2026年社会工程防范安全评估题

社会工程防范安全评估题考试时间：______分钟总分：______分姓名：______一、是非题（请判断下列说法的正误，正确的划“√”，错误的划“×”）1.社会工程学攻击主要依赖于攻击者的技术能力，而非对人性的了解。（）2.僵尸网络攻击属于社会工程学范畴，因为它利用了受害者的计算机资源进行非法活动。（）3.接到声称来自银行的邮件，要求点击链接更新个人信息，如果链接看起来很官方，就应该是安全的。（）4.为了方便记忆，可以使用包含个人生日、姓名拼音等信息的简单密码，只要不告诉别人就可以了。（）5.在办公室门禁处，如果看到有人穿着类似员工制服但没佩戴工牌，声称有紧急事务需要进入，应该允许通行。（）6.社会工程学攻击者通常不会直接联系目标，而是通过公开渠道搜集信息。（）7.“鱼叉式钓鱼”攻击比普通的钓鱼邮件更具针对性，因此几乎不可能被防范。（）8.向陌生人透露自己的家庭住址、工作单位、常用账号等信息，通常不会带来安全风险。（）9.安装最新的杀毒软件是防范社会工程学攻击最有效的手段。（）10.如果一个电话来自“客服”，说你的账户有异常需要立即处理，即使对方知道你的部分个人信息，也应该保持警惕。（）二、选择题（请选择唯一正确的选项）1.以下哪种行为最符合“诱骗信息索取”（QuidProQuo）的社会工程学攻击特征？A.冒充IT支持人员，声称系统升级需要密码，诱骗用户输入。B.发送伪装成公司内部通知的邮件，要求员工点击恶意链接。C.在社交媒体上发布求助信息，声称需要帮助完成某项任务，以获取个人信息作为交换。D.伪装成某公司高管，通过邮件向下属索取敏感项目数据。2.某人收到一封邮件，声称是XX公司发来的订单确认，邮件内容详尽，包含公司Logo和联系方式，并附有一个需要填写付款信息的链接。你认为最可能是什么攻击？A.恶意软件植入攻击。B.网络钓鱼（Phishing）攻击。C.物理访问攻击。D.情景模拟（Pretexting）攻击。3.在防范社交工程学攻击方面，以下哪项措施最为关键？A.安装防火墙。B.定期更换密码。C.提高个人和组织的防范意识与安全培训。D.使用强密码策略。4.攻击者通过伪装成清洁工或维修工，在员工不注意时尾随进入办公楼内部窃取信息，这种行为属于哪种社会工程学攻击？A.情景模拟。B.鱼叉式钓鱼。C.物理入侵（Tailgating）。D.僵尸网络。5.当接到自称银行工作人员的电话，声称发现你的账户有可疑交易，要求你提供验证码时，正确的做法是？A.立即提供验证码以证明自己清白。B.告知对方自己的常用密码。C.挂断电话，通过银行官方网站或官方客服电话核实。D.直接转账到对方提供的“安全账户”。6.社会工程学攻击者在进行攻击前，通常会花费大量时间研究目标，这种行为最能体现社会工程学的哪项特点？A.利用技术漏洞。B.利用人类心理弱点。C.利用公开可获取的信息。D.快速发动攻击。7.以下哪项是防范假冒身份（Impersonation）攻击最有效的方法？A.只相信内部人员的请求。B.核实请求者的身份信息，如通过官方渠道确认、观察工牌或制服细节等。C.对所有外部请求都设置高额门槛。D.使用复杂的访问控制列表。8.某员工收到一封邮件，声称包含其参与的一个项目的“机密”文档，发件人地址看起来像是来自公司内部，但邮件内容有拼写错误且语气生硬。你认为最可能是什么情况？A.正常的内部邮件。B.恶意软件传播邮件。C.僵尸网络发送的垃圾邮件。D.SpearPhishing（鱼叉式钓鱼）攻击。9.在公共场所使用无线网络时，为了防范“嗅探”攻击，以下哪种做法是重要的？A.尽量使用有线连接。B.连接前确保网络是安全的，如使用HTTPS网站，避免进行敏感操作。C.不断切换不同的免费Wi-Fi。D.使用最新的VPN服务。10.