社会工程：心理战、人类黑客、说服和欺骗的艺术（一）

社会工程：心理战、人类黑客、说服和欺骗的艺术（一）

原文：annas-archive.org/md5/e412c31b06af7a81d6ab4a5d00c93a87

译者：飞龙

协议：CC BY-NC-SA 4.0

引言

如今，大量的人已经对利用敏感数据和各种组织（包括银行、企业甚至政府机构）受保护的计算机系统的黑客非常熟悉。 往往，您会听说黑客并受到激励以防范他们的策略。 大多数组织通过投资于新的和最新的技术来加强其防御来抵御黑客的攻击。

另一方面，有一种新型攻击者利用其专业知识超越组织的解决方案和工具。 这种新型攻击者被称为社会工程师，也被称为黑客； 但是，他们的主要目标是利用人类心理的弱点。 社会工程师利用电话呼叫和社交媒体等媒介来欺骗人们，以便他们可以获取重要和敏感信息。

社会工程学涉及一系列恶意活动，以各种方式执行，例如预文化、钓鱼、以点还点、诱饵和尾随等。

预文化是一种社会工程，攻击者在其中创造了一个虚假的情景或好的借口，用以窃取个人信息。 往往，使用预文化的攻击者被误认为是需要个人信息来确认其目标身份的骗子。

具有高级社会工程技能的攻击者试图说服其目标执行某些操作，以获取对组织的访问权并利用其结构缺陷。 例如，攻击者可能扮成外部 IT 服务审计员，试图操纵组织的物理安全人员，以便他/她可以进入建筑物。

社会工程攻击通过预文化依赖于与目标建立一种虚假的信任感。 攻击者需要编造一个可信的故事，让他/她的目标几乎没有怀疑的余地； 因此，攻击者可以获取既敏感又非敏感的信息。 有一个案例，一群攻击者扮成模特经纪人并编造了捏造的故事以及面试问题。 攻击者针对的是那些被操纵发送裸照的女性。

钓鱼被认为是当今攻击者最常用的一种社会工程类型。 钓鱼诈骗具有明显的特征，例如获取目标的个人信息，包括姓名、社会安全号码和地址； 利用恐惧、紧迫感和威胁来操纵目标迅速行动； 并使用嵌入式链接或链接缩短器通过看似授权或合法的 URL 将目标重定向到可疑网站。

尽管一些网络钓鱼邮件制作得很差，即消息包含语法错误和拼写错误，它们仍然可以将目标引导到假网站。网络钓鱼邮件旨在窃取目标的登录凭据和其他个人信息。

往往，利用网络钓鱼邮件的攻击者将恶意软件与他们的网络钓鱼计划配对，以获取用户的信息。例如，有报道称，攻击者向目标发送了网络钓鱼邮件。目标被提示从 Google Play Books 安装破解的 APK 文件。然而，这些文件已经预先加载了恶意软件。

交换条件是社会工程学的另一种形式。它涉及攻击者向目标承诺，目标将收到一项利益，以换取特定的信息。攻击者向目标承诺的利益是以服务而不是商品的形式出现的。

往往，利用交换条件策略的攻击者扮演作为 IT 服务的人的欺诈者的角色。攻击者通常会尽可能多地拨打来自组织的直线电话，并为他们的目标提供 IT 援助。然后，他们将承诺快速解决某个 IT 问题，同时促使他们的目标关闭其防病毒程序。一旦目标同意，欺诈者就会在他们的目标计算机上安装恶意软件，这些软件会伪装成软件更新。

也有些情况下，攻击者使用较不复杂的交换条件策略。例如，攻击者知道许多人，特别是办公室工作人员，愿意交换密码以换取一块巧克力，甚至是一支廉价的笔。

另一种社会工程学的形式是诱饵攻击，它在许多方面类似于网络钓鱼和交换条件。攻击者利用诱饵来诱使目标向可疑网站提供其登录凭据，以换取一种商品或物品。往往，攻击者向目标提供免费的电影或音乐下载。

但是，诱饵攻击并不局限于在线计划。利用这种社会工程学的攻击者还可以通过物理媒体利用人类的好奇心。曾经有这样一个案例，一个组织的创始人和他的团队在组织停车场周围散布了许多带有特洛伊木马病毒的 U 盘。大多数员工出于好奇，拾起并将 U 盘插入其电脑、笔记本电脑和平板电脑中。一旦插入了 U 盘，键盘记录器就会被激活，创始人就能够访问员工的登录凭据。

尾随，也称为“搭便车”，是一种社会工程学形式，涉及在组织中没有适当认证的攻击者。攻击者跟踪员工以获取进入受限区域的权限。

闯关攻击通常涉及伪装成等待在组织停车场的送货司机的攻击者。当攻击者看到员工得到了安全审批时，通常携带“交货物品”的攻击者会要求员工扶着门。这样，他们就从一个被授权进入建筑物的人那里获得了进入权限。

社会工程师通常在小型组织或公司中使用闯关攻击，因为大多数大公司要求员工刷他们的身份证。然而，在中小型公司的情况下，攻击者可以轻易地与员工交谈，向安全人员展示一种熟悉感，从而绕过后者以及前台。

一位知名的安全顾问曾利用闯关攻击进入了一栋大楼的几层，其中包括一家金融公司的数据室。该顾问能够进入建筑物的三楼会议室，在那里工作了几天以获取信息。

显然，社会工程攻击遍布各个组织，并被视为对各种组织的巨大威胁。社会工程可能会使目标每年损失数千甚至数百万美元，因为它攻击了拥有组织敏感信息访问权限或知识的人员。今天，大多数攻击者利用各种策略和社交网络方案来获取他们目标的专业和个人信息。最容易受到社会工程攻击的人员是新员工，其次是承包商、人力资源、高级助理、IT 人员和业务领导。

不幸的是，一些组织没有意识和预防计划来对抗社会工程。此外，也有一些组织没有防范社会工程策略的安全政策或员工培训。

本书提供了有关社会工程的宝贵信息。在第一章中，您将了解到什么是社会工程以及社会工程师的目的，以及攻击者使用的不同策略。本书的第二章提供了关于攻击者使用的基本心理策略的相关信息。

