你了解什么是社会工程吗

社会工程

广义上的社会工程（Social Engineering）是一门学科，而我们平常提到“社会工程”时多指网络安全方面的技术。社会工程通过欺骗或诱导受害者犯错，获取重要的私人信息、系统访问权、重要数据和虚拟财产等。攻击者可以利用获取到的社会工程信息进行二次攻击，或者直接出售给他人以获利。

为什么社会工程如此危险

由于社会工程主要针对人们的心理和行为进行欺骗，所以他的成功率非常高。尽管受害者通常会怀疑邮件或电话的真实性，但是由于攻击者精心设计了攻击流程，所以往往人们会作出错误的判断和处置。

事实上，很多安全事件都不是因为网络防护被攻破，攻击者通常会优先选择对人实施社会工程攻击，这比攻击专业的网络安全系统容易得多。这也是为什么我们必须专注于以人为中心的网络安全意识培训，让他们保持对社会工程手段的充分了解，避免堡垒从内部被攻破。

社会工程是如何实施的

为了取得受害者的信任，攻击者通常会按照一定的流程来设计社会工程步骤。

准备阶段：通过收集受害者的背景信息为社会工程做准备，此阶段主要是识别受害者，并确定最佳的社会工程攻击方法

渗透阶段：攻击者开始与受害者接触，并通过一定形式的信息交互来建立信任，实现渗透的目的

攻击阶段：攻击者开始利用工具收集受害者的目标数据，并可能应用获取到的信息发动新的攻击

撤退阶段：当攻击者达到自己的目的后，他们将尽量抹去所有犯罪痕迹，有时受害者甚至都没有察觉已经被侵害

社会工程的常见类型

网络钓鱼（Phishing）：最常见的社会工程攻击类型。攻击者通过电子邮件、语音通话、即时聊天、网络广告或虚假网站等形式，窃取机密的个人信息或公司信息

鱼叉式网络钓鱼（SpearPhishing）：实际上是一种更有针对性的网络钓鱼

诱饵（Baiting）：顾名思义，这种社会工程方式是利用人们对某种奖励的渴望，引诱人们落入陷阱。诱饵与网络钓鱼在很多方面有相似性，但是区别在于诱饵更强调对受害者的“奖励”，所以受害者往往会因为利益的原因而落入攻击者的陷阱。诱饵既可以是物理的，也可以是虚拟的

水坑（WateringHole）：水坑的名称来源于自然界的捕食方式，攻击者会通过前期的调查，确定受害者经常访问的一些网站，并在网站上部署恶意程序，当受害者访问网站时即会被感染

语音网络钓鱼（Vishing）和短信网络钓鱼（Smishing）：可以算是网络钓鱼的两种方式，前者通过电话实施社会工程，后者通过短信

伪装（Pretexting）：主要是利用虚假的身份来欺骗受害者。攻击者通常会假装成处于强大地位的人，迫使受害者按照他的指示来提供重要信息

交换条件（QuidPro Quo）：指攻击者依靠信息或服务的交易，促使受害者配合自己的要求，进而获得重要的个人信息

恶意软件（Malware）：令受害者相信其计算机中已被安装恶意软件，只有按照攻击者的要求去做，才能删除这些恶意软件

尾随（Tailgating）和背靠背（Piggybackingattacks）：指没有授权的人借助其他人的授权，进入受限的区域或系统

如何防范社会工程

要防范社会工程，首先要引导人们改变一些固有行为和意识。当大家都明白社会工程是如何开展的，基于此产生的攻击后果有多么严重，那么人们就会在查阅电子邮件、语音信箱、短信或中小网站时保持一定的警惕和怀疑。

华为如何帮助您免遭社会工程的危害

一般来讲，个人能遇到的社会工程类型主要是钓鱼邮件、鱼叉式网络钓鱼、水坑和诱饵。通过使用华为提供的安全设备和解决方案，包括HiSec安全解决方案、HiSec Insight安全态势感知系统、FireHunter6000沙箱和USG6000E系列防火墙，您可以规避其中大部分社会工程攻击，降低可能产生的损失和风险。

编辑：jq