社会工程学

社会工程学是针对人类认知与行为(而非技术漏洞)的攻击的统称。攻击者利用信任、权威、紧迫感、恐惧、互惠和好奇心,诱导受害者交出凭据、转账、运行恶意软件或授予访问权限。常见手段包括网络钓鱼邮件、电话钓鱼(vishing)、短信钓鱼(smishing)、托词(pretexting)、诱饵(baiting)以及当面冒充。由于其利用的是人的判断,纯技术手段无法完全消除风险。有效的防御应结合持续的安全意识培训、钓鱼演练、敏感操作的严格验证流程、FIDO2 等硬件多因素认证,以及鼓励员工上报可疑事件的企业文化。