在安全領(lǐng)域，人們往往更重視技術(shù)層面上的攻擊手段，而往往忽略了社交工程這類心理學(xué)層面的威脅。事實(shí)上，后者帶來的危害同樣值得關(guān)注，而我們也應(yīng)當(dāng)從心理學(xué)入手抵御此種挑戰(zhàn)。

最重要的是，IT專業(yè)人員應(yīng)當(dāng)了解社交工程手段如何利用人類情緒來達(dá)成自己的邪惡目標(biāo)。下面讓我們了解四種最為常見且可資利用的情感取向，同時(shí)思考如何以此為基礎(chǔ)幫助員工及企業(yè)整體抵御未來可能出現(xiàn)的社交攻擊。

　　恐懼

這是一種負(fù)面情緒，據(jù)信某人或某物可能造成痛苦或者威脅所引發(fā)的危險(xiǎn)意識。

作為最為強(qiáng)大的動力之一，恐懼往往成為最常見的社交工程載體。惡意人士利用多種途徑營造恐懼感，包括通過偽造郵件告知我們網(wǎng)上銀行賬戶泄露并要求變更密 碼，或者通知我們已經(jīng)被銀行保定系統(tǒng)所控制等等。這些詐騙方案要求潛在受害者迅速采取行動以避免或者糾正可能出現(xiàn)的負(fù)面后果。

例如，最近有犯罪分子乘報(bào)稅之機(jī)從國稅局處竊取信息，同時(shí)撥打電話威脅稱受害者存在偷稅漏稅嫌疑。一旦對方上鉤，惡意人士會威脅稱執(zhí)行人員將很快采取行動，對方必須向其指定的賬戶轉(zhuǎn)款方可解決問題。

服從

傾向于執(zhí)行來自執(zhí)法或權(quán)威機(jī)構(gòu)給出之命令的情感。

社交工程詐騙分子往往通過電子郵件、即時(shí)消息或者電話及語音郵件將自己偽裝成特定個(gè)人或者上級機(jī)關(guān)，例如執(zhí)法或安保小組。傳統(tǒng)教育讓我們更傾向于服從上級的指令，因此往往會不假思索地按其指示行動。

不過在釣魚活動當(dāng)中，這類習(xí)慣性反應(yīng)有可能帶來嚴(yán)重后果。近日玩具制造巨頭美泰公司就因某財(cái)務(wù)主管收到由中國網(wǎng)絡(luò)詐騙分子偽造的上級指令，而向其轉(zhuǎn)出300萬美元款項(xiàng)。盡管中國當(dāng)局最終幫助其追回了資金，但這仍是一個(gè)值得我們了解并反思的案例。

貪婪

定義為對事物的強(qiáng)烈占有欲，特別是財(cái)富或者權(quán)力。

詐騙分子能夠會利用各種獎勵——通常是現(xiàn)金——來引誘受害者執(zhí)行其設(shè)想的行動。這方面最為典型的例子當(dāng)數(shù)“419尼日利亞騙局”，當(dāng)時(shí)有網(wǎng)絡(luò)犯罪分子自稱為尼日利亞官員或者政府特工，通過電話或郵件要求受害者做點(diǎn)小事并為此提供一筆報(bào)酬——當(dāng)然，他們的最終目標(biāo)是獲取受害者的銀行賬戶信息。

俗話說金錢是萬惡之源，而此類網(wǎng)絡(luò)釣魚活動確實(shí)是將貪婪的負(fù)面作用進(jìn)行了放大。

樂于助人

定義為愿意幫助他人解決問題。

事實(shí)上，也有不少網(wǎng)絡(luò)犯罪分子在利用人們的下面情感實(shí)施詐騙。這些活動經(jīng)過針對客戶支持或者服務(wù)部門，即以求助為名誘使工作人員透露敏感信息。

最近Amazon.com也出現(xiàn)了客戶服務(wù)漏洞。黑客們可以單純利用姓名、電子郵件或者錯誤的郵寄地址與在線客服交流，最終通過裝傻充愣來完成賬戶驗(yàn)證。最終，黑客獲取到購物者的信用卡信息，并利用其賬戶購買貨品。

在企業(yè)環(huán)境當(dāng)中，安全保護(hù)工作包含諸多方面，但其中內(nèi)部威脅已經(jīng)成為最令防御者們頭痛的因素。最近的研究顯示，有43%的數(shù)據(jù)泄露事故由內(nèi)部人員造成——而且其中一半屬于偶然情況。

因此除了了解黑客不斷變化的技術(shù)手段之外，IT及安全管理者也需要調(diào)整政策并指導(dǎo)同事，幫助他們對惡意活動保持警惕。

誠然，培訓(xùn)普通員工的安全意識絕非易事，但目前已經(jīng)有多種機(jī)構(gòu)能夠?yàn)榇蠹姨峁┫嚓P(guān)服務(wù)項(xiàng)目。大家應(yīng)當(dāng)提醒員工如何識別可疑的郵件與通信內(nèi)容，并以此作為 良好的安全保障起點(diǎn)。無論您所在企業(yè)的規(guī)模如何，都應(yīng)當(dāng)將社交工程防御作為重要工作加以關(guān)注——更重要的是，也別忘記其中涉及的種種心理因素。