网络安全宣传周 - 社会工程

1.1 社会工程：网络安全新挑战

社会工程在网络安全领域正扮演着愈发重要的角色，成为网络安全的新挑战。研究表明，91% 的网络攻击是通过社会工程手段完成的。社会工程攻击利用人类的心理弱点和社交行为，绕过传统的技术防护措施，对个人、企业和国家的网络安全构成严重威胁。例如，常见的网络钓鱼攻击，伪装成银行、学校、软件公司或政府安全机构等可信服务提供者，要求用户提供相关信息，大多数的钓鱼攻击都是通过这种方式获取用户的敏感信息。西工大钓鱼邮件攻击事件就是一个典型的例子，黑客通过以 “科研评审、答辩邀请和出国通知” 为主题的钓鱼邮件，邮件内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限，致使相关邮件数据被窃取。

1.2 全面应对，筑牢网络安全防线

面对社会工程攻击的严峻形势，全面应对是筑牢网络安全防线的关键。综合多种措施，包括安全意识培训、技术控制、多因素认证、监控和响应、补救措施以及信息共享等，才能有效降低社会工程攻击的风险。企业和个人应加强安全意识培训，了解社会工程攻击的手段和防范方法，提高警惕性。同时，采用技术控制手段，如反网络钓鱼过滤器、入侵检测系统和防火墙等，防止社会工程攻击。多因素认证可以增加访问敏感信息的难度，即使攻击者获得了用户名和密码，也难以进一步获取系统权限。此外，监控和响应机制可以及时发现异常活动，并采取快速响应措施遏制攻击。如果发生社会工程攻击，应迅速采取补救措施，更改密码、隔离受感染系统和通知受影响个人。信息共享也非常重要，组织和个人应报告社会工程攻击和趋势，以便他人采取预防措施。

1.3 风险与机遇并存

在防范社会工程攻击的过程中，虽然面临着巨大的风险，但也存在提升网络安全整体水平的机遇。通过加强安全意识培训，可以提高员工和个人的网络安全意识，形成良好的网络安全习惯。企业可以借此机会完善内部安全管理制度，加强员工安全意识培训，提高网络安全防护能力。同时，采用先进的安全技术，如防火墙、入侵检测、数据加密等，可以提高企业网络安全防护能力。此外，在应对社会工程攻击的过程中，企业和个人可以不断总结经验教训，完善防范措施，提高网络安全整体水平。

二、市场态势剖析

2.1 社会工程攻击现状与趋势

2.1.1 攻击频率与规模分析

近年来，社会工程攻击的发生频率呈显著上升趋势，涉及范围也不断扩大。随着信息技术的飞速发展和互联网的广泛普及，攻击者有了更多的机会和渠道实施社会工程攻击。据统计，仅在 2023 年上半年，遭受社会工程攻击的企业数量就比去年同期增长了 [X]%。攻击规模也从针对个人用户逐渐扩大到大型企业和机构，甚至涉及国家层面的安全。例如，一些社会工程攻击事件导致企业的敏感信息泄露，给企业带来了巨大的经济损失和声誉损害。

2.1.2 新型攻击手段涌现

随着技术的不断进步，新型社会工程攻击手段也不断涌现。其中，网络钓鱼工具包和 “网络钓鱼即服务” 成为了攻击者的新武器。网络钓鱼工具包使得攻击者可以更加便捷地制作逼真的钓鱼网站和邮件，提高攻击的成功率。而 “网络钓鱼即服务” 则将攻击手段商业化，攻击者可以通过购买服务的方式，轻松地发起大规模的网络钓鱼攻击。这些新型攻击方式不仅更加难以防范，而且攻击成本更低，给网络安全带来了更大的挑战。

2.2 攻击案例解析

2.2.1 大型企业受攻击案例

价值 1 亿美元的谷歌和脸书的鱼叉式网络钓鱼骗局堪称典型。来自立陶宛的男子 Evaldas Rimasauskas 成立假公司，冒充与谷歌和脸书合作的供应商，并设立银行账户。随后，他向谷歌和脸书的特定员工发送网络钓鱼电子邮件，引导员工将钱存入其欺诈账户。2013 年至 2015 年间，成功诈骗这两家科技巨头超过 1 亿美元。此案例凸显了大型企业在面对社会工程攻击时也并非无懈可击，攻击者利用精心设计的骗局，瞄准企业的财务环节，造成了巨大的经济损失。

