了解社会工程学策略：8 种需要警惕的攻击

社会工程学是许多网络犯罪分子用来实现邪恶目的的危险武器。它利用心理操纵来欺骗个人泄露机密或个人信息。与依赖利用软件漏洞的

传统黑客攻击不同，社会工程学瞄准的是人类的弱点。

以下是 2024 年最常见的社会工程攻击类型以及现实世界的例子，以突出其影响。

网络钓鱼：上钩、下线、下坠

网络钓鱼 是最常见的社交工程攻击之一。它涉及发送看似来自合法来源的欺诈性通信（通常是电子邮件）。其目的是诱骗收件人提供敏

感信息，例如登录凭据或财务详细信息。

示例： 2022 年， 一次复杂的网络钓鱼攻击 旨在窃取 Office 365 凭据，攻击者冒充美国劳工部 (DoL)。这一骗局体现了现代网络钓鱼

尝试日益复杂和令人信服的性质。

鱼叉式网络钓鱼：精准社会工程学

鱼叉式网络钓鱼是一种更有针对性的网络钓鱼。虽然网络钓鱼攻击通常采用“以牙还牙”的方式发送给许多收件人，但鱼叉式网络钓鱼针对

的是特定的个人或公司。恶意行为者根据目标信息定制消息，使其更具说服力。

示例： 当世界各国领导人商讨如何最好地应对俄罗斯和乌克兰之间不断升级的紧张局势时，微软于 2022 年 2 月发出警告，称俄罗斯黑

客组织针对乌克兰公共部门实体和非政府组织发起了新的 鱼叉式网络钓鱼活动。

据报道，该组织名为 Gamaredon，微软将其编号为 ACTINIUM，自 2021 年以来一直以“对应急响应和确保乌克兰领土安全至关重要的

组织”为目标。2024/8/13 19:06 

社会工程学：定义和 5 种攻击类型

https://www.tripwire.com/state-of-security/5-social-engineering-attacks-to-watch-out-for?utm_content=303810136&utm_medium=social&utm_source=twitter&hss_channel=tw-37711082 

