什么是社會(huì )工程學(xué)？

網(wǎng)絡(luò )安全策略的最大弱點(diǎn)是人類(lèi)，而社會(huì )工程利用了目標用戶(hù)無(wú)法檢測到攻擊的優(yōu)勢。在社會(huì )工程威脅中，攻擊者使用人類(lèi)情感（通常是恐懼和緊迫感）來(lái)誘騙目標執行操作，例如向攻擊者匯款、泄露敏感的客戶(hù)信息或泄露身份驗證憑據。

社會(huì )工程學(xué)史

誘騙用戶(hù)泄露敏感信息在網(wǎng)絡(luò )安全領(lǐng)域并不是什么新鮮事。唯一改變的是攻擊方法、用于獲取信息的故事以及來(lái)自有組織的團體的復雜攻擊，其中包括其他威脅，例如網(wǎng)絡(luò )釣魚(yú)。社會(huì )工程一詞于 1894 年由荷蘭實(shí)業(yè)家 JC Van Marken 首次使用，但自 1990 年代以來(lái)它一直是網(wǎng)絡(luò )攻擊的一種方法。

在 1990 年代，社會(huì )工程涉及呼叫用戶(hù)以誘騙他們泄露其憑據或提供將威脅參與者連接到內部公司服務(wù)器的撥入固定電話(huà)號碼?，F在，攻擊者使用社會(huì )工程學(xué)誘騙目標用戶(hù)向離岸銀行賬戶(hù)發(fā)送數百萬(wàn)美元，從而使組織蒙受數百萬(wàn)美元的損失。在某些情況下，員工在后果和損害后失去工作。

社會(huì )工程攻擊的特征

社會(huì )工程和網(wǎng)絡(luò )釣魚(yú)之間的界限很模糊，因為它們通常在復雜的攻擊中齊頭并進(jìn)。社會(huì )工程通常涉及偽裝成合法員工（例如，CFO 或 CEO）或誘使員工認為攻擊者是合法客戶(hù)，以試圖讓員工向攻擊者提供敏感信息或更改帳戶(hù)功能（例如，SIM 交換）。

不管攻擊者的目標是什么，都有一些明顯的跡象表明通信來(lái)自社會(huì )工程。社會(huì )工程學(xué)的一個(gè)主要組成部分是利用目標用戶(hù)的恐懼和情緒。攻擊者不希望目標用戶(hù)消化和考慮請求，因此社會(huì )工程涉及使用恐懼和緊迫感。

所有社會(huì )工程攻擊的一些共同特征是：

·情緒高漲：攻擊者威脅要丟失賬戶(hù)以誘騙用戶(hù)提供憑據，或者攻擊者可能會(huì )假裝是高管，向目標用戶(hù)索要錢(qián)財，以向害怕失去工作的員工灌輸緊迫感。

·欺騙發(fā)件人地址：大多數用戶(hù)不知道發(fā)件人電子郵件地址可能會(huì )被欺騙，但適當的電子郵件安全措施將阻止欺騙發(fā)件人訪(fǎng)問(wèn)目標用戶(hù)的收件箱。相反，攻擊者將注冊一個(gè)類(lèi)似于官方域的域，并希望目標用戶(hù)不會(huì )注意到拼寫(xiě)錯誤。

·奇怪的好友請求：攻擊者破壞電子郵件帳戶(hù)并向受害者的聯(lián)系人列表發(fā)送垃圾郵件的情況并不少見(jiàn)。消息通常很短，沒(méi)有來(lái)自朋友的個(gè)性化元素，因此如果消息聽(tīng)起來(lái)不像個(gè)性化的交流，請不要點(diǎn)擊來(lái)自朋友的鏈接。

·不專(zhuān)業(yè)的網(wǎng)站鏈接：網(wǎng)絡(luò )釣魚(yú)鏈接有時(shí)與社交工程一起使用，以誘騙用戶(hù)泄露敏感信息。切勿將憑據直接從電子郵件鏈接輸入網(wǎng)站，即使它看起來(lái)像官方網(wǎng)站（例如PayPal）。

·好得令人難以置信：詐騙者經(jīng)常承諾金錢(qián)以換取金錢(qián)補償。例如，目標用戶(hù)可以通過(guò)支付運費獲得免費 iPhone。如果報價(jià)好得令人難以置信，那么它可能是一個(gè)騙局。