2.2.2 其他典型案例解读

伪造美国劳工部的电子邮件网络钓鱼攻击也极具代表性。攻击者模仿美国劳工部身份，使用欺骗实际的劳工部电子邮件域和购买相似域的方式发送钓鱼邮件。邮件中使用官方 logo，内容为邀请收件人竞标政府项目，附带的 PDF 中嵌入 “立即投标” 按钮，引诱目标点击后重定向到钓鱼网站，窃取 Office365 凭据。此外，英国能源公司遭深度伪造攻击，黑客伪装成老板声音，让首席执行官转账 243,000 美元。这些案例展示了社会工程攻击的多样性和复杂性，攻击者利用各种手段欺骗受害者，获取敏感信息或资金。

2.3 受攻击行业分布

金融、科技、能源等行业由于其存储的大量敏感信息和高价值数据，成为社会工程攻击的重灾区。金融行业拥有客户的财务信息和交易数据，对攻击者具有极大的吸引力。科技行业则掌握着先进的技术和知识产权，一旦被攻击，可能导致重大的商业损失。能源行业关系到国家的经济命脉和民生安全，攻击者可能通过攻击能源公司获取关键基础设施的控制权。这些行业易受社会工程攻击的原因主要包括：员工数量众多，安全意识参差不齐；业务流程复杂，存在安全漏洞；数据价值高，成为攻击者的目标。为了应对社会工程攻击，这些行业需要加强安全意识培训，采用先进的安全技术，建立完善的安全管理制度。

三、社会工程攻击原理

3.1 基于心理操纵的策略

社会工程攻击常常利用人类的心理弱点进行攻击，其中恐惧、贪婪、信任等心理是攻击者常用的策略。

• 恐惧心理：攻击者会制造虚假的安全警报，如病毒通知、账户登录和密码更改通知等，让受害者产生一种紧迫感和恐惧心理。在这种心理状态下，受害者往往会不假思索地做出快速决策，点击受感染的链接或提供敏感信息以纠正问题。例如，攻击者可能发送一封邮件，声称受害者的电脑已被病毒感染，需要立即下载某个软件进行清理，否则会导致数据丢失或系统崩溃。受害者出于对数据安全的担忧，很可能会按照攻击者的指示进行操作。
• 贪婪心理：以提供免费订阅服务、折扣和奖励的网络钓鱼邮件通常能吸引更多人采取行动。攻击者利用人们对利益的渴望，设置各种诱人的陷阱。比如，发送邮件声称受害者中了大奖，只需提供一些个人信息或支付少量手续费即可领取。受害者在贪婪心理的驱使下，容易放松警惕，掉入攻击者的陷阱。
• 信任心理：人们通常会相信他们认为可信任的人或机构，攻击者可以利用这种信任关系来获取信息或执行未经授权的行动。例如，攻击者可能冒充银行工作人员、政府部门人员或受害者的熟人，通过电话、邮件或短信与受害者联系，以解决问题、提供服务或请求帮助为由，诱导受害者提供敏感信息或执行特定操作。

