什么是社会工程？

网络钓鱼（Phishing）

网络钓鱼是最常见的社会工程攻击类型。攻击者通过电子邮件、语音通话、即时聊天、网络广告或虚假网站等形式，窃取机密的个人信息或公司信息。

首先，网络钓鱼之所以能够成功，通常是因为攻击者准备的虚假信息和欺骗手段高度仿真，这使得受害者很容易忽视相关操作的危险性，大大提高了社会工程的成功率。其次，网络钓鱼一般会让受害者感受到紧迫、恐惧或好奇，这使得受害者短时间内只专注于攻击者编造的信息，无暇仔细分辨信息的真假。

举一个例子：

受害者收到一封银行发送的电子邮件，声称其账户存在风险，需要提供诸如姓名、身份证号、手机号、银行卡号、银行卡密码等信息，然后银行方可帮助他恢复安全状态。实际上这根本不是银行发的邮件，而是攻击者发送的钓鱼邮件。如果攻击者“敬业”一点，他还会搭建一个足以以假乱真的银行网站，让受害者登录该网站进行一些操作，然后从中获取受害者的关键个人信息。受害者由于担心自己个人财产收到危害，所以不会仔细去分辨邮件信息和网站的真假，这就落入了陷阱。

鱼叉式网络钓鱼（Spear Phishing）

鱼叉式网络钓鱼实际上就是一种更有针对性的网络钓鱼。相对而言，普通的网络钓鱼随机性更大，攻击者并不聚焦于具体的受害者，而是广泛散播有害信息。而鱼叉式网络钓鱼会选择具体的受害者，例如企业高管或网络管理员，通过对受害者的特征、工作职位和联系人等信息进行详细了解，制定一份可信度非常高的钓鱼方案，提高社会工程的成功率。

举一个例子：

受害者平时喜欢浏览汽车相关的网站，有一天他收到一封邮件，发件人“似乎”是平时经常浏览的网站之一。邮件内容是关于某款最新车型的测评文章，且提供了更详细内容的网站链接。受害者对此非常感兴趣，基本上就会点击这个链接，也就落入了攻击者的陷阱。

诱饵（Baiting）

顾名思义，这种社会工程方式是利用人们对某种奖励的渴望，引诱人们落入陷阱。诱饵与网络钓鱼在很多方面有相似性，但是区别在于诱饵更强调对受害者的“奖励”，所以受害者往往会因为利益的原因而落入攻击者的陷阱。

诱饵既可以是物理的，也可以是虚拟的（毕竟现在是数字时代）。

物理诱饵大都以存储介质的形态进行传播，我们拿U盘来举例。例如参加活动时的免费赠品，一般人都会认为这是个空的U盘，攻击者正是利用这个心理事先预置了恶意程序，一旦受害者插上U盘即会被感染。还有一种更戏剧性的传播方式，那就是假装U盘被遗落在某个很显眼的地点（例如公司大厅或洗手间），而且上面还带着引人注目的标签（例如工资明细）。相信我，很多人都会感兴趣想偷偷看一眼的，殊不知攻击者也在偷偷看着他。

虚拟诱饵就简单多了，只需设计好吸引人的外观，例如免费礼品的网站链接或者某个吸引人的活动链接，自然有很多人会感兴趣去点击链接的，恶意程序也就趁此侵入受害者的系统。

水坑（Watering Hole）

水坑的名称来源于自然界的捕食方式，即很多捕食者会守候在水源旁边，伏击来饮水的其他动物，提高捕食的成功率。

攻击者会通过前期的调查，确定受害者（往往是一个特定群体）经常访问的一些网站，并在网站上部署恶意程序，当受害者访问网站时即会被感染。事实上，很多大型网站都会非常注意网络安全，防止自己被攻击者利用，这将导致用户对自己不信任，继而影响网站的声誉。所以，很多攻击者都会选择一些中小型网站，或者技术和资金并不雄厚的网站，这也提醒大家在访问此类网站时要格外小心。

语音网络钓鱼（Vishing）和短信网络钓鱼（Smishing）

语音网络钓鱼和短信网络钓鱼可以算是网络钓鱼的两种方式，前者通过电话实施社会工程，后者通过短信。这两种方式显然针对的是更老派的受害者，他们不怎么使用网络，也看不懂那些“精美的”骗术，这让攻击者有种无力感。

针对这类人群，攻击者采用了更传统的骗术，即通过电话或短信来使受害者落入陷阱。攻击者大都使用机器人来实施欺骗过程，当前高水平的机器人几乎可以代替真人来完成交流，这大大提高了攻击者的效率。

伪装（Pretexting）

伪装这种方式主要是利用虚假的身份来欺骗受害者。攻击者通常会假装成处于强大地位的人，迫使受害者按照他的指示来提供重要信息。

举一个例子：

攻击者冒充有执法权的官员，先取得 受害者的信任，然后要求受害者 提供一些个人信息来证实自己的身份。最终将从受害者处获得所需的信息，并使用这些信息进行身份盗窃或发动二次攻击。

交换条件（Quid Pro Quo）

交换条件是指攻击者依靠信息或服务的交易，促使受害者配合自己的要求，进而获得重要的个人信息。与诱饵类似，交换条件也声称会为受害者带来好处，这种好处通常采取服务的形式，而诱饵通常采取实物的形式。

举一个例子：

攻击者冒充IT支持人员打电话给受害者，宣称可以提供技术支持或软件升级，需要受害者提供自己的账号信息，以获得临时权限。一旦受害者提供了此类信息，攻击者即可利用这些信息完成相关攻击或信息盗取。

恶意软件（Malware）

这种方式是令受害者相信其计算机中已被安装恶意软件，只有按照攻击者的要求去做，才能删除这些恶意软件。

通常攻击者会要求受害者支付一定的金额，然后再解除恶意软件。实际上就算受害者按照攻击者要求去做，攻击者也不会放过这个好机会，他们 会趁此过程获取个人关键信息，甚至于真的安装上一个恶意软件 。

尾随（Tailgating）和背靠背（Piggybacking attacks）

尾随也可以称为背靠背，这种方式是指没有授权的人借助其他人的授权，进入受限的区域或系统。

举几个常见的例子：

• 攻击者紧跟在受害者身后，在受害者进入到某个区域后，快速跟进到该区域内。
• 攻击者假装成忘带身份证明的员工，并请其他员工或把守门禁的人帮其开门。
• 攻击者假装借用受害者的电脑，然后迅速安装上恶意软件。