在取得成功、走向辉煌的过程中，我们必须有一个个明确的目标，一切以结果为导向。营销团队通常会拿此进行队员励志，成功学专家更是将此奉为圭臬。因为涉及信息安全，特别是用户意识和培训，所以在安全意识领域也应思考有一个明确的目标和导向。

是否要将所有人员培训到最高级别，以便他们可以成为安全解决方案的一部分呢？也许可以通过政策和技术控制用户的行为来使企业获得成功？也许只是审核人员检查安全意识培训相关制度和记录？昆明亭长朗然科技有限公司安全意识专员董志军说：观察安全意识和培训计划的无数方法和可能的结果，无论是否完成，都归结为一件事：改变行为。

有许多企业正在进行网络安全培训，但他们没有什么可以展示的。当然，培训记录通过了审计检查，但人们仍在点击恶意链接，打开可疑的邮件附件，并堕落于社会工程师几十年来未翻新的老套骗术。我们可以在几乎所有的安全评估项目中都看到了社会工程学的影子。网络钓鱼邮件太容易成功了，通常会有三成左右的用户打开附件或点击邮件中的链接，并在出现提示时输入其网络登录账户和密码。这是一个简单而又令人不安的漏洞，然而每天都会发生在世界各地，当然也包括您所在的工作单位。

现行安全意识计划是否能带来安全行为的改变

安全意识计划应该专注于正确的事情，以行为变化为核心，这有助于实现总体安全目标，防止正在做的事情偏离目标，走入歧途。具体有哪些奇葩的偏颇的做法呢？其实在特定的企业文化中的表现各不相同，有拿数据来说话的机构，喜欢搞“深入、公正和持续”的安全评估，进而发现可以带来改进的一些事情。问题是这些IT安全团队“既是运动员、又是裁判员”，他们发起的安全评估通常不是深入的、无偏见的或持续的，因此用户必定“不服”，对安全挑战会持续存在。改变的行为往往不是安全，而是如何搞调查评估和工作表现等等这一些文书工作和政治工作。

有的安全意识和培训计划纯粹就是无脑的跟随，这种找花钱路子的案例有很多。您有没有想过：强迫更多令人头脑麻木的课堂会议或视频会让更多人加入安全措施吗？有没有更有创意的方法，例如采购外部的专业培训服务呢？询问用户他们想要学习什么以及他们想学习它们的方式。IT和安全专员千万不要自以为很了解用户，圈子以外的很多聪明人都可以提供很好的反馈，要提高基层用户的安全性。这并不是在内容和形式方面投大众好，试问，用户们真的喜欢微信观看大片进行学习吗？您得到的真实答案可能让人意外，人们觉得安全培训的内容似乎和自己无关，更不想花费自己的私人时间来学习如何保护公司/单位的信息安全。如果这种错误的认识得不到改观，改变安全行为简直就是痴人说梦了。

很多安全管理者笃信通过惩戒措施会加强员工的安全自律。董志军说：尽管看起来很奇怪，但在受到纪律处分方面，成年员工与年幼的孩子并没有什么不同。如果他们要从错误中吸取教训，他们不应该被责骂和尴尬，而是需要了解为什么他们不应该做他们所做的事情以及他们下次如何更好地处理事情。话虽这么说，相反，在现实中，我们可以看到太多员工因为被恐吓而误解退缩、被指责而冷漠泄气、或被惩罚而心生积怨，进而消极地逃避、抵抗、甚至突破各类安全规章和要求。这当然是改变了员工的安全行为，但是方向却是相反的。

尽快做出必要的改变

无论是商业领域还是个人生活方面，信息安全都是您可以关注和赢得关注的方面。员工安全意识计划需要建立起来才能获得成功。在理想的世界中，这意味着他们甚至没有机会做出安全决策。安全方面技术控制可以帮助解决这个问题，但很有限。最终，在面临安全威胁和问题时，员工将自己拥有重要的安全选择权。您当前的意识和培训工作是否会引导他们走上正确的道路？在仔细检查自己的安全意识计划之前，没人能够知道。

请认识到安全意识和培训工作的核心成果是改变受众的安全行为。只有让合适的、专业的人员参与设定期望，然后方可尽一切努力达到目标，当然并随着时间的推移，目标需要不断修正和抬升。这种PDCA方法，与尽量减少与员工相关的安全风险的方法相同，而且它是被证明科学而有效的。

简要结论

安全意识计划要如何改变安全行为，引导受众参与的积极性是首要任务，这并非靠制作精良的安全宣教大片或者抡起安全事件惩戒的胡萝卜加大棒就可以实现的，要让受众理解安全文化精髓，他们才能认可和接受信息安全方针政策，以及我们发出的安全要求和指令，进而在工作、生活、学习中重复实践安全，进而养成良好的安全行为习惯。

昆明亭长朗然科技有限公司根据不同组织机构的安全文化，以及人员群体的不同特性，量身定制适合的安全意识教育计划，并提供相关安全宣教活动的顾问和实施服务，欢迎有需要的客户或伙伴们联系我们，洽谈合作。当然，如果您对文中的这个话题有兴趣或者有自己的观点看法，欢迎联系作者董志军，以进一步深入探讨。

