2025年信息系统安全专家语音钓鱼攻击识别与防御策略专题试卷及解析.pdfVIP

2025年信息系统安全专家语音钓鱼攻击识别与防御策略专题试卷及解析1

2025年信息系统安全专家语音钓鱼攻击识别与防御策略专

题试卷及解析

2025年信息系统安全专家语音钓鱼攻击识别与防御策略专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、攻击者利用AI语音合成技术，模仿公司CEO的声音给财务部门员工打电话，

要求紧急转账。这种攻击手法主要利用了以下哪种社会工程学原理？

A、权威原则

B、稀缺性与紧迫性

C、喜好与信任

D、社会认同

【答案】B

【解析】正确答案是B。该攻击场景中，攻击者不仅模仿了权威人物（CEO），更重

要的是强调了“紧急转账”，制造了时间上的紧迫感，迫使受害者在没有充分核实的情况

下快速决策。这直接利用了“稀缺性与紧迫性”原则。A选项权威原则虽然也是利用因素

之一，但紧迫性是促成错误决策的关键驱动力。C选项喜好与信任在此场景中不如紧迫

性直接。D选项社会认同（别人都这么做）在此场景中未体现。知识点：社会工程学攻

击的心理触发点。易错点：容易将模仿CEO的声音简单归因于权威原则，而忽略了攻

击者制造“紧急”情境的核心意图。

2、在语音钓鱼攻击中，攻击者通过技术手段伪造来电显示，使其看起来像是来自

银行或公司的官方号码。这种技术被称为？

A、呼叫转移

B、交互式语音应答（IVR）欺骗

C、来电显示欺骗（Spoofing）

D、语音网络钓鱼（Vishing）

【答案】C

【解析】正确答案是C。来电显示欺骗（Spoofing）是一种技术，它允许攻击者修改

发送给接收方来电显示设备的主叫号码信息，使其显示一个虚假的号码。这直接对应题

干描述的场景。A选项呼叫转移是将来电转接到另一个号码，是合法功能。B选项IVR

欺骗是指设置一个假的自动语音系统，诱骗用户输入信息，与伪造来电显示号码不同。

D选项语音网络钓鱼（Vishing）是利用电话进行钓鱼攻击的总称，而伪造来电显示是

Vishing中常用的一种具体技术手段。知识点：语音钓鱼攻击的技术实现方式。易错点：

混淆Vishing（攻击类型）和Spoofing（具体技术）之间的关系，将技术手段与攻击行

为本身等同。

3、一名员工接到自称是IT支持部门的电话，对方能准确说出该员工的姓名、工号

2025年信息系统安全专家语音钓鱼攻击识别与防御策略专题试卷及解析2

和部门，并声称其账户存在安全风险，需要立即提供密码以进行重置。此时，该员工最

应该采取的第一步行动是？

A、立即按照对方要求提供密码，以免账户被锁

B、与对方详细沟通，询问更多关于安全风险的具体细节

C、挂断电话，并使用公司通讯录上已知的官方联系方式回拨IT支持部门进行核

实

D、向身边的同事求助，询问是否也接到了类似电话

【答案】C

【解析】正确答案是C。这是应对可疑电话的标准安全流程。无论对方掌握了多少

信息，主动通过一个已知的、可信的渠道（如公司内部通讯录）进行核实是验证其身份

的唯一可靠方法。A选项是攻击者期望的行为，会直接导致账户泄露。B选项与攻击者

纠缠可能被其话术进一步诱导，且无法验证其身份。D选项虽然可以确认攻击范围，但

无法解决自身面临的直接威胁，且可能延误最佳应对时机。知识点：可疑通信的验证原

则与最佳实践。易错点：在对方能说出部分个人信息时，容易产生信任感，从而放松警

惕，忘记了“主动核实”这一核心安全原则。

4、以下哪项特征最不可能是语音钓鱼攻击的迹象？

A、来电者使用催促性的语言，如“必须立即处理”、“否则后果自负”

B、来电者要求提供敏感个人信息，如密码、验证码、银行卡PIN码

C、来电号码是陌生的海外号码或无法显示的号码

D、来电者能够提供详细的交易记录或账户活动信息以证明其身份

【答案】D

【解析】正确答案是D。正规的客服或技术人员通常不会在电话中主动透露用户账

户的详细敏感信息来“证明”自己，因为这本身就可能造成信息泄露。攻击者可能会伪造

或利用已泄露的信息来获取信任，但一个能准确提供详细、实时交易记录的“官方人员”