不会操作电脑的不用担心社工的

亮了(3)

yege0201 (3级) 2015-05-06回复4楼
比如看到这篇文章的标题然后点了进来，其实就已经证明被社会工程学了（但并不属于攻击）~这就是利用了人们的好奇心，最常见的就是“标题党”

社会工程学不好防，但社会工程学攻击还是能够通过加强意识及时止损的~

亮了(5)

换个马甲去看你 2015-05-06回复5楼
朋友此言差矣，有可能最终目标不是你，但你绝对有可能是其中一环

亮了(2)

打到资本主义 2015-05-06回复6楼
楼主妖言惑众，小心我社你～国内各大黑阔拿手的就是”社工”

亮了(0)

夜尽天明 (6级)千秋邈矣独留我，百战归来再读书 2015-05-06回复7楼
河蟹表示不服

亮了(0)

夜尽天明 (6级)千秋邈矣独留我，百战归来再读书 2015-05-06回复8楼
~~~河蟹怎么变河蟹了

亮了(0)

父亲 (4级) 2015-05-06回复9楼
社工，防不了。 完。

亮了(1)

丶苏晨c 2015-05-07回复10楼
[挖鼻]

亮了(0)

ban1sh 2015-05-07回复11楼
这叫探测案例;-)

亮了(0)

闭关中的雾玥_vulpes殿下 2015-05-07回复12楼
现在都是失败案例吧

亮了(0)

hawkeye 2017-07-15回复13楼
@ Mr_ettercap ，我是你远方亲戚，借我10000快，2天就还你

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登录？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
明明知道
明明知道

be kind to one another

131
文章数
53
评论数
0
关注者

关注
最近文章
如何证明你是“比特币之父”中本聪？
2016.04.14

供应链安全问题再现：一个药品管理系统怎么会有1400个漏洞？
2016.04.04

中国黑客在Pwn2Own 2016上是怎样一种存在？
2016.03.17

浏览更多
相关阅读
Google Hacking：教你找女神当微信遇上社会工程学，明枪易躲暗箭难防《通天神偷》之溜进某电力公司服务器Camelishing：成熟的社会工程学工具技术分享小心图片泄露你的信息
推荐关注

官方公众号

聚焦企业安全

官方QQ群 FreeBuf官方微博
文章目录

活动预告
3月

纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月

合规、技术、实践，从隐私保护走向数据安全
已结束
3月

冠军选手帮你把CTF知识点各个击破
已结束
3月

CTF之web安全入门
已结束

本站由阿里云 提供计算与安全服务

官方QQ群：590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank