什么是社会工程学？如何防范社会工程学攻击_防范社会工程学攻击的最有效方法是

黑客技术就像魔术，处处充满了欺骗。

不要沉迷于网络技术，人才是突破信息系统的关键。

只要敢做就能赢。

在电影《我是谁：没有绝对安全的系统》中，主角本杰明充分利用自己高超的黑客技术，非法入侵国际安全系统，并在最后逃之夭夭。在电影中，有一句经典的台词：

所有黑客手段中最有效的、最伟大的幻想艺术——社会工程学。

那么，什么是社会工程学，社会工程学攻击有哪些方式，我们平时如何去防范它呢？本期网安知识系列科普就来带大家深入浅出的了解一下，关于社会工程学的那些事

什么是社会工程学 

当前世界上的头号黑客—凯文·米特尼克，曾经在他出版的《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。确实如此，很多企业、学校、公司在信息安全方面投入大量的资金，但最终导致数据泄露的原因，往往却是放生在人本身上。

或许大家难以想象，对于黑客们来说，通过一个用户名、一串数字、一段简单的对话、抑或是一张照片，他们就可以通过这些简单的线索，通过社工手段，加以筛选、整理后，就能把你的个人情况信息、家庭状况、经济实力、婚姻现状研究的一清二楚。

虽然这个可能是最不起眼，而且还是最麻烦的方法。但这是一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这，便是社会工程学黑客技术。

&为什么攻击者会选择社会工程学进行攻击行为？

因为它是最便捷的攻击方式。

攻击者在搞定一个极其复杂的内网环境或者高度防御系统的时候，仅凭外网是很难找到突破口，外网的安全是相对安全的。

但是，通过社工拿到一个泄露的账户和密码或者一个email来定位实施单一攻击（类似APT的水坑攻击）,只要有机会接触到内网，那么通过一些工具直接打穿内网，外网代理进内网，那么就会有更多的数据被泄露、被贩卖，形成一种恶性循环。

信任是一切安全的基础，对于保护与审核的信任，通常被认为是整个安全链中最重要的一环，因为人才是所有安全措施的最终实施者。而信息安全的本质就是信息拥有者和攻击者之间的较量，所以信息拥有者是社会工程学攻击的主要目标，也是无法忽视的脆弱点。

以下例子均为实际工作过程中发现，内容较为敏感，相关信息已联系有关部门。

文章图片已进行马赛克处理。

信息时代，使用各类手机软件，登录各种网站时大都需要用户填写手机号、性别、爱好等个人信息，否则供应商将会拒绝提供服务。然而在我们享受服务时，却忽视了个人信息泄露所带来的安全问题。

信息泄露：Google语法查询

先问大家一句，大家觉得对自己的个人信息保护怎么样，是否存在隐私泄露呢？

思考几秒，然后我们往后看。

众所周知，Google公司拥有着全球最大的搜索引擎—谷歌搜索引擎，可以说是几乎囊括了人类智慧的结晶。由于知识繁多复杂，为了方便查询，Google便推出了Google语法。通过互联网收集数据，抓取有意义的信息，将其存储在数据中心。任意一次搜索，在不到一秒钟的时间里，它就会为你提供多个答案。

那么，Google语法和信息泄露有什么关系呢？别急，给大家看看张截图：