2026年社会工程攻击防范真题解析.docxVIP

社会工程攻击防范真题解析

考试时间：______分钟总分：______分姓名：______

一、

社会工程学攻击通常利用人类的哪些心理特点？请至少列举三种。

二、

某员工收到一封看似来自公司IT部门的邮件，声称其账户存在安全风险，需要点击链接重置密码。该邮件的链接指向了一个与公司官方网页外观相似的页面。以下哪几种行为是员工在这种情况下应当采取的防范措施？（请选择所有适用的措施）

A.直接点击邮件中的链接进行密码重置

B.通过公司内部通讯录查找IT部门官方联系方式，独立验证邮件真实性

C.检查邮件发件人的地址是否为公司官方邮箱格式

D.在密码重置页面输入自己的账号和密码

E.将该邮件标记为“垃圾邮件”

三、

“假冒身份”是一种社会工程攻击手法。以下哪个场景最可能体现这种攻击手法？

A.攻击者通过钓鱼邮件附件传播恶意软件

B.攻击者伪装成快递员进入办公楼内窃取信息

C.攻击者利用电话冒充银行客服，骗取用户的银行卡信息

D.攻击者在公共无线网络中窃取传输数据

E.攻击者通过物理破坏服务器来获取数据

四、

为了防范“钓鱼电话”（Vishing），以下哪些做法是有效的？（请选择所有适用的做法）

A.对于任何自称银行或政府机构客服的电话，只要要求提供个人信息或转账，都应直接挂断

B.在接到要求提供密码、银行卡号、验证码的电话时，先记录下电话号码，然后通过官方渠道核实对方身份

C.给自己的常用银行客服号码设置自动回复，告知对方不要相信来电显示

D.在家中或办公场所设置一个固定的、不易被他人轻易得知的联系电话，用于接收重要机构的核实电话

E.相信所有声称能提供高额回报或解决麻烦的来电

五、

某公司员工发现，每次进入办公楼的主入口时，总有看似同样在进入的人员紧跟其后，并伺机进入。这种行为属于哪种社会工程攻击手法？针对此手法，应该采取什么基本的防范措施？

六、

一个组织的社会工程攻击防范策略应当包含哪些关键方面？（请至少列举四个方面）

七、

用户在日常使用电子邮箱时，应如何防范钓鱼邮件？（请列举至少三种具体方法）

八、

社会工程攻击与传统的网络技术攻击（如病毒、蠕虫）有何根本区别？

九、

如果你是某公司的安全顾问，你会向管理层提出哪些建议，以提升整个组织对社会工程攻击防范的重视程度和有效性？

十、

简述社会工程攻击中“诱饵”（Baiting）手法的原理，并举例说明一种可能的应用场景。

试卷答案

一、

社会工程学攻击通常利用人类的以下心理特点：信任权威、贪图小利、恐惧、好奇心、助人为乐/同情心、从众心理、疏忽大意、责任感缺失等。（考生需列举其中三种，如：信任权威、贪图小利、恐惧）

二、

B,C,E

*解析：A选项直接点击未知链接重置密码存在极大风险，是错误行为。B选项通过官方渠道独立验证是确认信息真实性的正确做法。C选项检查发件人地址有助于识别伪造邮件，是正确做法。D选项在可疑页面输入密码非常危险，是错误行为。E选项将可疑邮件标记为垃圾邮件有助于过滤和警示他人，是正确做法。

三、

C

*解析：A是钓鱼邮件；B是物理访问攻击（伪装）；C是假冒身份（冒充客服）；D是中间人攻击或无线网络攻击；E是物理破坏。只有C选项明确体现了通过伪装身份骗取信息的手法。

四、

B,D

*解析：A选项过于绝对，不能一概而论所有此类电话都是诈骗；B选项通过官方渠道核实是防范Vishing的关键步骤；C选项设置自动回复无法有效防范主动来电要求提供信息；D选项建立备用核实电话是一个有效的验证机制；E选项明显是落入陷阱的做法。

五、

该行为属于“尾随”（Tailgating）或“肩窥”（ShoulderSurfing）的社会工程攻击手法，特别是描述的紧跟进入办公楼主入口的场景，主要是指尾随。基本的防范措施是要求所有进入办公楼的人员必须刷员工卡或接受门卫询问，严禁无关人员尾随进入。

六、

一个组织的社会工程攻击防范策略应当包含：安全意识培训与教育、制定和执行安全政策（如密码策略、信息访问控制）、物理安全措施（如门禁控制、访客管理）、技术控制措施（如邮件过滤、安全审计）、建立报告和响应机制、定期进行安全评估和模拟演练等。（考生需列举至少四个方面）

七、

防范钓鱼邮件的方法包括：不轻易点击邮件中的链接或下载附件，特别是来自未知发件人或内容可疑的邮件；仔细核对发件人地址是否真实；不直接在邮件中回复敏感信息（如密码、账号）；将可疑邮件通过邮件客户端或客户端提供的功能标记为垃圾邮件或举报为钓鱼邮件；对于要求紧急操作或涉及账户安全的邮件，通过官方渠道（如公司官网、官方电话）联系相关机构核实；使用具备反钓鱼功能的邮件安全解决方案等。（考生需列举至少三种具体方法）

八、

社会工程攻击的根本区别在于，它主要利用人的心理弱点