第一章：什么是社会工程？

社会工程是通过利用人类心理学来获取系统、数据或建筑物的访问权限的一种方法。 社会工程不是使用技术手段或者闯入，而是利用攻击者采用的非技术方案。 例如，攻击者可以打电话给目标或员工，并冒充 IT 支持人员，而不是找到目标公司的软件漏洞。 然后，攻击者会欺骗目标交出他/她的密码。 社会工程师的主要目标是在某家公司获得尽可能多的目标的信任。

在上世纪九十年代，著名黑客凯文·米特尼克（Kevin Mitnick）推广了术语“社会工程”，尽管欺骗个人透露敏感信息的概念已经存在了很多年。

社会工程师类型

社会工程有许多形式。它既可以友好也可以恶意，并且可以建立和摧毁目标。了解不同类型的社会工程师的知识对于确定如何应对他们至关重要。

黑客

黑客被认为是最受欢迎和最突出的社会工程师类型。即使软件供应商开发了更加坚固和难以破解的软件系统，黑客也能够攻击它们。 网络和软件攻击变量，包括黑客行为，正迅速成为社会工程技能的一部分。 这种社会工程师通常使用个人和硬件技能的组合，并在全球范围内进行了次要或重大违规行为。

渗透测试员

熟练的渗透测试员或 pentester 与黑客非常相似，因为他们使用黑客技能来渗透公司或目标的安全系统。 渗透测试员是那些具有恶意黑帽技能的人； 但是，他们不使用他们获得的信息来伤害目标或出于个人利益。

身份盗窃者

身份盗窃是指在不知情的情况下利用个人姓名、地址、银行账号、社会安全号码和出生日期的信息。 这是一种从穿着制服到冒充个人再到更复杂的攻击等犯罪行为。 身份盗窃者进行了许多社会工程技巧。 如今，身份盗窃者在进行的骗局方面变得更加有创意和独特。

间谍

间谍是那些将社会工程技能作为其生活的重要组成部分的人。 他们通常在自己的骗局中运用社会工程原理。 间谍被认为是科学专家，因为他们被教导各种欺骗或愚弄目标的方法。 此外，来自世界各地的间谍都接受了社会工程技能的教育和训练，以便他们能够建立信誉并成功地询问他们的目标。

不满的雇员

大多数情况下，组织成员如果对雇主感到不满或不满意，也会对雇主产生反叛心理。此外，大多数雇主无法确定员工的不满，因为后者自然会隐藏自己的担忧以保护自己的工作。因此，雇主和员工之间的关系是单向的。遗憾的是，对雇主或组织感到极度不满的员工发现执行恶意行为（如盗窃、破坏、安全漏洞和其他违法行为）变得更容易。

在确定员工是否变得不满并倾向于实施社会工程策略时，雇主可以使用一些信号。

1. 不满的员工知情并意识到，那些经常请病假、频繁请假或提前回家的员工很可能是组织中的常见罪犯。因此，不满的员工倾向于启动额外的工作、任务或职责，长时间工作，或者只是试图引起组织高层的注意。这种行为模式被称为保护性行为模式。

2. 如果员工因为一些可能破坏他们的欺诈或骗局的小事或大事而感到不满，他们确实是不满的，并且很可能会导致社会工程策略。他们也可能对组织或管理发表负面言论，以便同事在他们被发现犯错时对他们表示同情。例如，不满的员工可能会说高层管理层腐败、不公平或不感激，并试图鼓励其他员工。一旦不满的员工被抓住，他们就会简单地说，与高层管理对员工的不公平相比，他们的不当行为无足轻重。

3. 不满的员工很可能表现出反社会的孤独个性。虽然这种个性可能与生俱来，也可能不是，但不满的员工往往会在他们思考、计划和执行犯罪时变得孤独。同样，这些员工经常会把所有的不良行为归咎于组织或高层管理人员。当员工不断抱怨工作场所、同事或高层管理时，这种个性就会形成。最终，这会让他们觉得自己是孤独的，因此变得反社会。他们对同事变得冷漠和冷淡。

4. 不满的员工很可能不合适地改变他们的生活方式。他们的资产可能会突然增加，经常旅行，购买奢侈品，甚至开设离岸银行账户，这些都与他们实际工资不符合。在这种情况下，雇主应注意这些员工如何能负担得起这样的生活方式。此外，进行社会工程策略的不满的员工主要受到自我和金钱的驱使。

执行招聘人员

招聘人员被要求掌握社会工程的各个方面和技能。他们需要成为引诱技巧以及各种心理社会工程原理的专家。因此，他们擅长理解和辨别什么激励他们的目标。大多数时候，招聘人员攻击职位发布者和求职者。

骗术艺术家

骗术艺术家，也被称为骗子，利用贪婪以及可能吸引他们目标的欲望和信仰来赚钱。骗术艺术家有能力识别信号，使他们的目标成为良好的猎物。他们擅长建立对目标不可抗拒且充满“机会”的情境。

政府

政府经常被忽视作为社会工程师；然而，他们擅长控制他们统治的人和传达的信息。大多数政府利用权威、社会证明和稀缺性来确保他们能够控制他们的目标。另一方面，鉴于一些传达的信息对目标有利，这种社会工程技能并不总被认为是负面的。此外，政府利用社会工程元素来使信息更具说服力、吸引力和被接受性。

销售人员

销售人员与招聘人员类似，因为他们也是一些人际关系技能的专家。根据大多数销售专家的说法，一个有效的销售人员并不控制人们，而是利用他们的技能来确定客户的需求，并找出他们是否能够满足这些需求。销售的艺术涉及各种社会工程技能，包括引诱、信息收集、心理学原理和影响等。

心理学家、医生和律师

大多数人可能会惊讶地发现，这些职业领域的人属于社会工程师的类型。这个团体执行的技术与其他类型的社会工程师使用的技术类似。例如，这个团体使用引诱、心理学原理、审讯和适当的采访策略来获得以及操纵他们的客户或目标，使他们朝他们想要的方向发展。

因此，人们可以在各种领域找到社会工程的方面，无论它们是否可能表现为受过良好教育的专业人士，如医生和律师。这表明社会工程也是一门科学，涉及存在的方程式，使一个人能够应用导致他们目标实现的社会工程技能。一个方程可以被解释为：借口+对贪婪的依恋+操纵=受害目标。

