信息安全意识分享—社会工程学

前面分享了数据安全、电子邮件安全等主题，今天为大家介绍利用人性弱点发动攻击造成破坏的社会工程学攻击，以及它的威胁和风险，并提出相关安全行为规范建议。

一、社会工程学介绍

1.社会工程学定义

我们经常会听到社会工程学攻击，经常会听到社会工程学攻击、社工，包括社工攻击。那么什么叫做社会工程学？以下是一个标准定义和相关场景：

按照社会工程学本身的定义，其实是社会工程学攻击，简称社工。这种攻击手段不依赖于任何技术手段，利用人性的弱点发动攻击，从而造成相应的破坏，例如造成信息泄露、金钱损失等等。

社会工程学本身不依赖于任何技术，但又经常和技术手段结合起来使用。比如和邮件、电话等等结合起来进行网络钓鱼、电话钓鱼，去发挥它最大的效率。虽然不依赖于技术手段，但是破坏性很强。

2.社会工程学特征

1）紧迫性：对于要求受害者实施的动作采取时间限制；

2）附件超链接：为了获取信息和访问权限，目标被要求点击链接或打开附件；

3）不寻常的发送者：伪装成你认识的人，仿冒他人身份给你发信息；

4）看着太好反而不像是真的：如果信息看起来太好了而不像是真的，那么他就是假的，很有可能是一次社工攻击。

3.社会攻击的目的

社工攻击最主要的目的是用来窃取机密信息。

例如，黑客打电话给客服，仿冒客户向客服询问客户的更多的信息，造成客户信息的泄露，或者做一个可以记录用户密码的恶意程序，发到用户邮箱，通过诱骗性的标题，使用户打开文件，从而利用这个文件监听重要的数据和信息，造成信息的窃取和泄露。

如果用户被窃取的信息里包含用户名、密码等一些重要的账号信息，那么黑客就可以利用这些信息对用户的设备进行未授权的访问。

4.攻击者类型

1）黑客组织

2）有组织的犯罪团体

3）黑客初学者

4）国家支持的团体

二、社会工程学攻击威胁和风险

1.攻击手段了解了社会工程学的定义及特征之后，我们看一下最常见的攻击手段：2.攻击威胁和风险

1）机密信息的泄露

2）金钱的损失

3）设备和应用的仿冒登录

4）人身侵害

据统计，针对私有企业的计算机攻击，有71%是社会工程学攻击。由于社会工程学攻击的破坏性很强，而且容易实施，不需要依赖过多的技术手段，所以大部分企业遭受的都是社会工程学攻击。这其中有高达50%是业务欺诈邮件，而且平均需要4.8个月来检测计算机攻击。

三、安全行为规范建议

在了解了社会工程学攻击的威胁和风险后，我们需要从公司和个人角度来加强防范，避免遭受更大的损失。