社交|为什么社交工程仍是黑客的“拿手好戏”？( 二 ) 黑客|银行|网络犯罪|网络安全

此外，根据ISACA发布的《2021年安全状况，第二部分》调查报告显示，社交工程攻击是企业遭受网络攻击的主要问题；Verizon公司2021年数据泄露调查报告的调查结果强调，社交工程是最常见的一种数据泄露攻击方法， 85%的网络攻击都是在某种程度上利用了网络安全的人为因素；Gemini公司也曾在研究中表明了网络犯罪分子如何使用社交工程绕过3DSecure等特定安全协议进行支付欺诈。
有相关报道预测，尽管社交工程并不是什么新鲜事物，但由于混合工作和远程工作计划的实施，预计它将在2022年变得越来越流行。那么，企业要如何预防社交工程攻击呢？

社交工程攻击对象主要是“人员” ，因此，预防社交工程攻击的有效方法仍是安全教育。企业通过对员工进行网络安全教育，例如建议他们不要打开任何不确定的链接，不要使用未经批准的USB设备或提供企业详细信息，以及仅从安全网络连接，企业可以限制成为成功受害目标的风险。
为此，业内还有“社交工程师”一职。社交工程师们的日常工作就是出现在银行、酒店、政府等机构，利用机构内的员工做一些网络攻击行为。例如，一位名为Jayson E. Street的社交工程师曾穿着一件DEF CON皮夹克，随意地闯入了黎巴嫩贝鲁特的几家银行，在与一位出纳员聊天的间隙，悄悄把自己的Hak5橡皮鸭U盘插入了对方的计算机系统。而在入侵结束时，他已经掌握了这位银行经理助理的用户ID、密码与智能卡。
当然了， Street的目标绝不是摧毁整个组织——而是在帮助组织建立社交安全意识。他的工作也正是引导并帮助员工培训安全意识。据Street表示：事实上，我特别希望自己会在这一过程中被当场逮住。在工作时，他也总会做些非常可疑的举动作为提醒。但是，似乎并有用，他的入侵至今没有“失败”过，即使他不是最出色的编程人员或者漏洞工具编写者。

此外，企业不能确定在安全培训后，人员行为就会变得百分百“可控” 。因此，企业不妨使用一些安全办公工具，对人员行为进行权限管控，防止人员因无心之失或恶意行为造成的数据泄露等安全事件。
数字化办公空间，企业办公的统一入口。在空间内，企业可自主管理应用、数据、账号、网络，让员工办公更高效、更安全、更智能。如，在日常办公中，企业可开启数影办公空间的数据分类分级、权限管控、数据自动脱敏、防下载、防拍照、防外发等安全策略，保护企业数据资产安全。同时，办公空间还能为企业提供“安全上网”场景，通过加密和隔离技术，将钓鱼网站和恶意程序阻断在企业网络之外。

【社交|为什么社交工程仍是黑客的“拿手好戏”？】虽然上述建议看似简单，但大多数企业也仍然没能实施基础安全措施或者对员工进行有效培训。目前，人仍然是安全链条中最为薄弱的环节所在。