向他人提供自己的账号密码，即使只是临时委托他人操作，也可能构成哪种安全风险？A.内部威胁。B.社会工程学攻击。C.账户被盗用。D.硬件损坏。三、多选题（请选择所有正确的选项）1.以下哪些属于社会工程学攻击中常用的心理操纵技巧？A.制造紧迫感（如声称账户即将被封）。B.利用权威（如冒充上级或官方人员）。C.建立信任关系（如伪装成同事或朋友）。D.利用人们的贪婪或同情心。E.拼写错误和语法问题。2.一名攻击者想要获取某公司研发部门的内部资料，他可能会采取哪些社会工程学手段？（至少选择两项）A.模仿该部门员工，通过电话或邮件套取信息。B.在公司附近进行观察，寻找可以接触到内部人员的机会。C.利用公开的网络信息，分析公司人员结构和关系。D.攻击公司内部网络，直接窃取文件。E.伪装成供应商或客户，进行访谈以搜集信息。3.为了有效防范社会工程学攻击，组织可以采取哪些措施？（至少选择两项）A.定期对员工进行社会工程学意识和防范技能培训。B.制定严格的信息访问权限控制策略。C.实施多因素认证（MFA）。D.限制或监控外部人员进入办公区域。E.对所有传入信息（邮件、电话、即时消息）进行安全检查。4.以下哪些行为可能泄露个人敏感信息，增加社会工程学攻击的风险？（至少选择两项）A.在社交媒体上公开分享详细的个人行程。B.随意在公共场合谈论自己的账号密码或验证码。C.在非安全环境下连接公共Wi-Fi网络。D.对陌生人提供的“免费”USB驱动器或U盘感到好奇并插入电脑。E.使用默认密码或容易猜到的密码。5.假冒身份攻击可能发生在哪些场景中？（至少选择两项）A.电话呼叫（如假冒客服、银行人员、政府官员）。B.邮件沟通（如假冒同事、合作伙伴、高管）。C.线下接触（如假冒IT支持、维修人员、访客）。D.在线会议（如假冒项目发起人或客户）。E.网站钓鱼（使用假冒的网站界面）。四、简答题1.简述社会工程学攻击与黑客技术攻击的主要区别。2.网络钓鱼（Phishing）攻击通常有哪些特征？用户应如何防范？3.“情景模拟”（Pretexting）攻击是什么？请举例说明其可能的应用场景。4.物理安全方面，组织可以采取哪些措施来防范社会工程学攻击导致的信息泄露？5.描述一下当你接到一个要求提供敏感信息或执行特定操作的疑似诈骗电话时，你可以采取哪些步骤来确认其真实性并保护自己。五、案例分析题你是一家公司的普通员工，收到一封来自“市场部王经理”的邮件，主题是“关于下季度营销活动预算的讨论”。邮件内容看起来很正式，提到了你参与的一个项目，并附有一个PDF文件，标题为“营销活动预算草案.pdf”。邮件末尾提到：“请审阅附件，并在明天下午5点前给我反馈，以便提交给张总审批。”邮件使用了公司常用的邮件域名（@），且“王经理”的邮箱地址看起来也正常。但是，你注意到附件的文件扩展名是“.pdf.exe”（使用了伪装）。请分析这个案例中可能存在的风险，并说明你将如何处理这封邮件。试卷答案一、是非题1.×2.×3.×4.×5.×6.×7.×8.×9.×10.√解析：1.社会工程学攻击的核心是利用人性的弱点和心理操纵，而非单纯依赖技术。(√)2.僵尸网络攻击是利用被控制计算机的集体计算资源，属于恶意软件和网络攻击范畴，而非直接利用受害者人性弱点。(√)3.邮件链接看起来官方不代表就是安全的，需要核实链接的真实性（如检查发件人地址、将鼠标悬停在链接上查看目标URL），不直接点击。(√)4.简单密码容易被猜到或通过社会工程学手段获取，即使不告诉别人，安全性也很低。(√)5.允许未经验证的外部人员进入办公区域存在物理安全风险。(√)6.社会工程学攻击者非常依赖对目标的背景研究，会通过公开渠道（网站、社交媒体、公开记录等）搜集大量信息。(√)7.“鱼叉式钓鱼”虽然更具针对性，但并非无法防范，通过加强意识、验证身份等措施仍可有效抵御。