1、钓鱼攻击
攻击者通过伪造看似来自受信任来源的电子邮件、短信或电话,诱骗用户点击恶意链接、下载恶意软件或泄露个人信息。例如,假冒银行或电商网站发送验证信息的邮件,要求用户点击链接进行账户验证
网站钓鱼:攻击者创建与真实网站相似的假冒网站,以诱导用户泄露信息
短信钓鱼:攻击者构造中奖、促销等短信,以诱导用户泄露信息
邮件钓鱼:攻击者伪造内外部邮件,以诱导用户泄露信息
扫码钓鱼:攻击者通过提供小礼品、红包等方式,以诱导用户扫码,达到攻击目的
U盘钓鱼:通过散布带有恶意软件的U盘,以诱导用户泄露信息
语音钓鱼:攻击者通过伪装熟人或各类工作人员,以诱导用户泄露信息
视频钓鱼:攻击者通过伪装为熟人或某类较为暴漏的工作人员,以诱导用户泄露信息
鱼叉式攻击:攻击者针对特定目标进行定制化的钓鱼攻击
捕鲸攻击:针对高级管理人员的钓鱼攻击,目的是获取更高级别的访问权限
水坑攻击:研究攻击对象,找到最常访问的网站,攻陷该网站,从而达到攻击受害者的目的
2、伪装身份
攻击者通过伪造身份,冒充公司高管、技术支持人员或朋友,获取用户的信任并诱骗其泄露敏感信息。这种攻击方式在社交网络和即时通讯工具中尤为常见
身份假冒:在社交软件上,假冒高管,达到攻击目的
尾随攻击:攻击者通过在社交媒体上建立信任关系,然后利用这种关系进行攻击
三角诈骗:攻击者通过操纵多个受害者来达到最终的攻击目标
浪漫诈骗:攻击者通过建立虚假的浪漫关系来诱导受害者提供财务信息或其他敏感数据
深度伪造(Deepfake):利用人工智能生成的伪造视频或音频,用于误导或欺诈
3、紧急感诱导
利用用户的紧急心理,如账户被盗、密码泄露等紧急情况,诱骗用户迅速采取行动,如重置密码、转账等。攻击者常常通过制造紧迫的氛围来增加攻击的成功率
技术支持诈骗:攻击者冒充技术支持人员来诱导用户提供访问权限
疫苗接种攻击:攻击者通过提供虚假的安全建议或解决方案来诱导用户执行恶意操作
预载攻击:攻击者通过提供恶意软件的预加载版本来诱导用户下载
4、物理接触
除了线上攻击外,社会工程学还涉及物理接触。攻击者可能通过面对面的方式,如假冒维修人员、快递员等,接近目标并获取敏感信息或执行恶意操作
电视盒子:攻击者通过售卖甚至上门安装有恶意软件的电视盒子(或类似设备),达到攻击目的
面试攻击:通过高薪岗位,让竞对参加面试,获取相关信息
生物识别数据攻击:针对生物识别数据(如指纹、面部识别、虹膜扫描)的攻击
5、尾随攻击
攻击者跟随一个授权用户,在其刷卡或授权进入一个受限制的物理区域时尾随进入。由于人们通常不愿意在门口停留避免妨碍他人,攻击者可趁机一起进入受限区域
逻辑尾随:攻击者尝试通过建立信任关系或模仿其他用户的行为,来获得对系统或数据的访问权限
6、虚假新闻传播
灌水攻击:通过水军,伪造和散布虚假信息,引发客户群体兴奋或群体恐慌,达到攻击的目的
7、身份盗取
攻破受害方的社交账号,冒充受害方在社交媒体上进行活动,达到攻击的目的
比如:发送钓鱼信息,发送恶意言论等
8、云账号劫持
攻击者获取受害方的云账号访问权限,达到攻击的目的