本文选自《国外社会科学文摘》2017年第3期

社会工程攻击事件频发，本文将着重介绍几种有效防御其攻击的方法。

目前，网络罪犯们正在使用一种尖端的社交工程技术，锁定目标员工，诱骗其泄露企业敏感数据，骗取企业资金。

袭击往往从对公司及其员工的信息窃取入手。网络罪犯们通过大量公共渠道，诸如社会媒体、公司博客及官网等来搜集信息；同样，也会使用一些拙劣的伎俩，如谍邮（一种匿名群发，以非法获得收件者信息为目的的邮件——译注）。接着，他们利用收集到的通讯信息发送电子邮件，或是直接拨打电话，企图通过诈骗员工来盗取公司资金、击垮公司网站、窃取敏感数据，甚至能将公司非法抵押出去。其中，最易受到攻击的行业主要是法律和卫生保健行业，另外还包括政府相关部门等。因为它们拥有的数据，很容易被用来盗取用户的身份信息，进行股票的内线交易，或实施敲诈勒索。

幸运的是，尽管社会工程诈骗事件频发，屡屡得手，但我们仍然可以采取一些保护措施有效规避他们的危害。那么，如何有效预防社会工程攻击呢，以下是我的几点建议。

提高对共享信息的保护意识

攻击者往往从利用现成的网上信息，深入研究目标公司及其员工入手，蓄谋诈骗。从社交媒体网站（如推特、脸谱网和领英网），到公司官网和博客，再到谍邮，无需使用任何科技上先进的“黑客”技术就可能获得大量有关公司及员工们的信息。有时，员工们也会由于疏忽大意、过度信任泄露机密。因此，提高员工对此类事件的了解和认识，以提醒他们谨慎言行、保护机密，非常必要。

创建智能数据安保政策

近期发生的云存储服务（由Dropbox公司提供）入侵事件，就是由于一名雇员的不良密码管理而造成的。正如我们所见，密码是保护公司数据的关键。所有的敏感文档都应该使用双重认证，包括网页邮件、银行门户、医学网站和人力资源门户网站等。如果您现在正在使用的服务项目不提供双重认证的登入方式，那您应该考虑在别处开展您的业务了。

同时，对于敏感数据的使用，务必遵循“必须知道”的原则。例如，只能是特定的几个人才有权查阅工资单数据，而不是整个财务部门。

使用可靠的资金转账工具

2015 年，网络黑客伪装成公司员工，诈骗优比快网络科技公司(Ubiquiti Networks)向海外账户汇出了4700万美元。如今，诱使公司将资金汇到被黑客控制的账户的事件已屡见不鲜。为了防止类似事件发生，您应该在公司内部设置定义明确的资金转账步骤，如所有应付款要求以安全银行账户的形式汇款，而不是电子邮件。

杜绝谍邮

谍邮，是指用隐藏了跟踪代码，并能向发件人提供各种信息的电子邮件，比如由谁打开、何时打开、阅读次数、是否被转发、向谁转发，甚至是打开时的地理位置等。这使得发件人能轻松了解贵公司的经营状况，将您暴露在危机之中。据悉，自从2013年至今，谍邮的使用率已增加284%。

（本文译自美国《安全杂志》2016年10月25日文章，马成亮译。图片来源：网络）

上海社会科学院信息研究所

国外社会科学文摘

| 政治 | 经济 | 社会 | 文化 | 信息技术 |