恶意软件并不是唯一需要担心的网络威胁。社会工程是一个巨大的威胁，它可以在任何操作系统上攻击你。事实上，社会工程也可以通过电话和面对面的方式进行。

意识到社会工程并保持警惕是很重要的。安全程序不能保护你免受大多数社会工程威胁，所以你必须保护自己。

社会工程学解释

传统的基于计算机的攻击通常依赖于发现计算机代码中的漏洞。例如，如果你使用的是过时版本的Adobe Flash-或者，但愿不要使用Java，根据思科的数据，Java是2013年91%的攻击的原因-你可以访问一个恶意网站，该网站会利用你软件中的漏洞来访问你的计算机。攻击者正在操纵软件中的漏洞，以获得访问权限并收集私人信息，可能是使用他们安装的键盘记录程序。

社会工程技巧是不同的，因为它们涉及的是心理操纵。换句话说，他们剥削的是人，而不是他们的软件。

相关：网络安全：剖析网络钓鱼电子邮件

你可能已经听说过网络钓鱼，这是社会工程的一种形式。您可能会收到一封电子邮件，声称来自您的银行、信用卡公司或其他受信任的企业。他们可能会将你引导到伪装成真实网站的假网站，或者要求你下载并安装恶意程序。但这样的社交工程把戏不一定要涉及虚假网站或恶意软件。网络钓鱼电子邮件可能会简单地要求您发送包含私人信息的回复电子邮件。他们不是试图利用软件中的缺陷，而是试图利用正常的人类交互。鱼叉式网络钓鱼可能更危险，因为它是一种针对特定个人的网络钓鱼形式。

社会工程实例

聊天服务和在线游戏中一个流行的把戏是用“管理员”这样的名字注册一个账户，然后向人们发送可怕的信息，比如“警告：我们检测到有人可能在入侵你的账户，请回复你的密码以验证你的身份。”如果目标用他们的密码回应，他们就上当了，攻击者现在有了他们的帐户密码。

如果某人有您的个人信息，他们可以使用这些信息访问您的帐户。例如，你的出生日期、社会保险号和信用卡号码等信息经常被用来识别你的身份。如果有人掌握了这些信息，他们可能会联系一家企业，并假扮成你。众所周知，攻击者曾使用此技巧访问Sarah Palin的Yahoo！邮件账户，提交足够的个人详细信息，以便通过雅虎的密码恢复表单访问该账户。如果您有企业需要的个人信息来验证您的身份，也可以使用相同的方法在电话上进行验证。拥有目标某些信息的攻击者可以冒充他们访问更多内容。

社会工程也可以亲自使用。攻击者可以走进一家企业，以权威和令人信服的语气告诉秘书他们是修理员、新员工或消防检查员，然后在大厅里漫步，可能窃取机密数据或植入窃听器来执行企业间谍活动。这个把戏取决于攻击者把自己表现成另一个人。如果秘书、门卫或其他负责人不问太多问题或看得太仔细，这个把戏就会成功。

相关：攻击者实际上是如何“侵入”在线账户的，以及如何保护自己

社会工程攻击的范围从虚假网站、欺诈性电子邮件和邪恶的聊天消息一直到在电话或面对面冒充某人。这些攻击形式多种多样，但它们都有一个共同点--它们依赖于心理欺骗。社会工程学被称为心理操纵的艺术。这是“黑客”实际上“黑”网上账户的主要方式之一。

如何避免社会工程

了解社会工程的存在可以帮助你战胜它。对要求提供私人信息的未经请求的电子邮件、聊天消息和电话要持怀疑态度。切勿通过电子邮件泄露财务信息或重要的个人信息。不要下载有潜在危险的电子邮件附件并运行它们，即使一封电子邮件声称它们很重要。

你也不应该使用电子邮件中指向敏感网站的链接。例如，不要点击似乎来自您的银行的电子邮件中的链接并登录。它可能会把你带到一个伪装成你的银行网站的假钓鱼网站，但URL略有不同。取而代之的是直接访问网站。

如果您收到可疑请求-例如，您的银行电话要求提供个人信息-请直接联系请求来源并要求确认。在本例中，您将打电话给您的银行，询问他们想要什么，而不是将信息泄露给自称是您的银行的人。

电子邮件程序、Web浏览器和安全套件通常都有网络钓鱼过滤器，当您访问已知的网络钓鱼网站时，这些过滤器会向您发出警告。当你访问已知的钓鱼网站或收到已知的钓鱼电子邮件时，他们所能做的就是警告你，而他们并不知道所有的钓鱼网站或电子邮件。在很大程度上，保护自己取决于你-安全程序只能起到很小的作用。

在处理私人数据请求和任何其他可能是社会工程攻击的请求时，保持健康的怀疑态度是个好主意。怀疑和谨慎将帮助保护你，无论是线上还是线下。

图片来源：Flickr上的杰夫·特内特