社会工程攻击 (Social Engineering) Social Engineering

社会工程攻击不针对系统漏洞，而是针对「人」这个最薄弱的环节。常见手法包括：冒充交易所客服解决「账户异常」、伪装成项目方提供「内测白名单」、自称招聘方诱导下载恶意「面试题」、以及通过 LinkedIn / Telegram 长期建立信任后引导投资钓鱼合约。 朝鲜 Lazarus 集团多起大型盗币案（如 2022 年 Axie Ronin 6 亿美元、2024 年 WazirX 2.3 亿美元）的初始渗透均依赖社工——向员工投递伪装的工作机会 PDF 或 npm 包。 社工与钓鱼的区别在于：钓鱼更偏向批量化的伪造链接，社工则更依赖一对一沟通、长期铺垫与角色扮演，识别难度更高。