通過欺騙和操縱，社會工程攻擊誘使目標做攻擊者想要做的事情。社會工程師可能會使用詭計、脅迫或其他手段來影響他們的目標。

社會工程威脅

網絡攻擊的一個流行概念是，它們涉及黑客識別和利用組織系統中的漏洞。這使他們能夠訪問敏感數據、植入惡意軟件或采取其他惡意行動。雖然這些類型的攻擊很常見，但更常見的威脅是社會工程。一般來說，誘騙一個人采取特定行動（例如將他們的登錄憑據輸入網絡釣魚頁面）比通過其他方式實現相同目標更容易。

11 種社會工程學攻擊

網絡威脅參與者可以通過各種方式使用社會工程技術來實現他們的目標。常見社會工程攻擊的一些示例包括：

網絡釣魚：網絡釣魚涉及發送旨在欺騙或脅迫目標執行某些操作的消息。例如，網絡釣魚電子郵件通常包含指向網絡釣魚網頁的鏈接或使用戶計算機感染惡意軟件的附件。魚叉式網絡釣魚攻擊是一種針對個人或小團體的網絡釣魚。

商業電子郵件妥協(BEC)：在 BEC 攻擊中，攻擊者偽裝成組織內的高管。然后，攻擊者指示一名員工進行電匯，向攻擊者匯款。

發票欺詐：在某些情況下，網絡犯罪分子可能會冒充供應商或供應商從組織中竊取資金。攻擊者發送一張偽造的發票，付款后，會將錢匯給攻擊者。

品牌冒充：品牌冒充是社會工程攻擊中的一種常見技術。例如，網絡釣魚者可能假裝來自主要品牌（DHL、LinkedIn 等）并誘騙目標登錄他們在網絡釣魚頁面上的帳戶，向攻擊者提供用戶的憑據。

捕鯨：捕鯨攻擊基本上是針對組織內高級員工的魚叉式網絡釣魚攻擊。高管和上層管理人員有權授權有利于攻擊者的行動。

誘餌：誘餌攻擊使用免費或令人滿意的借口來吸引目標的興趣，促使他們交出登錄憑據或采取其他行動。例如，以免費音樂或高級軟件折扣來吸引目標。

網絡釣魚：網絡釣魚或“語音網絡釣魚”是一種通過電話進行的社會工程形式。它使用與網絡釣魚類似的技巧和技術，但使用不同的媒介。

網絡釣魚：網絡釣魚是通過 SMS 文本消息執行的網絡釣魚。隨著智能手機和縮短鏈接服務的使用越來越多，網絡釣魚正成為一種越來越普遍的威脅。

借口：借口涉及攻擊者創建一個虛假場景，在該場景中，目標向攻擊者匯款或移交敏感信息是合乎邏輯的。例如，攻擊者可能聲稱自己是受信任方，需要信息來驗證受害者的身份。

Quid Pro Quo：在交換條件攻擊中，攻擊者給目標一些東西——例如金錢或服務——以換取有價值的信息。

尾隨/搭載：尾隨和搭載是用于進入安全區域的社會工程技術。社會工程師會在某人不知情的情況下跟蹤某人進門。例如，員工可能會為搬運沉重包裹的人扶門。

如何防止社會工程攻擊

社會工程針對組織的員工而不是其系統中的弱點。組織可以防止社會工程攻擊的一些方法包括：

員工教育：社會工程攻擊旨在欺騙預期目標。培訓員工識別并正確應對常見的社會工程技術有助于降低他們被這些技術所欺騙的風險。

最小權限：社會工程攻擊通常以用戶憑據為目標，這些憑據可用于后續攻擊。限制用戶的訪問權限可以限制使用這些憑據可能造成的損害。

職責分離：關鍵流程（例如電匯）的責任應在多方之間分配。這確保了攻擊者不會欺騙或脅迫任何一名員工執行這些操作。

反網絡釣魚解決方案：網絡釣魚是最常見的社會工程形式。電子郵件掃描等反網絡釣魚解決方案有助于識別和阻止惡意電子郵件到達用戶的收件箱。

多因素身份驗證 (MFA)： MFA 使攻擊者更難使用被社會工程學破壞的憑據。除了密碼之外，攻擊者還需要訪問其他 MFA 因素。

端點安全：社會工程通常用于將惡意軟件傳送到目標系統。端點安全解決方案可以通過識別和修復惡意軟件感染來限制成功的網絡釣魚攻擊的負面影響。