我们掌控着一个公司的门禁，一个端这热腾腾的咖啡托盘的美女 - 她似乎无法将她的门禁卡放在读卡器附近 ，我们是否要帮她开门呢，这需要思考再三。 礼貌并没有消失，请注意，但在这种情况下，你几乎希望它是。 因为门打开了限制设施。  如果她真的无法拿出她的卡，你让她进来吗？答案显然是肯定的。 但如果还有其他事情发生怎么办？

为需要帮助的人敞开大门被认为是常见的礼貌。 但是当某人扮演一个心疼女人的角色来指望你的帮助欲望时，你的深思熟虑的姿态突然变得危险。 现在，您已经让某人更容易进入他们无法访问或无权访问的受限制设施。 那是什么让你呢？社会工程的受害者。

社交工程是一个你经常听到IT专业人士和网络安全专家在谈论网络钓鱼，诈骗甚至某些恶意软件（如勒索软件）等网络威胁时使用的术语。 但它的定义更为广泛。 社会工程是操纵或利用人的品质来服务于攻击者的目的。

因此，我们必须保护自己免受这种社会工程策略的侵害，就像我们保护设备免受恶意软件侵害一样。 通过尽职调查，我们可以让社会工程师难以获得他们想要的东西。

了解你脆弱的自我

在我们进入“如何”的事情之前，我们想要列出社会工程师可以利用的其他人类情感和心理方面（以及潜在目标的劣势）。 这些包括我们已经在上面提到过的情感，例如同情。 其他易受攻击的特征如下：

疏忽

我们大多数人不小心点击了一两个链接，或者打开了可疑的电子邮件附件。 根据我们能够以多快的速度缓解这种行为，所造成的损害可能从轻微到严重，也会改变生活。

利用我们粗心大意的社交工程攻击示例包括：

注册近似域名

同形攻击

Blackhat SEO / SEO中毒

点击劫持

跟车或捎带

窃听

好奇心

您似乎偶然收到了一封据称是其他人的电子邮件，而且它现在就在您的收件箱中。 从主题行看，这是一封个人电子邮件，其中包含发件人最近前往巴哈马群岛的照片。 照片采用ZIP压缩文件。

如果此时您开始与自己辩论是否应该打开附件，即使它不适合您，那么您可能容易受到基于好奇心的社会工程攻击。 我们已经看到很多用户被这种方法欺骗了。

基于好奇心的攻击示例包括：

社交网站中的恶意软件活动（“热门视频”Facebook诈骗，名人丑闻）

其他欺骗你的独家内容（与事故或灾难相关的视频）

“谁访问了你的个人资料”社交媒体诈骗

USB攻击

蜗牛邮寄了CD攻击

Newsjacking

恐惧

根据Charles E. Lively，Jr。在“基于心理的社会工程”一文中所说，恐惧中的攻击通常是最具侵略性的社会工程形式，因为它会使目标压力使他们感到焦虑，强调， 并且吓坏了。

此类攻击使参与者愿意做任何他们被要求做的事情，例如向威胁行为者汇款，知识产权或其他信息，威胁行为者可能冒充高级管理人员或持有文件作为人质。 这种性质的运动通常会夸大请求的重要性并使用虚构的截止日期。 攻击者这样做是希望他们在发现欺骗之前得到他们要求的东西。

基于恐惧的攻击的例子包括

企业电子邮件泄密（BEC）/首席执行官或首席财务官欺诈

勒索/勒索（sextortion，勒索软件）

冷呼诈

流氓软件（假AV）

语音网络钓鱼

恶意软件活动假装是假的软件补丁

欲望

无论是为了方便，认可还是奖励，欲望都是一种强大的心理动机，可以影响一个人的决策，无论你是否被视为知识分子。 布莱斯帕斯卡尔说得最好：“心灵有其中心无所知的原因。”寻找生命之爱，更多钱或免费iPhone的人们可能会受到这种类型的攻击。

基于欲望的攻击示例包括：

Catfishing /浪漫欺诈（LGBTQ社区的成员不能免除）

Catphishing

某些网络钓鱼活动

用金钱或小玩意诱骗你的诈骗（例如419或尼日利亚王子诈骗，调查诈骗）

彩票和赌博相关的骗局

Quid pro

怀疑

这往往伴随着不确定性。虽然怀疑有时可以阻止我们做一些我们会后悔的事情，但社会工程师也可以利用这些信息让我们忽视可能会在某种可怜的光线下投射某些东西，某人或某个想法的信息。反过来，我们最终可能会怀疑我们认为我们认为合法的人或者更多地信任社会工程师。

一位互联网用户分享了她与两名假AT＆T员工的经历，这些员工在收到她帐户变更的短信报告后通过电话与她联系。她说，第一个声称的同伙显然是假的，当她质疑这是一个骗局时，她会保守防守并挂断她。但是第二个同事给了她停顿，因为打电话的人很冷静和善良，如果他确实是一个虚假的同事，她会三思而后行。如果她屈服了，她就会成功地被骗了。

基于疑问的攻击示例包括：

Apple iTunes诈骗

基于付款的诈骗

付款转移欺诈

某些形式的社交黑客，特别是在社交媒体中

同情和同情

当灾难和自然灾害袭来时，人们不禁感到有必要提供援助或救济。 由于我们大多数人不可能乘坐飞机或直升机去竞争受灾地区志愿服务，因此上网更加容易，将信用卡详细信息输入到接收捐款的网站，然后点击“Enter”。当然，并非所有这些都是 网站是真实的。 社会工程师利用同情和同情的相关情绪，将资金从实际需要的人身上带到自己的口袋里。

