社會工程攻擊操縱人們共享不應該共享的信息、下載不應該下載的軟件、訪問不應該訪問的網(wǎng)站、向犯罪分子匯款或犯下其他損害個人或組織安全的錯誤。由于社會工程利用心理操縱并利用人為錯誤或弱點，而不是技術(shù)或數(shù)字系統(tǒng)漏洞，因此有時被稱為“人為黑客攻擊”。

一封似乎來自值得信賴的同事的要求敏感信息的電子郵件、一封聲稱來自美國國稅局的威脅性語音郵件、來自外國統(tǒng)治者的財富——這些只是社會工程的幾個例子。

網(wǎng)絡(luò)犯罪分子經(jīng)常使用社會工程策略來獲取個人數(shù)據(jù)或財務(wù)信息（登錄憑據(jù)、信用卡號、銀行帳號、社會安全號碼），他們可用于身份盜竊，使他們能夠使用人們的金錢或信用進行購物、申請以他人名義申請貸款、申請他人失業(yè)救濟金等等。但社會工程攻擊也可能是更大規(guī)模網(wǎng)絡(luò)攻擊的第一階段。例如，網(wǎng)絡(luò)犯罪分子可能會誘騙受害者共享用戶名和密碼，然后使用這些憑據(jù)在受害者雇主的網(wǎng)絡(luò)上植入勒索軟件。

社會工程對網(wǎng)絡(luò)犯罪分子很有吸引力，因為它使他們能夠訪問數(shù)字網(wǎng)絡(luò)、設(shè)備和帳戶，而無需進行繞過防火墻、防病毒軟件和其他網(wǎng)絡(luò)安全控制的艱巨技術(shù)工作。根據(jù) ISACA 的2022 年網(wǎng)絡(luò)安全狀況報告 （鏈接位于 IBM.com 外部），這是社會工程成為當今網(wǎng)絡(luò)危害的主要原因之一。根據(jù) IBM 的《2022 年數(shù)據(jù)泄露成本》報告，由社會工程策略（例如網(wǎng)絡(luò)釣魚和商業(yè)電子郵件泄露）造成的泄露是成本最高的。

社會工程如何以及為何發(fā)揮作用

社會工程策略和技術(shù)植根于人類動機科學。他們操縱受害者的情緒和本能，其方式已被證明會驅(qū)使人們采取不符合他們最佳利益的行動。

大多數(shù)社會工程攻擊采用以下一種或多種策略：

• 冒充受信任的品牌：詐騙者經(jīng)常冒充或“欺騙”受害者認識、信任的公司，并且可能經(jīng)?；蚪?jīng)常與之開展業(yè)務(wù)——如此頻繁，以至于他們本能地遵循這些品牌的指示，而不采取適當?shù)念A防措施。一些社會工程詐騙者使用廣泛使用的工具包來建立與主要品牌或公司相似的虛假網(wǎng)站。
   
• 冒充政府機構(gòu)或權(quán)威人物：人們信任、尊重或害怕權(quán)威（不同程度）。社會工程攻擊利用這些本能，利用看似或聲稱來自政府機構(gòu)（例如聯(lián)邦調(diào)查局或國稅局）、政治人物甚至名人的消息。
   
• 引起恐懼或緊迫感：人們在害怕或匆忙時往往會魯莽行事。社會工程詐騙可以使用多種技術(shù)來引起受害者的恐懼或緊迫感——告訴受害者最近的信用交易未獲批準、病毒已感染他們的計算機、他們網(wǎng)站上使用的圖像侵犯了版權(quán)等社會工程還可以引起受害者對錯過機會的恐懼（FOMO），從而產(chǎn)生一種不同的緊迫感。
   
• 吸引貪婪：尼日利亞王子騙局——一封電子郵件，其中有人自稱是尼日利亞王室成員，試圖逃離自己的國家，提供巨額經(jīng)濟獎勵，以換取收件人的銀行賬戶信息或少量預付費用——是最好的騙局之一——吸引貪婪的社會工程的已知例子。（它也來自所謂的權(quán)威人物，并營造出一種緊迫感——這是一個強大的組合。）這種騙局與電子郵件本身一樣古老，但截至 2018 年，每年仍能賺得 70 萬美元。
   
