社會(huì)工程攻擊操縱人們共享不應(yīng)該共享的信息、下載不應(yīng)該下載的軟件、訪問不應(yīng)該訪問的網(wǎng)站、向犯罪分子匯款或犯下其他損害個(gè)人或組織安全的錯(cuò)誤。由于社會(huì)工程利用心理操縱并利用人為錯(cuò)誤或弱點(diǎn)，而不是技術(shù)或數(shù)字系統(tǒng)漏洞，因此有時(shí)被稱為“人為黑客攻擊”。

一封似乎來自值得信賴的同事的要求敏感信息的電子郵件、一封聲稱來自美國(guó)國(guó)稅局的威脅性語音郵件、來自外國(guó)統(tǒng)治者的財(cái)富——這些只是社會(huì)工程的幾個(gè)例子。

網(wǎng)絡(luò)犯罪分子經(jīng)常使用社會(huì)工程策略來獲取個(gè)人數(shù)據(jù)或財(cái)務(wù)信息（登錄憑據(jù)、信用卡號(hào)、銀行帳號(hào)、社會(huì)安全號(hào)碼），他們可用于身份盜竊，使他們能夠使用人們的金錢或信用進(jìn)行購(gòu)物、申請(qǐng)以他人名義申請(qǐng)貸款、申請(qǐng)他人失業(yè)救濟(jì)金等等。但社會(huì)工程攻擊也可能是更大規(guī)模網(wǎng)絡(luò)攻擊的第一階段。例如，網(wǎng)絡(luò)犯罪分子可能會(huì)誘騙受害者共享用戶名和密碼，然后使用這些憑據(jù)在受害者雇主的網(wǎng)絡(luò)上植入勒索軟件。

社會(huì)工程對(duì)網(wǎng)絡(luò)犯罪分子很有吸引力，因?yàn)樗顾麄兡軌蛟L問數(shù)字網(wǎng)絡(luò)、設(shè)備和帳戶，而無需進(jìn)行繞過防火墻、防病毒軟件和其他網(wǎng)絡(luò)安全控制的艱巨技術(shù)工作。根據(jù) ISACA 的2022 年網(wǎng)絡(luò)安全狀況報(bào)告 （鏈接位于 IBM.com 外部），這是社會(huì)工程成為當(dāng)今網(wǎng)絡(luò)危害的主要原因之一。根據(jù) IBM 的《2022 年數(shù)據(jù)泄露成本》報(bào)告，由社會(huì)工程策略（例如網(wǎng)絡(luò)釣魚和商業(yè)電子郵件泄露）造成的泄露是成本最高的。

社會(huì)工程如何以及為何發(fā)揮作用

社會(huì)工程策略和技術(shù)植根于人類動(dòng)機(jī)科學(xué)。他們操縱受害者的情緒和本能，其方式已被證明會(huì)驅(qū)使人們采取不符合他們最佳利益的行動(dòng)。

大多數(shù)社會(huì)工程攻擊采用以下一種或多種策略：

• 冒充受信任的品牌：詐騙者經(jīng)常冒充或“欺騙”受害者認(rèn)識(shí)、信任的公司，并且可能經(jīng)?；蚪?jīng)常與之開展業(yè)務(wù)——如此頻繁，以至于他們本能地遵循這些品牌的指示，而不采取適當(dāng)?shù)念A(yù)防措施。一些社會(huì)工程詐騙者使用廣泛使用的工具包來建立與主要品牌或公司相似的虛假網(wǎng)站。
   
• 冒充政府機(jī)構(gòu)或權(quán)威人物：人們信任、尊重或害怕權(quán)威（不同程度）。社會(huì)工程攻擊利用這些本能，利用看似或聲稱來自政府機(jī)構(gòu)（例如聯(lián)邦調(diào)查局或國(guó)稅局）、政治人物甚至名人的消息。
   
• 引起恐懼或緊迫感：人們?cè)诤ε禄虼颐r(shí)往往會(huì)魯莽行事。社會(huì)工程詐騙可以使用多種技術(shù)來引起受害者的恐懼或緊迫感——告訴受害者最近的信用交易未獲批準(zhǔn)、病毒已感染他們的計(jì)算機(jī)、他們網(wǎng)站上使用的圖像侵犯了版權(quán)等社會(huì)工程還可以引起受害者對(duì)錯(cuò)過機(jī)會(huì)的恐懼（FOMO），從而產(chǎn)生一種不同的緊迫感。
   
• 吸引貪婪：尼日利亞王子騙局——一封電子郵件，其中有人自稱是尼日利亞王室成員，試圖逃離自己的國(guó)家，提供巨額經(jīng)濟(jì)獎(jiǎng)勵(lì)，以換取收件人的銀行賬戶信息或少量預(yù)付費(fèi)用——是最好的騙局之一——吸引貪婪的社會(huì)工程的已知例子。（它也來自所謂的權(quán)威人物，并營(yíng)造出一種緊迫感——這是一個(gè)強(qiáng)大的組合。）這種騙局與電子郵件本身一樣古老，但截至 2018 年，每年仍能賺得 70 萬美元。
   
