假设你在一家中型企业的会计部门工作，并收到首席执行官的电子邮件。她说她需要立即电汇2000美元到xxx账号。似乎很紧急。电子邮件地址是她的，电子邮件签名是正确的，除了你的首席执行官通常不会在不打电话的情况下要求调任外，电子邮件没有其他奇怪之处。您开始启动交易，但决定与您的首席执行官再次核实。你发现她从未发过邮件，而你几乎成了一场灾难的受害者社会工程的骗局.

用户越来越了解各种各样的骗局，也变得更加警惕。的了尼日利亚王子诈骗不像以前那么成功了，但是网络罪犯以欺骗他人为职业，而且他们很擅长。黑客、骗子和其他讨厌的网络人变得越来越老练，许多人转向了社会工程。

在其核心,社会工程是一种操纵人们执行某个动作或释放信息的方法。对于一般人来说，信息可能是信用卡或社会安全号码，但在企业，骗子可能试图获取机密信息和员工证书，以某种方式获得金钱。

但社会工程的真正威胁是什么？我们如何确保从邮件室到董事会的最终用户看穿这些骗局？

威胁有多大？

根据Verizon Wireless 2017年报告在美国，社会工程正成为企业安全事故最常见的形式之一。他们的研究涵盖了42068起安全事件，在他们的研究中记录的1935起入侵事件中，43%涉及社会工程——这几乎是一半!虽然加密、物理安全、防火墙和其他安全措施占据了大部分通话时间，但社会工程显然是安全故事的另一半。

当骗子如此容易地欺骗电子邮件，使人们产生恐惧，并在他们试图得到他们想要的东西时造成普遍的混乱时，你如何确保用户不被欺骗？总的来说，这是一个让员工意识到应该寻找什么样的骗局的问题，以及制定政策来防止类似恶意电汇的事情发生。让我们埋头干吧。

要寻找的诈骗类型

社会工程诈骗有四种典型的发生方式：通过电子邮件、电话、短信或当面。当您指导用户寻找什么时，您可以将这些示例传递给他们，以便他们更清楚地了解某些社会工程已经变得多么复杂。

电子邮件。正如我们所探索的，用户可以收到一封似乎来自CEO、IT部门或同事的电子邮件，这只是一个巧妙的伪造。电子邮件可以要求开场白转账、下载补丁、查看附件，甚至共享各种用户凭据。通常，这些电子邮件中的附件会安装病毒，通常是勒索软件或工具，让网络罪犯远程访问该机器。这让他们可以寻找他们希望窃取的信息，或者采取任何行动，从而迅速获得现金。

电话。一个常见的电话诈骗涉及美国国税局。你会接到一个来自华盛顿的电话(或者伪装成来自华盛顿)，一段录音会告诉你，你欠美国国税局几千美元，如果你不还钱，就会进监狱。这是一个可怕的想法，有些人相信它，但这只是一个骗局。如果美国国税局做如果你有怨言，你很可能会收到一封信，而不是一个自动电话。这只是一个例子。一些骗子打电话假装是一家信用卡公司，并且已经知道你的名字和公司——然后他们可能会要求你核实你的卡号，你读给他们听，然后砰的一声。他们刚得到你的信用卡信息。

短信。就像电子邮件骗局一样，有人通常会发短信给你，试图说服你他们不是，他们需要你拥有的东西。有时它是一条声称来自银行或信用卡公司的短信，但也可能是一条声称是你的工作对象的短信，要求你提供信息或完成任务（如我们提到的电汇）。

当面在某些情况下，有人可能会试图进入你的工作场所并撒谎以通过前台。他们可能对窃取公司机密、搞破坏或做任何不道德的事情感兴趣。也许他们知道所有的细节。他们可能知道首席执行官的名字，声称要开会，只是随意地尝试进入他们不应该进入的领域。如果他们真的进来了，谁知道他们会做什么?

保持用户警惕

了解了一些社会工程骗局是如何发生的，公司应该制定政策阻止它们。例如，一项政策可以规定，首席执行官在没有经过正式流程的情况下，绝不会要求会计部门转移资金。另一个可能会说IT部门不会随机要求你安装补丁，因为他们会先打电话给你解释它的用途。为了防止未经计划的访客进入，前台可能会有一份每位来访者的日历，访客可能必须由员工陪同并佩戴访客徽章。

像这样的实际步骤可以帮助避免大多数社会工程案例，但更重要的是，用户应该警惕这些骗局。如果他们收到一封奇怪或不一致的电子邮件或电话，他们应该向经理询问。这样，信息就不会落入坏人之手。

结论

骗局总是不断演变的，因此，对于每一家公司来说，重要的是不仅要制定讨论社会工程骗局预防的安全政策，而且要在新的威胁出现时对其进行更新。一些公司甚至会选择聘请第三方来帮助解决这一问题社会工程训练或制定自己的定期培训要求员工完成。只有保持警惕，公司才能防止安全漏洞，阻止未来的骗局。