2025年信息系统安全专家社会工程学攻击者画像与动机分析专题试卷及解析.pdfVIP

2025年信息系统安全专家社会工程学攻击者画像与动机分析专题试卷及解析1

2025年信息系统安全专家社会工程学攻击者画像与动机分

析专题试卷及解析

2025年信息系统安全专家社会工程学攻击者画像与动机分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在社会工程学攻击中，攻击者冒充IT部门人员，通过电话要求员工提供系统密

码，这主要利用了哪种心理弱点？

A、权威原则

B、稀缺性原则

C、互惠原则

D、社会认同原则

【答案】A

【解析】正确答案是A。权威原则是指人们倾向于服从权威人士的指令，攻击者冒

充IT部门人员正是利用了这一点。B选项稀缺性原则是指人们对稀有资源更感兴趣，

C选项互惠原则是指人们倾向于回报他人的善意，D选项社会认同原则是指人们会模

仿他人的行为，均与题干情境不符。知识点：社会工程学心理学原理。易错点：容易将

权威原则与社会认同原则混淆，需注意区分”服从权威”与”从众行为”的区别。

2、以下哪类攻击者最可能出于经济动机进行社会工程学攻击？

A、黑客行动主义者

B、国家背景攻击者

C、网络犯罪团伙

D、内部不满员工

【答案】C

【解析】正确答案是C。网络犯罪团伙通常以经济利益为主要目标，通过社会工程

学攻击获取金钱或可变现的数据。A选项黑客行动主义者主要出于政治或社会诉求，B

选项国家背景攻击者服务于国家战略目标，D选项内部不满员工更多出于报复心理。知

识点：攻击者动机分类。易错点：容易混淆经济动机与政治动机的区别。

3、在钓鱼邮件攻击中，攻击者伪造公司CEO邮箱要求财务人员紧急转账，这种攻

击属于哪种类型？

A、鱼叉式钓鱼

B、广撒网钓鱼

C、语音钓鱼

D、短信钓鱼

【答案】A

2025年信息系统安全专家社会工程学攻击者画像与动机分析专题试卷及解析2

【解析】正确答案是A。鱼叉式钓鱼是针对特定目标的高度定制化攻击，伪造CEO

邮箱属于此类。B选项广撒网钓鱼面向不特定人群，C选项语音钓鱼通过电话实施，D

选项短信钓鱼通过短信渠道。知识点：钓鱼攻击分类。易错点：容易混淆鱼叉式钓鱼与

广撒网钓鱼的区别。

4、以下哪项不是社会工程学攻击者常用的信息收集手段？

A、社交媒体分析

B、物理踩点

C、端口扫描

D、垃圾邮件分析

【答案】C

【解析】正确答案是C。端口扫描属于技术性信息收集，不属于社会工程学范畴。A、

B、D都是攻击者常用的社会工程学信息收集手段。知识点：社会工程学攻击流程。易

错点：容易将技术性手段与社会工程学手段混淆。

5、在攻击者画像中，“脚本小子”通常具有什么特征？

A、高度专业化的技术能力

B、使用现成攻击工具

C、有明确政治动机

D、长期潜伏目标系统

【答案】B

【解析】正确答案是B。脚本小子通常技术能力有限，主要使用现成工具进行攻击。

A选项描述的是专业黑客，C选项是黑客行动主义者特征，D选项是APT攻击者特征。

知识点：攻击者类型分类。易错点：容易混淆脚本小子与专业黑客的区别。

6、社会工程学攻击中，攻击者通过赠送小礼品获取员工好感，后续提出敏感请求，

这利用了哪种原则？

A、承诺与一致原则

B、喜好原则

C、稀缺性原则

D、对比原则

【答案】B

【解析】正确答案是B。喜好原则是指人们更愿意满足自己喜欢的人的请求，攻击

者通过送礼建立好感正是利用这一点。A选项承诺与一致原则是指人们会遵守自己的

承诺，C选项稀缺性原则与题干无关，D选项对比原则是指通过对比影响判断。知识

点：社会工程学心理学原理。易错点：容易混淆喜好原则与互惠原则。

7、以下哪项措施最能有效防范基于社会工程学的内部威胁？

A、部署防火墙

2025年信息系统安全专家社会工程学攻击者画像与动机分析专题试卷及解析3

B、定期安全培训

C、安装杀毒软件