在计算机科学，社会工程学指的是通过与他人的合法交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系，这一行为一般是被认作侵犯隐私权的。[1]

社会工程学技术

钓鱼(phishing)

域欺骗(pharming)

广告钓鱼(malvertising)

鱼叉式钓鱼(spear phishing)

短信钓鱼(SMS phishing)

语音钓鱼(voice phishing)

捕鲸(whaling)

诱出(elicitation)

讯问(interrogation)

假冒(impersonation)

肩窥(shoulder surface)

USB 掉落攻击(USB drop attack)

钓鱼（phishing）

钓鱼式攻击（Phishing，与英语fishing发音一样；又名网钓法或网络网钓，以下简称网钓）是一种企图从电子通信中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码等个人敏感信息的犯罪诈骗过程。[2]

图片来自 https://www.corsicatech.com/blog/9-common-signs-of-a-phishing-attack/

比如下面一封邮件, 这就是典型的钓鱼邮件。

Dear Customer

I have registered your Consignment Box with Ups this morning and we agreed

up that

your of USD10.5Million in Consignment Box delivery will take place Tomorrow morning

so kindly reconfirm you full information:

Your Full name:

Your Address:

Your Country:

Your Cell Number:

Contact Director Garry Millis

Telephone Number:+1(202) 897-0995

Email:(benwilliam823@gmail.com)

Best Regard

Mrs Ben William

域欺骗(pharming)

域欺骗是一种网络攻击，目的是将一个网站的流量重定向到另一个虚假网站。域欺骗可以通过改变受害者计算机上的主机文件（hosts文件），DNS投毒或者利用DNS服务器软件的漏洞进行。[3]

图片来自https://www.cybersecureasia.com/blog/phishing-and-pharming

广告钓鱼(malvertising)

Malvertising(广告钓鱼)指利用网络广告传播恶意软件的行为。它通常包括向合法的在线广告网络和网页中注入恶意广告或含有恶意软件的广告。[4]

图片来自https://www.imperva.com/learn/application-security/malvertising/

鱼叉式钓鱼(spear phishing)

鱼叉式网络钓鱼（Spear phishing）指一种源于亚洲与东欧，只针对特定目标进行攻击的网络钓鱼攻击。由于鱼叉式网络钓鱼锁定之对象并非一般个人，而是特定公司、组织之成员，故受窃之资讯已非一般网络钓鱼所窃取之个人资料，而是其他高度敏感性资料，如知识产权及商业机密。[5]

图片来自https://www.facebook.com/cerebrocybersec/posts/861535950855526

kali中有一个setoolkit工具集成了社会工程学所需要的多种工具，比如生成一个带反弹shell的pdf文档等

短信钓鱼(SMS phishing)

短信钓鱼利用手机短信传递诱饵，诱使人们泄露个人信息。钓鱼攻击通常邀请用户点击一个链接，拨打一个电话号码，或联系攻击者通过短信提供的电子邮件地址。[6]

图片来自https://blog.malwarebytes.com/cybercrime/so