当前，随着政府、军队和企业信息化进程的加快，信息安全问题得到了广泛关注和重视。为保护信息网络，防止发生信息泄露，一些单位和部门不惜重金，购置防火墙、安全网关、入侵检测系统、身份认证系统等网络安全软硬件设备，采取多种技术措施，为黑客设置了重重防线，使得黑客利用技术弱点进行网络攻击变得越来越困难，代价越来越大。然而，人们发现一些计算机失泄密事件发生的原因，并非完全是由技术问题导致的，有的是因为受害者安全意识淡薄，受到黑客的蒙蔽、欺骗、偷窥等，无意中从口头、邮件、纸条等途径，泄露了账户、口令或与之相关的重要信息，为黑客攻击打开了另外一扇门，这就是所谓的社会工程学攻击。当前，黑客已经由单纯借助技术手段进行网络远程攻击，开始转向综合采用包括社会工程学攻击在内的多种攻击方式。由于社会工程学攻击形式接近现实犯罪，隐蔽性较强，容易被忽视，但又极具危险性，因此应引起广大计算机用户尤其是保密工作者的高度关注和警惕。
　　 没有电脑的入侵
　　现实社会中存在着很多骗子，他们的欺骗伎俩形形色色，不一而足。随着网络和通信技术的进步，其骗术花样也不断翻新，令人防不胜防。例如，有的人因试图获得手机中奖短信中的奖品、奖金而上当受骗，有的人轻信骗子打来的亲人发生车祸、急病住院等电话后被骗取钱财，等等。这些现实社会中的欺骗手段一旦被黑客延伸应用到攻击网络系统，就发展成为社会工程学攻击。
　　高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能，善于利用人类的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱，实施欺骗，控制他人意志为己服务，使社会工程学成为“一种让他人遵从自己意愿的科学或艺术”。由于攻击过程并不需要涉及高深复杂的计算机和网络技术，也不需要很多的投资和成本，甚至不需要借助任何电脑和网络，而是利用面谈、电话等手段骗取受害者信任，从而轻易获取口令等关键信息，进而找到攻击突破口，对网络系统发动进一步入侵，因此社会工程学攻击又称为“没有电脑的入侵”。
　　 常见的攻击方法
　　社会工程学攻击不同于一般的网络攻击，而与现实社会中的欺骗、偷盗等犯罪行为颇有相似之处，只不过其骗取的不是钱财，而是攻破网络系统的关键信息。一般说来，其常见的攻击方法主要有以下几种。
　　一是直接潜入办公场所。当黑客从外部无法攻破严密设防的网络系统时，他们就会设法假冒维护人员、技术顾问、外卖送货员甚至清洁工，光明正大地进入办公室，伺机寻找口令或相关信息，或偷看并迅速记住工作人员键入的口令。
　　二是通过电话获取信息。黑客冒充技术人员或单位领导，以工作为由打电话从工作人员口中套取其所需信息。他们还打电话给网络管理员，冒充忘记口令的内部人员骗取口令。
　　三是设置各种网络骗局。黑客的手段多种多样，如：通过架设钓鱼网站直接套取用户账号和口令；冒充网络管理员，通过电子邮件向用户索要口令；在电子邮件中植入木马，窃取用户信息，等等。
　　四是在办公垃圾中“淘金”。办公垃圾是黑客眼中的“金矿”，其中的电话本、备忘录、规定手册、日程安排表、系统手册、打印废纸、废弃存储设备等，可以为黑客假冒身份、骗取信任，提供大量的有用信息。电话本提供的工作人员姓名和电话号码，可用作攻击目标和冒充对象。备忘录可以让黑客获得细微的日常事务信息来帮助其提高身份可信度。单位规章制度可以了解该单位的安全情况。日程安排表让黑客知道在某一时间有哪些人出差在外。系统手册和其他技术资料可以帮助黑客寻找网络的弱点。如果黑客拾得未经处理的废弃存储设备，则更是如获至宝，因为可以对它进行数据恢复直接获取有用信息。
　　 被利用的人性弱点