3.2 攻击流程详解

社会工程攻击通常包括以下具体步骤：

• 信息收集：攻击者首先会尝试搜集目标的信息，例如个人资料、社交媒体活动、工作职责和联系方式等。他们可能通过社交媒体监视个人活动，了解兴趣爱好、家庭和朋友等信息；利用公开记录如房产登记、公司注册信息等获取地址、电话号码等；还可能通过电话骚扰、垃圾邮件、假冒网站和 Wi-Fi 窃听等方式收集个人信息。例如，攻击者在社交媒体上关注目标人物，分析其发布的内容和互动情况，从中获取其工作单位、兴趣爱好等信息，为后续攻击做准备。
• 身份伪造：攻击者接下来会尝试建立与目标的信任关系，常常通过身份伪造来实现。他们可能冒充目标熟悉的人或机构，或者提供伪造的信用证明或文件来证明其身份。比如，攻击者伪造银行的官方邮件地址，向受害者发送邮件，要求其确认账户信息或进行密码重置。邮件内容和格式看起来与真正的银行邮件非常相似，使受害者误以为是银行的正常业务要求。
• 创造紧急情况：攻击者可能会制造一些紧急情况或制造一些诱人的机会，例如提供一份看起来非常有吸引力的工作或优惠，或者威胁目标必须立即采取行动。例如，攻击者发送邮件声称受害者获得了一份高薪工作机会，但需要在短时间内提供个人简历和银行账户信息进行背景调查。受害者在急于抓住机会的心理下，可能会忽略潜在的风险，按照攻击者的要求提供信息。
• 诱骗目标：攻击者利用上述方法来诱骗目标执行某些操作，例如揭示敏感信息、提供账户信息、执行某些命令或访问有害链接。比如，攻击者以系统故障需要紧急修复为由，要求受害者点击邮件中的链接下载一个软件，实际上这个软件是恶意软件，一旦下载安装，攻击者就可以获取受害者电脑中的敏感信息。
• 维持访问：攻击者可能会继续保持对目标的访问，并尝试从中获取更多信息或进一步攻击目标。例如，攻击者在获取受害者的账户信息后，可能会定期登录查看是否有新的敏感信息出现，或者利用受害者的账户进行其他攻击活动。

四、应对策略指南

4.1 加强安全意识教育

企业和个人应高度重视安全意识教育，将其作为抵御社会工程攻击的第一道防线。对于企业而言，可以通过组织定期的安全培训课程、举办网络安全知识讲座、发放宣传资料等方式，提高员工对社会工程攻击的认识和警惕性。例如，企业可以邀请专业的网络安全专家进行培训，讲解社会工程攻击的常见手段、案例分析以及防范方法。培训内容可以包括如何识别钓鱼邮件、如何防范电话诈骗、如何避免在社交媒体上泄露敏感信息等。

同时，企业还可以通过模拟社会工程攻击的方式，让员工亲身体验攻击的过程，从而提高他们的防范意识。例如，企业可以组织网络钓鱼模拟演练，向员工发送虚假的钓鱼邮件，观察员工的反应，并对那些容易上当受骗的员工进行针对性的培训。

对于个人而言，也应该主动学习网络安全知识，提高自身的安全意识。可以通过阅读网络安全相关的文章、观看网络安全视频、参加网络安全培训课程等方式，了解社会工程攻击的手段和防范方法。在日常生活中，要保持警惕，不轻易相信陌生人的请求和提供的信息，不随意点击不明来源的链接和下载不明来源的文件。

4.2 技术防护手段

多因素身份验证是一种有效的技术防护手段，可以大大增加攻击者获取系统权限的难度。多因素身份验证通常包括密码、指纹、面部识别、短信验证码等多种验证方式，只有当用户提供了正确的多种验证信息后，才能访问系统。例如，企业可以要求员工在登录企业邮箱、办公系统等重要系统时，除了输入密码外，还需要提供短信验证码或者使用指纹识别等方式进行验证。

及时更新安全补丁也是非常重要的技术防护措施。软件开发商会不断发布安全补丁，以修复软件中存在的安全漏洞。如果企业和个人不及时更新安全补丁，攻击者就有可能利用这些漏洞进行攻击。例如，操作系统、办公软件等都需要定期更新安全补丁，以确保系统的安全性。

此外，企业还可以采用防火墙、入侵检测系统、反病毒软件等技术手段，对网络进行实时监控和防御。防火墙可以阻止未经授权的访问，入侵检测系统可以及时发现异常行为，反病毒软件可以查杀恶意软件，这些技术手段可以有效地抵御社会工程攻击。

4.3 内部管理强化

企业应建立健全内部管理制度，规范员工操作流程，减少内部流程漏洞。首先，企业应制定严格的安全规范，明确员工在使用网络、处理敏感信息等方面的职责和操作流程。例如，规定员工不得在办公电脑上安装未经授权的软件，不得将公司的敏感信息存储在个人设备上，不得随意将公司的网络账号借给他人使用等。