• 吸引受害者的幫助或好奇心：社會(huì)工程策略還可以吸引受害者的善良本性。例如，看似來自朋友或社交網(wǎng)站的消息可以提供技術(shù)幫助、要求參與調(diào)查、聲稱收件人的帖子已病毒式傳播，并提供指向虛假網(wǎng)站或惡意軟件下載的欺騙性鏈接。

社會(huì)工程攻擊的類型

網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚攻擊是數(shù)字或語音消息，試圖操縱收件人共享敏感信息、下載惡意軟件、將資金或資產(chǎn)轉(zhuǎn)移給錯(cuò)誤的人，或采取其他一些破壞性行動(dòng)。詐騙者精心制作網(wǎng)絡(luò)釣魚消息，使其看起來或聽起來像是來自受信任或可信的組織或個(gè)人（有時(shí)甚至是收件人認(rèn)識(shí)的個(gè)人）。

網(wǎng)絡(luò)釣魚詐騙有多種類型：

• 批量網(wǎng)絡(luò)釣魚電子郵件一次發(fā)送給數(shù)百萬收件人。它們似乎是由大型知名企業(yè)或組織（國(guó)家或全球銀行、大型在線零售商、流行的在線支付提供商等）發(fā)送的，并提出一般性請(qǐng)求，例如“我們?cè)谔幚頃r(shí)遇到問題”您的購(gòu)買，請(qǐng)更新您的信用信息。這些郵件通常包含惡意鏈接，將收件人引導(dǎo)至虛假網(wǎng)站，該網(wǎng)站會(huì)捕獲收件人的用戶名、密碼、信用卡數(shù)據(jù)等。
   
• 魚叉式網(wǎng)絡(luò)釣魚針對(duì)特定個(gè)人，通常是有權(quán)訪問用戶信息、計(jì)算機(jī)網(wǎng)絡(luò)或公司資金的個(gè)人。詐騙者通常會(huì)使用在 LinkedIn、Facebook 或其他社交媒體上找到的信息來研究目標(biāo)，以創(chuàng)建一條看似來自目標(biāo)認(rèn)識(shí)和信任的人的消息，或者提及目標(biāo)熟悉的情況。鯨魚網(wǎng)絡(luò)釣魚是一種針對(duì)知名人士（例如首席執(zhí)行官或政治人物）的魚叉式網(wǎng)絡(luò)釣魚攻擊。在商業(yè)電子郵件泄露 (BEC)中，黑客使用泄露的憑據(jù)從權(quán)威人物的實(shí)際電子郵件帳戶發(fā)送電子郵件，從而使詐騙更加難以檢測(cè)。
   
• 語音網(wǎng)絡(luò)釣魚或語音釣魚是通過電話進(jìn)行的網(wǎng)絡(luò)釣魚。人們通常會(huì)遇到聲稱來自 FBI 的威脅性錄音電話形式的網(wǎng)絡(luò)釣魚。但 IBM 的 X-Force 最近確定，將語音釣魚添加到有針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)中可以將該活動(dòng)的成功率提高 3 倍。
   
• 短信網(wǎng)絡(luò)釣魚或短信釣魚是通過短信進(jìn)行的網(wǎng)絡(luò)釣魚。
   
• 搜索引擎網(wǎng)絡(luò)釣魚涉及黑客創(chuàng)建在流行搜索詞的搜索結(jié)果中排名靠前的惡意網(wǎng)站。
   
• Angler 網(wǎng)絡(luò)釣魚是通過虛假社交媒體帳戶進(jìn)行網(wǎng)絡(luò)釣魚，這些帳戶偽裝成受信任公司的客戶服務(wù)或客戶支持團(tuán)隊(duì)的官方帳戶。

根據(jù)IBM Security X-Force 威脅情報(bào)指數(shù) 2023，網(wǎng)絡(luò)釣魚是主要的惡意軟件感染媒介，占所有事件的 41%。根據(jù)《2022 年數(shù)據(jù)泄露成本》報(bào)告，網(wǎng)絡(luò)釣魚是導(dǎo)致代價(jià)最高的數(shù)據(jù)泄露的最初攻擊媒介。

誘餌

通過提供有價(jià)值的優(yōu)惠甚至有價(jià)值的物品來引誘（沒有雙關(guān)語）受害者有意或無意地放棄敏感信息或下載惡意代碼。

尼日利亞王子騙局可能是這種社會(huì)工程技術(shù)最著名的例子。當(dāng)前的更多示例包括免費(fèi)但受惡意軟件感染的游戲、音樂或軟件下載。但某些形式的誘餌并不巧妙。例如，一些威脅行為者只是將受惡意軟件感染的 USB 驅(qū)動(dòng)器留在人們會(huì)找到的地方，然后抓住它們并使用它們，因?yàn)椤昂?，免費(fèi)的 USB 驅(qū)動(dòng)器”。

