社会工程学攻击方式

社会工程学攻击，说白了就是骗术，但它不是那种街头小把戏，而是专门针对人心理弱点进行的攻击。 攻击者利用的是人的信任、恐惧、贪婪或者只是单纯的好奇心来骗取信息或者让别人帮他们做事。 和那些纯靠技术的黑客攻击不同，社会工程学攻击的目标是人，因为再坚固的系统，只要用的人出了问题，那就等于开了个大门。

咱们先说说最常见的一种方式：网络钓鱼（Phishing）。 这玩意儿你肯定见过。就是那种伪装成银行、政府机构或者你常用的购物网站发来的邮件或短信。 邮件内容通常都很紧急，比如告诉你“账户存在安全风险，请立即点击链接修改密码”，或者“你的包裹派送失败，请点击查询详情”。 链接一点，进去的页面看着跟真的一模一样，但只要你输入了账号密码，信息就立刻被偷走了。

前几年有个案例，诈骗团伙冒充科技巨头Google和Facebook长期合作的硬件供应商，伪造了请款文件和电子邮件，因为模仿得太像了，连请款流程都很熟悉，结果成功骗取了数百万美元。 这就是一种更精准的钓鱼，叫“鱼叉式网络钓鱼”，专门针对特定公司或个人，做的功课非常足，让人很难分辨真假。

还有一种升级版的钓鱼叫“捕鲸”，专门钓大鱼，也就是公司的高管。 攻击者会冒充CEO或者其他高层，给财务部门的员工发邮件，用紧急的语气要求立刻给某个账户汇款。 因为员工通常不敢质疑老板的决定，加上邮件看起来很真实，就很容易上当。 玩具公司美泰（Mattel）就曾经遭遇过这种攻击，幸好他们很快发现了问题，及时联系了执法部门才追回了款项。

第二种常见方式叫“假托”（Pretexting）。 这种攻击方式需要攻击者编造一个听起来很合理的故事。比如，他会打电话给你，自称是电信公司的技术支持，说你的网络出了问题，需要你提供身份证号和密码来验证身份。 为了让故事更可信，他们甚至会提前研究一些专业术语。 著名黑客凯文·米特尼克就是这方面的高手。他年轻时曾经冒充DEC公司的核心开发人员，一个电话就骗到了系统管理员的信任，轻松拿到了访问公司系统的权限，最后窃取了软件源代码。

第三种方式是“下饵”（Baiting）。 这种方式利用的是人的贪婪和好奇心。 最经典的例子就是在公司停车场或者厕所里扔一个U盘，上面贴个标签写着“工资单”或者“机密文件”之类的字眼。 总会有好奇的员工捡起来插到自己的电脑上看看里面是啥，一旦插入，U盘里的恶意软件就会自动安装，攻击者就能进入公司内网了。 这种方式虽然老套，但效果很好。

第四种是“等价交换”（Quid Pro Quo）。 这听起来像个公平交易，但实际上是个陷阱。攻击者会给你一些好处来换取你的信息。 比如，攻击者伪装成IT部门的人打电话给员工，说可以帮忙免费升级电脑系统，但需要对方提供登录密码。很多人为了省事或者贪小便宜就会把密码交出去。 有个调查显示，90%的办公室职员会为了换取一支廉价钢笔而泄露自己的密码。

第五种是“恐吓软件”（Scareware）。 你上网时可能也遇到过，浏览器突然弹出一个刺眼的窗口，用红色大字写着“警告！你的电脑已感染病毒！”，然后催促你立刻下载它推荐的杀毒软件。 你一旦因为害怕而下载安装，那你就真的中招了。那个所谓的“杀毒软件”本身就是病毒或者恶意软件。 这种攻击就是利用你的恐惧心理，让你在慌乱中做出错误判断。

最后一种物理层面的攻击方式叫“尾随”（Tailgating）。 这招很简单，攻击者会跟在一个有权限进入某个办公区域的员工身后，趁着门禁还没关的时候溜进去。 或者，他们会抱着一堆东西，假装手不方便，请求前面的员工帮忙刷卡开门。出于礼貌，很多人都不会拒绝。

那怎么防范这些攻击呢？其实核心就一条：保持警惕，不要轻信。

首先，处理邮件和短信要慢下来。看到任何带有紧急、威胁性字眼的邮件，都先冷静一下。 比如让你马上转账、修改密码的，先别急着点链接。把鼠标悬停在链接上，看看显示的网址是不是官方的。很多钓鱼网站的域名会做得很像，比如把字母“o”换成数字“0”。 实在不确定，就直接通过官方渠道联系对方核实，别用邮件里提供的联系方式。

其次，要养成验证身份的习惯。接到自称是客服、技术支持或者领导的电话或信息，要求你提供敏感信息时，一定要多问一句。 你可以挂掉电话，然后通过官方号码或者公司内部通讯录回拨过去确认。 之前Uber就发生过一次安全事件，攻击者通过暗网搞到了一个员工的登录信息，然后伪装成IT人员联系那个员工，最终说服员工通过了多重因素认证（MFA），成功进入了公司内网。 这件事说明，即使有技术防护，人的因素还是关键。

再者，不要贪小便宜，也别太好奇。 来路不明的U盘不要乱插，网上免费下载的软件要小心，里面可能捆绑了恶意程序。 天下没有免费的午餐，那些听起来好得不像真的事情，大概率就是假的。

最后，公司层面也需要加强培训。 定期给员工做安全意识培训，让他们了解最新的诈骗手法，甚至可以搞一些钓鱼邮件演练，看看哪些员工容易上当，然后进行针对性教育。 同时，技术上也要做好防护，比如启用多重因素认证（MFA）、及时更新系统和软件补丁、使用垃圾邮件过滤器等，这些都能增加攻击者的难度。