按：本文來自青藤安全雷達(dá)原創(chuàng)翻譯。

世界第一黑客凱文?米特尼克在《欺騙的藝術(shù)》中曾提到，人為因素才是安全的軟肋。很多公司在信息安全上投入重金，最終導(dǎo)致數(shù)據(jù)泄露的原因卻在人本身。你可能想象不到，對黑客來說，通過網(wǎng)絡(luò)遠(yuǎn)程滲透破解獲得數(shù)據(jù)，可能是最為麻煩的方法。一種無需電腦網(wǎng)絡(luò)，更注重研究人性弱點(diǎn)的黑客手法正在興起，這就是社會(huì)工程學(xué)攻擊。

社會(huì)工程學(xué)是一種通過人際交流的方式獲得信息的非技術(shù)滲透手段。不幸的是， 這種手段有效， 而且效率很高。 事實(shí)上，社會(huì)工程學(xué)已是企業(yè)安全最大的威脅之一。如下列出十種會(huì)的社會(huì)工程學(xué)伎倆，看完后一定讓你出一身冷汗。

1、  熟人好說話

這是社會(huì)工程學(xué)攻擊者中使用最為廣泛的方法. 原理大致是這樣的. 黑客首先通過各種手段成為你經(jīng)常接觸到的熟人，然后逐漸被你公司的其他同事認(rèn)可，他們時(shí)常造訪你的公司，并最終贏得信賴，可以在公司中獲得很多權(quán)限來實(shí)施計(jì)劃，例如訪問那些本不應(yīng)該允許的區(qū)域或者下班后還能進(jìn)入辦公室等。

2、偽造相似的信息背景

當(dāng)你接觸到一些人，他們看起來很熟悉組織內(nèi)部，擁有一些未公開的信息時(shí)，你很容易把他們當(dāng)做自己人。所以當(dāng)有陌生人以公司或員工的名義進(jìn)入辦公室時(shí)，也很容易獲得許可。但在現(xiàn)在這個(gè)社會(huì)，從各種社交網(wǎng)絡(luò)針對性獲得個(gè)人信息太容易不過了。所以下次，再有陌生人聲稱對某位同事非常熟悉，可以讓該員工在指定區(qū)域接待。

3、偽裝成新人打入內(nèi)部

如果希望非常確定地獲取公司信息，黑客還可以專門去應(yīng)聘，從而成為真正的自己人。這也是每個(gè)新員工應(yīng)聘都必須經(jīng)過徹底審查階段的原因之一。當(dāng)然，還是有些黑客可以瞞天過海，所以新員工的環(huán)境也應(yīng)有所限制，這聽起來有些嚴(yán)酷，但必須給新員工一段時(shí)間來證明，他們對寶貴的公司核心資產(chǎn)來說是值得信任的。即使如此，優(yōu)秀的黑客都通曉這套工作流程，在完全獲得信任后才展開攻擊。

4、利用面試機(jī)會(huì)

同樣，很多重要信息在面試時(shí)的交流中也可能泄露出去，精通社會(huì)工程學(xué)的黑客會(huì)利用這點(diǎn)，無需費(fèi)心去上一天班，就可以通過參加面試獲得重要信息。公司需要確保面試過程中給出的信息沒有機(jī)密資料，盡量淺白標(biāo)準(zhǔn)。

5、惡人無禁忌

這可能聽起來有些違背直覺, 但確實(shí)奏效. 普通人一般對表現(xiàn)出憤怒和兇惡的人避而遠(yuǎn)之，當(dāng)看到前面有人手持手機(jī)大聲爭吵, 或憤怒地咒罵不停, 你一般會(huì)避開他們. 事實(shí)上, 大多數(shù)人都會(huì)這樣選擇, 從而為他讓出了一條通向公司內(nèi)部和數(shù)據(jù)的通道. 不要被種伎倆騙了. 一旦你看到類似的事情發(fā)生, 通知保安就好。

