社会工程学：最危险的安全威胁

什么是社会工程学？

社会工程学（Social Engineering）是利用人性的弱点，通过心理操纵获取目标敏感信息的艺术。

> 「没有打不开的门，只有不够聪明的黑客。」—— 经典社工名言

常见社会工程攻击手法

1. 钓鱼邮件（Phishing）

伪造发件人地址，发送看似来自可信来源的邮件，诱导用户点击恶意链接或提供敏感信息。

识别要点：

• 发件人地址是否与声称的机构域名一致？


• 链接悬停显示的真实 URL 是否可疑？


• 是否制造紧迫感（如「立即验证否则封号」）？

2. 电话诈骗（Vishing）

攻击者伪装成 IT 支持、银行客服等，通过电话要求受害者提供密码或转账。

3. USB 攻击

预先植入恶意软件的 USB 设备，故意遗落在目标场所，等待有人好奇插入电脑。

4. 肩窥（Shoulder Surfing）

在公共场合偷看他人输入的密码或 PIN 码。

典型案例分析

案例：CEO 诈骗（BEC）

攻击者伪装成 CEO 或 CFO，向财务人员发送紧急转账请求：

From: CEO@company-competitor.com
To: accountant@company.com
Subject: 紧急：供应商款项

财务部小王，

有一笔款项需要立即处理，供应商催得很急。
请转账 50 万元到以下账户，我稍后补签字手续。

账户：6222   8888
开户行：XX银行

CEO 张总
（附上我的手机号以备联系：138**8888）

防御措施

1. 安全意识培训：定期进行社工意识测试
2. 双重确认：任何敏感操作都需要第二条渠道确认
3. 邮件安全：SPF、DKIM、DMARC 配置
4. USB 安全策略：禁用自动运行，限制 USB 设备使用
5. 物理安全：屏幕遮挡，摄像头覆盖