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：[email protected]
QQ：1767022898

你是否曾收到过一封看似来自银行的邮件，声称你的账户存在异常，需要你点击链接验证？或者接到一个“技术支持”的电话，说你的电脑感染了病毒，需要你提供远程访问权限？这些看似无害的请求，实则可能潜藏着巨大的安全风险。在数字时代，我们面临着越来越多的网络安全威胁，而其中最狡猾的，莫过于利用人性的弱点——社会工程学。

本文将带你深入了解社会工程学，揭示常见的攻击手段，并提供实用的防御技巧。我们将通过两个引人入胜的故事案例，结合通俗易懂的语言，帮助你建立坚固的信息安全防线。无论你是否具备安全方面的专业知识，都能轻松掌握这些知识，保护自己免受网络攻击。

一、什么是社会工程学？为什么它如此危险？

社会工程学，顾名思义，就是利用心理学技巧，诱骗人们泄露机密信息或执行特定操作的手段。它并非直接攻击计算机系统，而是攻击人，利用人们的信任、好奇心、恐惧、贪婪等情感，从而达到攻击的目的。

为什么社会工程学如此危险？因为传统的安全技术，例如防火墙和杀毒软件，主要针对的是技术漏洞。而社会工程学则绕过了这些技术屏障，直接攻击人的心理，让人在不知不觉中泄露信息或打开后门。

正如古人所言：“人心易动，财口易开。”社会工程学正是利用了这一点，让人在贪图利益、渴望帮助、或被恐惧支配时，做出错误的决定。

二、常见的社会工程学攻击手段：潜伏在暗处的陷阱

社会工程学攻击手段多种多样，以下是一些最常见的：

1. 网络钓鱼 (Phishing)：精心设计的虚假诱饵

   网络钓鱼是社会工程学中最常见的攻击方式。攻击者伪装成可信赖的机构，例如银行、电商平台、社交媒体等，通过电子邮件、短信、即时消息等方式，诱骗受害者点击恶意链接或提供个人信息。

   • 例子： 你收到一封看似来自你银行的邮件，邮件标题是“账户安全提示”，内容声称你的账户存在异常活动，需要你点击链接登录进行验证。链接看起来和银行的官方网站非常相似，但实际上是攻击者精心设计的虚假网站。一旦你点击链接并输入了你的用户名和密码，这些信息就会被攻击者窃取。
   • 为什么危险： 网络钓鱼攻击者通常会花费大量时间精心设计钓鱼邮件，使其看起来非常逼真。他们会使用银行的logo、官方语言、甚至会引用一些新闻事件，以增强可信度。
   • 如何防范：
     • 仔细检查发件人地址： 不要仅仅看邮件标题，要仔细检查发件人的电子邮件地址，看是否与官方网站一致。
     • 不要轻易点击链接： 如果你对邮件内容有任何疑问，不要轻易点击其中的链接。可以手动输入官方网站的地址，或者通过其他渠道联系银行或机构进行确认。
     • 警惕紧急性： 攻击者通常会制造紧急情况，例如“账户存在异常活动”、“需要立即验证”等，以迫使你快速做出决定。
     • 不要轻易提供个人信息： 银行、电商平台等机构绝不会通过电子邮件或短信要求你提供密码、银行卡号、身份证号等敏感信息。

2. 伪装 (Pretexting)：精心编织的虚假故事

   伪装是指攻击者编造一个虚假的故事，以获取受害者的信任，并诱骗他们提供信息或执行特定操作。

   • 例子： 攻击者冒充技术支持人员，打电话给你的家人，声称你的电脑感染了病毒，需要他们提供远程访问权限进行修复。你的家人相信了攻击者的谎言，并允许他远程访问你的电脑，从而让攻击者窃取你的个人信息或安装恶意软件。
   • 为什么危险： 伪装攻击者通常会事先进行调查，了解你的个人信息，并根据你的情况编织一个看似合理的虚假故事。
   • 如何防范：
     • 不要轻易相信陌生人： 如果有人打电话或发短信给你，声称自己是技术支持人员、快递员、或政府官员，要保持警惕，不要轻易相信。
     • 不要轻易提供个人信息： 即使对方声称自己是你的朋友或同事，也要谨慎提供个人信息。
     • 通过官方渠道核实： 如果你对对方的身份有任何疑问，可以通过官方渠道进行核实。

3. 诱饵 (Baiting)：诱人的免费诱惑

   诱饵是指攻击者提供免费的软件、电影、音乐、或优惠券等诱人的东西，以诱骗受害者下载或点击，从而感染恶意软件或泄露个人信息。

   • 例子： 你在网上看到一个声称可以免费下载最新电影的网站，当你下载电影时，实际上是被感染了恶意软件，这些恶意软件会窃取你的个人信息或控制你的电脑。
   • 为什么危险： 诱饵攻击者通常会利用人们的好奇心和贪婪心理，提供看似免费的诱惑，以诱骗受害者下载或点击。
   • 如何防范：