基于同情的骗局的例子包括：

假孤儿院（在柬埔寨盛行）

欺诈欺诈，欺诈杂志确定了五个主要类别：慈善募捐，承包商和供应商欺诈，伪造，价格欺诈和财产保险欺诈

癌症欺诈

具体的社会工程尝试，就像这样

利用Indiegogo，GoFundMe或Kickstarter等众筹网站的诈骗

无知或天真

这可能是人们最常利用的特征，毫无疑问，这也是我们说网络安全教育和意识不仅有用而且必不可少的原因之一。可以说，我们在这篇文章中提到的所有社会工程实例都部分依赖于这两个特征。

虽然无知经常被用来描述一个粗鲁或偏见的人，但在这种情况下，它意味着缺乏知识或意识的人 - 特别是这些形式的犯罪​​存在于互联网上的事实。 Naiveté还强调了用户对某种技术或服务如何运作缺乏了解。

另一方面，社会工程师也可以通过玩愚蠢来愚蠢地利用他们的优势，以获得他们想要的东西，这通常是信息或好处。这是非常有效的，特别是当用于奉承等时。

其他以无知为主的攻击案例包括：

Venmo诈骗

亚马逊礼品卡诈骗

加密货币诈骗

不专心或自满

如果我们足够关注ALT + TAB远离我们在有人走进房间时所看到的东西，理论上我们应该注意“去看书”并检查那个人的身份证明。听起来很简单，而且肯定是这样，但是如果我们认为获得确认会妨碍人们通过，那么我们中的许多人都会屈服。当然，社会工程师知道这一点，并将其用于他们的优势。

基于自满的攻击的例子包括：

物理社会工程尝试，例如获得对受限制地点的物理访问和垃圾箱潜水

Pretexting

转移盗窃

值得注意的社会工程活动（如BEC和网络钓鱼）背后的复杂威胁行为者使用针对两种或更多情绪和心理特征以及一个或多个人的攻击组合。

无论您正在处理的人是在线，通话还是面对面，重要的是要保持警惕，特别是当我们的怀疑程度尚未调整以检测社交工程尝试时。

脑部锻炼：打击社会工程

思考如何应对社会工程尝试可能是一个挑战。但许多人可能没有意识到，使用基本的网络安全卫生也足以阻止社会工程策略。我们在之前的帖子中已经触及了其中的一些，但在这里，我们正在为您的预防技巧提供更多精神。我们唯一的要求是，当它们适用于您的环境时，您会大量使用它们。

电子邮件

如果带有可疑链接或附件，请与发件人（亲自或通过其他通信方式）联系并确认他们是否确实已向您发送此类电子邮件。您还可以在收到报告您的帐户发生错误的电子邮件时使用的银行和其他服务执行此操作。

收到老板要求尽快给他汇款的请求？不要感到压力。相反，给他打电话来验证他是否发送了该请求。确认你确实在与老板谈话而不是冒充他/她的人也很高兴。

电话（固定电话或智能手机）

当您从服务提供商那里收到潜在的scammy短信时，请直接打电话给他们，而不是通过短信回复，并询问是否有问题。

请勿接听不在您的联系人列表中的电话以及您无法识别的其他号码，特别是如果它们与您自己的电话号码密切相关。 （诈骗者喜欢欺骗区号和手机的前三位数字，诱使你相信它来自你认识的人。）

避免直接或间接向任何人提供信息。提醒自己志愿服务你所知道的是社会工程师非常重视的。

应用零信任规则。这意味着您将每个未经请求的电话视为骗局，并提出棘手的问题。通过提供虚假信息来关闭呼叫者。

如果感觉不对，请挂断，并在线查找有关您刚收到的电话性质的信息。某个地方的人可能已经经历过并发布过它。

亲自

当你遇到的人碰到你时要小心。在美国，触摸是常见的朋友和家人，而不是你没有或几乎不知道的人。

如果你发现某人符合你的怪癖或倾向，就要怀疑他们的动机。

在办公楼的公共区域内，切勿泄露或脱口而出名称，部门名称以及公司内部仅知道的其他信息。提醒自己，在您当前的位置，它很容易被窃听和被窃听。如果您愿意，可以与来自不同公司的其他员工交流，但要挑剔，尽可能模糊与您分享的内容。在公共场所与酒吧，俱乐部或餐厅的朋友一起使用同样谨慎的原则也是值得的。

始终检查身份证明和/或其他相关文件，以识别人员并验证他们在那里的目的。

社交媒体

避免填写调查或玩游戏，要求您使用社交媒体帐户登录。许多网络钓鱼尝试也以这些形式出现。

如果您经常使用标记对话的对话（例如在Twitter上），请考虑不要点击共享对象的链接，因为您不知道这些链接是否会将您带到您想要的目的地。更重要的是，我们甚至不确定那些分享这些链接的人是否是真实的人，而不是为了追求低成果而创造的机器人。

如果您在社交网络收件箱中收到私人消息 - 比如在LinkedIn上 - 并提供工作机会的链接，那么最好访问该公司的官方网站并在那里查找空缺职位。如果您单击了该链接，并且该站点要求您填写您的详细信息，请关闭该选项卡。

一个快乐聪明的结局

在社会工程方面，没有任何事件太小而不容忽视。在安全方面犯错是没有害处的。

那么，如果有人在你身后拿着一盘热咖啡并且无法进入她的门禁卡，你该怎么办？不要为她打开门。相反，你可以提出在她拿出托盘并使用她的门禁卡时拿着托盘。如果你仍然认为这是一个坏主意，那么告诉她等你进去并获得安全帮助她。当然，这是假设安全，人力资源和前台已经接受过培训，可以对那些试图通过社交工程设计的人做出有力的反应。

祝你好运！