预防社会工程学攻击及钓鱼攻击

　　网络管理人员的素质高低，极大制约了整个网络的安全程度。安全不是技术问题，它是人和管理的问题。由于安全产品的技术越来越完善，使用这些技术的人，就成为整个环节上最为脆弱的部分。

　　什么是社会工程学攻击?

　　要实施社会工程学攻击，攻击者要利用人类互动(社会技巧)获得或者攻破一个机构或者机构的计算机系统的信息。攻击者也许表面上看起来很谦逊和令人尊敬，可能自称自己是新员工、维修人员或者研究人员，甚至还提供证书证明自己的身份。

　　然而，通过提出问题，他或者她通过把零散的信息综合在一起获得入侵一个机构网络的足够信息。如果攻击者不能从一个来源获得足够的信息，攻击者会联系同一个机构的另一个来源并且利用从第一个来源获得的信息提高自己的可信任程度。

　　什么是钓鱼攻击?

　　钓鱼攻击是社会工程学攻击的一种方式。钓鱼攻击使用电子邮件或者恶意网站诱骗人们提供个人信息(通常是金融信息)。攻击者可能发出外表看来好像可信赖的信用卡公司或者金融机构发来的电子邮件，要求用户提供账户信息，理由通常是账户出现了一点问题。当用户根据要求提供自己的信息的时候，攻击者就利用这个信息访问用户的这个账户。

　　你如何避免成为这种攻击的受害者?

　　·对于那些要求获得员工信息或者其它内部信息的不请自来的电话、访问或者电子邮件要保持警惕。如果一个身份不明的人声称自己来自一个合法机构，你要直接与那个公司取得联系，验证他或者她的身份。

　　·不要提供个人信息或者有关你的机构的信息，包括公司结构或者网络的信息，除非你肯定这个人有权利获得这些信息。

　　·不要在电子邮件中披露个人或者金融信息，不要回复要求提供这类信息的电子邮件。这还包括不要访问电子邮件中提供的网络链接。

　　·在对网站进行安全检查之前，不要在互联网上发送敏感的信息。

　　·留心一个网站的URL地址。恶意网站看起来与合法网站很相似。但是，URL地址的拼写可能使用不同的变体或者不同的域名(如，.com与.net)

　　如果你不能确定一封电子邮件提出的请求是否合法，你要设法直接与那家公司联系。不要使用网站提供的信息进行联系，而要查看以前的联络信息。反钓鱼攻击工作组等机构还在线提供有关已知的钓鱼攻击的信息。网站地址是：http://www.antiphishing.org/phishing_archive.html

　　安装和维护杀毒软件、防火墙和电子邮件过滤器能够减少这类通讯。

　　如果你认为你是这种攻击的受害者，你该怎么办?

　　如果你认为你已经泄漏了有关你的机构的敏感信息，你要把这个事情报告给机构内部的有关人员，包括网络管理员。他们能够对任何可疑的或者不同寻常的行动保持警惕。

　　如果你认为你的金融账户可能被突破，你要立即联系你的金融机构并且关闭任何可能被突破的账户。关注你的账户中任何没有解释的收费。