2/4

借口：掌握社会工程学的艺术

借口是另一种社会工程学形式，涉及创建虚构场景来窃取信息。这些骗局使用的社会工程学技巧与骗子几百年来操纵受害者所使用的技巧

相同，例如欺骗、确认、奉承和恐吓。攻击者假装需要这些信息来确认受害者的身份或帮助应对所谓的紧急情况。

在组织层面，伪装者可能会采取大量措施冒充可信赖的人物，例如经理、同事或客户。这可能涉及通过虚假的电子邮件地址、网站或社交

媒体资料伪造身份。

在更复杂的场景中，攻击者可能会安排与目标的面对面会议。例如，伪装成供应商代表的黑客可能会安排会议以获取机密客户数据。攻击

者的目标是在这些会面中表现出可信度并与目标建立融洽关系。通过建立信任，攻击者增加了目标遵守敏感信息请求的可能性，认为这些

请求是合法的。

Deepfakes：眼见为实

Deepfakes 使用人工智能 (AI) 来制作逼真但虚假的音频、视频或图像，以冒充真人。Deepfakes 越来越多地用于各种社交工程攻击，

以创建令人信服但具有欺诈性的场景。Deepfakes 利用经过操纵的音频和视频来欺骗目标，使其泄露敏感信息或执行他们原本不会执行

的操作。

示例： 2019 年， 一家英国能源公司遭受了深度伪造攻击。恶意攻击者使用 AI 生成的音频模仿母公司首席执行官的声音。他们致电目标

公司的首席执行官，指示他紧急向匈牙利供应商转账约 243,000 美元。该声音非常逼真，以至于这位高管遵从了要求。

并非如此公平

另一种社会工程学是交换条件攻击，即提供服务或利益以换取信息。攻击者可能承诺提供技术支持、免费软件或其他服务，以诱使受害者

泄露机密信息。

示例：最常见的交换条件攻击之一是诈骗者冒充美国社会保障局 (SSA) 代表。这些诈骗者随机联系个人，以虚假借口要求确认其社会保

障号码，从而实现身份盗窃。

另外，联邦贸易委员会 (FTC) 发现的恶意行为者会创建假冒的 SSA 网站来非法获取个人信息。令人恐惧的是，攻击者并不需要那么狡

猾，因为以前的事件表明，办公室员工愿意泄露密码以换取钢笔或巧克力棒等廉价物品。

美人计：爱情、谎言和盗窃

美人计涉及创建虚假的网络角色来与受害者建立恋爱关系。其目的是获得并利用受害者的信任来获取经济利益或获取敏感信息。

示例： 据警方报告，温哥华岛一名男子在 一次爱情骗局中损失了 15 万美元。几个月来，骗子要求受害者支付机票、医疗费和其他各种费

用。

搭便车

另外两种普遍存在的威胁是尾随和搭便车。尾随本质上是指未经授权访问安全空间，犯罪分子通过利用真实用户的信任获得这种权限。它

涉及通过跟随具有合法访问权限的人并利用他人的礼貌在未经适当授权的情况下进入限制区域来获得物理访问权限。它还可能涉及徽章克

隆、使用无人值守的设备或冒充。当有人试图搭黑客的便车进行勒索时，就会发生搭便车。

示例： 2018 年，一名个人在英国雷丁刑事法庭承认 在基因治疗公司 Oxford Biomedica 工作期间未经授权访问计算机并进行敲诈勒

索。有一次，该公司在遭受攻击后被要求以比特币支付 370,000 美元的赎金。

一名员工（讽刺的是，他是响应团队的一员）修改了赎金记录，将付款转移到他的加密货币钱包，实际上对他的雇主发起了单独攻击。

商业电子邮件入侵：冒充游戏

商业电子邮件入侵 (BEC) 是一种复杂的网络攻击，犯罪分子会精心收集有关组织结构和主要高管的信息。利用这些信息，他们利用与首

席财务官等高级职位相关的信任，操纵 员工转移资金或泄露敏感信息。

通过访问高管的电子邮件帐户，攻击者 可以冒充他们来请求紧急财务交易，例如支付虚假发票。他们利用这些交易的时间敏感性来最大

限度地降低被发现的机会。

BEC 是最常见的攻击之一，也是成本最高的网络犯罪类型之一。FBI 表示，2013 年至 2022 年间，BEC 攻击在全球造成了约 508 亿美元

的损失。

打击剥削

社会工程攻击是当今数字世界中日益严重的祸害。它们利用的是人类心理而非技术弱点，因此特别难以防御。意识和教育对于打击这些攻

击至关重要。

公司应将以下建议纳入其安全意识培训中：2024/8/13 19:06 

社会工程学：定义和 5 种攻击类型

https://www.tripwire.com/state-of-security/5-social-engineering-attacks-to-watch-out-for?utm_content=303810136&utm_medium=social&utm_source=twitter&hss_channel=tw-37711082 

3/4

谨慎对待来自不熟悉来源的电子邮件。如果您收到可疑电子邮件，请通过电话或亲自直接联系发件人来验证其合法性。

对未经请求的提议持怀疑态度。如果某件事看起来好得令人难以置信，那么它很可能就是假的。

离开工作站时请务必锁上笔记本电脑，以防止未经授权的访问。

投资防病毒软件。虽然没有防病毒解决方案能够提供万无一失的保护，但它可以大大增强对社会工程策略的防御能力。

熟悉公司的隐私政策，以了解有关外部个人访问权限的协议。

在采取行动之前验证来自内部联系人的紧急请求，主要涉及金融交易或敏感信息。

培养风险意识文化，让员工时刻保持警惕。社会工程学因人为错误而蓬勃发展，因此将安全意识植入组织思维至关重要。员工应该

知道如何及时识别和报告潜在事件。

通过了解常见的社会工程攻击类型并认识到其现实影响，个人和组织可以更好地保护自己免受这些普遍存在的威胁。