郭盛华：黑客使用社会工程学进行欺骗的3种方式

近日，国际知名白帽黑客、东方联盟创始人郭盛华微博发布一篇技术论文，他提到黑客使用社会工程学进行欺骗的3种方式，我们来仔细研读一下。

1.黑客通过网络钓鱼电子邮件或电话进行攻击。

网络工程是最常见的社会工程形式之一，而黑客却试图让您的单击或下载注入了恶意软件的附件来感染公司设备，从而使坏人得以进入。这些狡猾的电子邮件发送者常常伪装成重要的东西。领导负责人，假装自己可以信任的经理或供应商。他们还常常使人产生打开文件或执行特定任务的紧迫感，甚至会恐惧地促使收件人做出轻率的判断。

但是网络钓鱼电子邮件并不是唯一的做法。一些黑客使用借口电话，AKA语音网络钓鱼（诱骗）—呼叫业务扩展并冒充权威人物，以使您的员工共享秘密或内部知识，这也将帮助黑客窃取信息。我们都收到了威胁性的语音邮件，这些邮件说您迟到付款或违反合规性，渴望让您回电并共享您的个人信息。

郭盛华提醒企业，每当您的员工在其邮箱中找到带有附件的电子邮件时，请提醒他们在单击之前进行思考。如果他们收到可疑的语音邮件，请进行调查并致电公司，以确认通话合法。

2.黑客可以模仿您手机中的联系人并给您发短信。

多年来，关于棘手的短信的讨论一直在嗡嗡作响：黑客通过威吓性消息向电话号码发送垃圾邮件，例如：“刚刚从您的银行帐户中提取了500元，您这样做了吗？如果没有，请拨打此电话号码” 。

但是，黑客已经采取了新的策略，现在使用软件伪装成可信任的联系人，这样您就永远无法真正知道在屏幕后面发消息的是谁。

犯罪分子可以通过向您冒充员工来轻松地尝试这种策略。他们只是简单地要求采取行动，并指定“现在不回复，我正在开会”或其他借口，可以使他们有足够的时间来获得他们想要的东西，然后目标才发现任何可疑的东西。因此，始终最好请您的员工在合规之前打电话并核实任何要求。向您的员工灌输这种感觉，或者更好的是，创建一个协议以通过文本或电子邮件再次验证授权机构的任何请求。

3.黑客也可以通过获取虚假信息或要求插入受感染的驱动器或电缆来亲自使用社会工程手段。

黑客并非仅是网络掠食者：他们还可以采取实际行动来获取对您系统的访问权限。除了明显的破坏，即坏人直接从您的办公室窃取文件或设备外，其他人也可以走到您家门口，然后在您的面前窃取信息。

不良行为者可以使用设备从邻近访问卡中窃取员工凭证。这些聪明的网络窃贼可以在几个小时后进入大楼，并插入服务器以窃取信息。

郭盛华表示："在其他更公共的环境中，恶意黑客可以通过简单地插入受恶意软件感染的USB棒或电缆来为您的安全性创造一扇门到您员工的计算机中。它所能做的只是一个简单的问题，“嘿，我可以插上它来打印东西吗？” 或者，“您介意我是否在这台笔记本电脑上为手机充电吗？” 从而使他们能够远程访问您员工的台式机和其他公司的服务器。为避免此类社会工程计划，请始终提醒您的员工在将未知设备插入计算机之前要三思而行，并严厉禁止将未知驱动器或电缆插入公司设备。“ （欢迎转载分享）