社会工程师的目标

大多数社会工程师的主要目标是获取目标的个人信息，这可能导致身份或财务盗窃，或者为更深入的攻击做准备。往往，社会工程师会找到方法将恶意软件安装到公司系统中，以获取计算机账户、个人数据和其他敏感信息的访问权限。在某些情况下，社会工程师寻找能够转化为竞争优势的方法。对社会工程师有价值的一些最常见的物品包括密码、钥匙、账号、访问卡、身份徽章、任何个人信息、计算机系统的详细信息、电话名单、非公开 URL 的信息、服务器、内部网、服务器以及具有访问权限的目标姓名等。

社会工程策略

不幸的是，与社会工程有关的攻击手段有很多。攻击者可能欺骗目标访问一个假的网页，为他们留下一个开放的门，下载包含恶意代码的文档，甚至将 USB 插入计算机，以便他们能够访问目标的企业网络。与社会工程相关的一些典型策略包括：

加为好友。这种策略涉及社会工程师赢得目标的信任，并促使其点击包含恶意软件的附件或链接。这种恶意软件通常包含对企业系统有害的威胁。一旦社会工程师进入企业系统并通过恶意软件找到其弱点，他们可能开始利用。例如，社会工程师可能与目标开始在线对话，并促使他们透露有用和敏感信息。

冒充或社交网络侵占。这种策略涉及社会工程师使用目标及目标的朋友或其他联系人的名字在推特上发推文。然后，社会工程师请求目标帮忙，比如提供工作数据或发送电子表格。需要注意的是，社会工程师可以操纵或伪造计算机系统上看到的任何内容。

冒充内部人员。这种策略涉及社会工程师冒充 IT 帮助台承包商或工作人员，以获取目标的密码等信息。在一项涉及某公司员工的漏洞评估研究中，90%的员工信任冒充同事的同谋。因此，同谋们能够获取有关公司的个人信息和其他敏感信息。

第二章：社会工程 - 基本心理战术

社会工程涉及攻击者采用的基本心理策略，以获得目标的信任和获取他们想要的东西。了解社会工程的基本原理是必要的，这样在成为攻击目标时更容易识别。

社会工程师散发出控制和自信。自然而然，那些试图进行欺骗或欺诈行为的人会自信并控制局面。例如，社会工程师可能会试图假扮成服务公司的员工，甚至伪造徽章只是为了进入安全建筑物。社会工程师只需要表现得好像他们属于那里。因此，作为社会工程师传递出控制和自信，他们能够使建筑物中的其他人感到安心。

以音乐会上的安保人员为例。安保人员允许人们进入场馆时并不查看徽章。他们会寻找不寻常的姿势。例如，安保人员可以确定一个粉丝是否潜回去一睹明星的风采。他们还了解参与活动的人员。

社会工程师也可能开始一场对话，以占据优势。因此，当他们能够向目标提出问题时，他们就能控制对话。往往，社会工程师会以问题开始对话，这可能立即使目标处于防御状态。因此，目标感受到社会压力，需要提供适当或正确的回应。

在某人既在线上又离线上表现出控制和自信时，关键是不要变得太放松。例如，公司应建议员工在允许外部人员进入建筑物时保持警惕。无论他们的面孔是否熟悉，都应对客人甚至服务提供者进行认真检查。

社会工程师提供好处或免费礼物。 社会工程师利用的一个人类冲动是回报。往往，当人们收到礼物或好处时，无论他们是否喜欢给予者，他们都觉得有必要回报。社会工程师可能会提出为公司成员开门或向接待员提供饼干以进入建筑物。

大多数社会工程师知道，提供礼物并要求帮忙之间的时间延迟至关重要。这是因为目标可能会把礼物视为贿赂，当社会工程师立即请求帮忙时。当目标认为礼物是贿赂时，目标很可能会感到不舒服。因此，社会工程师倾向于在早上给保安或前台送礼物，然后在下午再回来。社会工程师可能会声称出现了混乱，比如假装在会议后遗忘了一个物品或者说物品遗留在建筑物的某个房间。作为对后者礼物的回报，保安或前台很可能会允许社会工程师进入建筑物。

为了防止类似事件的发生，员工应该持怀疑态度，特别是当有人试图给他们送礼物时。在大多数情况下，社会工程师会花费数周时间来奠定与目标的互惠关系基础，使他们能够进入安全或敏感区域。

社会工程师善于利用幽默。一般来说，人们喜欢和幽默感强的人在一起。大多数社会工程师都知道这个事实。他们知道他们可以利用幽默来获取信息、摆脱麻烦或者说服门卫。例如，一个社会工程师可能只是向质疑他们的保安传达一个乐观的印象。社会工程师通常给他们的目标人群的印象是他们对质疑并不担忧。

此外，社会工程师可能会试图开始一场对话，以从目标那里获取信息。例如，一个社会工程师可能会冒充 IT 人员并伪造一个电话，询问目标的密码。在电话中，社会工程师可能会利用幽默，因为在对话轻松有趣时，目标很可能会自愿提供敏感信息。

社会工程师总是说明原因。最近进行了一项涉及两组参与者的研究。第一组正在排队使用图书馆的复印机。第二组的任务是插队以便他们可以第一个使用机器。研究发现，当人们听到“因为”这个词时，他们往往倾向于让步给个人。在这项研究中，第二组插队使用复印机，说的是：“对不起，我可以使用复印机吗？因为我有五页资料而且很着急。” 这个陈述让第一组的 94%让步，允许个人跳过队伍。

在另一种情况下，第二组中的一个人使用了这句话：“对不起，我可以用复印机吗？我有五页。” 这句话让第一组中的 60%让步。在最后一个场景中，第二组使用了这句话：“对不起，我可以用复印机吗，因为我有五页需要复印吗？” 尽管理由可能荒谬，但 93%的第一组允许了插队者。

因此，研究中的魔法词是“因为”。社会工程师知道这一点。当他们试图与特定建筑物中的人混为一体，并像自己拥有这个地方一样四处走动时，其他人会认为他们真的属于那里。同样，使用“因为”这个词的社会工程师很可能向目标传达他们有一个合理的理由。大多数人在被给予一个理由的感知时很可能会合作，无论这个理由是否合理。

