Social Engineering 社会工程

利用人的弱点和错误获取私密信息、访问权限或财物的操纵技术。攻击的不是机器,是人。

为什么社工攻击经久不衰:

• 人是最薄弱的环节 —— 再强的技术防御也挡不住员工自愿点开链接
• 不需要技术漏洞 —— 软件没漏洞也能得手
• 成本低、见效快 —— 一个钓鱼邮件比写 exploit 容易多了

利用的人性弱点:

• 权威 —— “我是 CEO,你必须照办”
• 紧急 —— “今天必须办完,不然后果严重”
• 从众 —— “其他同事都填了这个表”
• 好奇 —— “看看你在公司年终绩效排名”
• 贪婪 —— “你中奖了”
• 同情 —— “我把卡丢了,能借你的电脑用一下吗”
• 互惠 —— 先送你点小东西,再让你帮个忙

主要形式:

• Phishing 网络钓鱼 —— 邮件
• Vishing 语音钓鱼 —— 电话
• Smishing —— 短信
• Physical Social Engineering —— 当面
• USB Baiting —— 留个 U 盘等你捡

防御核心:人员培训 + 强制性流程。不能靠”员工应该警觉”,要靠”流程上根本做不出错事”。