(√)8.任何个人敏感信息的泄露都可能被用于社会工程学攻击，导致身份盗用、账户劫持等风险。(√)9.安装杀毒软件是重要的安全措施，但无法完全防范利用心理操纵的社会工程学攻击。(√)10.即使知道部分个人信息，电话中的陌生人仍可能是骗子，应通过官方渠道核实信息，不轻易处理。(√)二、选择题1.C2.B3.C4.C5.C6.C7.B8.D9.B10.C解析：1.诱骗信息索取（QuidProQuo）是指攻击者提供某种利益或服务，以换取受害者提供信息。选项C描述了通过提供帮助来索取信息的行为。(√)2.网络钓鱼的核心是发送伪装成合法来源的邮件，诱导用户点击恶意链接或提供敏感信息。邮件内容详尽、有链接是典型特征。(√)3.提高意识和进行安全培训是防范社会工程学攻击的基础和最关键环节，技术措施是辅助。(√)4.尾随进入内部区域属于典型的物理入侵（Tailgating）行为。(√)5.正确做法是核实。通过官方渠道（官网、官方客服电话）确认来电的真实性，不直接提供验证码或进行转账。(√)6.花费时间研究目标，即进行信息收集和背景调查，是利用公开可获取的信息，这是社会工程学攻击的典型特点。(√)7.防范假冒身份的关键在于核实身份。通过官方渠道确认、观察工牌制服、要求当面验证等方式最为有效。(√)8.邮件来自看似内部发件人但存在拼写错误、语气生硬等问题，是SpearPhishing攻击的常见特征，即针对性强的钓鱼攻击。(√)9.在公共场所使用不安全的Wi-Fi，网络流量可能被嗅探，导致敏感信息泄露。因此，确保网络安全（如使用HTTPS、VPN）是重要防范措施。(√)10.向他人提供账号密码，无论临时与否，都失去了对该账户的控制权，极易导致账户被盗用风险。(√)三、多选题1.A,B,C,D2.A,B,C,E3.A,B,C,D,E4.A,B,C,D,E5.A,B,C,D解析：1.选项A（制造紧迫感）、B（利用权威）、C（建立信任关系）、D（利用贪婪或同情心）都是社会工程学攻击中常用的心理操纵技巧。(√)2.攻击者获取内部资料可能通过：A.模仿内部人员（情景模拟）进行电话或邮件攻击。(√)B.物理接触或观察（物理入侵或社会工程学辅助）。(√)C.研究公开信息（利用公开信息）。(√)D.直接攻击网络属于技术攻击范畴，非典型社会工程学。✖E.伪装身份（如供应商、客户）进行访谈获取信息（情景模拟/利用公开信息）。(√)3.组织防范社会工程学措施包括：A.员工安全意识培训。(√)B.严格的访问权限控制。(√)C.多因素认证增加账户安全。(√)D.限制外部人员进入，加强物理监管。(√)E.对传入信息进行检查过滤。(√)4.泄露敏感信息增加风险的行为包括：A.社交媒体暴露过多个人信息。(√)B.口头泄露账号密码等敏感信息。(√)C.使用不安全的公共Wi-Fi。(√)D.对来历不明的USB驱动器好奇并使用。(√)E.使用弱密码。(√)5.假冒身份攻击场景广泛：A.电话诈骗（假冒各种身份）。(√)B.邮件诈骗（假冒各种身份）。(√)C.线下诈骗（假冒IT、维修、访客等）。(√)D.在线会议诈骗（假冒会议参与者或发起人）。(√)E.网站钓鱼属于网络钓鱼攻击，不是直接假冒身份与受害者互动。✖四、简答题1.简述社会工程学攻击与黑客技术攻击的主要区别。答：社会工程学攻击主要利用人的心理弱点、社会工程学技巧和信任关系来获取信息、欺骗或操纵受害者，攻击对象是人，不直接攻击技术系统漏洞。而黑客技术攻击主要利用计算机系统、网络或软件的技术漏洞，通过技术手段（如病毒、木马、网络扫描、密码破解）侵入系统、窃取数据或破坏设施，攻击对象是技术系统。两者目标可能一致，但攻击方式和侧重点不同。2.网络钓鱼（Phishing）攻击通常有哪些特征？用户应如何防范？