鉴于社会工程师可以在任何环境中工作，人们应该花时间了解周围发生的事情以及对他们说了什么。往往，那些度过忙碌一天的人很可能立即放弃信息，只是为了结束一天并休息。社会工程师寻找看起来压力山大的目标，因为他们知道这些人很可能失去警觉和头脑的存在。

引诱

引诱指的是通过逻辑得出真相或结论，或者达到一个真相或结论。它也被称为刺激，引发或唤起特定类别的行为。

在社会工程的背景下，引诱被用来通过一系列刺激性问题引导目标，使他们表现出社会工程师所希望的行为。在社会工程中，攻击者精心设计他们的言辞和问题，并提高他们的技能水平。精通引诱信息的社会工程师可以让他们的目标想要回答每个问题或请求。

大多数政府警告并教育他们的员工关于引诱，因为这种心理变量被全球间谍使用。例如，美国政府的国家安全局在其培训材料中将引诱定义为“在一次看似正常和无辜的对话中，对信息进行微妙的提取。” 这个定义中提到的对话可以发生在任何地方，比如托儿所、餐厅、健身房，或者任何目标所在的地方。

鉴于引诱是低风险且极难被察觉的，它与社会工程的其他方面结合得很好。往往，目标永远不知道关于他们的信息泄漏来自何处。无论是否有怀疑，目标通常会将其视为一个应该或不应该回答的问题。

有几个原因解释了为什么引诱与社会工程配合得很好。

1. 大多数人甚至对陌生人也想表现得礼貌。

2. 当人们受到表扬时，他们很可能会谈论并透露更多关于自己的信息。

3. 专业人士希望在他们的领域展现出智慧和优越性。

4. 大多数人会尽可能愉快地回应那些似乎关心他们的人。

5. 大多数人并不是因为想说谎才说谎。

社会工程师在处理目标时考虑的这些因素是非常重要的。 社会工程师知道这些因素通常是每个人固有的，这使得引诱在他们的诡计中起作用。 因此，他们能够让人们谈论任何关于他们的信息。

大多数时候，社会工程师使用轻松简单的对话来从他们的目标中获取最相关的信息。 但在这样做之前，他们确保自己对目标清晰，以便从引诱中获得最佳结果。 另一方面，社会工程师不仅仅利用引诱来获取信息。 他们用它来使他们的假设更可信，并获得他们想要的信息。

引诱的目标

基于上述引诱的定义，社会工程师得到了明确的目标路径。 社会工程师希望他们的目标采取行动，无论这种行动是简单地回答问题还是复杂地访问特定的限制区域。 为了让他们的目标按照自己的意图行动，社会工程师倾向于提出几个问题或简单地保持对话，这将刺激他们的目标走向他们引导的路径。

有效引诱的关键是信息。 社会工程师收集的信息越多，他们的诡计就越成功。 鉴于引诱的风险较低，它对目标并不构成威胁。 例如，人们在咖啡店、商店或其他地方与他人进行无论是重要还是无意义的对话。 因此，保持对话的整个概念都沉浸在引诱中，并将其以不吉利的方式利用。 这就是为什么保持对话在引诱中非常重要。

不管使用的方法是什么，引诱的目标都是获取信息并利用它刺激目标走向社会工程师引导他们的路径。 这就是为什么人们应该能够辨别“正常”对话和引诱之间的区别，因为这可能很难区分。

此外，社会工程师在进行对话艺术方面是大师。 他们已经精通了与他们的目标交谈的三个主要步骤。

第一步是自然。社会工程师可以通过自然的方式在与他们的目标打交道时说话和行动来创建和保持对话。例如，他们能够与他们的目标就他们擅长的某些事情进行对话。因此，他们能够轻松地站着，向目标传达他们的知识，而不向目标透露任何恶意的暗示。社会工程师散发着自然和自信。他们不仅掌握了说话的方式，还掌握了对话的非言语因素。

第二步是教育。社会工程师了解他们与目标交谈的内容。他们避免假装自己比他们被认为是的更聪明。这意味着，如果他们想从一个营销公司获得信息，而他们的目标是一名高级营销人员，他们的引诱方法应涉及到目标感兴趣的内容。社会工程师在选择与他们的目标交谈之前进行研究，练习和准备。他们带着充分的知识来说话，以便能够聪明地谈论一个特定的主题。

第三步也是最后一步就是不贪心。这一步可能与社会工程师的动机相矛盾。然而，创建和保持对话的目标是获取信息，得到答案，并获得进入目标领域的关键。因此，当与他们的目标交谈时，社会工程师避免过多地获取信息。相反，他们应用互惠的概念，使对话成为一种互相给予和接受的过程，而不是单向的。他们还允许他们的目标主导对话。即使对话导致他们获得了少量信息，社会工程师也足够耐心，不会因为过度贪婪而进一步深入，并引起他们目标方面的警惕。

这些成功对话的步骤也是成功引诱的关键。它可以改变社会工程师与他们目标交谈的方式。

成功引诱的关键要素

社会工程师首先通过缺乏与他们的目标交流的恐惧以及处于不被视为正常的环境中应用引诱原则。

作为培训其特工的一部分，美国国土安全部（DHS）制定了一份关于引诱的内部小册子。这是一本手册，其中包含一些重要的提示，以区分正常对话和引诱的区别。它还包含了他们的特工如何避免引诱的措施。

在小册子中的一个场景中，攻击者告诉目标，“你的工作一定很重要...这就是为什么其他人对你很高看。”然后目标回答说：“谢谢你，但是我的工作并不那么重要。我所做的只是...”这种避免技巧可能会引起潜在引诱，尽管它通常吸引了目标的自负。

社会工程师倾向于打击目标的自尊心，但不过分。他们通常以最诚挚的态度做到这一点，而不会跟踪他们的目标。社会工程师不会说可能导致安全人员介入的事情。

社会工程师尽可能微妙地利用自我吹捧。他们在谈话中灌输奉承之词，而不使自己的方法过于过分或明显。

在 DHS 宣传册中的另一个场景中，攻击者说道：“你有合规数据库的背景吗？你应该看看我创建的模型，它是为了辅助认证而设计的报告引擎。我肯定可以给你一份副本。”然后，目标回答道：“我很想看看。我们公司一直在考虑为系统增加一个额外的报告引擎。”