·惡意附件：復雜的攻擊可能不會(huì )誘使目標用戶(hù)泄露私人信息，而是使用電子郵件附件在公司機器上安裝惡意軟件。切勿通過(guò)看似無(wú)害的電子郵件在機器上運行宏或可執行文件。

·拒絕回答問(wèn)題：如果郵件看起來(lái)可疑，請回復郵件并要求發(fā)件人表明自己的身份。攻擊者將避免識別自己，并且可能只是忽略該請求。

社會(huì )工程技術(shù)

社會(huì )工程中使用的總體技術(shù)是使用情緒來(lái)欺騙用戶(hù)，但攻擊者使用幾種標準方法來(lái)推動(dòng)用戶(hù)執行操作（例如，向銀行賬戶(hù)匯款）并使攻擊看起來(lái)更合法。通常，這些技術(shù)涉及電子郵件或短信，因為它們可以在沒(méi)有語(yǔ)音對話(huà)的情況下使用。

一些常見(jiàn)的技術(shù)包括：

·網(wǎng)絡(luò )釣魚(yú)：通過(guò)社會(huì )工程學(xué)，攻擊者通常會(huì )偽裝成公司高管，誘騙用戶(hù)向離岸銀行賬戶(hù)匯款。

·Vishing 和 smishing：攻擊者使用短信和語(yǔ)音更改軟件來(lái)發(fā)送 SMS 消息或機器人呼叫用戶(hù)。這些消息通常承諾提供禮物或服務(wù)以換取付款。這些類(lèi)型的詐騙稱(chēng)為網(wǎng)絡(luò )釣魚(yú)（語(yǔ)音網(wǎng)絡(luò )釣魚(yú)）和網(wǎng)絡(luò )釣魚(yú)（短信網(wǎng)絡(luò )釣魚(yú)）。

·CEO（高管）欺詐：當高管要求采取行動(dòng)時(shí)，用戶(hù)通常會(huì )感到緊迫感，因此攻擊者會(huì )偽裝成 CEO 或其他高管，以灌輸目標員工執行行動(dòng)的緊迫感。這被稱(chēng)為CEO 欺詐。

·誘餌：攻擊者承諾提供獎品或金錢(qián)以換取小額付款是很常見(jiàn)的。報價(jià)通常好得令人難以置信，并且付款通常用于運費或其他一些費用范圍。

·尾隨或捎帶：使用安全掃描儀阻止未經(jīng)授權訪(fǎng)問(wèn)場(chǎng)所的公司。攻擊者使用尾隨或捎帶來(lái)誘騙用戶(hù)使用自己的訪(fǎng)問(wèn)卡，從而使攻擊者可以物理訪(fǎng)問(wèn)場(chǎng)所。

·交換條件：心懷不滿(mǎn)的員工可能會(huì )被誘騙向攻擊者提供敏感信息，以換取金錢(qián)或其他承諾。

社會(huì )工程攻擊的例子

要識別社會(huì )工程攻擊，了解它的外觀(guān)很重要。社會(huì )工程攻擊利用目標受害者的情緒，但無(wú)論威脅行為者的目標如何，它們都有一些共同點(diǎn)。攻擊者的目標通常圍繞著(zhù)誘騙用戶(hù)匯款，但有些人想誘騙用戶(hù)匯款。

一些常見(jiàn)的社會(huì )工程場(chǎng)景包括：

·誘餌：攻擊者提供“棍子上的胡蘿卜”，受害者必須付錢(qián)才能獲得大筆支出。支付可能是彩票獎金或免費獎品，以換取少量運費。攻擊者還可能要求為不存在的活動(dòng)提供慈善捐款。

·回答從未問(wèn)過(guò)的問(wèn)題：目標受害者將收到一封“回復”問(wèn)題的電子郵件，但回復將要求提供個(gè)人詳細信息、包含指向惡意網(wǎng)站的鏈接或包含惡意軟件附件。

·威脅損失金錢(qián)或賬戶(hù)，或威脅起訴：恐懼是社交工程中的有用工具，因此欺騙用戶(hù)的有效方法是告訴他們如果不遵守攻擊者的要求，他們將遭受金錢(qián)損失或入獄.

