對(duì)于很多網(wǎng)絡(luò)管理員來(lái)說(shuō)，防范高級(jí)持續(xù)性威脅（APT）攻擊最大的障礙往往不是黑客采用了什么先進(jìn)的攻擊技術(shù)，而是員工的好奇心。很多員工會(huì)在好奇心的驅(qū)使下，點(diǎn)開他們收到的帶有色情或驚奇噱頭的郵件、文件、鏈接，結(jié)果公司網(wǎng)絡(luò)被APT攻擊成功攻陷。

　　黑客很早就找到了利用人性缺陷傳播惡意軟件的訣竅，早在15年前，著名的“庫(kù)爾尼科娃”蠕蟲病毒誕生。這個(gè)病毒號(hào)稱帶有俄羅斯網(wǎng)壇美少女庫(kù)爾尼科娃的精美圖片，這引發(fā)了很多人的好奇并點(diǎn)擊。但實(shí)際上，該病毒為一蠕蟲病毒，收件人一旦試圖查看所謂的庫(kù)爾尼科娃圖片，病毒就會(huì)侵入電腦并自動(dòng)復(fù)制，將此附件檔案?jìng)魉偷诫娮有畔渫ㄓ嶄浬系乃惺占?，進(jìn)而癱瘓電子郵件服務(wù)器。

　　更大的問(wèn)題在于，很多人在明知存在惡意軟件風(fēng)險(xiǎn)的情況下，依然抑制不住自己的行為，在遇到這些陷阱時(shí)依然毫不遲疑地上鉤。即使在15年后的今天，仍然有很多人在搜索引擎上輸入相關(guān)的關(guān)鍵字，尋找那張存在或者不存在的裸照。

　　在過(guò)去15年中，黑客的社交工程技巧已經(jīng)有長(zhǎng)足的進(jìn)步。雖然現(xiàn)在用戶對(duì)于不明來(lái)歷的電子郵件普遍都存有戒心，但是黑客正在不斷開辟新的戰(zhàn)場(chǎng)。如今，誘人產(chǎn)生好奇心的誘餌已經(jīng)出現(xiàn)在網(wǎng)站、社交軟件、移動(dòng)設(shè)備上，而且誘餌已經(jīng)不限于色情、驚奇的信息，而是包括諸如“工資單”“對(duì)賬表”等名頭。

　　對(duì)此，亞信安全專家白日表示，員工應(yīng)當(dāng)是第一道防線。要抵御社交工程攻擊，首先就要教育員工充分了解安全環(huán)境及企業(yè)的安全策略，但僅靠一些枯燥的專業(yè)說(shuō)教幫助并不大，員工們需要實(shí)實(shí)在在的案例。因此，使用模擬的社交攻擊情景練習(xí)是上策，讓員工真實(shí)體驗(yàn)到受害者當(dāng)時(shí)的心態(tài)特征和心理活動(dòng)，可以幫助員工在工作場(chǎng)景中降低“好奇心”。