社會(huì)工程攻擊操縱人們共享不應(yīng)該共享的信息、下載不應(yīng)該下載的軟件、訪問(wèn)不應(yīng)該訪問(wèn)的網(wǎng)站、向犯罪分子匯款或犯下其他損害個(gè)人或組織安全的錯(cuò)誤。由于社會(huì)工程利用心理操縱并利用人為錯(cuò)誤或弱點(diǎn)，而不是技術(shù)或數(shù)字系統(tǒng)漏洞，因此有時(shí)被稱為“人為黑客攻擊”。

一封似乎來(lái)自值得信賴的同事的要求敏感信息的電子郵件、一封聲稱來(lái)自美國(guó)國(guó)稅局的威脅性語(yǔ)音郵件、來(lái)自外國(guó)統(tǒng)治者的財(cái)富——這些只是社會(huì)工程的幾個(gè)例子。

網(wǎng)絡(luò)犯罪分子經(jīng)常使用社會(huì)工程策略來(lái)獲取個(gè)人數(shù)據(jù)或財(cái)務(wù)信息（登錄憑據(jù)、信用卡號(hào)、銀行帳號(hào)、社會(huì)安全號(hào)碼），他們可用于身份盜竊，使他們能夠使用人們的金錢或信用進(jìn)行購(gòu)物、申請(qǐng)以他人名義申請(qǐng)貸款、申請(qǐng)他人失業(yè)救濟(jì)金等等。但社會(huì)工程攻擊也可能是更大規(guī)模網(wǎng)絡(luò)攻擊的第一階段。例如，網(wǎng)絡(luò)犯罪分子可能會(huì)誘騙受害者共享用戶名和密碼，然后使用這些憑據(jù)在受害者雇主的網(wǎng)絡(luò)上植入勒索軟件。

社會(huì)工程對(duì)網(wǎng)絡(luò)犯罪分子很有吸引力，因?yàn)樗顾麄兡軌蛟L問(wèn)數(shù)字網(wǎng)絡(luò)、設(shè)備和帳戶，而無(wú)需進(jìn)行繞過(guò)防火墻、防病毒軟件和其他網(wǎng)絡(luò)安全控制的艱巨技術(shù)工作。根據(jù) ISACA 的2022 年網(wǎng)絡(luò)安全狀況報(bào)告 （鏈接位于 IBM.com 外部），這是社會(huì)工程成為當(dāng)今網(wǎng)絡(luò)危害的主要原因之一。根據(jù) IBM 的《2022 年數(shù)據(jù)泄露成本》報(bào)告，由社會(huì)工程策略（例如網(wǎng)絡(luò)釣魚(yú)和商業(yè)電子郵件泄露）造成的泄露是成本最高的。

社會(huì)工程如何以及為何發(fā)揮作用

社會(huì)工程策略和技術(shù)植根于人類動(dòng)機(jī)科學(xué)。他們操縱受害者的情緒和本能，其方式已被證明會(huì)驅(qū)使人們采取不符合他們最佳利益的行動(dòng)。

大多數(shù)社會(huì)工程攻擊采用以下一種或多種策略：

• 冒充受信任的品牌：詐騙者經(jīng)常冒充或“欺騙”受害者認(rèn)識(shí)、信任的公司，并且可能經(jīng)常或經(jīng)常與之開(kāi)展業(yè)務(wù)——如此頻繁，以至于他們本能地遵循這些品牌的指示，而不采取適當(dāng)?shù)念A(yù)防措施。一些社會(huì)工程詐騙者使用廣泛使用的工具包來(lái)建立與主要品牌或公司相似的虛假網(wǎng)站。
   
• 冒充政府機(jī)構(gòu)或權(quán)威人物：人們信任、尊重或害怕權(quán)威（不同程度）。社會(huì)工程攻擊利用這些本能，利用看似或聲稱來(lái)自政府機(jī)構(gòu)（例如聯(lián)邦調(diào)查局或國(guó)稅局）、政治人物甚至名人的消息。
   
• 引起恐懼或緊迫感：人們?cè)诤ε禄虼颐r(shí)往往會(huì)魯莽行事。社會(huì)工程詐騙可以使用多種技術(shù)來(lái)引起受害者的恐懼或緊迫感——告訴受害者最近的信用交易未獲批準(zhǔn)、病毒已感染他們的計(jì)算機(jī)、他們網(wǎng)站上使用的圖像侵犯了版權(quán)等社會(huì)工程還可以引起受害者對(duì)錯(cuò)過(guò)機(jī)會(huì)的恐懼（FOMO），從而產(chǎn)生一種不同的緊迫感。
   
• 吸引貪婪：尼日利亞王子騙局——一封電子郵件，其中有人自稱是尼日利亞王室成員，試圖逃離自己的國(guó)家，提供巨額經(jīng)濟(jì)獎(jiǎng)勵(lì)，以換取收件人的銀行賬戶信息或少量預(yù)付費(fèi)用——是最好的騙局之一——吸引貪婪的社會(huì)工程的已知例子。（它也來(lái)自所謂的權(quán)威人物，并營(yíng)造出一種緊迫感——這是一個(gè)強(qiáng)大的組合。）這種騙局與電子郵件本身一樣古老，但截至 2018 年，每年仍能賺得 70 萬(wàn)美元。
   