6、他懂我就像我肚里的蛔蟲

一個(gè)經(jīng)驗(yàn)豐富的社會(huì)工程學(xué)黑客也精于讀懂他人肢體語言并加以利用。他可能和你同時(shí)出現(xiàn)一個(gè)音樂會(huì)上，和你一樣對某個(gè)節(jié)段異常欣賞，和你交流時(shí)總能給于適當(dāng)?shù)姆答?，你感覺遇到知己，你和他之間開始建立一個(gè)雙向開放的紐帶，慢慢地他就開始影響你，進(jìn)而操縱你獲得公司的機(jī)密信息。聽起來就像一個(gè)間諜故事，但事實(shí)上經(jīng)常發(fā)生。

7、美人當(dāng)前，難免浮夸

老祖宗早就提到過美人計(jì)的厲害，但大多數(shù)人是無法抵抗這招的。就像電影、電視劇的夢幻情節(jié)，忽然某天一位美女（或帥哥）約你出去，期間你倆一見投緣，談笑甚歡，更美妙的是，其后一次次約會(huì)接踵而來，直到她可以像討論吃飯一樣從你口中套出公司機(jī)密。我并非要摒絕你的浪漫情緣，但天上不會(huì)掉餡餅，請警惕那些問出不該問的問題的人。

8: 外來的和尚會(huì)念經(jīng)

這種事情已經(jīng)在發(fā)生了。 一個(gè)社會(huì)工程攻擊者經(jīng)常會(huì)扮演成某個(gè)專業(yè)顧問, 在完成顧問工作的同時(shí)獲取了你的信息. 對于IT顧問來說尤為如此. 你必須對這些顧問進(jìn)行審查同時(shí)確保不會(huì)給他們?nèi)魏涡孤稒C(jī)密的可乘之機(jī). 切忌僅僅因?yàn)槟橙擞心芰鉀Q你的服務(wù)器或網(wǎng)絡(luò)問題就輕信他人并不意味著他們不會(huì)借此來創(chuàng)建一個(gè)后面, 或是直接拷貝你的數(shù)據(jù). 所以關(guān)鍵還是審查，審查，再審查。

9、善良是善良者的墓室銘

這種方法簡單而又如此常見。黑客等目標(biāo)公司的員工用自己的密碼開門時(shí), 緊隨其后來進(jìn)入公司. 很巧妙的做法是扛著沉重的箱子并以此要求員工為他們扶住門. 善良的員工一般會(huì)在門口幫助他們。之后, 黑客就可以開始自己的任務(wù)。

10、來一場技術(shù)交流吧

電影《Hackers》有這樣一幕——Dade ( 也叫做 Zero Cool ) 打給一家公司并說服一個(gè)職員給他調(diào)制解調(diào)器數(shù)量，這里談話就是他主要的滲透工作，那倒霉的員工自會(huì)告訴他任何需要的信息. 這就是一次普通的攻擊. 當(dāng)全無防范意識(shí)的員工遇到準(zhǔn)備充分的黑客, 他們大都會(huì)因?yàn)闆]有應(yīng)對社會(huì)工程攻擊的經(jīng)驗(yàn)而泄露出黑客想要的任何資料。

早在互聯(lián)網(wǎng)產(chǎn)品還在利用六度人脈做口碑傳播的之前，黑客早已熟練掌握了這個(gè)理論來進(jìn)行滲透攻擊。在個(gè)人受騙案件頻頻發(fā)生的今天，企業(yè)遭受這種類型攻擊的幾率是成倍增長的。

你的企業(yè)被人用社會(huì)工程學(xué)攻擊過嗎？你又為社會(huì)工程學(xué)攻擊做了哪些防護(hù)措施？希望這篇文章能夠幫助大家認(rèn)識(shí)、理解原先存在我們盲點(diǎn)中的滲透方法，建立屏障，避免成為受害者。

via：techrepublic.com

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。