社會工程學攻擊會造成哪四種常見的威脅

社會工程學攻擊會造成以下四種常見的威脅：

• 信息泄露威脅：通過網絡搜索引擎、通用在線查詢系統、Web 2.0信息聚合索引等網絡應用，可以深入挖掘受害者在互聯網上隱藏的個人信息，例如個人詳細資料、手機號碼、照片、愛好習慣、信用卡資料、網絡論壇資料、社交網絡資料，甚至個人身份證的掃描件等。通過高超的信息搜集技術，社會工程學攻擊者可通過網絡痕跡資料分析出受害者的脆弱點，并實施入侵滲透、賬戶竊取、網絡敲詐、精神傷害等威脅。以賬戶竊取為例，2009年1月美國最大的微型博客網站twitter遭到攻擊者入侵，其中前總統奧巴馬、歌手布蘭妮、CNN電視臺等名流與知名媒體的twitter賬號都遭到篡改，事情起因于GMZ黑客利用收集的社會工程學密碼字典破解了twitter客戶支持人員的密碼。

• 身份盜用威脅：通常，網絡ID賬號、電子郵箱、社交媒體賬戶等都會具有與本人身份證相似的認可度，一旦攻擊者冒充受害者，發布非法、惡意、詐騙類消息，受害者的親人與朋友會不加懷疑地相信其消息的真實性。例如，在汶川大地震發生后，便有網絡犯罪分子非法篡改紅十字會公布的賑災募捐銀行賬號，企圖吞噬善款。典型的事件還包括手機身份盜用威脅，即犯罪分子收集高校學生的家長聯系號碼，并以學生的同學身份向家長們批量群發虛假消息，謊稱其子女在外遇險需要向其信用卡打入資金，犯罪分子屢屢得手。

• 釣魚網站威脅：網絡釣魚攻擊（Phishing）常年在McAfee發布的十大安全威脅名單中位居前列，攻擊者通過偽造假冒的銀行站點竊取受害者在線交易的賬戶密碼，其釣魚技術還會利用DNS、HTTPS、HOSTS、BHO、XSS、SEO等手段強行劫持用戶瀏覽器，這使得受害者根本不知曉自己進入了假冒的銀行網站站點，同時釣魚攻擊也適用于隱私竊取、垃圾郵件攻擊。近年來，國內釣魚攻擊日趨嚴重，如，冒充騰訊QQ網站以及在線銀行、在線交易的偽冒站點眾多。

• 暴力破解威脅：暴力破解不等同于單純的窮舉破解密碼，攻擊者在對受害者的網絡習慣以及大量綜合信息進行分析的前提下，枚舉受害者可能使用的密碼保護答案，其最終密碼的暴力破解采取受害者的出生日期、手機號碼、門牌號碼、有意義的數字與字母拼合而成。例如，大部分網民習慣使用數字和英文單詞作為賬戶密碼，使用頻率極高的密碼有“123456”“password”“iloveyou”等。近年來，某些機構的站點遭到不同程度的入侵，其原因就是因為使用了過于簡單的密碼，如“admin”。

對社工攻擊進行預防的措施有以下這些：

• 破除權威枷鎖、傳統枷鎖的束縛，不迷信權威和傳統規律；

• 預防指向性暗示，面對誘惑保持冷靜；

• 提高警惕性，增強安全防范意識、制定易被利用環節可能性預案，以便及早識別攻擊、分割關鍵工作，是風險在某一環節無法延續、借助第三方工具減少風險；

• 普及教育，每個人，新員工包括打掃清潔的阿姨；

• 嚴格認證，防止假冒；

• 嚴格授權，授權要細化、最小化、信息分類、辦公垃圾清理，使用碎紙機等、多了解一些社會工程學的手法、保持理性、保持懷疑的心、別亂丟帶有個人信息的垃圾等；

回答所涉及的環境：聯想天逸510S、Windows 10。