在網絡安全領域，社會工程學就是指攻擊者利用“人的因素”這個薄弱點，通過誘導、欺騙的手段獲取到他們想要的信息，從而對目標計算機系統進行攻擊。據IBM發布的《2022年數據泄露成本》報告顯示，以社會工程學作為初始攻擊的數據泄露事件平均損失超過400萬美元。更糟糕的是，社會工程造成的數據泄露很難被追蹤和遏制，報告顯示，受害企業平均要花費約9個月的時間才能發現并封堵數據泄露。

網絡攻擊者善于操縱受害者的心理來獲得對敏感信息、網絡或系統的非法訪問，以下收集了5種常見的社會工程攻擊類型和防護方法。

01網絡釣魚攻擊

網絡釣魚是最常見的社會工程技術之一。網絡犯罪分子發送貌似來自正規渠道的電子郵件、短信或私信，誘騙受害者提供敏感信息或點擊惡意鏈接。

防護方法：

• 驗證發件人的電子郵件地址，查找不一致的地方。
• 謹防不請自來的郵件或信息。
• 將鼠標懸停在鏈接上以查看實際的URL，核實后再點擊。
• 使用雙因素身份驗證來保護郵件賬戶。

02虛假冒充攻擊

虛假冒充攻擊是指設立虛構的場景或冒充可信賴的人以欺騙受害者，誘騙對方泄露敏感信息或授予訪問資源的權限。

防護方法：

• 通過可信賴渠道來驗證聯系人員的身份。
• 通過電話或互聯網分享個人信息時須謹慎。
• 培訓員工熟悉公司處理敏感信息的規程。

03誘餌攻擊

誘餌攻擊是指通過獎勵（比如免費軟件或禮物）來引誘受害者，并以此來設計一個欺詐陷阱，等待潛在的受害者走進陷阱，以非法獲取敏感信息或訪問系統的權限。

防護方法：

• 警惕各種免費的禮物。
• 僅從可信來源下載軟件。
• 核實任何不請自來的優惠或促銷信息。

04Quid Pro Quo（交易交換）

交易交換攻擊是指攻擊者要求受害者提供隱私信息或訪問權限，以換取某些其所需要的服務。比如說，攻擊者可能冒充公司IT支持人員，請求受害者提供賬號登錄憑據以“修復”某個并不存在的安全問題。

防護方法：

• 對任何信息或訪問權限的請求進行合法性驗。
• 不同賬戶使用不同的強密碼。
• 在組織內實施嚴格的訪問控制。

05尾隨攻擊

尾隨攻擊是一種物理漏洞利用方式，攻擊者會跟隨他們前面的合法人員進入某些安全區域，從而繞過門禁卡或生物特征識別掃描器等安全措施。

防護方法：

• 實施嚴格的訪問控制策略。
• 向員工宣講隨手關門的重要性。
• 使用安全攝像頭監控出入口。

參考鏈接：https://www.vaultree.com/blog/unmasking-social-engineering-attacks-types-and-prevention-techniques/