在網(wǎng)絡安全世界里，如果有3種角色，那么應該是黑客(攻擊者)、防御者，以及被利用者。被利用者，在不知情的情況下被社會工程學攻擊者抓住了弱點，于是成為了攻擊事件的“幫兇”。

社會工程學攻擊：尋找人性的弱點

和擁有完整的技術理念和入侵經(jīng)驗的“學院派黑客”、直接使用攻擊工具包的腳本小子，或自學成才善于滲透的實用主義黑客們不同，社會工程學攻擊者需要掌握的不僅僅是黑客技術，他們還必須了解一定的心理學、行為學甚至人際關系、地理勘察等等。

簡單來說，其他黑客是在尋找系統(tǒng)/網(wǎng)絡的弱點，而社會工程學攻擊者是在尋找系統(tǒng)/網(wǎng)絡的弱點，以及人性的弱點。

《The Art of Deception》里分享了一個故事：

這就是當時史上最大的銀行劫案，過程中沒有使用任何武器，甚至不需要計算機的協(xié)助。現(xiàn)在，我們也可以稱之為一次社會工程學攻擊的成功案例。

那么，為什么現(xiàn)在社會工程變得越來越火?因此越來越成熟的網(wǎng)絡安全防護技術及安全防護產(chǎn)品堵住了非常多的漏洞，常規(guī)的入侵手段的作用越來越小。在“艱難”的環(huán)境下，一部分黑客鉆研更復雜的工具和攻擊手法，一部分黑客則開始轉(zhuǎn)向社會工程學攻擊。

萬物皆可社會工程

社會工程學攻擊都有哪些手段呢?廣義來說，黑客偽裝成外賣小哥進入目標建筑、或通過應聘進入目標公司也算是社會工程學的一部分。

此外，比較常見且典型如：釣魚郵件、誘騙鏈接。這些郵件、鏈接往往利用目標的貪便宜、恐懼、好奇等心理，發(fā)送目標所關心的內(nèi)容(電影、文件、優(yōu)惠券，甚至來自所謂領導的“命令”)，誘騙目標打開受感染的文件，從而實現(xiàn)信息獲取和入侵。

FIN7 APT組織同樣曾利用社會工程學輔助攻擊。他們給網(wǎng)絡安全公司的目標寄了一個包裹，聲稱是百思買(Best Buy)給到其忠實客戶的50美元禮品卡，其中還包括一個看似無害的USB，聲稱里面包含物品清單。而事實上，該USB設備使用Arduino微控制器ATMEGA32U4，并編程模擬USB鍵盤。由于PC默認情況下信任鍵盤USB設備，一旦插入，鍵盤模擬器就會自動插入惡意命令。

通過禮物降低目標的警惕，然后直接通過物理設備USB注入惡意命令。這就是FIN7的策略。

此外，比如搜集某家公司員工的名單信息后，發(fā)送社工攻擊模板，提示員工盡快更新“殺毒軟件”，否則會對公司造成潛在風險。在目標的附近扔幾個U盤/硬盤等設備，一旦有員工(運氣好的話可能是管理人員)撿到并在計算機上連接，那么就可以通過該計算機進行入侵甚至獲取更多權限。這些也是社會工程學攻擊者的伎倆。

近源滲透，同樣是一個將社會工程學應用地很好的場景。測試人員/黑客可以靠近或直接進入目標所在的現(xiàn)實辦公環(huán)境，物理地越過防火墻等邊界防御線，然后通過辦公內(nèi)部門禁、WIFI、USB接口等的攻擊面，進行滲透測試/入侵攻擊。一般來說，越靠近目標所在位置，會發(fā)現(xiàn)越多的安全盲點。“燈下黑”在企業(yè)安全建設種并不少見，這也給了黑客可乘之機。

總體來說，社會工程學攻擊者的“騷”操作并不少見。而攻擊都是通過搜集信息，比如目標的電話號碼、姓名、收支情況等，綜合利用已知信息，誘導目標提供更多信息或按照指示做出相應行動。

信息收集與工具

如果說社工三大法寶：網(wǎng)絡釣魚、電話釣魚、偽裝模擬，那么兩大關鍵則無非是信息收集+信息利用。

如何收集信息?利用所有能利用的人和工具——比如百度、谷歌或者看門大爺。

攻擊者可以通過物理收集(接近目標所在地，通過樹莓派等工具現(xiàn)場收集信息)、技術性收集(互聯(lián)網(wǎng)檢索)手段廣泛收集圍繞目標的相關信息。

收集到看似瑣碎的信息后，再利用收集的信息進一步獲取目標信息，并且對這些信息進行整理。

比如目標是一個公司的員工，這些信息可以塑造出該員工的整體形象和性格特點，而利用某個特點，攻擊者完全可以發(fā)送一個精心設置的郵件，使得對方打開從而陷入圈套。當然，該員工的行為也可能會受到很多其他突發(fā)的現(xiàn)實干擾使其沒有完成攻擊者希望其進行的操作，但這也能夠讓攻擊者進一步完善其資料模型，準備下一次的誘餌。

在工具上，所有輔助社會工程學攻擊的釣魚網(wǎng)站/工具、惡意軟件包等其實也可以被稱為是社會工學工具，不過，社會工程學工具包(SET)更廣為人知。作為一個開源的、Python驅(qū)動的社會工程學滲透測試工具，這套工具包由David Kenned設計，而且已經(jīng)成為業(yè)界部署實施社會工程學攻擊的標準。

最后，可能有人想問，社會工程學的攻擊該如何防御?

除了和應對普通網(wǎng)絡攻擊一樣的技術、策略和手段，比如使用深度包檢測技術(DPI)、行為分析以及威脅情報來監(jiān)控網(wǎng)絡層的異常行為，使用IAM等技術強化訪問認證和授權等，日常培訓、加強警惕、增強安全意識是基礎了……