·CEO 欺詐：攻擊者冒充老板或高管，向目標受害者傳達一種緊迫感，說(shuō)服他們向銀行賬戶(hù)匯款。

如何不成為社會(huì )工程的受害者

緊迫感使許多有意的受害者望而卻步，但受過(guò)教育的用戶(hù)可以采取必要的措施來(lái)避免成為受害者，但要遵守一些規則。在通過(guò)電話(huà)進(jìn)行交流時(shí)，放慢速度并驗證電子郵件發(fā)件人的身份或提出問(wèn)題非常重要。需要遵守的幾條規則：

·回應前研究：如果騙局很普遍，你會(huì )發(fā)現其他人在網(wǎng)上談?wù)撋鐣?huì )工程方法。

·不要通過(guò)鏈接與網(wǎng)頁(yè)交互：如果電子郵件發(fā)件人聲稱(chēng)來(lái)自官方企業(yè)，請不要單擊鏈接并進(jìn)行身份驗證。相反，在瀏覽器中輸入官方域。

·注意朋友的奇怪行為：攻擊者使用被盜的電子郵件帳戶(hù)來(lái)欺騙用戶(hù)，因此如果朋友發(fā)送的電子郵件中包含指向網(wǎng)站鏈接且幾乎沒(méi)有其他交流的網(wǎng)站，請保持警惕。

·不要下載文件：如果電子郵件要求緊急下載文件，請忽略該請求或尋求幫助以確保該請求是合法的。

基本社會(huì )工程統計

社會(huì )工程是攻擊者獲取敏感信息的最常見(jiàn)和最有效的方式之一。統計數據表明，社會(huì )工程與網(wǎng)絡(luò )釣魚(yú)相結合是非常有效的，并且會(huì )給組織造成數百萬(wàn)美元的損失。

關(guān)于社會(huì )工程學(xué)的一些統計數據包括：

·社會(huì )工程是造成 98% 的攻擊的原因。

·2020 年，75% 的公司報告稱(chēng)是網(wǎng)絡(luò )釣魚(yú)的受害者。

·2020 年最常見(jiàn)的網(wǎng)絡(luò )事件是網(wǎng)絡(luò )釣魚(yú)。

·數據泄露后的平均成本為每條記錄 150 美元。

·超過(guò) 70% 的數據泄露始于網(wǎng)絡(luò )釣魚(yú)或社會(huì )工程。

·谷歌在 2021 年記錄了超過(guò) 200 萬(wàn)個(gè)網(wǎng)絡(luò )釣魚(yú)網(wǎng)站。

·大約 43% 的網(wǎng)絡(luò )釣魚(yú)電子郵件冒充微軟等大型組織。

·60% 的公司在成功進(jìn)行網(wǎng)絡(luò )釣魚(yú)攻擊后報告數據丟失，18% 的目標用戶(hù)成為網(wǎng)絡(luò )釣魚(yú)的受害者。

社會(huì )工程預防

企業(yè)也是社會(huì )工程的目標，因此員工必須注意這些跡象并采取必要措施來(lái)阻止攻擊。組織有責任對員工進(jìn)行教育，因此請按照以下步驟為您的員工提供工具，以識別正在進(jìn)行的社會(huì )工程攻擊：

·注意正在發(fā)布的數據：無(wú)論是社交媒體還是電子郵件，員工都應該知道數據是否敏感并且應該保密。

·識別有價(jià)值的信息： 個(gè)人身份信息 (PII)絕不應與第三方共享，但員工應該知道哪些數據被視為 PII。

·使用政策來(lái)教育用戶(hù)：制定的政策為用戶(hù)提供必要的信息，以對欺詐性請求采取行動(dòng)并報告正在進(jìn)行的社會(huì )工程攻擊。

·使反惡意軟件保持最新：如果員工下載惡意軟件，反惡意軟件將在大多數情況下檢測并阻止它。

·對數據請求持懷疑態(tài)度：應謹慎接收任何數據請求。在遵守請求之前提出問(wèn)題并驗證發(fā)件人的身份。

·培訓員工：如果員工沒(méi)有接受過(guò)幫助他們的教育，他們就無(wú)法識別攻擊，因此提供向員工展示社會(huì )工程真實(shí)示例的培訓。

社會(huì )工程攻擊在針對人類(lèi)情緒和錯誤方面非常有效。我們有安全意識培訓和教育計劃，幫助員工識別與這些攻擊一起使用的社會(huì )工程和網(wǎng)絡(luò )釣魚(yú)電子郵件。
 

