你可能知道，黑客并不像人们通常描绘的那样，整天穿着连帽衫，郁郁寡乐。但可能让你感到惊讶的是，许多“黑客”并没有连续花费数小时寻找软件漏洞和网络安全漏洞——他们将精力集中在社会工程策略上。

这种常见的做法颠覆了内向黑客的刻板印象。这些卑鄙的方法依赖于对人性的深刻理解，以便攻击和操纵受害者，使他们愿意交出有价值的信息。其中一些方法和“艺术艺术”本身一样古老，但不要让它们久经考验的真实性质让你陷入一种虚假的安全感——当这些策略用于现代技术系统的守门人时，可能会导致灾难性的问题。

在本文中，我们将探讨社会工程攻击究竟是什么，以及为什么它们是网络犯罪领域中最具挑战性的问题之一。我们还将询问专家如何保护你的家人和朋友不被这些老练的罪犯欺骗。

什么是社会工程?

社会工程是一种针对网络犯罪的方法，它利用社会操纵来针对安全的最薄弱环节:用户。通过利用我们最常见的动机，网络罪犯甚至可以完全绕过最好的安全措施。他们不是窃取信息，而是让受害者交出信息。毕竟，“攻击人类比攻击系统或网络容易得多，”他指出网络安全顾问埃里克·杰弗瑞。

虽然社会工程主要是网络攻击的一种形式，但它起源于很多方式——包括电话、蜗牛邮件和面对面。网络犯罪分子可以通过任何方式获取敏感信息，如全名、出生日期、车牌、用户名、密码等，都是他们通过互联网出售或利用这些信息的机会。

社会工程的数字形式包括:

• 网络钓鱼——一种广泛的欺骗类型，包括伪装成合法来源，最常见的是通过电子邮件
• 交换条件——用服务交换来说服受害者服从
• 诱骗——利用虚假交易或下载来诱骗受害者提供信息
• 假装——制造一种虚假的信任感来降低受害者的警惕性

无论是窃取他们的身份，抽干他们的银行账户，访问受限制的服务器或只是造成混乱，网络罪犯都在追求同一件事——信息。在所有获取他人信息的方法中，社会工程是最常见的这就是为什么Jeffery将其列为“网络安全中的头号风险”。

网络罪犯如何利用人类心理

通过了解网络犯罪分子的目标动机，我们可以更容易地识别真实情况和虚构情况。以下是骗子利用心理学为他们做事的一些常见方法。

紧急和恐惧

的联合创始人阿贾伊•昌霍克(Ajay Chandhok)表示:“制造紧迫感是社会工程师用来从受害者那里收集机密信息的头号策略。LedgerOps．他指出，这些罪犯会利用快速的截止日期来匆忙做出错误的决定。“时间盒的额外压力导致许多受害者不假思索地交出了他们的信息。”

如果你曾经收到过一封带有紧急主题的电子邮件，你就知道光是读它就能让你的心跳加速。犯罪分子利用这种感觉，在用户有机会考虑后果之前，破坏他们的批判性思维。

网络钓鱼诈骗经常使用这种方法。电子邮件看起来像是可信的来源，要求用户验证他们的凭据，登录他们的账户或转账。通常情况下，一个嵌入的链接会把他们带到一个假页面，直接把他们的信息发送给罪犯。下面是一些常见的场景，利用紧急和恐惧来诱骗别人泄露他们的信息。

常见的策略

• 假扮成网络安全公司
• 公司威胁突然关闭账户或要求你对未经授权的购买提出异议
• 冒充重要的人力资源问题
• 关于密码过期、逾期付款、资金丢失等的虚假银行通知。
• 美国国税局或联邦调查局等权威人士要求立即合作

礼貌与善良

当孕妇抱着东西掉在地上时，大多数人的自然反应是伸出手来帮她捡起来。虽然这是我们社会和人性中根深蒂固的一种值得称赞的趋势，但我们乐于助人的愿望也可能被网络罪犯操纵。

“他们利用的是我们的情绪和想要信任他人、乐于助人的天生感觉，”罗伯特•西西里亚诺(Robert Siciliano)说玄关．我们不愿意相信别人会利用我们的善良，但有一种方法可以让我们善良而不成为naïve。帮助孕妇是一回事，但任何涉及提供个人信息的事情都是另一回事。

交换条件骗局就是这种社会工程的一个很好的例子。骗子不会要求受害者合作，而是会简单地要求受害者，用失去工作的故事来触动受害者的心弦，并承诺会做些什么作为回报。这可能是最难识别和抵御的欺诈形式。