攻击者的这种策略表达了相互利益，这被认为是一种重要的引诱方面。这种策略比吹捧目标的自尊心更强大和有效。这是因为当存在相互利益时，关系会延伸到超越最初的对话尝试。在这种情况下，社会工程师成功让目标同意进一步联系，通过承认攻击者的提议并表达对未来公司系统计划的兴趣。这一点本身就可能导致巨大的系统漏洞。

在这种情况下，社会工程师已经完全控制了目标。这意味着社会工程师对接下来的步骤以及释放的信息的内容、时间和数量都有控制权。自然地，一旦社会工程师建立了长期的互动，他们将能够与目标建立关系和信任，并让后者产生一种义务感。

DHS 宣传册中的另一个场景展示了故意制造虚假陈述。虽然这种策略可能会适得其反，但它和其他社会工程策略一样是一种强大的工具。

例如，攻击者说：“每个人都知道 ABC 公司在全球这种特定类型的小部件中销售最多的软件。”然后目标回答：“实际上并不是这样。我们公司从 1996 年开始销售同样的产品，我们的销售记录从那时起就没有被超越过。”

社会工程师的陈述是一种引诱形式，他们可以让目标用真实的事实回应。人们往往在听到错误信息或陈述后会更有可能纠正。仿佛他们被挑战证明否定。人们天生希望显得博学，告知他人，并不愿容忍错误陈述。大多数社会工程师知道这一点，并利用它从目标身上获取真实的事实。

DHS 手册还提到了一个场景，攻击者在其中主动提供信息。一旦社会工程师能够在与目标的对话中提供信息，后者就会被迫提供同样有价值的数据。人们很可能分享类似的观点、信息或新闻。社会工程师利用这一事实来设置对话的情绪或语调，同时灌输对目标的义务感。

DHS 手册中讨论的另一个操纵工具是假设知识。当人们假设某人在特定主题或情境中很有知识时，就可以与他们讨论。社会工程师能够利用这种人类特性，故意表现得在某个主题上很有知识，然后利用引诱建立对话。社会工程师擅长制造信息，使其看起来像是他们拥有这样的信息，并继续围绕它进行对话。

引出和智能提问

使用引诱进行社会工程的目标是获取看似微不足道的小信息，并后来构建出他们想要从目标那里得到的答案的清晰图景。向他们的目标提出智能问题为社会工程师提供了清晰的目标路径。为了获得导致他们成功攻击的答案，他们使用各种类型的问题。

开放式问题是一种类型的问题，不能简单回答是或否。例如，“今天有点热，是吗？”会得到一个“是”的回答。但是，问“你对今天的天气有什么看法？”会得到一个不仅限于是或否的真实回答。

社会工程师知道何时使用开放式问题，通过研究和分析知名记者。自然而然，优秀的记者使用开放式问题，以便他们可以继续从他们的受访者那里得到回应。

在社会工程的背景下，使用“如何”和“为什么”这样的开放式问题更具有影响力。这是因为它促使目标扩展他或她的回答。此外，开放式问题还促使目标透露其他社会工程师可能发现有价值的细节。

在某些情况下，提出开放式问题会引起一些抵抗。因此，社会工程师采用金字塔式方法，他们从狭窄的问题开始，然后跟进更广泛的问题。这种技巧在询问青少年时很明显。

例如，当一个青少年被问及开放式问题，如“学校怎么样？”他们只会回答“好”，没有更多的内容。但是，如果被问及狭窄的问题，比如“今年你学的是什么数学？”他们会回答“代数”。然后，可能已经跟进了更广泛的问题，以使青少年说更多的话。

社会工程师使用的另一种智能问题类型是封闭性问题。虽然它可能与开放性问题完全相反，但同样有效地引导目标到社会工程师希望他们到达的地方。

封闭性问题的目标往往是获取详细信息，而不是引导目标达到社会工程师的目标。例如，在一个开放性问题中，社会工程师可能会问，“你和经理有什么关系？”另一方面，在封闭性问题中，社会工程师会问，“你和经理的关系好吗？”这种问询方式从目标那里获取直接而详细的回应。

领先问题是将开放性问题和封闭性问题的概念结合在一起的问题。这是因为领先问题类似于开放性问题，但会引导答案的线索。在法庭上，律师询问在证人席上的人时，这一点显而易见。例如，“7 月 5 日早上 6:30 左右，你在 XYZ 餐厅，是吗，菲尼克斯先生？”在这种问询中，律师引导证人到他们想要的地方，同时给予证人表达回应的机会。此外，这种类型的问题预先向证人灌输了律师如何获取事件信息的想法。

领先问题通常可以用简单的是或否回答，但它配备了更多信息，使答案更具信息量。社会工程师使用领先问题陈述事实，使目标同意或不同意。

假设性问题也是一种智能问题，社会工程师已经假定目标拥有有价值的信息。通过提出假设性问题，目标以肯定或令人不安的方式回应。

例如，在执法人员询问目标以了解 X 先生居住地的情况。警官问道，“X 先生住在哪里？”回应将让警官确定目标是否了解 X 先生。

在社会工程的背景下，攻击者利用假设性问题而不向目标提供整个情况。这是因为目标可能控制环境并剥夺社会工程师控制情况的能力。

在很多情况下，社会工程师在有关事实的想法时使用假设性问题。这意味着社会工程师在假设性问题中注入尽可能多的真实事实，而不是包含虚假信息，这可能会让他们的目标反感。

假设性问题

伪装被称为制造一个制造的情景，导致目标执行某个动作或泄露信息的行为。伪装超越了撒谎的概念。有时候它可以创造一个全新的身份，并利用这种身份来控制接收到的信息。在社会工程的背景下，伪装可能涉及冒充某个角色或工作的人，攻击者自己从未做过。

另一方面，即使对于社会工程师来说，伪装也并不像看起来那么容易。例如，社会工程师需要在职业生涯中开发尽可能多的借口。虽然一个情况到另一个情况的借口可能不同，但它们的共同因素是研究。这本书一再提到，拥有良好的信息收集方法可以决定社会工程师的策略和甚至一个出色的借口的成败。例如，一个社会工程师冒充技术支持代表。如果社会工程师不利用外部支持，这种行为是徒劳的。

