计算机安全知识连载(2)：避免社会工程攻击

不要把机密资料交给任何人，除非你能够确定他们确实如他们所说身份属实，而且他们应该获得你的信息。

什么是社会工程攻击？

攻击者通过使用人类交流手段（社交技巧）来获得或者危害某个机构或该机构的计算机系统的信息，从而发起的攻击称为社会工程攻击。这个攻击者可能看起来非常谦逊和令人尊敬，他可能自称是一个新员工，修理工，或者是甚至能够为其自身提供身份证明的研究人员。然而，通过提出问题，他或她能够拼凑出足够多的信息去渗入一个机构的网络。如果这个攻击者不能从一个来源获取足够多的信息，他们就会找到该机构中另一个信息来源，然后依靠从第一个来源处获得的信息来增加他或她的可信度。

什么是钓鱼式攻击？

钓鱼式攻击是社会工程攻击的一种形式。钓鱼式攻击者使用电子邮件和恶意网页来请求获得个人信息，常常是财务方面的信息。攻击者会发送出看起来像是从有信誉的信用卡公司或者金融机构发出的电子邮件，这些电子邮件常常称有问题发生并请求获得用户的账号信息。当用户回复了要求的资料，攻击者就能够利用这些资料来进入用户的账号。

怎样避免成为受害者？

小心从个人发出的询问员工或其他内部资料的来路不明的电话，访问或者电子邮件信息。如果一个不认识的个人声称来自某合法机构，请设法直接向该机构确认他或她的身份。

除非你能够确定某人有权得到此类资料，否则不要供个人信息或者你所在机构的信息给他，包括你所在机构的组织结构和网络方面的信息。

不要在电子邮件中泄露私人的或财务方面的信息，不要回应征求此类信息的邮件，也包括不要点击此类邮件中的链接。

在检查某个网站的安全性之前不要在网络上发送机密信息。

注意一个网站的URL地址。恶意网站可以看起来和合法网站一样，但是它的URL地址可能使用了修改过的拼写或域名（例如将.com变为.net）。

如果你不能确定某个电子邮件是不是合法的，请设法和公司直接联系确认。不要使用这封邮件里的链接提供的网站的联系信息；相反，要检查之前声明的联系信息。关于已知的钓鱼式攻击的资料也可以在某些在线组织的网络上找到，例如反钓鱼式攻击组织(http://www.antiphishing.org/phishing_archive.html)。

安装和维护反病毒软件，防火墙和邮件过滤器来减少此类垃圾邮件。

如果你认为已受危害该如何做？

如果你确信已经泄露了你所在机构的机密信息，请向你所在机构的适当人员报告，包括网络管理员。这样他们就能够对可疑的或不正常的活动提高警惕。

如果你确信你的财务账号被侵害了，请迅速联系你的财务机构并关闭可能被侵害的账号。观察你的账号中任何无法解释的收费。

请考虑将攻击报告给警察，并发送一份报告给相关安全机构。