社会工程学

什么是社会工程学

社会工程学 (Social Engineering) 是一类利用人类心理弱点 - - 而非技术手段 - - 来获取机密信息或诱使他人执行未授权操作的攻击技术的总称。

无论安全系统多么先进，如果操作它的人被欺骗就毫无意义。安全界有句话说"最薄弱的环节是人"，事实上超过 90% 的网络攻击涉及某种形式的社会工程学。仅靠技术防御是不够的，人的安全意识同样关键。

常见手法

• 借口攻击 (Pretexting)：冒充 IT 支持、银行职员或警察，用看似合理的借口套取密码或个人信息。常用借口包括"安全验证需要"或"系统故障恢复需要"。
• 诱饵攻击 (Baiting)：在停车场或办公室放置装有恶意软件的 USB 驱动器，等人捡起并插入。好奇心驱使受害者连接设备，导致系统感染。
• 尾随 (Tailgating)：跟随授权人员通过安全门禁。搬着箱子或穿着快递制服利用社交礼貌规范。
• 交换条件 (Quid Pro Quo)：提供某种回报 - - 如"免费技术支持" - - 让受害者安装远程访问软件或透露密码。
• 网络钓鱼：社会工程学的数字形式。使用邮件、短信或假冒网站窃取凭证。按数量计是最普遍的社会工程学技术。

攻击者利用的心理技巧

社会工程学巧妙地利用人类的认知偏差和心理倾向。

• 服从权威：当有人冒充上司、IT 部门或警察时，人们倾向于不加质疑地服从。伪装成"CEO 紧急指示"的商业邮件诈骗 (BEC) 就利用了这一倾向。
• 制造紧迫感："立即处理否则账户将被锁定"等措辞抑制理性思考，迫使受害者仓促行动。时间压力是最常用的心理杠杆。
• 互惠原则：当别人帮了你，你会觉得有义务回报。攻击者先提供小帮助，然后提出真正的请求。
• 社会认同："其他人都已经做了"或"你的同事都已完成这一步"利用了从众心理。
• 好感与信任：人们更容易答应自己喜欢的人的请求。攻击者通过闲聊和共同兴趣建立关系后再行动。

组织与个人的防御策略

防御社会工程学需要技术和人员两方面的对策。

组织措施

• 安全意识培训：定期进行模拟钓鱼演练，衡量和提升员工的应对能力。仅靠每年一次的课堂培训是不够的。
• 信息分类与最小权限：对机密信息进行分类，仅授予需要的人访问权限。即使一名员工被攻破，损害也能被控制。
• 验证程序：对涉及资金转账、密码重置或访问变更的请求，建立通过独立渠道 (如回拨已知号码) 验证身份的程序。

个人措施

• 行动前先验证：对任何意外请求，通过独立渠道验证后再回应。不要使用可疑消息中提供的联系方式。
• 限制信息分享：减少在社交媒体上分享的个人和组织信息。攻击者利用公开信息制作令人信服的借口。
• 相信直觉：如果感觉不对 - - 异常的紧迫感、意外的请求或情感压力 - - 暂停并验证。不适感往往是问题的信号。

常见误解

社会工程学只能骗不懂技术的人

即使安全专家也可能被骗。攻击者针对的是人类心理弱点 (紧迫感、权威、好意) 而非技术知识，因此仅有高 IT 素养并不能防御。

社会工程学只是邮件的问题

电话、面对面、社交媒体和物理手段 (放置 USB 驱动器、冒充访客) 都被用作攻击途径。仅靠邮件过滤是不够的。

相关术语