• 吸引受害者的幫助或好奇心：社會工程策略還可以吸引受害者的善良本性。例如，看似來自朋友或社交網(wǎng)站的消息可以提供技術(shù)幫助、要求參與調(diào)查、聲稱收件人的帖子已病毒式傳播，并提供指向虛假網(wǎng)站或惡意軟件下載的欺騙性鏈接。

社會工程攻擊的類型

網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚攻擊是數(shù)字或語音消息，試圖操縱收件人共享敏感信息、下載惡意軟件、將資金或資產(chǎn)轉(zhuǎn)移給錯誤的人，或采取其他一些破壞性行動。詐騙者精心制作網(wǎng)絡(luò)釣魚消息，使其看起來或聽起來像是來自受信任或可信的組織或個人（有時甚至是收件人認識的個人）。

網(wǎng)絡(luò)釣魚詐騙有多種類型：

• 批量網(wǎng)絡(luò)釣魚電子郵件一次發(fā)送給數(shù)百萬收件人。它們似乎是由大型知名企業(yè)或組織（國家或全球銀行、大型在線零售商、流行的在線支付提供商等）發(fā)送的，并提出一般性請求，例如“我們在處理時遇到問題”您的購買，請更新您的信用信息。這些郵件通常包含惡意鏈接，將收件人引導至虛假網(wǎng)站，該網(wǎng)站會捕獲收件人的用戶名、密碼、信用卡數(shù)據(jù)等。
   
• 魚叉式網(wǎng)絡(luò)釣魚針對特定個人，通常是有權(quán)訪問用戶信息、計算機網(wǎng)絡(luò)或公司資金的個人。詐騙者通常會使用在 LinkedIn、Facebook 或其他社交媒體上找到的信息來研究目標，以創(chuàng)建一條看似來自目標認識和信任的人的消息，或者提及目標熟悉的情況。鯨魚網(wǎng)絡(luò)釣魚是一種針對知名人士（例如首席執(zhí)行官或政治人物）的魚叉式網(wǎng)絡(luò)釣魚攻擊。在商業(yè)電子郵件泄露 (BEC)中，黑客使用泄露的憑據(jù)從權(quán)威人物的實際電子郵件帳戶發(fā)送電子郵件，從而使詐騙更加難以檢測。
   
• 語音網(wǎng)絡(luò)釣魚或語音釣魚是通過電話進行的網(wǎng)絡(luò)釣魚。人們通常會遇到聲稱來自 FBI 的威脅性錄音電話形式的網(wǎng)絡(luò)釣魚。但 IBM 的 X-Force 最近確定，將語音釣魚添加到有針對性的網(wǎng)絡(luò)釣魚活動中可以將該活動的成功率提高 3 倍。
   
• 短信網(wǎng)絡(luò)釣魚或短信釣魚是通過短信進行的網(wǎng)絡(luò)釣魚。
   
• 搜索引擎網(wǎng)絡(luò)釣魚涉及黑客創(chuàng)建在流行搜索詞的搜索結(jié)果中排名靠前的惡意網(wǎng)站。
   
• Angler 網(wǎng)絡(luò)釣魚是通過虛假社交媒體帳戶進行網(wǎng)絡(luò)釣魚，這些帳戶偽裝成受信任公司的客戶服務(wù)或客戶支持團隊的官方帳戶。

根據(jù)IBM Security X-Force 威脅情報指數(shù) 2023，網(wǎng)絡(luò)釣魚是主要的惡意軟件感染媒介，占所有事件的 41%。根據(jù)《2022 年數(shù)據(jù)泄露成本》報告，網(wǎng)絡(luò)釣魚是導致代價最高的數(shù)據(jù)泄露的最初攻擊媒介。

