黑客社会工程学：这些狡猾骗局，你必须知道

社会工程学攻击，利用了人类共有的特点，如本能反应、好奇心、信任、贪便宜等，顺从你的意愿，满足你的欲望，从而实施网络攻击或物理场所攻击，以获取利益。

黑客眼里，人是最大的漏洞之一

社交是人类的基本需求——我们喜欢互相帮助，也倾向于相信其他人是真诚的。然而，原本出于善意的行为，有时会被有心人利用，成为网络安全中的薄弱环节。

很多时候，黑客攻击的入口并非技术漏洞，而是社会工程。社会工程手段就像古老的“行骗术”一样由来已久，同时针对数字时代进行了推陈出新。

一次社会工程学攻击流程

典型社会工程学攻击，你知道哪几种？

最广泛、最有效的当属钓鱼邮件：

• 普通网络钓鱼：向已知邮箱发送钓鱼邮件，无特定目标，诱使点击恶意链接，进而入侵系统。
• 鱼叉式钓鱼攻击：专门针对目标受害者，冒充熟人或权威人员，盗取机密信息和钱财。
• 水坑式钓鱼攻击：对一类人、组织机构或行业进行研究，设置陷阱，等待“上钩”。例如：寻找攻击目标经常访问的网站，攻破网站并植入攻击代码，等待他们再次访问。

除此之外，还有：

社会工程学攻击实例解析

安博通安全服务团队，在多年实战攻防经历中，积累了丰富的反社会工程学攻击的经验，今天就为你分享6个真实案例。

案例1：钓鱼邮件攻击

攻击描述：搭建钓鱼攻击服务器，伪造企业HR身份，向全体员工发送钓鱼邮件，标题为“薪资调整”。合理的身份、敏感的内容，能够大大增加邮件点开率；员工点开邮件的同时，钓鱼服务器会记录下点击时间、点击IP地址等信息。

攻击结果：邮件点开率超过20%，员工安全意识一般；管理员反应时间在30-60分钟之间，在相对较短时间内进行了响应。

安博通安全建议：定期开展相关演练或培训，提升员工安全意识。

案例2：电话社工攻击

攻击描述：冒充客户给工作人员打电话，谎称有业务需求，套取领导个人信息。

攻击结果：获取领导手机号的成功率为25%，未获取其他信息，工作人员具备一定的安全意识。

案例3：互联网IM信息收集

攻击描述：针对IM聊天软件某Q、某抖进行信息收集，攻击者会利用泄露到互联网的敏感信息危害企业，如网络拓扑图、电话、邮箱、项目文档、供应链等信息。

攻击结果：加入工作群的成功率为33%，内有大量敏感文件。职工手机号关联社交平台账号，在发布内容中可见敏感信息。

案例4：物理场所社工-进入办公大楼

攻击描述：伪装成技术人员，进入办公大楼，检验访问流程是否有人员登记、身份确认等环节。

攻击结果：仅简单核实到访目的，未留存任何访客信息，未进行身份确认，访问流程较宽松。

场景5：物理场所社工-获取敏感信息

攻击描述：进入办公场所后，检验能否进入重要区域，并获取敏感信息。

攻击结果：办公场所的垃圾桶内，未发现带有敏感信息的文件。但有办公室无人未上锁，可以自由进出，成功获取敏感信息。

安博通安全建议：1、针对关键岗位，进一步强化安全意识。2、完善出入访问流程。3、制定核查访问人员身份的制度。4、办公室无人需锁门。

场景6：物理场所社工-进入核心机房

攻击描述：冒充公司内部员工，谎称要对机房和主机进行安全检查。

攻击结果：未进行身份验证与核查，即可进入核心机房，可操作办公人员电脑。机房未锁门，没有出入记录和电子门禁，管理较为宽松。

安博通安全建议：加强核心机房建设及管理，强化机房管理人员的防范意识。