社会工程学攻击与防范措施

　　随着网络社会的发展，人类的生成生活越来越依赖于网络，习惯于通过网络来传递消息，这就在传统网络安全基础上，给个人和组织带来更大的挑战。社会工程学攻击是一种针对人或者人性的攻击手段，它比传统的攻击方法的目的性更明确，手段更具欺骗和隐蔽性。很明显，首先遇到的问题就是“什么是社会工程学”、“这些攻击有什么类型”以及“怎么防范这些攻击”，下面就让我们一起来探讨一下。

　　1、什么是社会工程学

　　社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。

　　比较流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包含间谍软件等，都是社会工程学的代表应用。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。社会工程学不是传统的信息安全的范畴 ，也被称为“非传统信息安全”。

　　2、社会工程学类型

　　1)基于人(基于人的社会工程学攻击需要人与人的互动来接触到需要窃取到的信息。)

　　伪装

　　在这种攻击方式中，黑客通常会伪装成一个系统的合法用户和员工。黑客此时可以通过伪装成一个看门人、雇员或者客户来获取物理访问权限。

　　冒充重要客户

　　在这种攻击方法中，黑客会伪装成贵宾、高层经理或者其他有权使用或进入计算机系统并察看文件的人。大多数时候，低级别的员工不会针对这种情况来询问任何问题。

　　冒充第三方

　　黑客也会伪装成拥有权限的其他人。这种方法通常会在拥有授权的其他人不能使用机器的时候使用。

　　寻求帮助

　　是一个经典的社会工程学攻击的方法。向帮助台和技术人员寻求帮助并套取想要的信息，这让他们成为了社会工程学攻击良好的目标。

　　偷窥

　　当一个人在输入登陆密码时收集他的密码，当然可以通过偷窥的方法。

　　翻垃圾箱

　　寻找在垃圾箱中记录密码的纸、电脑打印的文件、快递信息等，往往可以找到有用的信息。

　　2)基于计算机(基于计算机的社会工程学的攻击可以使用相关软件来获取所需要的信息)

　　钓鱼

　　钓鱼涉及虚假邮件、聊天记录或网站设计，模拟与捕捉真正目标系统的敏感数据。比如伪造一条上来自银行或其他金融机构的需要“验证”您登陆信息的消息，来冒充一条合法的登陆页面来“嘲弄你”。

　　引诱

　　攻击者可能使用能勾起你欲望的东西引诱你去点击，可能是一场音乐会或一部电影的下载链接，也有可能是你“偶然"间发现的标有“高管薪酬摘要Q1 2013”并标有公司LOGO的U盘。一旦下载或使用了类似设备，PC或公司的网络就会感染恶意软件以便于犯罪分子进入你的系统。

　　在线诈骗

　　被包含在邮件附件中的恶意软件，一旦被下载使用则很有可能被安装包括能够捕获用户的密码的键盘记录器、病毒、木马甚至蠕虫。又是也有可能弹出“特别优惠”的窗口，吸引用户无意中安装了其他的恶意软件。

　　3、如何防范工程学攻击?

　　1)当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话。在提供任何个人信息之前请设法向其确认身份，验证可靠性和权威性。

　　2)缓慢并认真地浏览电子邮件和短信中的细节。不要让攻击者消息中的急迫性阻碍了你的判断。

　　3)自学。信息是预防社会工程攻击的最有力的工具。研究如何鉴别和防御网络攻击者。

　　4)永远不要点击来自未知发送者的电子邮件中的嵌入链接。如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL。

　　5)永远不要在未知发送者的电子邮件中下载附件。如果有必要，可以在保护视图中打开附件，这个在许多操作系统中是默认启用的。

　　6)拒绝来自陌生人的在线电脑技术帮助，无论他们声称自己是多么正当的。

　　7)使用强大的防火墙来保护你的电脑空间，及时更新杀毒软件同时提高垃圾邮件过滤器的门槛。

　　8)下载软件及操作系统补丁，预防零漏洞。及时跟随软件供应商发布的补丁同时尽可能快地安装补丁版本。

　　9)关注网站的URL。恶意网站可以看起来和合法网站一样，但是它的URL地址可能使用了修改过的拼写或域名(例如将.com变为.net)。

　　10)不要幻想不劳而获。如果你从来没有买过彩票，那你永远都不会成为那个中大奖的幸运儿。如果你就没有丢过钱，那为什么还要接受来自FBI的退款呢?

　　3、已中招，该怎么办?

　　由于社会工程攻击的温柔属性，大多数受害者都不知道他们已经被攻击了，而可能要耗费几个月的时候才能发现这个安全漏洞。

　　1)如果你确信已经泄露了你所在机构的机密信息，请向你所在机构的适当人员报告，包括网络管理员。这样他们就能够对可疑的或不正常的活动提高警惕。

　　2)如果你确信你的财务账号被侵害了，请迅速联系你的财务机构并关闭可能被侵害的账号。观察你的账号中任何无法解释的收费。

　　3)请考虑将攻击报告给警察，并发送一份报告给相关安全机构。

　　社会工程学攻击的骗局已是不少人深受其害。每个人要加强自身安全意识，才能有效防范社会会工程学的攻击，减少或避免损失。欢迎大家给我们留言，可以登陆课课家教育或搜索【课课家IT精品课程】，期待您的加入。