7-1 社会工程学攻击

目录

[1️⃣ 什么是社会工程学攻击](#1️⃣ 什么是社会工程学攻击)

[2️⃣ 为什么危险](#2️⃣ 为什么危险)

[3️⃣ 常被利用的人性"漏洞"](#3️⃣ 常被利用的人性“漏洞”)

[4️⃣ 网络社会的社工攻击两条线](#4️⃣ 网络社会的社工攻击两条线)

[① 🔥 直接用于攻击](#① 🔥 直接用于攻击)

[② 🎯 间接用于攻击](#② 🎯 间接用于攻击)

[5️⃣ 社会工程学防御](#5️⃣ 社会工程学防御)

[✅ 防社工口诀](#✅ 防社工口诀)

[🎖️ 一句话总结](#🎖️ 一句话总结)

------ 利用人性弱点的"无代码渗透"


1️⃣ 什么是社会工程学攻击

利用人性弱点(本能反应、贪婪、易于信任、怕损失等)进行欺骗以获取利益 的攻击方法。 无需漏洞、无需木马,只需"一句话"即可打开大门。


2️⃣ 为什么危险

特点 说明
永远有效 人是最不可控的因素,补丁可打,人性难补
密码破解利器 社工在密码找回/破解中占比极高

3️⃣ 常被利用的人性"漏洞"

图示:

漏洞 典型话术/场景
信任权威 "我是总部技术部,请提供VPN账户验证"
信任共同爱好 "你也喜欢骑行?我这边有个内部装备群..."
获得好处后报答 先送小礼品,再请帮忙"顺手"插个U盘
期望守信 "你答应过不告诉别人的,把工号发我一下"
期望社会认可 "点赞截图返红包,转发朋友圈领礼品"
短缺资源渴望 "内部名额有限,现在登记先占坑"

4️⃣ 网络社会的社工攻击两条线

① 🔥 直接用于攻击

模式 案例
正面索取 "急用!把验证码发我"
建立信任 长期点赞、评论,冒充老同学
同情/内疚/胁迫 "领导在群里骂我了,快帮我转下款"

② 🎯 间接用于攻击

  • 密码破解:用生日/纪念日/宠物名构造字典

  • 网络攻击:钓鱼邮件+社工话术诱导运行木马


5️⃣ 社会工程学防御

图示:

防御维度 具体措施
安全意识培训 ① 识别社工套路 ② 了解人性漏洞 ③ 模拟演练(钓鱼电话/邮件)
制度&流程 ① 技术防御:多因素认证、最小权限、零信任 ② 管理流程:双人审批、来电回拨、敏感操作二次确认

✅ 防社工口诀

"五要五不要"

  1. 核实身份(回拨官方电话)

  2. 双人审批(转账、VPN开通)

  3. 多因素认证(短信+令牌+指纹)

  4. 最小权限(不该看的看不到)

  5. 安全演练(定期钓鱼测试)

不要

  • 见"领导"就信

  • 见"礼品"就点

  • 见"急件"就转

  • 见"熟人"就发验证码

  • 见"内部"就泄密


🎖️ 一句话总结

技术可以加固,人性需要警惕; 再强的防火墙,也挡不住一句"请帮忙"!

相关推荐
内心如初1 天前
2-1 办公场所安全
办公安全·网络安全意识
wenzhongxiang2 年前
云安全之访问控制的常见攻击及防御
云安全访问控制攻击·暴力破解·网络欺骗攻击·社会工程学攻击·嗅探器攻击·生日攻击