• 吸引受害者的幫助或好奇心：社會(huì)工程策略還可以吸引受害者的善良本性。例如，看似來(lái)自朋友或社交網(wǎng)站的消息可以提供技術(shù)幫助、要求參與調(diào)查、聲稱收件人的帖子已病毒式傳播，并提供指向虛假網(wǎng)站或惡意軟件下載的欺騙性鏈接。

社會(huì)工程攻擊的類型

網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)攻擊是數(shù)字或語(yǔ)音消息，試圖操縱收件人共享敏感信息、下載惡意軟件、將資金或資產(chǎn)轉(zhuǎn)移給錯(cuò)誤的人，或采取其他一些破壞性行動(dòng)。詐騙者精心制作網(wǎng)絡(luò)釣魚(yú)消息，使其看起來(lái)或聽(tīng)起來(lái)像是來(lái)自受信任或可信的組織或個(gè)人（有時(shí)甚至是收件人認(rèn)識(shí)的個(gè)人）。

網(wǎng)絡(luò)釣魚(yú)詐騙有多種類型：

• 批量網(wǎng)絡(luò)釣魚(yú)電子郵件一次發(fā)送給數(shù)百萬(wàn)收件人。它們似乎是由大型知名企業(yè)或組織（國(guó)家或全球銀行、大型在線零售商、流行的在線支付提供商等）發(fā)送的，并提出一般性請(qǐng)求，例如“我們?cè)谔幚頃r(shí)遇到問(wèn)題”您的購(gòu)買，請(qǐng)更新您的信用信息。這些郵件通常包含惡意鏈接，將收件人引導(dǎo)至虛假網(wǎng)站，該網(wǎng)站會(huì)捕獲收件人的用戶名、密碼、信用卡數(shù)據(jù)等。
   
• 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)針對(duì)特定個(gè)人，通常是有權(quán)訪問(wèn)用戶信息、計(jì)算機(jī)網(wǎng)絡(luò)或公司資金的個(gè)人。詐騙者通常會(huì)使用在 LinkedIn、Facebook 或其他社交媒體上找到的信息來(lái)研究目標(biāo)，以創(chuàng)建一條看似來(lái)自目標(biāo)認(rèn)識(shí)和信任的人的消息，或者提及目標(biāo)熟悉的情況。鯨魚(yú)網(wǎng)絡(luò)釣魚(yú)是一種針對(duì)知名人士（例如首席執(zhí)行官或政治人物）的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊。在商業(yè)電子郵件泄露 (BEC)中，黑客使用泄露的憑據(jù)從權(quán)威人物的實(shí)際電子郵件帳戶發(fā)送電子郵件，從而使詐騙更加難以檢測(cè)。
   
• 語(yǔ)音網(wǎng)絡(luò)釣魚(yú)或語(yǔ)音釣魚(yú)是通過(guò)電話進(jìn)行的網(wǎng)絡(luò)釣魚(yú)。人們通常會(huì)遇到聲稱來(lái)自 FBI 的威脅性錄音電話形式的網(wǎng)絡(luò)釣魚(yú)。但 IBM 的 X-Force 最近確定，將語(yǔ)音釣魚(yú)添加到有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中可以將該活動(dòng)的成功率提高 3 倍。
   
• 短信網(wǎng)絡(luò)釣魚(yú)或短信釣魚(yú)是通過(guò)短信進(jìn)行的網(wǎng)絡(luò)釣魚(yú)。
   
• 搜索引擎網(wǎng)絡(luò)釣魚(yú)涉及黑客創(chuàng)建在流行搜索詞的搜索結(jié)果中排名靠前的惡意網(wǎng)站。
   
• Angler 網(wǎng)絡(luò)釣魚(yú)是通過(guò)虛假社交媒體帳戶進(jìn)行網(wǎng)絡(luò)釣魚(yú)，這些帳戶偽裝成受信任公司的客戶服務(wù)或客戶支持團(tuán)隊(duì)的官方帳戶。

根據(jù)IBM Security X-Force 威脅情報(bào)指數(shù) 2023，網(wǎng)絡(luò)釣魚(yú)是主要的惡意軟件感染媒介，占所有事件的 41%。根據(jù)《2022 年數(shù)據(jù)泄露成本》報(bào)告，網(wǎng)絡(luò)釣魚(yú)是導(dǎo)致代價(jià)最高的數(shù)據(jù)泄露的最初攻擊媒介。

誘餌

通過(guò)提供有價(jià)值的優(yōu)惠甚至有價(jià)值的物品來(lái)引誘（沒(méi)有雙關(guān)語(yǔ)）受害者有意或無(wú)意地放棄敏感信息或下載惡意代碼。