尽管它在社会工程中被使用，还有其他领域也使用伪装，包括公共演讲、销售、神经语言编程（NLP）专家、所谓的算命师、治疗师、医生和律师等。所有这些领域都以各种形式使用伪装。然而，他们也必须创造一个场景，使客户或目标感到舒适，以泄露他们通常不会分享的信息。

社会工程和其他使用伪装的领域之间唯一的区别在于意图或目标。这就是说，社会工程师应该在他们的策略取得成功之前一直保持这种角色。

借口的质量与社会工程师能够收集有关目标的信息的质量息息相关。这意味着当社会工程师收集到更多相关和有价值的信息时，为特定目标开发借口就会更容易。

以社会工程师冒充技术支持人员为例。如果社会工程师去一个有内部或外包支持的公司，这种冒充的借口就会失败。社会工程师发现他们很容易使用自己的借口，就像与朋友自然交谈一样。

伪装的原则

就像任何其他技能一样，伪装也涉及与执行任务相对应的原则。因此，社会工程师熟记这些原则，这就是为什么他们在这项技能上异常擅长。

借口原则证实了借口的重要性。这些包括以下内容：进行的研究越多，成功的机会就越大；个人兴趣的参与增加成功机会；练习表达或方言；将电话作为社会工程策略的重要部分；开发简单的借口，成功的机会就越大；借口应该是自发的；为目标提供后续或逻辑结论。

进行的研究越多，成功的机会就越大。虽然这个原则可能是不言自明的，但最好提供更多细节。简单来说，这个原则将社会工程策略的成功与社会工程师进行的深度和水平的研究联系起来。信息收集是成功的社会工程活动中最重要的因素。这意味着对目标有更多信息的社会工程师在制定出色借口方面有更好的成功机会。

社会工程师在采取任何行动时都会参考这个原则，特别是在制定借口时。他们知道即使是小细节也可能在借口中起到作用。此外，他们也知道收集的任何信息都是相关且有用的。

社会工程师在收集信息时有各种方法，同时也会寻找与他们目标相关的方面、故事和物品。在某些情况下，他们还会研究他们目标的个人性质。大多数社会工程师利用情感或个人联系来让他们更接近他们的目标。例如，发现某公司的 CEO 每年向儿童癌症研究中心捐赠大量资金，这将使社会工程师能够在他们的借口中注入这样的募款活动。这样做可能看起来无情，然而，大多数社会工程师会不惜一切来实现他们的目标。此外，恶意的社会工程师利用情感支持的借口，毫不犹豫地或没有二次考虑。

2011 年，在世界贸易中心双子塔遭受恐怖袭击后，许多社会工程师以及恶意黑客通过电子邮件和网站利用人们的损失为自己筹集资金。这些骗子针对人们的计算机，并设计了合法筹款者的账户，以便他们可以为自己获取捐款。同样，在 2010 年，海地和智利发生地震后，许多骗子开发了冒充提供有关失踪人员、自然灾害受害者或地震活动信息的网站。这些网站嵌入了恶意代码，使社会工程师能够入侵数百甚至数千人的计算机。

另一个社会工程师利用出色的借口的常见情景是在音乐或电影明星去世后。自然而然，营销和搜索引擎优化（SEO）专家会在短短几小时内建立搜索引擎上关于这位明星的故事。

当这些专家在各自的领域做着他们的事情时，社会工程师利用人们对搜索引擎的注意力增加。因此，他们推出恶意网站，这些网站利用特定的 SEO。当人们被吸引到这些网站时，社会工程师就能够收集信息或感染人们的计算机。社会工程师随后会有更好的机会进行研究和收集信息，使他们在伪装中成功的机会变得非常可行。可悲的是，有些像恶意社会工程师这样的人利用了他人的不幸。

个人兴趣的参与增加了成功的几率。当社会工程师利用自己的个人兴趣时，他们往往会增加伪装的成功几率。这可能看起来是一个简单的策略，但它绝对能够说服目标，认为社会工程师是可信的。如果一个社会工程师声称自己是一个了解特定主题的人，然后信息不足，信任和融洽关系会立即被破坏。例如，如果一个冒充技术支持人员的社会工程师从未见过服务器房，但继续扮演角色，最终会导致失败。这就是为什么大多数社会工程师只在他们的伪装中包含他们感兴趣的活动和主题。这为他们提供了足够的空间来与目标交谈，并展示他们的智慧和自信。当社会工程师充满信心时，他们更容易说服目标相信他们所说的。

另外，有些伪装需要比其他更多的知识才能说服；这就是为什么研究对社会工程师来说是一个经常发生的事情。当一个伪装不复杂时，社会工程师只需读一本书或在几个网站上搜索即可。

无论知识是如何获取的，社会工程师通常会研究他们个人感兴趣的主题。一旦他们选择了一个他们有足够了解的兴趣、故事、服务或方面，他们就会确定这个角度是否可行。

当社会工程师制定一个缺乏信心的伪装时，会产生不一致，特别是如果伪装要求社会工程师应该自动充满信心。这种不一致会导致红旗的升起，以及阻碍社会工程师与他们的目标之间建立信任和融洽关系。红旗和障碍会影响目标的行为，预计会平衡不一致的感觉。这些障碍还会排除伪装工作的任何可能性。

1957 年，心理学家莱昂·费斯廷格博士提出了认知失调理论，指出人们往往会寻求自己的观点、信仰和所有认知之间的一致性。当人们的行为和态度之间存在不一致时，就应该采取措施消除失调。据费斯廷格称，影响失调程度或水平的两个因素是不一致信念的数量和每个信念的重要性。

费斯廷格指出，通过增加更多的一致信念来消除失调，这些信念比不一致信念更胜一筹；改变不一致的信念，使它们一致；减少不一致信念的重要性。

熟练的社会工程师能够改变不一致的信念，使它们一致。这是他们的一项强大而棘手的技能之一。例如，社会工程师的外表可能与目标从假设中设想的不符合；然而，社会工程师可以通过自己的行为、态度和对假设的了解来调整目标的信念。

表达或方言的实践。全世界大多数演员都有方言教练，帮助他们掌握完美的目标口音。鉴于并非所有社会工程师都能负担得起方言教练，他们只能从包含有关将口音运用到演讲和表达中的基本要领的各种出版物中学习。这些出版物包括所要学习的社会工程师所需的母语口音示例。有些书籍附带有录音带，社会工程师会听录音带，并模仿其中的人说话。他们还会跟着录音带说话，练习发音，使自己听起来像说话的人。