     

     • 不要轻易下载来源不明的文件： 即使文件看起来是免费的，也要谨慎下载。
     • 使用杀毒软件： 在下载任何文件之前，都要使用杀毒软件进行扫描。
     • 从官方渠道获取软件： 尽量从官方网站或正规的软件商店下载软件。

4. 互惠 (Quid Pro Quo)：以帮助为名索取利益

   互惠是指攻击者以提供帮助为名，诱骗受害者提供个人信息或访问权限。

   • 例子： 攻击者冒充技术支持人员，声称可以帮助你修复电脑问题，但你需要提供你的用户名和密码，或者允许他远程访问你的电脑。
   • 为什么危险： 互惠攻击者通常会利用人们的求助心理，提供看似有用的帮助，但实际上是为了窃取你的信息或控制你的设备。
   • 如何防范：
     • 不要轻易相信陌生人的帮助： 即使对方声称自己是你的朋友或同事，也要谨慎接受他们的帮助。
     • 不要轻易提供个人信息： 即使对方声称是为了帮助你，也要谨慎提供个人信息。
     • 通过官方渠道寻求帮助： 如果你需要技术支持，可以联系官方的技术支持团队。

5. 搭便车 (Tailgating)：利用信任获取物理访问权限

   搭便车是指攻击者跟随有权限的人进入限制区域，从而获取物理访问权限。

   • 例子： 攻击者跟随一位员工进入公司的数据中心，然后利用员工的身份进入数据中心，窃取公司机密信息。
   • 为什么危险： 搭便车攻击者通常会利用人们的信任和习惯，跟随有权限的人进入限制区域。
   • 如何防范：
     • 不要轻易让陌生人进入限制区域： 如果你看到陌生人试图跟随你进入限制区域，要礼貌地拒绝他们。
     • 使用门禁系统： 确保公司有完善的门禁系统，以防止未经授权的人员进入限制区域。
     • 加强安全意识培训： 对员工进行安全意识培训，让他们了解搭便车的风险。

三、保护自己的信息安全：构建坚固的防线

除了了解常见的社会工程学攻击手段，我们还需要采取一些实际的措施来保护自己的信息安全：

1. 保持警惕：怀疑一切

   这是最重要的原则。不要轻易相信任何看似美好的承诺，也不要轻易相信陌生人的话。如果某件事情看起来太好以至于令人难以置信，那很可能就是一场骗局。

2. 验证信息来源：多方确认

   不要轻易相信电子邮件、短信或电话中的信息。要通过其他渠道，例如官方网站、官方客服电话等，进行核实。

3. 保护个人信息：谨慎分享

   不要轻易向陌生人提供个人信息，例如用户名、密码、银行卡号、身份证号等。

4. 使用强密码：复杂且独特

   使用包含大小写字母、数字和符号的复杂密码，并为不同的账户使用不同的密码。

5. 启用多因素认证 (MFA)：双重保障

   多因素认证可以增加账户的安全性，即使攻击者获得了你的密码，也无法轻易登录你的账户。

6. 定期更新软件：修复漏洞

   定期更新操作系统、杀毒软件、浏览器等软件，以修复安全漏洞。

7. 注意物理安全：保护环境

   不要轻易让陌生人进入你的家或办公室。注意周围环境，防止被偷窥或窃取信息。

案例分析：

案例一： 银行账户被盗的悲剧

李先生是一位退休教师，平时不怎么使用电脑，对网络安全知识了解不多。有一天，他收到一封看似来自他银行的邮件，邮件声称他的账户存在异常活动，需要他点击链接进行验证。李先生不耐烦，直接点击了链接，并输入了他的用户名和密码。结果，他的银行账户被盗，损失了数万元。

分析： 李先生的案例说明了社会工程学攻击的危害。他没有仔细检查发件人地址，也没有通过其他渠道核实邮件的真伪，最终成为了攻击者的受害者。

案例二： 员工信息泄露的教训

某公司的一位员工，王女士，被一个攻击者冒充技术支持人员，诱骗她提供远程访问权限。王女士相信了攻击者的谎言，并允许他远程访问她的电脑。结果，攻击者窃取了公司大量的机密信息，导致公司遭受了巨大的经济损失。

分析： 王女士的案例说明了社会工程学攻击的隐蔽性。攻击者通常会利用人们的信任和习惯，诱骗他们提供信息或执行特定操作。

结语：

信息安全意识是保护自己免受网络攻击的关键。通过了解常见的社会工程学攻击手段，并采取相应的防御措施，我们可以构建坚固的信息安全防线，保护自己的个人信息和财产安全。记住，警惕、验证、保护，是应对网络安全威胁的有效方法。

昆明亭长朗然科技有限公司提供全球化视野下的合规教育解决方案，帮助企业应对跨国运营中遇到的各类法律挑战。我们深谙不同市场的特殊需求，并提供个性化服务以满足这些需求。有相关兴趣或问题的客户，请联系我们。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898