著名的社会工程攻击：12个狡猾的骗局

2016 年，一名匿名黑客闯入美国司法部内部网络，并在网上发布了数千份 FBI 和 DHS 职员个人记录，其中包括姓名、职称、电子邮件地址以及电话号码等信息。据悉，在他最初尝试进行入侵时，他曾想通过美国司法部的官方网站作为攻击点来进行攻击，但是并没有成功。于是他便拿起了电话，致电有关部门。

这名黑客称，于是我便拿起了电话，然后打电话给相关部门。我告诉他们我是一名新来的员工，我不知道如何才能够通过网站的身份验证。然后他们便问我是否有令牌口令，我说我没有。然后他们就说没关系，我可以使用他们的令牌来登录。

随后，这名黑客便成功登录了系统，然后进入了其内部网络系统中的一台个人计算机，而这是一台在线的虚拟机，他便又从这台虚拟机系统中得到了三个电子邮箱账号的登录凭证，由此他便获得了对于这些计算机系统的访问权限。除此之外，他不仅可以获取到存储在计算机系统中的用户文件，还能够获取到存储在本地局域网中其他计算机中的文件。

12. 对话框陷阱

我们都已经习惯自己的计算机上会时不时地弹出对话框，要求我们确认一些存在潜在风险的行为——但我们不清楚地或许是攻击者也可以为目标受害者量身定制虚假对话框，以便在社会工程攻击过程中操纵我们。

2017 年，一系列网络钓鱼电子邮件瞄准了乌克兰目标，在这些电子邮件中包含附带 Microsoft Word 文档的恶意宏代码。如果宏被禁用，则会向用户显示一个特制的对话框，其设计看起来与来自 Microsoft 的一样，目的是诱使目标用户运行宏代码。如果操作顺利执行，代码就会在计算机中安装一个后门，允许攻击者通过用户的麦克风进行监听。与所有这些事情一样，此事带来的教训是，在你点击或回复“是”之前，请务必再三查看。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

【编辑推荐】

1. 伊朗网络攻击！？曼哈顿大规模停电事故官方回复
2. 网络攻击的严峻现实：如何降低风险?

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!