一旦社会工程师对自己的口音感到自信，他们会录制自己的声音以评估自己是否足够说服力，并纠正任何错误。往往，社会工程师会与伙伴创造一个情景，以便他们练习新的口音。他们还会尝试在其他人身上使用它，以检查他们的口音是否可信。

将电话作为社会工程诡计的重要部分。如今，互联网在更多社会工程方面占据主导地位，这些方面是不人性化或客观的。过去，社会工程师将电话作为他们诡计的一个重要部分。因此，这种转变导致大多数社会工程师在使用电话方面投入的努力或能量减少了。然而，技术娴熟或高级的社会工程师知道，电话仍然是他们诡计中最有效的工具之一，不应因互联网的不人性化而减少使用。

在某些情况下，使用电话策划攻击的社会工程师可能会认为使用互联网更容易策划。以电话为基础的社会工程攻击与任何其他攻击一样，都需要同样程度的努力、信息收集和研究。它们也是同样水平的实践。

社会工程师通常通过学会处理“未知”或意外情况来练习和磨练他们基于电话的技能，特别是如果他们在脚本中意外改变了一些内容，使他们不知所措时。

社会工程师，特别是那些独自工作或没有人与之共同练习电话技能的人，足够有创造力，以确保他们能够磨练这些技能。例如，他们尝试打电话给他们的朋友或家人，了解他们有多具说服力，以及他们能骗到多远。

使用电话的社会工程师知道这是接近目标的最快方法之一。电话为他们提供了机会伪造或“欺骗”他们想要告诉目标的任何内容。

此外，社会工程师还会欺骗目标的来电显示中出现的信息。他们使用服务或自制的解决方案告诉目标他们来自本地银行、公司总部，甚至是白宫。这些类型的服务允许社会工程师伪造号码，使其看起来来自世界各地的任何地方。

因此，电话是巩固借口的强大社会工程工具。社会工程师花时间养成使用电话并尊重它作为借口的高效工具集的习惯。

更简单的借口开发，成功的机会就越大。这基于“越简单，越好”的原则。如果社会工程师创建了一个带有太多细节的借口，甚至忘记了一个小细节，社会工程行为很可能会失败。为了建立可信度，社会工程师将事实、细节和故事情节尽可能简单化。此外，社会工程师几乎不可能记住他们创建的所有借口；因此，他们使借口简单、自然且易于记忆。

此外，除了记住事实，借口的细节也应该保持小。社会工程师知道，保持他们的借口简单不仅为他们的故事提供了发展的机会，而且还允许目标用自己的想象填补空白。借口不应该太复杂。往往微小的细节决定了目标对借口看法的方式。

另一方面，有些社会工程师会故意在他们的借口中犯一些错误。甚至著名的骗子和罪犯也有意注入一些错误，基于“没有人是完美的”这一前提。此外，大多数目标在与对方交谈时，如果对方犯了一点小错误，他们会感到更放松。如果社会工程师对他们的目标太完美，这可能会令人望而却步。

在社会工程中，攻击者决定犯的错误类型也是经过计算的。虽然错误可能会使借口复杂化，但也可能使其看起来更自然。无论社会工程师是否计划注入错误，关键在于保持他们的借口简单。

除了创建简单明了的情节之外，社会工程师还会用适当的工具和服装来支撑情节，这可以使借口更具说服力。往往，缺乏细节使得借口可行且更具可信度。

例如，一个使用技术支持人员借口的社会工程师可能会穿一条卡其裤和一件 POLO 衫，再配上一个小工具包修理计算机。在大多数情况下，这实际上与目标合作，为社会工程师提供了进入并在最少监督下自由移动的空间。

借口应该是自发的。创建自发的借口相当于使用大纲而不是脚本。当社会工程师使用大纲时，它为他们提供了自发性和更多的自由来根据需要进行编辑。另一方面，使用脚本会使得社会工程师听起来不自然，甚至像机器人。

借口的自发性还与使用社会工程师个人感兴趣的情节有关。进入目标时没有关于借口的知识可能会影响社会工程师的可信度。例如，如果目标询问或发表了某种观点，需要社会工程师思考，后者很可能会停顿并开始深思，如果他或她不能以聪明的答案回复。自然而然，人们在说话之前会思考；然而，社会工程师知道这并不是在一秒钟内能够回答的问题。这是有关于没有答案回复目标的询问或观点的理由或答案。

社会工程师在编造借口时遵循一定的准则，其中包括不考虑自己的感受；不过分认真对待自己；辨别相关内容；并且寻求经验。

在编造借口时，社会工程师往往会过度思考，并在情节中添加情感。然而，这可能导致焦虑、恐惧或紧张，最终导致借口失败。有些人可能不会感到恐惧，而是过度兴奋。同样，这会导致社会工程师犯下许多错误，再次导致借口失败。因此，社会工程师确保在编造借口时不考虑自己的感受。

社会工程师也避免过分认真对待自己。虽然他们的工作涉及安全，但社会工程师仍然能够笑对自己的错误。这使他们能够处理可能出现的障碍，而不是感到紧张或退缩。这并不意味着将安全视为一件笑事。然而，社会工程师知道，如果他们感到压力重重，或者认为潜在的失败是不可逆转的，他们会在自己内心制造恐惧。因此，他们知道，小的失败是正常的，而且他们有能力扭转局面。

社会工程师还知道如何辨别什么是相关的。例如，社会工程师通常提前计划。如果他们错过了一个重要细节，他们有能力辨别出周围的相关信息或资料。这可能包括目标的微表情、肢体语言或所说的话。社会工程师吸收这些信息，并将其运用到他们的攻击中。

此外，社会工程师知道，一般来说，人们能够辨别出某人是否在听他们在说什么。如果他们觉得自己没有被倾听，目标通常会感到失望。人们喜欢别人即使听取他们说的无关紧要的话。因此，社会工程师仔细而持续地倾听他们的目标在说什么。他们专心致志地听取有用的细节，这些细节可能有助于他们的攻击成功。

