社会工程学是控制个人揭露敏感数据以执行某些恶意行为的专业。尽管有安全策略，但攻击者可以使用社会工程学来破坏组织的敏感信息，因为它针对的是人的弱点。大多数情况下，员工甚至没有意识到他们的安全漏洞，并在不经意间泄露了组织的关键信息。例如，在不知不觉中回答陌生人的问题和回复垃圾邮件。人们已经习惯了不要过度怀疑，并且他们将某些行为和外表与已知实体联系起来。例如，一个穿着制服的男人拿着一堆要送货的包裹将被视为送货员。攻击者借助社会工程技巧，通过欺骗和操纵人类脆弱性，成功获取人们的机密信息、授权和访问细节。

易受攻击的行为：
以下是容易受到社会工程攻击的行为列表：

1. 相信他人的正常人类倾向是任何社会工程黑客的基石。
2. 对社会工程及其对劳动力的影响的忽视使该组织成为一个容易的目标。
3. 害怕因不遵守社会工程师的要求而遭受严重损失。
4. 社会工程师通过承诺不劳而获（贪婪）来诱使揭示数据的目标。
5. 目标被请求援助，他们同意作为道德义务。

攻击信息来源：
在进行社会工程攻击之前，黑客会从各种来源收集有关受害组织的信息，例如：

1. 目标组织的官方网站，其中共享员工的 ID、姓名和电子邮件地址。
2. 通过受过 Oracle 数据库或 UNIX 服务器培训的高科技工人所需的印刷媒体类型为目标组织做广告。
3. 员工共享基本个人和组织信息的博客、论坛等。

在收集到所需的信息后，黑客会使用各种方法（例如模拟、捎带、尾随、逆向社会工程等）执行社会工程攻击。窃取敏感信息以明智地执行恶意活动被称为操纵他人的艺术，也称为社会工程。尽管有安全策略，但攻击者可以使用社会工程学来破坏组织的敏感信息，因为它针对的是人的弱点。
为了取得成功，攻击者对发展社会工程技能特别感兴趣，并且可能非常精通，以至于受害者甚至可能不会注意到欺诈行为。攻击者总是在寻找访问信息的新方法。他们还确保他们了解组织的边界和边界上的人员，以便利用人为监督。

社会工程学利用以下优势：
社会工程学试图利用以下弱点：

1. 互惠——
   这是影响力的第一个普遍原则。简而言之，人们有义务将他们首先收到的行为、礼物或服务的形式回馈给他人。例如，如果朋友邀请您参加他们的聚会，您有义务邀请他们参加您未来举办的聚会。在社会义务的背景下，人们更有可能对他们欠的人说“是”。使用互惠原则的关键是要第一个给予，并确保你给予的东西是个性化的和出乎意料的。
2. 缺乏-
   说服的第二个普遍原则是稀缺性，这意味着人们想要更多他们可以拥有的更少的东西。因此，当谈到使用安全原则有效说服他人时，科学是明确的。仅仅让人们了解他们选择您的产品和服务后将获得的好处是不够的；你还需要指出你的提议的独特之处，以及如果他们不考虑你的提议，他们会失去什么。
3. 权威-
   它指的是人们跟随可信的知识专家的思想。例如，如果物理治疗师在诊室的墙上展示他们的医学文凭，他们就能够说服更多的患者遵守推荐的锻炼计划。什么科学告诉我们，在尝试施加影响力之前，向他人表明是什么使您成为可靠的知识渊博的权威很重要？根据这个原则，介绍你的人不仅与你有联系，而且有可能从介绍中获得成功并不重要。
4. 喜欢-
   我们会选择我们喜欢的人。这条规则是你过去常常在促销活动中看到吸引人的年轻女士坐在游戏车辆顶部的原因，为什么赞美可以增加获得帮助的机会，以及为什么某些廉价的食品连锁店拥有夸夸其谈的 Twitter 频道。
5. 承诺-
   个人喜欢保持可靠的行为。因此，一点点的活动就可以引发更大的活动。西奥迪尼指的是模特；在一项调查中，一个不规则的个人被召集并询问他们在被要求为美国癌症协会提供三个小时的时间时会如何反应。
6. 共识-
   个人通常会做他们接受周围每个人正在做的事情，尤其是当他们不确定在任何情况下该做什么时。万一你走进一个挤满了人的房间，每个人都在盯着屋顶，你会做的主要事情是什么？
7. 统一-
   我们倾向于那些我们认为与我们相似的人。这是爱国主义、家庭纽带和妇女大游行的发源地。这也是我们喜欢与某人分享兴趣的原因；这是我们出于所有意图和目的而共享的东西。
8. 我nsufficient安全培训-
   员工可能对攻击者用来引诱他们泄露有关组织的敏感数据的社会工程技巧一无所知。因此，任何组织的最低责任是教育其员工了解社会工程技术和与之相关的威胁，以防止社会工程攻击。
9. 不受管制地访问信息-
   对于任何公司，主要资产之一是其数据库。提供无限制访问或允许每个人访问敏感数据可能会给他们带来麻烦。因此，公司必须确保对访问敏感数据的关键人员进行适当的监视和培训，
10. 几个组织单位-
    一些协会的单位分布在不同的地理区域，因此很难与大型机打交道。再说一次，黑客更容易获得协会的敏感数据。
11. 缺乏安全政策-
    安全策略构成了安全基础设施的基础。它是描述组织中实现的安全控制的重要存档级别。对于每一种可能的威胁或漏洞，都应考虑各种措施。实施某些安全措施，例如密码更改策略、信息共享策略、访问权限、唯一用户标识和集中安全，被证明是有益的。

与其他技术一样，社会工程学不处理网络安全问题，而是处理人类的心理操纵以提取所需信息。

为什么社会工程学一直引人注目：
以下是社会工程学持续引人注目的一些原因：

1. 无论采用何种安全策略，阻止社会工程都是一种考验，因为个人通常容易受到多样性的影响。
2. 确实很难区分社会工程的努力。社会工程学是控制个人以揭示数据的工艺和研究。此外，利用这一特技，攻击者可以潜入协会的数据保险库。
3. 没有任何策略可以确保完全安全，免受社会工程黑客攻击。
4. 没有特定的设备或程序可以用来抵御社会工程黑客攻击。
5. 这种方法通常易于实现并从成本计算中解放出来。

社会工程学攻击对组织的影响：
社会工程学似乎并不是真正的危险，但它可能会给协会带来巨大的不幸。社会工程攻击对组织的影响包括：

1. 财务损失-
   参赛者可能会利用社会工程程序来获取敏感数据，例如目标组织的晋升计划和广告系统，这可能会导致目标组织的财务上的不幸。
2. 损害善意-
   对于协会来说，利他主义对于吸引客户很重要。社会工程学攻击可能会通过发布敏感的等级信息来损害这种利他主义。
3. 失去隐私-
   隐私是一个主要问题，尤其是对于大型组织。如果一个组织无法维护其利益相关者或客户的隐私，那么人们可能会失去对公司的信任，并可能终止与该组织的业务联系。因此，该组织可能面临损失。
4. 恐怖主义的危险——
   恐怖主义和反社会因素对组织的资产——人员和财产构成威胁。恐怖分子可能会使用社会工程技术制作目标蓝图以渗透目标。
5. 诉讼和仲裁-
   诉讼和仲裁会导致对组织的负面宣传并影响业务绩效。
6. 临时或永久关闭-
   社会工程攻击可能会导致商誉损失。诉讼和仲裁可能会迫使组织及其业务活动暂时或永久关闭。