尾隨

在尾隨（也稱為“捎帶”）中，未經(jīng)授權(quán)的人員緊隨授權(quán)人員進(jìn)入包含敏感信息或有價(jià)值資產(chǎn)的區(qū)域。尾隨可以親自進(jìn)行，例如，威脅行為者可以通過未上鎖的門跟蹤員工。但尾隨也可以是一種數(shù)字策略，例如當(dāng)一個(gè)人在仍登錄私人帳戶或網(wǎng)絡(luò)的情況下離開計(jì)算機(jī)無人看管時(shí)。

借口

威脅行為者以借口為受害者制造了一個(gè)虛假的情況，并冒充為解決問題的合適人選。很多時(shí)候（最具諷刺意味的是），詐騙者聲稱受害者受到了安全漏洞的影響，然后如果受害者提供重要的帳戶信息或?qū)κ芎φ哂?jì)算機(jī)或設(shè)備的控制權(quán)，就會(huì)提出修復(fù)問題。（從技術(shù)上講，幾乎每次社會(huì)工程攻擊都涉及某種程度的借口。）

為了某事

在交換式騙局中，黑客用一種理想的商品或服務(wù)來換取受害者的敏感信息。虛假的比賽獎(jiǎng)金或看似無辜的忠誠(chéng)獎(jiǎng)勵(lì)（“感謝您的付款——我們?yōu)槟鷾?zhǔn)備了一份禮物”）都是交換策略的例子。

恐嚇軟件

恐嚇軟件也被認(rèn)為是惡意軟件的一種形式，它是利用恐懼來操縱人們共享機(jī)密信息或下載惡意軟件的軟件?？謬樮浖ǔ２捎锰摷俚膱?zhí)法通知的形式，指控用戶犯罪，或者以虛假的技術(shù)支持消息警告用戶設(shè)備上存在惡意軟件。

水坑攻擊

從短語“有人在水坑里投毒”來看，黑客將惡意代碼注入到目標(biāo)經(jīng)常訪問的合法網(wǎng)頁中。水坑攻擊造成了從憑據(jù)被盜到無意中偷渡式勒索軟件下載等各種情況。

社會(huì)工程防御

眾所周知，社會(huì)工程攻擊很難預(yù)防，因?yàn)樗鼈円蕾囉谌祟愋睦矶皇羌夹g(shù)途徑。攻擊面也很重要：在較大的組織中，只需一名員工的錯(cuò)誤就會(huì)損害整個(gè)企業(yè)網(wǎng)絡(luò)的完整性。專家建議采取的一些降低社會(huì)工程詐騙風(fēng)險(xiǎn)和成功的步驟包括：

• 安全意識(shí)培訓(xùn)：許多用戶不知道如何識(shí)別社會(huì)工程攻擊。在用戶頻繁用個(gè)人信息換取商品和服務(wù)的時(shí)代，他們沒有意識(shí)到，交出看似平常的信息（例如電話號(hào)碼或出生日期）可能會(huì)讓黑客入侵帳戶。安全意識(shí)培訓(xùn)與數(shù)據(jù)安全 政策相結(jié)合，可以幫助員工了解如何保護(hù)其敏感數(shù)據(jù)，以及如何檢測(cè)和應(yīng)對(duì)正在進(jìn)行的社會(huì)工程攻擊。
   
• 訪問控制策略：安全訪問控制策略和技術(shù)，包括多因素身份驗(yàn)證、自適應(yīng)身份驗(yàn)證和零信任安全方法，即使網(wǎng)絡(luò)犯罪分子獲得了用戶的登錄憑據(jù)，也可以限制他們對(duì)公司網(wǎng)絡(luò)上的敏感信息和資產(chǎn)的訪問。
   
• 網(wǎng)絡(luò)安全技術(shù)：垃圾郵件過濾器和安全電子郵件網(wǎng)關(guān)可以首先防止某些網(wǎng)絡(luò)釣魚攻擊到達(dá)員工。防火墻和防病毒軟件可以減輕訪問網(wǎng)絡(luò)的攻擊者造成的任何損害的程度。使用最新補(bǔ)丁更新操作系統(tǒng)還可以消除攻擊者通過社會(huì)工程利用的一些漏洞。先進(jìn)的檢測(cè)和響應(yīng)解決方案，包括端點(diǎn)檢測(cè)和響應(yīng)（EDR）和擴(kuò)展檢測(cè)和響應(yīng)（XDR），可以幫助安全團(tuán)隊(duì)快速檢測(cè)和消除通過社會(huì)工程策略感染網(wǎng)絡(luò)的安全威脅。