asdf

2026年04月04日社会科学

社会工程学

社会工程学

利用人性弱点的艺术

第一章社会工程学导论

1.1 什么是社会工程学

社会工程学是利用人性弱点（非技术手段）获取信息或访问权限的艺术。

1.2 社会工程学的特点

最薄弱环节是人
利用信任、善意、恐惧
技术手段无法完全防御

1.3 社会工程学的危害

信息泄露
经济损失
隐私侵犯
国家安全

第二章攻击手法

2.1 信息收集

2.1.1 公开信息（OSINT）

社交媒体
新闻报道
学术论文
专利信息

2.1.2 社交工程

观察目标
建立关系
获取信任

2.1.3 物理收集

垃圾桶翻找
肩窥
丢弃的设备

2.2 网络钓鱼

2.2.1 邮件钓鱼

伪造发件人
恶意链接
附件木马

2.2.2 短信钓鱼（Smishing）

冒充银行
冒充快递
冒充运营商

2.2.3 语音钓鱼（Vishing）

冒充客服
冒充领导
冒充政府

2.2.4 钓鱼网站

伪造登录页
域名仿冒
SSL证书伪造

2.3 假冒身份

2.3.1 冒充员工

新员工
送货员
维修人员

2.3.2 冒充权威

IT支持
管理人员
政府官员

2.4 物理攻击

2.4.1 尾随

跟随进入
开门帮助

2.4.2 冒充

采访
调查
参观

第三章心理弱点

3.1 信任

3.1.1 权威效应

人们倾向于服从权威人士。

穿制服
使用专业术语
引用权威

3.1.2 熟悉效应

熟悉的人更容易被信任。

假装认识
共同爱好

3.1.3 喜爱效应

长得好看或讨喜的人更容易被信任。

3.1.4 互惠效应

得到好处后想回报。

3.2 恐惧

3.2.1 紧迫感

制造紧急情况。

账户将被冻结
即将起诉
设备将损坏

3.2.2 恐吓

威胁负面后果。

法律后果
经济损失
名誉损害

3.3 贪婪

3.3.1 利益诱惑

中奖
投资机会
免费礼品

3.3.2 紧迫赚钱

快速致富
内幕消息

3.4 好奇

八卦心理
免费诱惑
技术诱惑

第四章防御策略

4.1 个人防御

4.1.1 验证身份

确认对方身份
通过官方渠道核实
不轻信电话

4.1.2 保护信息

不随意透露信息
验证请求来源
保护敏感数据

4.1.3 怀疑精神

不轻信紧急请求
冷静思考
多重验证

4.2 组织防御

4.2.1 员工培训

安全意识培训
模拟钓鱼测试
案例学习

4.2.2 安全流程

身份验证流程
信息分类
访问控制

4.2.3 技术手段

邮件过滤
防火墙
多因素认证

4.3 安全意识

怀疑
确认
报告

第五章常见攻击场景

5.1 办公环境

5.1.1 冒充新员工

借卡进门
请求帮助
询问信息

5.1.2 假装送货

送快递
送外卖
送礼物

5.1.3 维修人员

设备维修
IT支持
安全检查

5.2 电话攻击

5.2.1 IT支持

账户问题
设备故障
软件更新

5.2.2 领导紧急

紧急转账
紧急资料
领导不在

5.3 网络攻击

5.3.1 钓鱼邮件

密码重置
账户异常
发票核对

5.3.2 假网站

登录页面
支付页面
下载站点

5.4 面对面攻击

5.4.1 采访调查

记者采访
市场调查
学术研究

5.4.2 社交工程

建立关系
培养信任
诱导信息

第六章案例分析

6.1 经典案例

6.1.1 凯文·米特尼克

社会工程学经典案例。

6.1.2 银行诈骗

冒充客服
盗取信息
资金转移

6.2 教训总结

验证
确认
培训

第七章实用技巧

7.1 识别钓鱼

7.1.1 检查发件人

仔细看域名
警惕相似域名
核实官方地址

7.1.2 检查链接

悬停看真实URL
警惕短链接
检查SSL证书

7.1.3 检查内容

语法错误
紧急语气
不合理要求

7.2 安全习惯

7.2.1 密码管理

强密码
不重复
密码管理器

7.2.2 多因素认证

短信验证码
认证APP
硬件令牌

7.2.3 定期更换

定期修改密码
检查账户活动
更新安全问题

7.3 报告流程

识别
报告
记录

第八章社会工程学测试

8.1 渗透测试

模拟攻击
评估防御

8.2 钓鱼测试

发送测试邮件
评估点击率
培训改进

8.3 安全评估

漏洞评估
流程评估
培训评估

第九章法律与道德

9.1 法律问题

未经授权访问
信息盗窃
欺诈

9.2 道德问题

隐私
同意
责任

第十章未来趋势

10.1 AI社会工程

深度伪造
语音钓鱼
自动化攻击

10.2 防御新技术

AI防御
生物识别
零信任架构

笔记整理：AI助手
更新时间：2026-03-19