1.環境滲透
對特定的環境進行滲透,是社會工程學為了獲得所需的情報或敏感信息經常采用的手段之一。社會工程學攻擊者通過觀察目標對電子郵件的響應速度、重視程度以及可能提供的相關資料,比如一個人的姓名、生日、ID電話號碼、管理員的IP地址、郵箱等,通過這些收集信息來判斷目標的網絡構架或系統密碼的大致內容,從而獲取情報。
2.引誘
網上沖浪經常碰到中獎、免費贈送等內容的郵件或網頁,誘惑用戶進入該頁面運行下載程序,或要求填寫賬戶和口令以便“驗證”身份,利用人們疏於防范的心理引誘用戶,這通常是黑客早已設好的圈套。
3.偽裝
目前流行的網絡釣魚事件以及更早以前的求職信病毒、聖誕節賀卡,都是利用電子郵件和偽造的Web站點來進行詐騙活動的。有調查顯示,在所有接觸詐騙信息的用戶中,有高達5%的人都會對這些騙局做出響應。
4.說服
說服是對信息安全危害較大的一種社會工程學攻擊方法,它要求目標內部人員與攻擊者達成某種一致,為攻擊提供各種便利條件。個人的說服力是一種使某人配合或順從攻擊者意圖的有力手段,特別地,當目標的利益與攻擊者的利益沒有沖突,甚至與攻擊者的利益一致時,這種手段就會非常有效。如果目標內部人員已經心存不滿甚至有了報復的念頭,那么配和就很容易達成,他甚至會成為攻擊者的助手,幫助攻擊者獲得意想不到的情報或數據。
5.恐嚇
社會工程學師常常利用人們對安全、漏洞、病毒、木馬、黑客等內容的敏感性,以權威機構的身份出現,散布安全警告、系統風險之類的信息,使用危言聳聽的伎倆恐嚇欺騙計算機用戶,並聲稱如果不按照他們的要求去做,會造成非常嚴重的危害或損失。
6.恭維
高明的黑客精通心理學、人際關系學、行為學等社會工程學方面的知識與技能,善於利用人類的本能反應、好奇心、盲目信任、貪婪等人性弱點設置陷阱,實施欺騙,控制他人意志為己服務。 他們通常十分友善,很講究說話的藝術,知道如何借助機會均等去迎合人,投其所好,使多數人會友善地做出回應,樂意與他們繼續合作。
7.反向社會工程學
反向社會工程學是指攻擊者通過技術或者非技術的手段給網絡或者計算機應用制造“問題”,使其公司員工深信,誘使工作人員或網絡管理人員透露或者泄漏攻擊者需要獲取的信息。這種方法比較隱蔽,很難發現,危害特別大,不容易防范。