对于很多网络管理员来说，防范高级持续性威胁(APT)攻击最大的障碍往往不是黑客采用了什么先进的攻击技术，而是员工的好奇心。很多员工会在好奇心的驱使下，点开他们收到的带有色情或惊奇噱头的邮件、文件、链接，结果公司网络被APT攻击成功攻陷。

黑客很早就找到了利用人性缺陷传播恶意软件的诀窍，早在15年前，著名的“库尔尼科娃”蠕虫病毒诞生。这个病毒号称带有俄罗斯网坛美少女库尔尼科娃的精美图片，这引发了很多人的好奇并点击。但实际上，该病毒为一蠕虫病毒，收件人一旦试图查看所谓的库尔尼科娃图片，病毒就会侵入电脑并自动复制，将此附件档案传送到电子信箱通讯录上的所有收件人，进而瘫痪电子邮件服务器。

更大的问题在于，很多人在明知存在恶意软件风险的情况下，依然抑制不住自己的行为，在遇到这些陷阱时依然毫不迟疑地上钩。即使在15年后的今天，仍然有很多人在搜索引擎上输入相关的关键字，寻找那张存在或者不存在的裸照。

在过去15年中，黑客的社交工程技巧已经有长足的进步。虽然现在用户对于不明来历的电子邮件普遍都存有戒心，但是黑客正在不断开辟新的战场。如今，诱人产生好奇心的诱饵已经出现在网站、社交软件、移动设备上，而且诱饵已经不限于色情、惊奇的信息，而是包括诸如“工资单”“对账表”等名头。

对此，亚信安全专家白日表示，员工应当是第一道防线。要抵御社交工程攻击，首先就要教育员工充分了解安全环境及企业的安全策略，但仅靠一些枯燥的专业说教帮助并不大，员工们需要实实在在的案例。因此，使用模拟的社交攻击情景练习是上策，让员工真实体验到受害者当时的心态特征和心理活动，可以帮助员工在工作场景中降低“好奇心”。

(责任编辑：安博涛)