誘餌

通過提供有價值的優(yōu)惠甚至有價值的物品來引誘（沒有雙關(guān)語）受害者有意或無意地放棄敏感信息或下載惡意代碼。

尼日利亞王子騙局可能是這種社會工程技術(shù)最著名的例子。當前的更多示例包括免費但受惡意軟件感染的游戲、音樂或軟件下載。但某些形式的誘餌并不巧妙。例如，一些威脅行為者只是將受惡意軟件感染的 USB 驅(qū)動器留在人們會找到的地方，然后抓住它們并使用它們，因為“嘿，免費的 USB 驅(qū)動器”。

尾隨

在尾隨（也稱為“捎帶”）中，未經(jīng)授權(quán)的人員緊隨授權(quán)人員進入包含敏感信息或有價值資產(chǎn)的區(qū)域。尾隨可以親自進行，例如，威脅行為者可以通過未上鎖的門跟蹤員工。但尾隨也可以是一種數(shù)字策略，例如當一個人在仍登錄私人帳戶或網(wǎng)絡(luò)的情況下離開計算機無人看管時。

借口

威脅行為者以借口為受害者制造了一個虛假的情況，并冒充為解決問題的合適人選。很多時候（最具諷刺意味的是），詐騙者聲稱受害者受到了安全漏洞的影響，然后如果受害者提供重要的帳戶信息或?qū)κ芎φ哂嬎銠C或設(shè)備的控制權(quán)，就會提出修復問題。（從技術(shù)上講，幾乎每次社會工程攻擊都涉及某種程度的借口。）

為了某事

在交換式騙局中，黑客用一種理想的商品或服務(wù)來換取受害者的敏感信息。虛假的比賽獎金或看似無辜的忠誠獎勵（“感謝您的付款——我們?yōu)槟鷾蕚淞艘环荻Y物”）都是交換策略的例子。

恐嚇軟件

恐嚇軟件也被認為是惡意軟件的一種形式，它是利用恐懼來操縱人們共享機密信息或下載惡意軟件的軟件。恐嚇軟件通常采用虛假的執(zhí)法通知的形式，指控用戶犯罪，或者以虛假的技術(shù)支持消息警告用戶設(shè)備上存在惡意軟件。

水坑攻擊

從短語“有人在水坑里投毒”來看，黑客將惡意代碼注入到目標經(jīng)常訪問的合法網(wǎng)頁中。水坑攻擊造成了從憑據(jù)被盜到無意中偷渡式勒索軟件下載等各種情況。

社會工程防御

眾所周知，社會工程攻擊很難預防，因為它們依賴于人類心理而不是技術(shù)途徑。攻擊面也很重要：在較大的組織中，只需一名員工的錯誤就會損害整個企業(yè)網(wǎng)絡(luò)的完整性。專家建議采取的一些降低社會工程詐騙風險和成功的步驟包括：

• 安全意識培訓：許多用戶不知道如何識別社會工程攻擊。在用戶頻繁用個人信息換取商品和服務(wù)的時代，他們沒有意識到，交出看似平常的信息（例如電話號碼或出生日期）可能會讓黑客入侵帳戶。安全意識培訓與數(shù)據(jù)安全 政策相結(jié)合，可以幫助員工了解如何保護其敏感數(shù)據(jù)，以及如何檢測和應對正在進行的社會工程攻擊。
   
• 訪問控制策略：安全訪問控制策略和技術(shù)，包括多因素身份驗證、自適應身份驗證和零信任安全方法，即使網(wǎng)絡(luò)犯罪分子獲得了用戶的登錄憑據(jù)，也可以限制他們對公司網(wǎng)絡(luò)上的敏感信息和資產(chǎn)的訪問。
   
• 網(wǎng)絡(luò)安全技術(shù)：垃圾郵件過濾器和安全電子郵件網(wǎng)關(guān)可以首先防止某些網(wǎng)絡(luò)釣魚攻擊到達員工。防火墻和防病毒軟件可以減輕訪問網(wǎng)絡(luò)的攻擊者造成的任何損害的程度。使用最新補丁更新操作系統(tǒng)還可以消除攻擊者通過社會工程利用的一些漏洞。先進的檢測和響應解決方案，包括端點檢測和響應（EDR）和擴展檢測和響應（XDR），可以幫助安全團隊快速檢測和消除通過社會工程策略感染網(wǎng)絡(luò)的安全威脅。