7-1 社会工程学攻击
目录
1️⃣ 什么是社会工程学攻击
2️⃣ 为什么危险
3️⃣ 常被利用的人性“漏洞”
4️⃣ 网络社会的社工攻击两条线
① 🔥 直接用于攻击
② 🎯 间接用于攻击
5️⃣ 社会工程学防御
✅ 防社工口诀
🎖️ 一句话总结
—— 利用人性弱点的“无代码渗透”
1️⃣ 什么是社会工程学攻击
利用人性弱点(本能反应、贪婪、易于信任、怕损失等)进行欺骗以获取利益的攻击方法。 无需漏洞、无需木马,只需“一句话”即可打开大门。
2️⃣ 为什么危险
| 特点 | 说明 |
|---|---|
| 永远有效 | 人是最不可控的因素,补丁可打,人性难补 |
| 密码破解利器 | 社工在密码找回/破解中占比极高 |
3️⃣ 常被利用的人性“漏洞”
图示:
| 漏洞 | 典型话术/场景 |
|---|---|
| 信任权威 | “我是总部技术部,请提供VPN账户验证” |
| 信任共同爱好 | “你也喜欢骑行?我这边有个内部装备群…” |
| 获得好处后报答 | 先送小礼品,再请帮忙“顺手”插个U盘 |
| 期望守信 | “你答应过不告诉别人的,把工号发我一下” |
| 期望社会认可 | “点赞截图返红包,转发朋友圈领礼品” |
| 短缺资源渴望 | “内部名额有限,现在登记先占坑” |
4️⃣ 网络社会的社工攻击两条线
① 🔥 直接用于攻击
| 模式 | 案例 |
|---|---|
| 正面索取 | “急用!把验证码发我” |
| 建立信任 | 长期点赞、评论,冒充老同学 |
| 同情/内疚/胁迫 | “领导在群里骂我了,快帮我转下款” |
② 🎯 间接用于攻击
-
密码破解:用生日/纪念日/宠物名构造字典
-
网络攻击:钓鱼邮件+社工话术诱导运行木马
5️⃣ 社会工程学防御
图示:
| 防御维度 | 具体措施 |
|---|---|
| 安全意识培训 | ① 识别社工套路 ② 了解人性漏洞 ③ 模拟演练(钓鱼电话/邮件) |
| 制度&流程 | ① 技术防御:多因素认证、最小权限、零信任 ② 管理流程:双人审批、来电回拨、敏感操作二次确认 |
✅ 防社工口诀
“五要五不要”
要核实身份(回拨官方电话)
要双人审批(转账、VPN开通)
要多因素认证(短信+令牌+指纹)
要最小权限(不该看的看不到)
要安全演练(定期钓鱼测试)
❌ 不要:
-
见“领导”就信
-
见“礼品”就点
-
见“急件”就转
-
见“熟人”就发验证码
-
见“内部”就泄密
🎖️ 一句话总结
技术可以加固,人性需要警惕; 再强的防火墙,也挡不住一句“请帮忙”!