我們?yōu)橛脩?hù)準備最復雜的攻擊，并為他們提供反應所需的工具。使用現實(shí)世界的例子，員工將準備好識別社會(huì )工程并根據組織設定的安全策略做出反應。

社會(huì )工程常見(jiàn)問(wèn)題解答

簡(jiǎn)單來(lái)說(shuō)什么是社會(huì )工程？

大多數人認為網(wǎng)絡(luò )威脅是惡意軟件或利用軟件漏洞的黑客。然而，社會(huì )工程是一種威脅，攻擊者通過(guò)偽裝成熟悉的人或服務(wù)來(lái)欺騙目標用戶(hù)泄露敏感信息。攻擊者可能會(huì )誘騙目標用戶(hù)泄露他們的密碼，或者攻擊者可以通過(guò)偽裝成高級管理人員來(lái)誘騙目標用戶(hù)匯款。攻擊者在社會(huì )工程活動(dòng)中的目標各不相同，但通常攻擊者想要訪(fǎng)問(wèn)帳戶(hù)或竊取用戶(hù)的私人信息。

社會(huì )工程學(xué)如何運作？

威脅參與者可能有一個(gè)特定的目標，或者攻擊者可以撒網(wǎng)以訪(fǎng)問(wèn)盡可能多的私人信息。在威脅行為者進(jìn)行社會(huì )工程攻擊之前，他們的第一步是對目標用戶(hù)或公司進(jìn)行盡職調查。例如，攻擊者可以從組織的 LinkedIn 頁(yè)面收集財務(wù)部門(mén)工作人員的姓名和電子郵件地址，以識別目標受害者和標準操作程序。

偵察階段對于社會(huì )工程攻擊的成功至關(guān)重要。攻擊者必須充分了解企業(yè)的組織結構圖和有權執行成功所需操作的目標。在大多數攻擊中，社會(huì )工程涉及威脅行為者假裝是目標用戶(hù)認識的人。威脅參與者收集的有關(guān)目標用戶(hù)的信息越多，社交工程攻擊成功的可能性就越大。

收集到足夠的信息后，攻擊者現在可以執行后續步驟。一些社會(huì )工程攻擊需要耐心慢慢建立目標用戶(hù)的信任。其他攻擊速度很快，威脅參與者通過(guò)傳達緊迫感在有限的時(shí)間內獲得信任。例如，攻擊者可能會(huì )呼叫目標用戶(hù)并偽裝成 IT 支持人員，以誘騙用戶(hù)泄露密碼。

成功的社會(huì )工程攻擊的步驟是什么？

就像最有效的網(wǎng)絡(luò )攻擊一樣，社會(huì )工程涉及特定的策略。每個(gè)步驟都需要徹底，因為攻擊者旨在誘騙用戶(hù)執行特定操作。社會(huì )工程涉及四個(gè)步驟。這些步驟是：

-信息收集：第一步對于社會(huì )工程的成功至關(guān)重要。攻擊者從新聞剪報、LinkedIn、社交媒體和目標商業(yè)網(wǎng)站等公共來(lái)源收集信息。此步驟使攻擊者熟悉業(yè)務(wù)部門(mén)和程序的內部工作。

-建立信任：此時(shí)，攻擊者聯(lián)系目標用戶(hù)。此步驟需要對話(huà)和說(shuō)服力，因此攻擊者必須具備處理問(wèn)題并說(shuō)服目標用戶(hù)執行操作的能力。攻擊者必須是友好的，并且可能會(huì )嘗試在個(gè)人層面上與目標用戶(hù)建立聯(lián)系。

-漏洞利用：攻擊者誘騙目標用戶(hù)泄露信息后，漏洞利用開(kāi)始。漏洞利用取決于攻擊者的目標，但這一步是指攻擊者獲取資金、訪(fǎng)問(wèn)系統、竊取文件或獲取商業(yè)機密。

-執行：利用獲得的敏感信息，攻擊者現在可以執行最終目標并退出騙局。退出策略包括掩蓋其蹤跡的方法，包括從目標組織的網(wǎng)絡(luò )安全控制中避免檢測，這可能會(huì )警告管理員員工剛剛被欺騙。