常见的策略

• 虚假慈善机构为人道主义危机募集资金
• 用忘带钥匙卡等借口尾随到安全地点
• 经典的尼日利亚王子骗局请求帮助把钱汇到一个饱受战争蹂躏的国家
• 社会安全人员因为电脑坏了而要求核实社会安全号

好奇和兴奋

“每个人都想在一生中至少幸运一次。TechLoris．“我们大多数人根本不会中彩票——但如果我们突然中了呢?正是这种不太可能的希望，让许多社会工程黑客捕食——今天你真的很幸运的机会。”

我们都认为自己是无法被收买的，但是研究已经表明，这并不需要太多——尤其是如果有人不知道他们放弃的东西的价值。当满足感只需要点击或登录，很容易就会想“这有什么坏处?”然后继续。

诱饵骗局依赖于这个问题。毕竟，好奇心是推动互联网的动力，如果最后五个“从未见过的泰坦尼克号照片”的链接是可信的，那么这个不可信的可能性有多大?

常见的策略

• 将usb放在公共场所，并贴上诱人的标签，如“第一季度裁员”或简单地“保密”
• 链接到标题党视频和照片
• 任何看起来好得令人难以置信的事情。他们没有申请的奖金，免费游轮或机票
• 大幅打折商品的虚拟广告，在互联网上其他任何地方都找不到

无知与信任

对我们许多人来说，人们仍然相信这些骗局似乎很愚蠢，但如果你不知道更好的，你也会相信他们。西西里亚诺说，社会工程师“依赖于这样一个事实，即我们许多人没有意识到我们所拥有的信息的价值，也没有注意保护它。”

即使用户只与他们信任的发件人联系，骗子仍然可以利用。通过使用借口等策略，他们可以获取受害者的少量信息，并利用它建立信任。例如，如果你收到一封以你的全名发送的电子邮件，里面有你经常购买的产品信息，你就更有可能信任发件人。

就像善良一样，这并不意味着我们应该停止相互信任，而只是将信任与警惕结合起来。仅仅因为有人掌握了用户的信息，并不意味着他们是诚实地获得这些信息的。虽然承认这一点很可怕，但网络犯罪是一个复杂的网络，一个骗子可以把个人信息卖给另一个人。最重要的是，社会工程师的目标是那些一无所知的人。

常见的策略

• 鱼叉式网络钓鱼——使用特定于受害者的数据进行单独定向诈骗
• 爱情骗局，比如钓鱼
• 调查骗局，通常是通过电话
• 社交媒体信息

专家的建议

在这一点上，你可能会觉得每个人都是伪装的网络罪犯，但了解网络犯罪并不是扔掉我们的电脑，再也不出家门。杰弗瑞报告说:“了解、理解和关注是抵御社会工程威胁的最好方法。”

社会工程师看起来像是邪恶的天才，但西西里亚诺提醒我们，“社会工程的存在时间和骗子一样长。”在互联网上的安全就像在其他任何地方一样。如果你在行动前思考，用一点逻辑来平衡你的情绪，你已经完成了你的部分。

话虽如此，Siciliano提供了一些简单的步骤来将这些原则付诸行动。以下是这位资深安全专家的看法:

• 永远不要回复你不认识的人的消息，永远不要点击未经请求的消息中的链接，包括即时消息。任何时候电话响了，他们要求提供个人信息，就把它当成骗局。
• 对任何看起来好得令人难以置信的提议都要持怀疑态度，比如仅仅为别人做电汇就能收到数千美元的诱惑。
• 如果你不确定一个请求是否合法，检查一下它可能是假的迹象，比如拼写错误和语法错误。如果你仍然不确定，直接联系公司或组织。金融机构和大多数网站不会发送电子邮件或短信询问你的用户名和密码信息。
• 在使用社交网站时，不要接受不认识的人的好友请求，并限制你在个人资料中发布的个人信息数量。
• 考虑使用安全的浏览工具软件，它会在你的搜索结果中告诉你一个网站是否安全，帮助你远离虚假网站。
• 确保你所有的设备都受到全面的安全保护，保护你所有的个人电脑、mac电脑、智能手机和平板电脑。

此外，花点时间磨练你的批判性思维能力这些广泛适用的技能将帮助你导航，而不仅仅是社会工程骗局。

保护重要的东西

你无法说服社会工程师停止操纵脆弱的用户，但你或许可以帮助加入这场战斗，阻止他们罢工。在我们的文章中了解你是否适合网络安全领域。”你想从事网络安全工作的迹象．”