答：网络钓鱼邮件/信息通常特征包括：*发件人地址看似合法但略有不符或来自可疑域名。*标题紧急、诱导性强，如威胁账户关闭、中奖通知等。*内容要求用户提供敏感信息（账号、密码、验证码、银行卡号等）或点击链接。*链接指向与显示内容不符的假冒网站（URL复杂、包含奇怪字符或与官方域名不同）。*附件可能是恶意程序或伪装成正常文件（.pdf.exe）。*语法错误、拼写错误较多。*威胁不采取行动将导致严重后果。用户防范措施：*对任何索要敏感信息的邮件/信息保持高度警惕，特别是来自未知发件人。*核实发件人身份，通过官方渠道联系确认。*不轻易点击邮件中的链接或下载附件，将鼠标悬停在链接上查看真实URL。*不在可疑网站上输入个人信息，直接访问官方网站（通过书签或官方搜索）。*启用浏览器安全功能，使用多因素认证。*定期更新安全意识。3.“情景模拟”（Pretexting）攻击是什么？请举例说明其可能的应用场景。答：情景模拟（Pretexting）是一种社会工程学攻击手法，攻击者编造一个虚假的情景或身份（借口），以此作为掩护来获取目标信任，进而诱骗其提供敏感信息或执行特定操作。攻击的核心是“表演”一个角色或设定一个场景。举例说明其应用场景：*攻击者伪装成银行客户服务代表，打电话给员工，编造一个“系统升级”需要员工提供其个人访问凭证的借口，诱骗员工泄露密码。(√)*攻击者冒充IT支持人员，通过邮件联系普通员工，声称需要远程协助解决其电脑问题，编造一个“需要获取管理员权限”的理由，诱骗员工下载并运行恶意软件或提供账号信息。(√)*攻击者伪装成市场调研员，通过电话联系公司高管，编造一个“针对竞争对手产品的用户反馈调查”的借口，试图获取公司内部的产品计划或定价策略信息。(√)4.物理安全方面，组织可以采取哪些措施来防范社会工程学攻击导致的信息泄露？答：组织可以采取的物理安全措施包括：*严格控制办公区域出入，实施门禁系统，对授权人员进行登记。(√)*员工进出办公室时随手关门，禁止尾随进入。(√)*对敏感区域（如数据中心、服务器室、文件存储区）设置更严格的物理访问权限。(√)*对访客进行登记、身份验证，并由指定人员陪同进入。(√)*妥善保管门禁卡、钥匙等身份凭证，禁止借给他人。(√)*安装监控摄像头，覆盖关键区域和出入口。(√)*对废弃的硬盘、文件等含有敏感信息的物品进行彻底销毁处理。(√)*培训员工警惕可疑人员或行为，发现异常及时报告。(√)5.描述一下当你接到一个要求提供敏感信息或执行特定操作的疑似诈骗电话时，你可以采取哪些步骤来确认其真实性并保护自己。答：接到疑似诈骗电话要求提供敏感信息或执行操作时，可采取以下步骤：*保持冷静，不慌张。不被对方制造的紧迫感或权威感所影响。(√)*挂断电话，通过官方渠道核实。不要直接相信来电者，记下其声称的姓名、部门、来电号码。然后挂断电话，通过公司官网、官方邮箱、内部电话簿或亲自前往公司（如果情况允许且安全）等方式，联系真实的对应人员进行确认。(√)*确认对方身份。在核实时，可以反问对方“你是谁？有什么事？”确认其身份和事由。(√)*绝不透露敏感信息。绝不直接告知对方密码、账号、验证码、社保号、银行卡号等个人或公司敏感信息。(√)*警惕要求转账或执行可疑操作。对要求进行转账、点击不明链接、安装软件、提供远程控制权限等请求要坚决拒绝。(√)*记录通话详情。记下通话时间、对方信息、涉及内容等，以便后续报告或参考。(√)*报告可疑电话。将接到的可疑诈骗电话向公司IT部门或安全部门报告，以便组织采取措施（如更新黑名单号码）。(√)五、案例分析题你是一家公司的普通员工，收到一封来自“市场部王经理”的邮件，主题是“关于下季度营销活动预算的讨论”。邮件内容看起来很正式，提到了你参与的一个项目，并附有一个PDF文件，标题为“营