恶意软件并不是唯一需要担心的在线威胁。社会工程是一个巨大的威胁，它可以打击你在任何操作系统。事实上，社会工程也可以发生在电话和面对面的情况。

重要的是要了解社会工程并保持警惕。安全程序不会保护你免受大多数社会工程的威胁，所以你必须保护自己。

社会工程解释

传统的基于计算机的攻击通常依赖于在计算机代码中发现漏洞。例如，如果您使用的是过时版本的Adobe Flash—或者，上帝保佑，Java，据Cisco称，2013年91%的攻击都是由Java造成的—您可能会访问恶意网站，该网站会利用软件中的漏洞访问您的计算机。攻击者正在操纵软件中的漏洞来获取访问权限和收集私人信息，可能是通过他们安装的键盘记录器。

社会工程技巧是不同的，因为他们涉及心理操纵代替。换句话说，他们利用的是人，而不是他们的软件。

相关报道：网络安全：剖析网络钓鱼邮件

你可能已经听说过网络钓鱼，这是一种社会工程。您可能会收到一封电子邮件，声称来自您的银行、信用卡公司或其他受信任的企业。他们可能会将你引导到伪装成真实网站的虚假网站，或者要求你下载并安装恶意程序。但这样的社会工程技巧不必涉及假网站或恶意软件。网络钓鱼邮件可能只是要求您发送带有私人信息的电子邮件回复。他们不是试图利用软件中的缺陷，而是试图利用正常的人类交互。鱼叉式网络钓鱼可能更危险，因为它是一种针对特定个人的网络钓鱼形式。

社会工程实例

聊天服务和网络游戏中一个流行的伎俩是注册一个名为“Administrator”的帐户，并向人们发送可怕的消息，如“警告：我们检测到有人可能正在入侵你的帐户，请用你的密码进行身份验证。”如果目标用他们的密码进行响应，他们上当了，攻击者现在有了他们的帐户密码。

如果有人有你的个人信息，他们可以用它来访问你的帐户。例如，您的出生日期、社会保险号码和信用卡号码等信息通常用于识别您的身份。如果有人知道这些信息，他们可以联系一家公司，假装是你。这一伎俩曾被攻击者用来访问莎拉·佩林的雅虎！邮件帐户在2008年，提交足够的个人资料，以获得通过雅虎访问帐户！的密码恢复窗体。同样的方法也可以通过电话来验证，如果你拥有企业需要的个人信息来验证你的身份。攻击者只要掌握了目标的一些信息，就可以伪装成他们，从而获得更多的信息。

社会工程也可以亲自使用。攻击者可以走进一家企业，以权威和令人信服的口吻告诉秘书他们是维修人员、新员工或消防检查员，然后在大厅里游荡，可能窃取机密数据或植入***来进行公司间谍活动。这个把戏取决于攻击者把自己表现成他们不是的人。如果一个秘书、门卫或其他负责人没有问太多问题或看得太仔细，这个把戏就会成功。

相关：攻击者如何实际“黑客帐户”网上和如何保护自己

社会工程攻击的范围从假冒网站、欺诈电子邮件和恶意聊天信息一直到在电话或当面模仿某人。这些攻击的形式多种多样，但它们都有一个共同点——它们依赖于心理欺骗。社会工程被称为心理操纵的艺术。这是“黑客”实际上“入侵”网上账户的主要方式之一。

如何避免社会工程

了解社会工程的存在可以帮助你战胜它。对不请自来的电子邮件、聊天信息和询问私人信息的电话保持怀疑。切勿通过电子邮件泄露财务信息或重要个人信息。不要下载潜在危险的电子邮件附件并运行它们，即使电子邮件声称它们很重要。

你也不应该关注电子邮件中敏感网站的链接。例如，不要在一封看似来自银行的电子邮件中单击链接并登录。它可能会把你带到一个伪装成你的银行网站的假钓鱼网站，但网址有点不同。直接访问网站。

如果你收到一个可疑的请求-例如，一个电话从你的银行要求个人信息-直接联系请求的来源，并要求确认。在这个例子中，你会打电话给你的银行，询问他们想要什么，而不是把信息泄露给自称是你银行的人。

电子邮件程序、web浏览器和安全套件通常都有仿冒网站过滤器，当您访问已知的仿冒网站时，这些过滤器会向您发出警告。他们所能做的只是在你访问已知的钓鱼网站或收到已知的钓鱼电子邮件时向你发出警告，而他们并不知道所有的钓鱼网站或电子邮件。在很大程度上，你应该保护自己-安全程序只能起到一点点作用。

在处理对私人数据的请求和任何其他可能是社会工程攻击的请求时，保持健康的怀疑是个好主意。怀疑和谨慎将有助于保护你，无论是在线还是离线。

图片来源：Flickr上的Jeff Turnet