什么是社会工程学，您如何避免它？

恶意软件并不是唯一需要担心的在线威胁。 社会工程是一个巨大的威胁，它可以在任何操作系统上攻击你。 事实上，社会工程也可以通过电话和面对面的情况发生。

了解社会工程学并保持警惕很重要。 安全程序无法保护您免受大多数社会工程威胁，因此您必须保护自己。

社会工程学解释

传统的基于计算机的攻击通常依赖于在计算机代码中发现漏洞。 例如，如果您使用的是过时版本的 Adob​​e Flash——或者，上帝保佑，Java，据思科称，这是 2013 年 91% 攻击的原因——您可能会访问恶意网站和该网站将利用您软件中的漏洞来访问您的计算机。 攻击者正在操纵软件中的错误以获取访问权限并收集私人信息，可能使用他们安装的键盘记录器。

社会工程技巧不同，因为它们涉及心理操纵。 换句话说，他们利用的是人，而不是他们的软件。

相关：在线安全：分解网络钓鱼电子邮件

您可能已经听说过网络钓鱼，这是一种社会工程形式。 您可能会收到一封声称来自您的银行、信用卡公司或其他受信任企业的电子邮件。 他们可能会将您引导至伪装成真实网站的虚假网站，或要求您下载并安装恶意程序。 但这种社会工程技巧不必涉及虚假网站或恶意软件。 网络钓鱼电子邮件可能只是要求您发送包含私人信息的电子邮件回复。 他们没有尝试利用软件中的错误，而是尝试利用正常的人类交互。 鱼叉式网络钓鱼可能更加危险，因为它是一种旨在针对特定个人的网络钓鱼形式。

相关：什么是域名抢注以及诈骗者如何使用它？

社会工程学的例子

聊天服务和在线游戏中的一个流行技巧是使用“管理员”之类的名称注册一个帐户，然后向人们发送“警告：我们检测到有人可能正在入侵您的帐户，请使用您的密码进行响应以验证您自己”之类的可怕消息。 如果目标以他们的密码作为响应，他们就中招了，攻击者现在有了他们的帐户密码。

如果有人拥有您的个人信息，他们可以使用它来访问您的帐户。 例如，您的出生日期、社会保险号和信用卡号等信息通常用于识别您的身份。 如果有人知道这些信息，他们可以联系企业并假装是您。 这个技巧曾被攻击者用来访问 Sarah Palin 的 Yahoo! 2008 年的邮件帐户，提交足够的个人详细信息以通过 Yahoo! 的密码恢复表访问该帐户。 如果您拥有企业对您进行身份验证所需的个人信息，则可以通过电话使用相同的方法。 拥有目标信息的攻击者可以伪装成目标并获得更多信息。

社会工程学也可以亲自使用。 攻击者可以走进一家企业，以权威和令人信服的语气告知秘书他们是维修人员、新员工或消防检查员，然后在大厅里游荡，并可能窃取机密数据或植入漏洞以执行公司间谍活动。 这个技巧取决于攻击者将自己呈现为他们不是的人。 如果秘书、门卫或其他负责人不问太多问题或看得太仔细，这个伎俩就会成功。

相关：攻击者如何实际在线“破解帐户”以及如何保护自己

社会工程攻击范围涵盖虚假网站、欺诈性电子邮件和恶意聊天消息，一直到在电话中或当面冒充他人。 这些攻击有多种形式，但它们都有一个共同点——它们依赖于心理诡计。 社会工程被称为心理操纵的艺术。 这是“黑客”实际“破解”在线帐户的主要方式之一。

如何避免社会工程学

了解社会工程学的存在可以帮助您与之抗争。 警惕不请自来的电子邮件、聊天消息和要求提供私人信息的电话。 切勿通过电子邮件透露财务信息或重要的个人信息。 不要下载有潜在危险的电子邮件附件并运行它们，即使电子邮件声称它们很重要。

您也不应该通过电子邮件中的链接访问敏感网站。 例如，不要单击电子邮件中看似来自您银行的链接并登录。它可能会将您带到伪装成您银行网站但 URL 略有不同的虚假网络钓鱼网站。 而是直接访问该网站。

如果您收到可疑请求（例如，银行打来的电话询问个人信息），请直接联系请求来源并要求确认。 在此示例中，您将致电您的银行并询问他们想要什么，而不是将信息泄露给自称是您银行的人。

电子邮件程序、Web 浏览器和安全套件通常具有网络钓鱼过滤器，当您访问已知的网络钓鱼站点时会向您发出警告。 他们所能做的就是在您访问已知的网络钓鱼站点或收到已知的网络钓鱼电子邮件时警告您，并且他们不知道所有网络钓鱼站点或电子邮件。 在大多数情况下，保护自己取决于您——安全程序只能提供一点帮助。

在处理对私人数据的请求和任何其他可能是社会工程攻击的事情时，保持健康的怀疑是一个好主意。 怀疑和谨慎将有助于保护您，无论是在线还是离线。

图片来源：Flickr 上的 Jeff Turnet