通過欺騙和操縱，社會工程攻擊誘使目標做攻擊者想要做的事情。社會工程師可能會使用詭計、脅迫或其他手段來影響他們的目標。

社會工程威脅

網(wǎng)絡(luò)攻擊的一個流行概念是，它們涉及黑客識別和利用組織系統(tǒng)中的漏洞。這使他們能夠訪問敏感數(shù)據(jù)、植入惡意軟件或采取其他惡意行動。雖然這些類型的攻擊很常見，但更常見的威脅是社會工程。一般來說，誘騙一個人采取特定行動（例如將他們的登錄憑據(jù)輸入網(wǎng)絡(luò)釣魚頁面）比通過其他方式實現(xiàn)相同目標更容易。

11 種社會工程學(xué)攻擊

網(wǎng)絡(luò)威脅參與者可以通過各種方式使用社會工程技術(shù)來實現(xiàn)他們的目標。常見社會工程攻擊的一些示例包括：

網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚涉及發(fā)送旨在欺騙或脅迫目標執(zhí)行某些操作的消息。例如，網(wǎng)絡(luò)釣魚電子郵件通常包含指向網(wǎng)絡(luò)釣魚網(wǎng)頁的鏈接或使用戶計算機感染惡意軟件的附件。魚叉式網(wǎng)絡(luò)釣魚攻擊是一種針對個人或小團體的網(wǎng)絡(luò)釣魚。

商業(yè)電子郵件妥協(xié)(BEC)：在 BEC 攻擊中，攻擊者偽裝成組織內(nèi)的高管。然后，攻擊者指示一名員工進行電匯，向攻擊者匯款。

發(fā)票欺詐：在某些情況下，網(wǎng)絡(luò)犯罪分子可能會冒充供應(yīng)商或供應(yīng)商從組織中竊取資金。攻擊者發(fā)送一張偽造的發(fā)票，付款后，會將錢匯給攻擊者。

品牌冒充：品牌冒充是社會工程攻擊中的一種常見技術(shù)。例如，網(wǎng)絡(luò)釣魚者可能假裝來自主要品牌（DHL、LinkedIn 等）并誘騙目標登錄他們在網(wǎng)絡(luò)釣魚頁面上的帳戶，向攻擊者提供用戶的憑據(jù)。

捕鯨：捕鯨攻擊基本上是針對組織內(nèi)高級員工的魚叉式網(wǎng)絡(luò)釣魚攻擊。高管和上層管理人員有權(quán)授權(quán)有利于攻擊者的行動。

誘餌：誘餌攻擊使用免費或令人滿意的借口來吸引目標的興趣，促使他們交出登錄憑據(jù)或采取其他行動。例如，以免費音樂或高級軟件折扣來吸引目標。

網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚或“語音網(wǎng)絡(luò)釣魚”是一種通過電話進行的社會工程形式。它使用與網(wǎng)絡(luò)釣魚類似的技巧和技術(shù)，但使用不同的媒介。

網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚是通過 SMS 文本消息執(zhí)行的網(wǎng)絡(luò)釣魚。隨著智能手機和縮短鏈接服務(wù)的使用越來越多，網(wǎng)絡(luò)釣魚正成為一種越來越普遍的威脅。

借口：借口涉及攻擊者創(chuàng)建一個虛假場景，在該場景中，目標向攻擊者匯款或移交敏感信息是合乎邏輯的。例如，攻擊者可能聲稱自己是受信任方，需要信息來驗證受害者的身份。

Quid Pro Quo：在交換條件攻擊中，攻擊者給目標一些東西——例如金錢或服務(wù)——以換取有價值的信息。

尾隨/搭載：尾隨和搭載是用于進入安全區(qū)域的社會工程技術(shù)。社會工程師會在某人不知情的情況下跟蹤某人進門。例如，員工可能會為搬運沉重包裹的人扶門。

如何防止社會工程攻擊

社會工程針對組織的員工而不是其系統(tǒng)中的弱點。組織可以防止社會工程攻擊的一些方法包括：

員工教育：社會工程攻擊旨在欺騙預(yù)期目標。培訓(xùn)員工識別并正確應(yīng)對常見的社會工程技術(shù)有助于降低他們被這些技術(shù)所欺騙的風(fēng)險。

最小權(quán)限：社會工程攻擊通常以用戶憑據(jù)為目標，這些憑據(jù)可用于后續(xù)攻擊。限制用戶的訪問權(quán)限可以限制使用這些憑據(jù)可能造成的損害。

職責(zé)分離：關(guān)鍵流程（例如電匯）的責(zé)任應(yīng)在多方之間分配。這確保了攻擊者不會欺騙或脅迫任何一名員工執(zhí)行這些操作。

反網(wǎng)絡(luò)釣魚解決方案：網(wǎng)絡(luò)釣魚是最常見的社會工程形式。電子郵件掃描等反網(wǎng)絡(luò)釣魚解決方案有助于識別和阻止惡意電子郵件到達用戶的收件箱。

多因素身份驗證 (MFA)： MFA 使攻擊者更難使用被社會工程學(xué)破壞的憑據(jù)。除了密碼之外，攻擊者還需要訪問其他 MFA 因素。

端點安全：社會工程通常用于將惡意軟件傳送到目標系統(tǒng)。端點安全解決方案可以通過識別和修復(fù)惡意軟件感染來限制成功的網(wǎng)絡(luò)釣魚攻擊的負面影響。