前幾期我們主要分享了數(shù)據(jù)安全、電子郵件安全、密碼安全等主題，今天為大家介紹利用人性弱點發(fā)動攻擊造成破壞的社會工程學(xué)攻擊，以及它的威脅和風(fēng)險，并提出相關(guān)安全行為規(guī)范建議。

一、社會工程學(xué)介紹

1、社會工程學(xué)定義

我們經(jīng)常會聽到社會工程學(xué)攻擊，經(jīng)常會聽到社會工程學(xué)攻擊、社工，包括社工攻擊。那么什么叫做社會工程學(xué)？以下是一個標準定義和相關(guān)場景：

按照社會工程學(xué)本身的定義，其實是社會工程學(xué)攻擊，簡稱社工。這種攻擊手段不依賴于任何技術(shù)手段，利用人性的弱點發(fā)動攻擊，從而造成相應(yīng)的破壞，例如造成信息泄露、金錢損失等等。

社會工程學(xué)本身不依賴于任何技術(shù)，但又經(jīng)常和技術(shù)手段結(jié)合起來使用。比如和郵件、電話等等結(jié)合起來進行網(wǎng)絡(luò)釣魚、電話釣魚，去發(fā)揮它最大的效率。雖然不依賴于技術(shù)手段，但是破壞性很強。

2、社會工程學(xué)特征

1）緊迫性：對于要求受害者實施的動作采取時間限制；

2）附件超鏈接：為了獲取信息和訪問權(quán)限，目標被要求點擊鏈接或打開附件；

3）不尋常的發(fā)送者：偽裝成你認識的人，仿冒他人身份給你發(fā)信息；

4）看著太好反而不像是真的：如果信息看起來太好了而不像是真的，那么他就是假的，很有可能是一次社工攻擊。

3、社會攻擊的目的

社工攻擊最主要的目的是用來竊取機密信息。

例如，黑客打電話給客服，仿冒客戶向客服詢問客戶的更多的信息，造成客戶信息的泄露，或者做一個可以記錄用戶密碼的惡意程序，發(fā)到用戶郵箱，通過誘騙性的標題，使用戶打開文件，從而利用這個文件監(jiān)聽重要的數(shù)據(jù)和信息，造成信息的竊取和泄露。

如果用戶被竊取的信息里包含用戶名、密碼等一些重要的賬號信息，那么黑客就可以利用這些信息對用戶的設(shè)備進行未授權(quán)的訪問。

4、攻擊者類型

1）黑客組織

2）有組織的犯罪團體

3）黑客初學(xué)者

4）國家支持的團體

二、社會工程學(xué)攻擊威脅和風(fēng)險

1、攻擊手段

了解了社會工程學(xué)的定義及特征之后，我們看一下最常見的攻擊手段：

2、攻擊威脅和風(fēng)險

1）機密信息的泄露

2）金錢的損失

3）設(shè)備和應(yīng)用的仿冒登錄

4）人身侵害

據(jù)統(tǒng)計，針對私有企業(yè)的計算機攻擊，有71%是社會工程學(xué)攻擊。由于社會工程學(xué)攻擊的破壞性很強，而且容易實施，不需要依賴過多的技術(shù)手段，所以大部分企業(yè)遭受的都是社會工程學(xué)攻擊。這其中有高達50%是業(yè)務(wù)欺詐郵件，而且平均需要4.8個月來檢測計算機攻擊。

三、安全行為規(guī)范建議

在了解了社會工程學(xué)攻擊的威脅和風(fēng)險后，我們需要從公司和個人角度來加強防范，避免遭受更大的損失。

課程推薦

隨著信息化時代不斷的推進，信息化辦公也已成為當(dāng)今社會的主題，公司已將辦公業(yè)務(wù)的處理、流轉(zhuǎn)和管理等過程電子化、信息化、但是，在辦公信息化大大提高辦事效率的同時，辦公環(huán)境的信息安全隱患也隨之愈加復(fù)雜，如何降低辦公場所的信息隱患？便成為一個我們不得不考慮的問題。

視頻地址：

https://www.aqniukt.com/course/12985

注：至尊技術(shù)會員用戶免費學(xué)

往期內(nèi)容回顧：

>>>??信息安全意識主題分享之密碼安全

>>>??信息安全主題分享之電子郵件安全