其次，企业应加强对员工权限的管理。根据员工的工作职责和需求，合理分配权限，避免员工拥有过高的权限。同时，对员工的权限进行定期审查和调整，确保权限与职责相匹配。例如，财务人员只拥有与财务相关的系统权限，研发人员只拥有与研发相关的系统权限。

最后，企业应建立完善的内部审计机制，对员工的操作行为进行监督和审计。及时发现员工的违规行为和安全隐患，并采取相应的措施进行整改。例如，通过审计日志可以发现员工是否存在泄露敏感信息、访问未经授权的系统等行为。

五、风险管控策略

5.1 风险精准识别

社会工程攻击带来的风险多种多样，其中信息泄露是最为常见且危害巨大的风险之一。当攻击者成功实施社会工程攻击时，个人的身份证号码、银行卡号、密码等敏感信息可能会被窃取，企业的客户资料、财务报表等重要数据也面临着泄露的风险。例如，在某企业遭受的社会工程攻击事件中，大量客户的个人信息被泄露，导致客户遭受诈骗电话和垃圾邮件的骚扰，企业的声誉也受到了严重损害。

经济损失也是社会工程攻击可能带来的重要风险。攻击者可能通过诈骗手段骗取个人或企业的资金，或者利用窃取的信息进行非法交易，给受害者带来直接的经济损失。如在一些网络钓鱼攻击中，受害者被诱导转账汇款，造成了巨额的经济损失。此外，企业为了应对社会工程攻击事件，还需要投入大量的资金进行调查、修复系统和加强安全防护，这也增加了企业的运营成本。

5.2 风险评估方法

为了准确评估社会工程攻击风险的影响程度，可以引入量化模型。定量方法为风险评估带来了分析的严谨性，通过为资产和风险赋予美元价值，能够以高管和董事会成员容易理解的财务术语呈现风险评估结果。例如，可以根据企业的资产规模、敏感信息的价值以及可能遭受的经济损失等因素，建立风险评估模型。假设一家企业的资产总值为 1000 万美元，其中敏感信息占比 30%，如果这些敏感信息被泄露，可能导致的经济损失估计为资产总值的 20%。那么，通过量化模型可以计算出该企业面临的社会工程攻击风险值为 1000 万美元 ×30%×20% = 60 万美元。

然而，定量方法也存在一些局限性，有些资产或风险不容易量化，需要判断力，可能破坏评估的客观性。因此，可以结合定性方法，通过员工分享如果系统遭受社会工程攻击后将如何完成工作等方式，对风险进行粗略的分类，如高、中、低风险。还可以采用半定量方法，使用数字尺度（例如 1 - 10 或 1 - 100）来分配数字风险值，得分在较低三分之一的风险项目被归为低风险，中间三分之一为中等风险，较高的三分之一为高风险。

5.3 风险应对措施

面对社会工程攻击风险，可以采取多种应对措施。止损是重要的方法之一，当发现遭受社会工程攻击时，应立即采取措施阻止损失的进一步扩大。例如，企业应迅速更改受影响系统的密码，隔离受感染的设备，通知受影响的个人和客户，避免损失的蔓延。同时，企业还可以与银行等金融机构合作，冻结可能受到攻击的账户，防止资金被转移。

动态监控也是应对社会工程攻击风险的有效手段。企业可以通过安装入侵检测系统、网络流量监测工具等技术手段，对网络进行实时监控，及时发现异常行为。例如，当监测到大量异常的网络流量或可疑的登录行为时，系统可以自动发出警报，提醒安全人员进行调查和处理。此外，企业还可以建立安全事件响应团队，制定应急预案，确保在遭受社会工程攻击时能够迅速、有效地采取应对措施。