什么是最常見(jiàn)的社會(huì )工程學(xué)形式？

“社會(huì )工程”一詞是一個(gè)廣義的術(shù)語(yǔ)，涵蓋了許多網(wǎng)絡(luò )犯罪策略。社會(huì )工程涉及人為錯誤，因此攻擊者針對內部人員。最常見(jiàn)的社會(huì )工程形式是網(wǎng)絡(luò )釣魚(yú)，它使用電子郵件。網(wǎng)絡(luò )釣魚(yú)屬于網(wǎng)絡(luò )釣魚(yú)（語(yǔ)音）和網(wǎng)絡(luò )釣魚(yú)（短信）。在典型的網(wǎng)絡(luò )釣魚(yú)攻擊中，目標是獲取信息以獲取金錢(qián)收益或數據盜竊。

在網(wǎng)絡(luò )釣魚(yú)電子郵件中，攻擊者偽裝成來(lái)自合法組織的人或家庭成員。該消息可能要求簡(jiǎn)單的回復，或者該消息將包含指向惡意網(wǎng)站的鏈接。網(wǎng)絡(luò )釣魚(yú)活動(dòng)可以針對組織內的特定人員 - 魚(yú)叉式網(wǎng)絡(luò )釣魚(yú) - 或者攻擊者可以向隨機用戶(hù)發(fā)送數百封電子郵件，希望至少有一封電子郵件屬于欺詐性消息。無(wú)針對性的網(wǎng)絡(luò )釣魚(yú)活動(dòng)的成功率較低，但攻擊者不需要很多成功的消息即可獲取必要的信息以獲取金錢(qián)利益。

兩種網(wǎng)絡(luò )釣魚(yú)變體 - smishing 和 vishing - 與一般網(wǎng)絡(luò )釣魚(yú)活動(dòng)具有相同的目標，但方法不同。“smishing”攻擊使用短信告訴目標用戶(hù)他們中獎了，需要支付運費才能收到禮物。“語(yǔ)音”網(wǎng)絡(luò )釣魚(yú)需要變音軟件來(lái)誘騙用戶(hù)認為攻擊者是來(lái)自合法組織的人。

百分之多少的黑客使用社會(huì )工程學(xué)？

黑客經(jīng)常使用社會(huì )工程，因為它有效。社會(huì )工程和網(wǎng)絡(luò )釣魚(yú)經(jīng)常結合使用，作為一種更有效的方式來(lái)誘騙用戶(hù)匯款或泄露他們的敏感信息（例如，網(wǎng)絡(luò )憑證和銀行信息）。事實(shí)上，個(gè)人和公司收到的大多數電子郵件都是垃圾郵件或詐騙電子郵件，因此將網(wǎng)絡(luò )安全與任何電子郵件系統集成至關(guān)重要。

據估計，91% 的網(wǎng)絡(luò )攻擊都是從電子郵件開(kāi)始的。他們中的許多人利用一種緊迫感，以便目標受害者沒(méi)有時(shí)間處理這些消息是一個(gè)騙局。只有 3% 的攻擊使用惡意軟件，而 97% 的攻擊來(lái)自社會(huì )工程。在一些復雜的攻擊中，目標受害者會(huì )收到一封電子郵件，然后是后續電話(huà)或消息。

社會(huì )工程違法嗎？

社會(huì )工程確實(shí)是一種犯罪，因為它使用欺騙手段誘騙目標受害者泄露敏感信息。典型的后果會(huì )導致以欺詐方式訪(fǎng)問(wèn)私人網(wǎng)絡(luò )、竊取資金或用戶(hù)身份，然后在暗網(wǎng)市場(chǎng)上出售私人數據等形式的額外犯罪。

消費者欺詐在社會(huì )工程攻擊中很常見(jiàn)。攻擊者偽裝成合法組織，贈送獎金以換取財務(wù)數據或小額付款。在目標受害者提供財務(wù)數據后，攻擊者直接從銀行賬戶(hù)中竊取資金或在暗網(wǎng)市場(chǎng)上出售信用卡號。身份盜竊和從目標受害者那里偷錢(qián)是嚴重的罪行。

一些社會(huì )工程被歸類(lèi)為輕罪，只會(huì )處以罰款和短期監禁。如果犯罪涉及更大的金錢(qián)數額或針對多名受害者，他們可以處以更高的刑罰和更高的罰款。一些犯罪導致民事訴訟，受害者贏(yíng)得對犯罪分子和參與幫助社會(huì )工程詐騙的人的判決。