尼日利亞王子騙局可能是這種社會(huì)工程技術(shù)最著名的例子。當(dāng)前的更多示例包括免費(fèi)但受惡意軟件感染的游戲、音樂(lè)或軟件下載。但某些形式的誘餌并不巧妙。例如，一些威脅行為者只是將受惡意軟件感染的 USB 驅(qū)動(dòng)器留在人們會(huì)找到的地方，然后抓住它們并使用它們，因?yàn)椤昂?，免費(fèi)的 USB 驅(qū)動(dòng)器”。

尾隨

在尾隨（也稱為“捎帶”）中，未經(jīng)授權(quán)的人員緊隨授權(quán)人員進(jìn)入包含敏感信息或有價(jià)值資產(chǎn)的區(qū)域。尾隨可以親自進(jìn)行，例如，威脅行為者可以通過(guò)未上鎖的門跟蹤員工。但尾隨也可以是一種數(shù)字策略，例如當(dāng)一個(gè)人在仍登錄私人帳戶或網(wǎng)絡(luò)的情況下離開(kāi)計(jì)算機(jī)無(wú)人看管時(shí)。

借口

威脅行為者以借口為受害者制造了一個(gè)虛假的情況，并冒充為解決問(wèn)題的合適人選。很多時(shí)候（最具諷刺意味的是），詐騙者聲稱受害者受到了安全漏洞的影響，然后如果受害者提供重要的帳戶信息或?qū)κ芎φ哂?jì)算機(jī)或設(shè)備的控制權(quán)，就會(huì)提出修復(fù)問(wèn)題。（從技術(shù)上講，幾乎每次社會(huì)工程攻擊都涉及某種程度的借口。）

為了某事

在交換式騙局中，黑客用一種理想的商品或服務(wù)來(lái)?yè)Q取受害者的敏感信息。虛假的比賽獎(jiǎng)金或看似無(wú)辜的忠誠(chéng)獎(jiǎng)勵(lì)（“感謝您的付款——我們?yōu)槟鷾?zhǔn)備了一份禮物”）都是交換策略的例子。

恐嚇軟件

恐嚇軟件也被認(rèn)為是惡意軟件的一種形式，它是利用恐懼來(lái)操縱人們共享機(jī)密信息或下載惡意軟件的軟件。恐嚇軟件通常采用虛假的執(zhí)法通知的形式，指控用戶犯罪，或者以虛假的技術(shù)支持消息警告用戶設(shè)備上存在惡意軟件。

水坑攻擊

從短語(yǔ)“有人在水坑里投毒”來(lái)看，黑客將惡意代碼注入到目標(biāo)經(jīng)常訪問(wèn)的合法網(wǎng)頁(yè)中。水坑攻擊造成了從憑據(jù)被盜到無(wú)意中偷渡式勒索軟件下載等各種情況。

社會(huì)工程防御

眾所周知，社會(huì)工程攻擊很難預(yù)防，因?yàn)樗鼈円蕾囉谌祟愋睦矶皇羌夹g(shù)途徑。攻擊面也很重要：在較大的組織中，只需一名員工的錯(cuò)誤就會(huì)損害整個(gè)企業(yè)網(wǎng)絡(luò)的完整性。專家建議采取的一些降低社會(huì)工程詐騙風(fēng)險(xiǎn)和成功的步驟包括：

• 安全意識(shí)培訓(xùn)：許多用戶不知道如何識(shí)別社會(huì)工程攻擊。在用戶頻繁用個(gè)人信息換取商品和服務(wù)的時(shí)代，他們沒(méi)有意識(shí)到，交出看似平常的信息（例如電話號(hào)碼或出生日期）可能會(huì)讓黑客入侵帳戶。安全意識(shí)培訓(xùn)與數(shù)據(jù)安全 政策相結(jié)合，可以幫助員工了解如何保護(hù)其敏感數(shù)據(jù)，以及如何檢測(cè)和應(yīng)對(duì)正在進(jìn)行的社會(huì)工程攻擊。
   
• 訪問(wèn)控制策略：安全訪問(wèn)控制策略和技術(shù)，包括多因素身份驗(yàn)證、自適應(yīng)身份驗(yàn)證和零信任安全方法，即使網(wǎng)絡(luò)犯罪分子獲得了用戶的登錄憑據(jù)，也可以限制他們對(duì)公司網(wǎng)絡(luò)上的敏感信息和資產(chǎn)的訪問(wèn)。
   
• 網(wǎng)絡(luò)安全技術(shù)：垃圾郵件過(guò)濾器和安全電子郵件網(wǎng)關(guān)可以首先防止某些網(wǎng)絡(luò)釣魚(yú)攻擊到達(dá)員工。防火墻和防病毒軟件可以減輕訪問(wèn)網(wǎng)絡(luò)的攻擊者造成的任何損害的程度。使用最新補(bǔ)丁更新操作系統(tǒng)還可以消除攻擊者通過(guò)社會(huì)工程利用的一些漏洞。先進(jìn)的檢測(cè)和響應(yīng)解決方案，包括端點(diǎn)檢測(cè)和響應(yīng)（EDR）和擴(kuò)展檢測(cè)和響應(yīng)（XDR），可以幫助安全團(tuán)隊(duì)快速檢測(cè)和消除通過(guò)社會(huì)工程策略感染網(wǎng)絡(luò)的安全威脅。