浅谈社会工程学攻击

一、前言

1.1 社会工程学起源

        社会工程学是黑客米特尼克在《欺骗的艺术》中所提出，其初始目的是让全球的网民们能够懂得网络安全，提高警惕，防止没必要的个人损失。但在我国黑客集体中还在不断使用其手段欺骗无知网民制造违法行为，社会影响恶劣，一直受到公安机关的严厉打击。一切通过各种渠道散布、传播、教授黑客技术的行为都构成传授犯罪方法罪。
        经过多年的应用发展，社会工程学逐渐产生出了分支学科，如公安社会工程学和网络社会工程学。

二、什么是社会工程学？

 2.1 社会工程学定义

        利用了人的本能反应、人性、好奇心等心里弱点，使人毫不知觉的被人操控、心甘情愿的按照攻击者的想法进行活动。简单说就是攻破人的心理防线从而进行利用。（玩弄人性）

2.2 社会工程学攻击的分类

1.基于系统弱点的攻击：

黑客利用软件获取目标的信息。

案例：黑客通过观察被攻击者对电子邮件的响应速度、重视程度以及与被攻击者相关的资料，如个人姓名、生日、电话号码、电子邮箱地址等，通过对这些搜集的信息进行综合利用，进而判断被攻击的账号密码等大致内容，从而获取敏感信息。

2.基于人性弱点的攻击：

黑客与目标进行互动，获取信任，利用目标心里弱点获得信息。

案例：某黑客假冒银行代表，通过电话联系到一位受害者，声称受害者的账户存在问题，需要进行验证。受害者被引导至一个虚假网站，输入了个人银行账号和密码。之后，该男子又以需要进一步核实为由，诱骗受害者向其指定的账户转账数万元。受害者后来发现账户余额被盗刷，才意识到自己被骗了。

三、社会工程学的危害

3.1 真实发生的社工案例

案例一：特洛伊木马骗局

在2008年，一个名为“特洛伊木马”的复杂骗局被揭露出来。这个骗局是通过社会工程学的方法，成功地入侵了多个公司和个人的计算机系统，获取了大量的敏感信息。

这个骗局的过程如下：攻击者首先通过电话和电子邮件等方式，与受害公司的员工取得联系。他们冒充是公司内部的IT部门或管理人员，要求员工访问一个特定的网站或下载一个包含恶意软件的程序。这个程序被称为“特洛伊木马”，它能够秘密地控制受害者的计算机系统，并窃取敏感信息。

在这个案例中，攻击者利用了受害公司员工对权威和内部网络的信任心理，通过伪造电子邮件和网站的外观等方法，诱骗他们执行了不安全的操作，最终导致公司和个人信息的泄露。

案例二：美国社会保障局骗局

在这个案例中，攻击者通过电话和邮件等方式，冒充是美国社会保障局的员工，联系上了受害者并声称他们的账户存在问题。他们要求受害者提供个人信息和银行账号等敏感信息，以便进行调查和验证。

受害者被引导至一个虚假网站，输入了个人敏感信息。之后，攻击者又以需要进一步核实为由，诱骗受害者向其指定的账户转账。受害者后来发现账户余额被盗刷，才意识到自己被骗了。

这个案例中，攻击者利用了受害者对官方机构的信任心理和对个人信息的保护意识不足，通过伪造电话号码和网站的外观等方法，获取了受害人的个人信息和银行账号密码。这种行为同样违反了社会道德和法律法规，给受害者带来了经济损失和心理压力。

3.2社工带来的危害

个人隐私泄露是社会工程学攻击最常见的危害之一。攻击者可以通过伪装成可信的个体或机构，以获取个人的敏感信息，如密码、银行卡信息、身份证号码等，进而进行身份盗窃、财产犯罪等活动。

在企业层面，社会工程学攻击还会导致企业机密泄露、经济损失等。攻击者可能通过社交工程技巧来获取公司的商业机密、客户信息、财务数据等，从而导致企业声誉损害、经济损失甚至破产。

在国家层面，社会工程学攻击也可能导致国家机密泄露、社会混乱、安全受到威胁等严重后果。攻击者可能通过社会工程技巧来获取政府机构和公共服务机构的敏感信息，如国家机密、军事秘密等，进而进行政治渗透、破坏、颠覆等活动，对国家安全和社会稳定造成严重威胁。

四、怎么防御社会工程学

1.强化安全意识教育：组织定期的安全意识培训和教育活动，让员工了解社会工程学攻击的常见手段和防范方法，提高员工对安全问题的警觉性和防范意识。

2.建立安全审计机制：对企业内部系统和应用程序进行安全审计，发现和修复可能存在的安全漏洞。同时，也要对员工进行安全审计，了解他们是否遵守安全规定和操作流程。

3.严格控制个人信息访问权限：只有具备必要权限的员工才能访问敏感信息，并且需要经过多层审批和授权。同时，要定期审查和更新访问权限，确保权限不被滥用。

4.建立完善的网络安全体系：整合各种网络安全技术，如防火墙、入侵检测系统、杀毒软件等，形成完善的网络安全体系，以保护企业和个人的信息安全。

5.限制网络访问：限制对外部网站的访问，特别是与工作无关的网站，以减少员工接触社会工程学攻击的机会。

6.定期备份重要数据：定期备份重要数据，以防止数据被篡改或丢失。同时，也要备份敏感信息，以防止被攻击者利用。

7.提高员工防范技能：通过培训和教育，提高员工识别和应对社会工程学攻击的技能。例如，让他们了解如何避免点击不明链接、如何识别伪造电子邮件等。

8.建立应急响应计划：制定针对社会工程学攻击的应急响应计划，明确应对流程和处理方式。当发生攻击事件时，能够迅速采取措施，减少损失。

9.鼓励员工举报可疑行为：鼓励员工举报可疑行为和事件，以便及时采取措施进行处理。同时，也要保护举报人的隐私和权益，避免打击员工的积极性。

这些建议可以帮助企业和个人更好地防御社会工程学攻击，保护信息安全。但是，由于社会工程学攻击的复杂性和变化性，需要不断更新和改进防御措施，以应对不断变化的攻击手段和方式。