【安全科普】攻心为上！社工攻击如何利用心理学突破“防火墙”

社会工程学攻击是利用人的心理弱点，采取欺骗、操纵、说服等危害手段，获取自身利益的手段。在网络安全领域，社会工程学攻击的主要目的是为了获得访问权限并破坏系统、获取有价值的数据、损害公司声誉或执行其他破坏性行动。

典型案例

某企业员工邮箱收到了一封要求更新系统登录的邮件，并附带了链接（指向虚拟登录网站的链接）。一旦员工点击并输入合法凭证，不法分子就能捕获信息，并可访问目标公司系统和敏感数据。

这是一个典型的社会工程学攻击案例，称为商业电子邮件入侵（BEC）攻击。威胁行为者创建了一封网络钓鱼邮件，引诱员工登录，并通过侦察技术获得了相关邮件地址和公司使用的基于Web的应用程序的信息。

社会工程学攻击步骤

社会工程学攻击大致按照以下步骤进行：

1. 信息收集

不法分子会在该阶段投入大量时间，以电话、社交平台、书面交流等方式收集目标信息。在一些案例中还会使用到肩窥、入侵/角色扮演、尾随和垃圾箱潜水攻击，更有甚者还会利用在线搜索等技术方法、开源情报工具来收集信息。

2. 建立融洽关系

不法分子会使用同情、认可、交换条件、提问和自我暂停等因素，建立和谐、积极的人设与目标建立信任关系。常见的手段有，通过分享个人故事，让目标产生同情，或通过模仿权威，让其提供信息。

3. 漏洞利用

在不引起怀疑的情况下，不法分子利用信息和关系渗透目标，并保持信任关系。漏洞利用的示例包括，允许进入设施、泄露商业机密、通过电话泄露密码和用户名，或打开受感染的邮件附件。

4. 执行

这是社会工程学骗局的最后阶段。如果成功执行，攻击可能会在目标注意前或完全不知情的情况下结束，并成功隐藏自己不法分子的真实身份。甚至目标还会以为做了一件积极的事情，并继续保持互动。

更多典型案例可查看：漫说社工攻击的典型案例

心理学：人类心理的6大“弱点”

1、互惠

这是一种“报恩”的责任感，人们觉得有义务回报那些帮助过我们的人。

2、承诺一致性

如果某人之前承诺了某个想法或目标，那么当你再次提起该想法或目标时，就更有可能得到同意并被再次接受。

3、社会证明

也称为跟风效应，人们倾向于接受大多数人认同的观点或行为。

4、喜欢

人们更容易受到他们喜欢的人的影响。

5、权威

人们倾向于服从对他人有控制或影响的权威人物，因此不法分子会通过冒充公司职位较高的人来获得有价值的信息。

6、稀缺性

会让人产生快速决策的紧迫感。当某样东西是稀有的、时间有限、数量有限时，它的价值就会增加。稀缺性会影响人们做出无意的决定。

社工攻击经常利用的5种情绪

1、贪婪

一种强烈而自私的欲望。如，以提供免费订阅服务、折扣和奖励的网络钓鱼邮件通常能吸引更多人采取行动。

2、好奇心

对了解某事的渴望和兴趣。如，涉及热门或敏感话题的消息及链接更容易引起人的注意。

3、紧迫性

虚假的安全警报，如病毒通知、账户登录和密码更改通知，会让人产生一种紧迫感，并促使人们不假思索地做出快速决策。

4、乐于助人

当某人需要帮助时，我们往往很乐于提供帮助。这种乐于助人的品质常被利用，如虚假捐赠。

5、恐惧

恐惧能引起强烈的焦虑情绪。如，紧急银行账户泄露通知，会让人产生恐惧，并急于纠正问题而采取行动，点击受感染的链接。

当网络攻击依赖于人机交互时，攻击往往更有效且更容易执行。威胁行为者可以仅从个人的习惯、偏好和个性出发，而不需要复杂的攻击手段，就能破坏系统。

温馨提示

防范社会工程学攻击，可以采取以下措施：

1、谨慎对待信息请求

对于来自陌生人或不明的邮件、短信或电话，特别是要求提供敏感信息或执行操作的，要保持警惕！先确认对方身份及请求合法性！

2、警惕钓鱼攻击

警惕钓鱼邮件、信息和网站，避免点击来历不明的链接或下载未经验证的附件。认准官方网站上的联系方式。

3、使用强密码

强密码包括字母、数字和符号的组合。应该定期更改密码，并避免在多个账户间使用相同的密码。或者使用密码管理器，确保密码的安全性和唯一性。

4、启用多因素身份验证

对于如电子邮件、社交媒体、银行账户等在线账户，开启多因素身份验证。这样即使密码泄露，仍需额外的身份认证才能登录。

5、定期更新软件和系统

及时更新操作系统、应用程序和安全补丁等，修复已知漏洞，提升系统和应用程序的安全性。

6、保护个人信息

切勿在公共场合讨论和透露个人敏感信息，警惕来历不明的电话、电子邮件、或社交媒体的信息请求。

7、强化网络安全措施

为网络部署防火墙、入侵检测与防御系统（IDS/IPS）、安全信息和事件管理（SIEM）系统等，并定期检查和更新安全设备。

8、定期备份数据

定期备份重要数据，以防止数据泄露、勒索软件攻击等。

9、定期评估和更新安全策略

定期评估和更新安全策略和措施，以适应不断变化的威胁和攻击手段。

参考资料来自：https://www.tripwire.com/state-of-security/beyond-firewall-how-social-engineers-use-psychology-compromise-organizational

编辑：安仔

校对：王磊