渗透测试之社交工程攻击

社交工程学浅谈

关于社交工程学的一个比较正式的定义是，它是操作人的行为以达到获取信息或物理访问权限的目的的一种艺术。所以，要达到他的这种目的，他会模仿，效仿，乔装打扮自己的各种言行，以达到获取信任，进而达到攻击的目的。

常见社交工程攻击的类型

1. 发送短信/邮件，告诉你中大奖了，让你x月x日前办理领取手续。但是当你办理的时候会提示你先缴纳税费等费用，目的就是为了拿到这些费用，割完韭菜就拉黑。这种情况一般还要求受害人线上办理，是无人值守的，这种也让后续的损失追讨变的比较艰难。
2. 通过非技术这种渗透手段，通过人际交流的方式确实在很多时候是有效的，而且效率还比较高。
3. 比如一些办公软件中出现的可疑的链接，宏应用等，要小心对待，很容易泄露个人或者企业的一些机密信息。
4. 套近乎，主动和你交流，寻找话题，循循善诱，步步为营，取得你的好感和信任之后，在获取自己想要的信息。
5. 利用虚假招聘信息。

如何防范社交工程攻击

1. 个人觉得这种社交工程方面的攻击，更多的是出现在企业内，所以要定期的去做关于信息安全，公司信息保护方面的员工培训，时刻提高认识到信息安全的重要性。
2. 除了培训，我觉得一些防范措施也是必要的比如：
3. 公司员工在不明白来访人员的时候，不允许给其刷门禁卡；就算来人表明来意，也最好确认好对接人之后再离开。
4. 资料柜或者资料室门禁以及钥匙等工具保管规则。
5. 电脑（比如，可以安装防偷窥屏）和办公桌面管理细则的制定

标签：这种,工程,渗透,信息安全,目的,攻击,测试,社交
来源： https://blog.csdn.net/qq_43305605/article/details/122232353