社会工程学攻击解析

社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段，获取自身利益的手法。当黑客攻击与社会工程学攻击融为一体时，将根本不存在所谓安全的系统，所谓“No patch for stupid”

1.对特定的环境实施渗透，是社工为了获取所需敏感信息的常用手段之一。黑客通过观察被攻击者对电子邮件的响应速度、重视程度以及与被攻击者相关的资料，如个人姓名、生日、电话号码、电子邮箱地址等，通过对搜集的信息进行综合利用，进而判断被攻击的账号密码等大致内容

2.伪装欺骗也是社工的主要手段之一。电子邮件伪造、网络钓鱼等攻击手法均可实现伪造欺骗被攻击者，可实现诱惑被攻击者进入指定页面下载并运行恶意程序，或是要求被攻击者输入敏感账号密码等信息进行“验证”等，黑客利用被攻击者疏于防范的心理引诱用户进而实现伪装欺骗的目的

3.说服是对互联网信息安全危害较大的一种社工方法。它要求被攻击者与攻击者达成某种一致，进而为黑客攻击过程提供各种便利条件，当被攻击者的利益与黑客的利益没有冲突时，甚至与黑客的利益一致时，该种手段就会非常有效

4.黑客在实施社工的过程中，常会利用被攻击者对安全、漏洞、病毒等内容的敏感性，以权威机构的身份出现，散布安全警告、系统风险等消息，用危言耸听的伎俩恐吓、欺骗被攻击者，并声称不按照他们的方式去处理就会造成非常严重的危害和损失，借此实现对被攻击者敏感信息的获取

5.社工手段高明的黑客需要精通心理学、人际关系学、行为学等知识和技能，善于利用人们的本能反应、好奇心、盲目信任、贪婪等弱点设置陷阱，实施欺骗，并控制他人为己服务。他们通常十分友善，讲究说话的艺术，知道如何借助机会去恭维他人，投其所好，使多数人友善地做出回应