六、未来发展展望

6.1 技术发展对社会工程的影响

随着人工智能等新技术的不断发展，社会工程攻击与防范面临着新的挑战和机遇。

• 攻击方面：
  • 人工智能增强的社会工程攻击：人工智能将进一步扩大社交工程攻击的规模和有效性。网络犯罪分子将利用人工智能，结合社交媒体和被入侵的电子邮件账户中的数据，制作个性化的网络钓鱼信息，这些信息极具说服力，即使是训练有素的员工也难以发现。例如，2024 年，人工智能可以在短短几分钟内就能创建极具说服力的网络钓鱼诱饵，利用生成式人工智能，攻击者能够用不同的语言编写出文笔流畅、令人信服的网络钓鱼电子邮件和网站，将攻击范围扩大到各个地区。
  • 本地大型语言模型（LLM）带来的风险：随着计算能力的提升，新一代计算机将能够运行本地 LLM。如果没有得到妥善保护，本地模型及其处理的敏感数据可能会使端点成为攻击者更大的目标。此外，许多企业正在部署基于 LLM 的聊天机器人，底层的人工智能技术可能会带来新的信息安全和隐私风险，例如可能泄露敏感数据。今年，我们可能会看到网络犯罪分子试图操纵聊天机器人绕过安全措施来获取机密信息。
  • 高级固件和硬件攻击：人工智能正在推动技术民主化，帮助技能水平较低的用户更高效地执行更复杂的任务。但它也有可能帮助恶意行为者对较低系统层（即固件和硬件）进行攻击。从历史上看，此类攻击需要大量的技术专长，但人工智能开始有望降低这些障碍，可能会导致更多人努力利用较低级别的系统，让攻击者在操作系统和业界最好的软件安全防御之下立足。随着时间的推移，我们预计针对系统固件的恶意软件的频率会增加。
• 防范方面：
  • 隔离技术应对人工智能钓鱼攻击：面对人工智能生成的难以区分的电子邮件，仅依靠员工培训来保护用户是不够的。安全团队应该考虑隔离技术，如微虚拟化，它不依赖检测来保护员工。这项技术在隔离的虚拟环境中打开危险文件和链接，防止恶意软件和软件漏洞（甚至零日威胁）感染设备。
  • 加强对本地 LLM 的保护：企业应加强对本地 LLM 的保护，确保其安全和隐私。例如，采用加密技术保护敏感数据，建立严格的访问控制机制，防止未经授权的访问。同时，对基于 LLM 的聊天机器人进行安全评估，及时发现和修复潜在的安全漏洞。
  • 专注于关闭硬件和固件攻击面：专注于关闭硬件和固件攻击面对于应对这些威胁至关重要。企业应加强对固件和硬件的安全管理，定期更新固件，采用安全的硬件设备，加强对硬件供应链的安全审查。

6.2 未来应对策略趋势

未来网络安全中应对社会工程攻击的策略方向将更加多元化和智能化。

• 持续提升员工安全意识：员工安全意识的提升将始终是应对社会工程攻击的重要策略。未来，安全培训将更加个性化和针对性，结合人工智能技术，根据员工的岗位、工作习惯和风险偏好，提供定制化的培训内容。同时，模拟攻击演练将更加真实和复杂，利用虚拟现实等技术，让员工亲身体验社会工程攻击的过程，提高应对能力。
• 强化技术防护手段：技术防护手段将不断升级和创新。邮件过滤系统将更加智能，能够准确识别和拦截人工智能生成的网络钓鱼邮件。访问控制策略将更加严格，采用多因素认证、生物识别等技术，增加访问敏感信息的难度。网络安全监控将更加实时和精准，利用人工智能和大数据分析技术，及时发现异常行为和潜在攻击。
• 建立协同防御体系：未来，应对社会工程攻击将需要建立协同防御体系。企业、政府、安全厂商等各方将加强合作，共享安全情报，共同应对社会工程攻击。同时，国际间的合作也将更加紧密，共同制定和执行网络安全标准和法规，打击跨国社会工程攻击。
• 利用人工智能进行防御：人工智能不仅可以被攻击者利用，也可以成为防御者的强大工具。未来，安全团队可以利用人工智能技术自动检测有针对性的网络钓鱼尝试，识别和拦截恶意软件，预测和防范社会工程攻击。同时，人工智能还可以帮助安全团队分析攻击行为，制定更加有效的防御策略。