什麼是社會工程學，您如何避免它？

惡意軟件並不是唯一需要擔心的在線威脅。 社會工程是一個巨大的威脅，它可以在任何操作系統上攻擊你。 事實上，社會工程也可以通過電話和麵對面的情況發生。

了解社會工程學並保持警惕很重要。 安全程序無法保護您免受大多數社會工程威脅，因此您必須保護自己。

社會工程學解釋

傳統的基於計算機的攻擊通常依賴於在計算機代碼中發現漏洞。 例如，如果您使用的是過時版本的 Adob​​e Flash——或者，上帝保佑，Java，據思科稱，這是 2013 年 91% 攻擊的原因——您可能會訪問惡意網站和該網站將利用您軟件中的漏洞來訪問您的計算機。 攻擊者正在操縱軟件中的錯誤以獲取訪問權限並收集私人信息，可能使用他們安裝的鍵盤記錄器。

社會工程技巧不同，因為它們涉及心理操縱。 換句話說，他們利用的是人，而不是他們的軟件。

相關：在線安全：分解網絡釣魚電子郵件

您可能已經聽說過網絡釣魚，這是一種社會工程形式。 您可能會收到一封聲稱來自您的銀行、信用卡公司或其他受信任企業的電子郵件。 他們可能會將您引導至偽裝成真實網站的虛假網站，或要求您下載並安裝惡意程序。 但這種社會工程技巧不必涉及虛假網站或惡意軟件。 網絡釣魚電子郵件可能只是要求您發送包含私人信息的電子郵件回复。 他們沒有嘗試利用軟件中的錯誤，而是嘗試利用正常的人類交互。 魚叉式網絡釣魚可能更加危險，因為它是一種旨在針對特定個人的網絡釣魚形式。

相關：什麼是域名搶注以及詐騙者如何使用它？

社會工程學的例子

聊天服務和在線遊戲中的一個流行技巧是使用“管理員”之類的名稱註冊一個帳戶，然後向人們發送“警告：我們檢測到有人可能正在入侵您的帳戶，請使用您的密碼進行響應以驗證您自己”之類的可怕消息。 如果目標以他們的密碼作為響應，他們就中招了，攻擊者現在有了他們的帳戶密碼。

如果有人擁有您的個人信息，他們可以使用它來訪問您的帳戶。 例如，您的出生日期、社會保險號和信用卡號等信息通常用於識別您的身份。 如果有人知道這些信息，他們可以聯繫企業並假裝是您。 這個技巧曾被攻擊者用來訪問 Sarah Palin 的 Yahoo! 2008 年的郵件帳戶，提交足夠的個人詳細信息以通過 Yahoo! 的密碼恢復表訪問該帳戶。 如果您擁有企業對您進行身份驗證所需的個人信息，則可以通過電話使用相同的方法。 擁有目標信息的攻擊者可以偽裝成目標並獲得更多信息。

社會工程學也可以親自使用。 攻擊者可以走進一家企業，以權威和令人信服的語氣告知秘書他們是維修人員、新員工或消防檢查員，然後在大廳裡游盪，並可能竊取機密數據或植入漏洞以執行公司間諜活動。 這個技巧取決於攻擊者將自己呈現為他們不是的人。 如果秘書、門衛或其他負責人不問太多問題或看得太仔細，這個伎倆就會成功。

相關：攻擊者如何實際在線“破解帳戶”以及如何保護自己

社會工程攻擊範圍涵蓋虛假網站、欺詐性電子郵件和惡意聊天消息，一直到在電話中或當面冒充他人。 這些攻擊有多種形式，但它們都有一個共同點——它們依賴於心理詭計。 社會工程被稱為心理操縱的藝術。 這是“黑客”實際“破解”在線帳戶的主要方式之一。

如何避免社會工程學

了解社會工程學的存在可以幫助您與之抗爭。 警惕不請自來的電子郵件、聊天消息和要求提供私人信息的電話。 切勿通過電子郵件透露財務信息或重要的個人信息。 不要下載有潛在危險的電子郵件附件並運行它們，即使電子郵件聲稱它們很重要。

您也不應該通過電子郵件中的鏈接訪問敏感網站。 例如，不要單擊電子郵件中看似來自您銀行的鏈接並登錄。它可能會將您帶到偽裝成您銀行網站但 URL 略有不同的虛假網絡釣魚網站。 而是直接訪問該網站。

如果您收到可疑請求（例如，銀行打來的電話詢問個人信息），請直接聯繫請求來源並要求確認。 在此示例中，您將致電您的銀行並詢問他們想要什麼，而不是將信息洩露給自稱是您銀行的人。

電子郵件程序、Web 瀏覽器和安全套件通常具有網絡釣魚過濾器，當您訪問已知的網絡釣魚站點時會向您發出警告。 他們所能做的就是在您訪問已知的網絡釣魚站點或收到已知的網絡釣魚電子郵件時警告您，並且他們不知道所有網絡釣魚站點或電子郵件。 在大多數情況下，保護自己取決於您——安全程序只能提供一點幫助。

在處理對私人數據的請求和其他任何可能是社會工程攻擊的事情時，保持健康的懷疑是一個好主意。 懷疑和謹慎將有助於保護您，無論是在線還是離線。

圖片來源：Flickr 上的 Jeff Turnet