googlewebmaster-tcn: #NoHacked：如何辨識社交工程手法並保護自身安全

原文：#NoHacked: How to recognise and protect yourself against social engineering作者：Eric Kuan, Webmaster Relations Specialist， Yuan Niu, Webspam Analyst
我們將在今天的 #nohacked 活動裡，和大家談論社交工程。大家可以透過 #nohacked 主題標記追蹤在Twitter 和 Google+ 上的討論內容。(第一部分)

相信使用網路已經有一段時間的人可能都曾面臨某些形式的社交工程攻擊。所謂的社交工程，指的是以某種方式操控或欺騙使用者，企圖擷取使用者的機密資訊。網路詐騙人們所熟悉的網路詐騙是最常見的一種社交工程技術。具體來說，網路詐騙網站和電子郵件會藉由仿冒合法網站，誘騙您在這些網站上輸入使用者名稱和密碼之類的機密資訊。Google 近期的研究顯示，有些網路詐騙網站的成功率可達到 45%！當這類網站取得您的資訊後，可能將您的資訊出售，也可能用這些資訊來操控您的帳戶。其他社交工程攻擊手法如果您是網站擁有者，那麼除了網路詐騙之外，還有其他更多的社交工程攻擊手法必須注意，比如針對您網站上使用的軟體和工具進行攻擊。如果您需要下載或使用任何內容管理系統 (CMS)、外掛程式或附加元件，這些項目必須來自可信的來源，例如開發人員的網站內容。來自不可信任網站的軟體可能含有惡意漏洞，容易讓駭客入侵您的網站。舉例來說，「小布的寵物皇宮」最近聘請了網站管理員小王來幫忙架設網站。小王做了一些設計後，便開始著手收集架設網站所需的軟體。這時，他發現自己愛用的外掛程式 Photo Frame Beautifier 已經從官方 CMS 外掛程式網站下架，開發人員也已停止支援該外掛程式。於是，他很快地又找到了一個提供舊版外掛程式封存的網站，並且下載當中的外掛程式來架設網站。兩個月後，小王收到了 Search Console 的通知，指出他客戶的網站遭到駭客入侵。當他快速修正遭入侵的內容時，也發現了問題的來源。原來，他所用的 Photo Frame Beautifier 外掛程式已遭到第三方修改，成為了惡意人士入侵網站的漏洞。在移除外掛程式、修正遭入侵的內容，並且針對日後可能受到的攻擊採取預防措施後，小王在 Search Console 中提交了重審要求。如上所述，您可以看到正是因為小王的無意疏忽，才造成客戶的網站遭到入侵。防範社交工程攻擊社交工程是一種很有效的攻擊手法，因為落入這類陷阱的使用者很難發現不對勁的地方。為了防範社交工程陷阱，您可以採取下列基本策略。