　　米特尼克在《欺骗的艺术》一书中引用了爱因斯坦的一句话:“只有两种事物是无穷尽的——宇宙和人类的愚蠢。但对于前者我不敢确定。”社会工程学攻击很大程度上就是利用人们的愚蠢大意、轻信和对信息安全的无知。人类普遍具有的那些最容易被黑客加以利用的人性弱点，主要有以下几种。
　　一是猎奇心理。一些人上网时热衷于明星八卦、奇闻轶事、黄色低级以及一些蛊惑人心的内容，黑客利用这种猎奇心理，诱使人点击浏览，并指向恶意网址或链接，导致受害者计算机被植入木马，口令等重要信息丢失。
　　二是轻信朋友。黑客通常会采用各种办法，与受害者“拉关系”、“套近乎”，建立朋友关系。当发出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见时，人们往往倾向于顺从，这种手段在现实生活中也很常见，而且非常有效，因为人们对朋友总是缺少防范心理。
　　三是迷信权威。人们比较容易服从和相信领导，所以黑客可以冒充领导，或狐假虎威冒充领导身边的人来实施欺骗。下面是一个假冒者的问话：“你好，是×秘书吗?我现在在处长办公室，他的计算机出了点问题，但忘了开机口令，你能不能告诉我他的口令，我要开机检查一下。”如果这名秘书警惕性不高，他就会不假思索地将口令和盘托出。
　　四是易于社会确认。当要做的事情看上去和别人所做的事情一样的时候，人们会倾向于答应请求。当其他人也这样做时，人们就会认为这些（值得怀疑的）行为是正确的。例如，冒充管理人员的黑客告诉受害者他已从受害者同事处得到了一些可信的信息，那么受害者就会倾向于把自己掌握的类似信息也告诉黑客。
　　五是感恩图报心理。人们在受到恩惠后，常常有想回报对方的心理。黑客可以先给受害者一些小恩小惠，甚至透露一些机密信息，以换取受害者的信任和回报。
　　六是贪婪和爱占小便宜。网上冲浪经常碰到中奖、免费赠送等内容的邮件或网页，但会要求填写账户和口令以便“验证”身份，这通常是黑客早已设好的圈套，毕竟世界上没有这么多“天上掉馅饼”的好事情。
　　 以人为本加强防范
　　人是整个网络安全体系中最重要的一环，但也可能是最薄弱的一环，任何一个可以访问系统的人，都有可能对网络系统构成潜在的安全风险与威胁。然而，网络系统又是供人使用、由人来管理的，这也意味着这一信息安全弱点是普遍存在的，不会因为系统平台、软件、网络和设备等因素的不同而有所差异。因为社会工程学攻击直接以“人”为目标，所以加强对社会工程学攻击的防范，主要是要以人为本，做好“人”的工作。
　　一是增强防范意识。常言道“知己知彼，百战不殆”。人们对于网络攻击，过去更偏重于技术上的防范，而很少会关心社会工程学方面的攻击。因此，了解和掌握社会工程学攻击的原理、手段、案例及危害，增强防范意识，显得尤为重要。
　　二是加强物理防范。对于涉密程度较高的办公场所，任何人进入必须出示有效证件，对来访者要有陪同和监视制度。工作人员对于敏感信息的咨询要绝对予以拒绝，也不能在电话中交换这类信息。敏感资料必须入柜上锁，钥匙交由专人保管。废弃资料应经粉碎处理，并确保不能被再恢复。
　　三是制定安全方案。安全方案应规定设置账户、批准访问及改变口令等操作的程序和权限。例如，禁止通过电话或不经加密的邮件来设置和获取账户和口令。要制定强有力的口令管理措施，包括规定最短口令长度、复杂性、更换周期等，以及不允许使用姓名、生日、电话等作为口令。
　　四是强化检查监督。如果条件允许，单位安全部门可设立专门的督查组，经常检查所属人员的防范意识和甄别能力。督查组甚至可以给所属人员打电话，看是否能够诱使其透露口令或重要信息。当所属人员发觉受到可疑的社会工程学攻击时，要及时上报，并及时提醒其他人员注意。
　　总之，面对无所不用其极的黑客，广大计算机用户尤其是保密工作者，要对社会工程学攻击保持高度的警惕，时刻擦亮自己的眼睛，不要让本单位大力投入建设的网络安全技术措施形同虚设，成为一道脆弱的“马奇诺防线”。