社會(huì )工程學(xué)有多普遍？

視情況而定，但據估計，95%-98% 的針對個(gè)人和公司的針對性攻擊都使用了社會(huì )工程學(xué)。高權限帳戶(hù)是一個(gè)常見(jiàn)的目標，IT 運營(yíng)中 43% 的管理員報告說(shuō)他們是社會(huì )工程攻擊的目標。IT 運營(yíng)部門(mén)的新員工更有可能成為目標。公司表示，60% 的新員工是目標，而不是長(cháng)期的現有員工。

由于社會(huì )工程如此成功，近年來(lái)基于網(wǎng)絡(luò )釣魚(yú)和身份盜竊的攻擊增加了 500%。身份盜竊并不是攻擊者的唯一目標。社會(huì )工程是主要攻擊媒介的其他一些原因包括：

- 用于數據或貨幣盜竊的欺詐性帳戶(hù)訪(fǎng)問(wèn)
- 對銀行或信用卡帳戶(hù)的財務(wù)訪(fǎng)問(wèn)
- 簡(jiǎn)單的滋擾原因

社會(huì )工程合乎道德嗎？

社會(huì )工程是一種犯罪行為，因此惡意威脅在針對個(gè)人和公司時(shí)不會(huì )考慮道德。每個(gè)人都是攻擊者的目標，因此個(gè)人和員工都應該了解社會(huì )工程是如何進(jìn)行的。攻擊者必須在進(jìn)行社會(huì )工程活動(dòng)之前了解他們的目標并進(jìn)行偵察，因此用戶(hù)還應該了解社會(huì )工程的工作方式。

表明您是社會(huì )工程目標的第一個(gè)危險信號是呼叫者或電子郵件發(fā)件人不會(huì )回答任何問(wèn)題，并阻止您提出問(wèn)題以澄清他們?yōu)槭裁从芯o急請求。他們的要求可能看起來(lái)很微妙，但他們要求提供敏感信息而不回答您的任何問(wèn)題。在合法的金融交易中，組織或銀行會(huì )根據需要回答盡可能多的問(wèn)題，直到您對他們需要您采取的行動(dòng)感到滿(mǎn)意為止。

另一個(gè)不道德的危險信號是大多數攻擊者使用沒(méi)有語(yǔ)音對話(huà)的網(wǎng)絡(luò )釣魚(yú)。如果您要求與請求者進(jìn)行語(yǔ)音對話(huà)，攻擊者將拒絕。這個(gè)危險信號并非總是如此，但它應該告訴您電子郵件發(fā)件人不是來(lái)自合法組織。在任何情況下，您都應該掛斷或停止與電子郵件發(fā)件人的聯(lián)系，直接撥打公司網(wǎng)站上的電話(huà)號碼。

一些社會(huì )工程學(xué)是合乎道德的。當您聘請白帽黑客對網(wǎng)絡(luò )安全進(jìn)行滲透測試時(shí)，他們將測試所有員工檢測社會(huì )工程攻擊的能力。在滲透測試中，經(jīng)過(guò)認證的道德黑客會(huì )打電話(huà)給員工，以確定他們是否會(huì )泄露其網(wǎng)絡(luò )憑據或發(fā)送帶有指向惡意網(wǎng)站的鏈接的網(wǎng)絡(luò )釣魚(yú)電子郵件。他們會(huì )記錄每個(gè)單擊該鏈接的用戶(hù)，并記錄輸入其專(zhuān)用網(wǎng)絡(luò )憑據的用戶(hù)。此活動(dòng)可幫助組織確定易受社會(huì )工程攻擊的員工，并為他們提供有關(guān)網(wǎng)絡(luò )安全協(xié)議的更多教育。

社會(huì )工程攻擊的成本是多少？

根據美國聯(lián)邦調查局的數據，社會(huì )工程在全球范圍內給組織造成了 16 億美元的損失。組織平均每年為網(wǎng)絡(luò )安全犯罪支付 1170 萬(wàn)美元。

成本的一個(gè)重要組成部分是組織檢測數據泄露所需的時(shí)間，平均為 146 天。在社會(huì )工程攻擊中，管理員和網(wǎng)絡(luò )安全基礎設施很難確定員工何時(shí)成為攻擊的受害者。任何具有合法訪(fǎng)問(wèn)權限的員工在參與社會(huì )工程活動(dòng)并安裝惡意軟件、向攻擊者提供憑據或泄露敏感信息時(shí)，都可能使環(huán)境容易受到攻擊者的攻擊。