最后，社会工程师们总是通过实践来积累经验。这是因为他们知道实践可以成就或毁掉他们的前提。正如前面的章节所提到的，独自工作的社会工程师会与朋友和家人一起练习他们的行为。有些人甚至会尝试与陌生人交谈而不造成任何伤害。社会工程师与其他人交谈以练习他们的即兴表现，并根据需要进行改进，直到他们感到舒适为止。

为目标提供跟进或逻辑结论。虽然有些人可能会否认，但大多数人都喜欢被告知该做什么。比如，如果一名医生走进来，检查完患者，写下他的病历记录，然后简单地告诉患者，“两周后再见”，这对于患者来说是不可接受的。自然而然，患者想要知道出了什么问题以及应该怎么做，无论预后如何坏。

在社会工程的背景下，攻击者不仅仅是让他们的目标独自离开。社会工程师要么引导目标采取行动，要么简单地提供一个结论。无论情况如何，社会工程师都会给予他们的目标跟进，以便他们可以填补预期的空白或为目标提供一个结论。

一个很好的例子是社会工程师假装成技术支持人员。 如果社会工程师在利用数据库后仅默默离开而不对目标说一句话，他们会让目标想知道发生了什么。 目标可能会打电话给另一家技术支持公司并询问他或她需要做什么。 无论如何，社会工程师都不会简单地离开他们的目标。 再次强调，他们要么跟进，要么为他们的目标提供结论。

影响和说服

除了之前提到的四种基本心理策略之外，社会工程还涉及其他心理技巧。 这些包括影响和说服。

社会工程心理学，就像一般的心理学一样，有一套遵循时会产生结果的规则。 它既是经过计算的，又是科学的。 说服和影响是心理认知因素，受到科学支持。 虽然它们是感知的心理结果，但它们也涉及信念和情感。

影响和说服的艺术是导致他人以另一个个人希望他们所做的方式思考、行动、反应或相信的过程。 人们在日常交往中使用影响和说服的艺术。 不幸的是，骗子、恶意攻击者和社会工程师也利用这种艺术进行欺骗。

很多时候，真正的影响对被影响的个人是平滑的，不可察觉的。 当你了解了影响的方法时，你会注意到广告牌和商业广告使用了这种艺术。 可能经常使用影响和说服艺术的人来自销售人员和营销人员的团体。 随着你意识到这种艺术，你开始注意到在繁忙的街道上开车时糟糕的广告牌和商业广告。

在了解社会工程师如何利用影响和说服的艺术之前，适当地介绍一下艺术的一些关键要素以及导致影响目标成功的五个基本原则是合适的。 下一部分涵盖了您需要了解社会工程师如何在他们的巧计中使用影响和说服的艺术的所有相关信息。

影响和说服的五个基本原则

在成功影响目标的巧计中具有重要意义的五个基本原则包括以下内容：设定明确的目标，建立融洽关系，观察周围环境，灵活应变，并与自己取得联系。

社会工程的最终目标是能够影响目标执行行动，无论这些行动是否符合他们的最佳利益。 此外，社会工程不仅影响目标采取行动。 社会工程使用的影响类型是强大的，它使目标“想要”采取行动。

要理解社会工程如何对他们的目标产生如此强大的影响，请继续下一节。

设定清晰目标。影响和说服艺术中最重要的一点是知道你想要通过你的行动达成什么结果。在社会工程中，攻击者以清晰的目标以及他们将实现自己想要的指标的认识接近目标。一旦社会工程师设定了清晰的目标，他们就能够确定他们需要采取的路径来执行他们的计划。明确定义的目标可能导致影响策略的成功或失败。此外，它还可以使下一步更容易确定、掌握和执行。

建立融洽关系。为了发展和建立融洽关系，你需要引起你所针对的另一个个体的注意。此外，你应该能够影响他的潜意识。社会工程师在建立融洽关系方面有着高超的技巧，因为这改变了他们的整个方法论。他们意识到一旦与目标建立起融洽关系，一切都会顺利进行。

要观察。当涉及到观察时，它涉及到对自己以及你的感官敏锐度或周围环境的意识。当你观察时，你有能力注意到你所针对的个体身上的迹象，这些迹象将表明你是否正在朝着正确的方向前进。如果你想要掌握影响和说服的艺术，你需要成为观察和倾听的大师。

社会工程师在接近目标时避免思考他们计划的下一阶段。这是因为他们可能错过了他们和目标之间真正发生的事情。内部对话可以阻止潜在的对话，这就是为什么社会工程师避免它们的原因。

要灵活。成功的说服策略的关键之一是灵活。为了理解灵活性的概念，可以将其视为被指派去弯曲像钢杆或坚固树枝这样的东西。许多人会选择弯曲树枝，因为它比钢杆更容易弯曲，使任务可实现。当涉及说服他人时，学会屈服和灵活是很重要的。

社会工程师具有足够的灵活性，可以根据需要调整他们的目标和策略。虽然这可能与规划的概念相矛盾，但灵活意味着能够在事情不按计划进行时进行适应。不灵活的社会工程师可能被视为疯狂和不合理的个体，在他们的目标眼中，因此，他们将无法实现他们的目标。

与自己保持联系。 在你所做的一切事情中，你的情绪控制着你。 对于你所处理的所有个人也是如此。 辨别你的情绪并与自己保持联系是必要的，这样你就可以确定成功影响和说服策略的基础。

例如，如果你有一个吸烟的朋友，而你真的讨厌烟味，这种厌恶会影响你试图说服她戒烟的方式。 你对吸烟的厌恶可能会导致你表达、行动、说或做一些事情，这将阻止你说服你的朋友的机会。 这就是为什么了解自己和自己的情绪以免影响你的方法是很重要的。

社会工程师始终掌控自己和自己的情绪。 这是因为与自己保持联系有助于他们建立向他们的目标说服的清晰路径。

影响和说服的五个基本原理对于理解这门艺术至关重要。 说服的目标是建立一个环境，使目标希望执行社会工程师要求他们做的事情。 这五个基本原理在建立这样的环境方面起着巨大的帮助。

社会工程师如何运用影响和说服的基本原理

为了成功地实施他们的诡计，社会工程师应该练习影响和说服的艺术，直到它成为习惯。 他们不需要影响他们接触到的每个人； 但是，一旦他们能够随心所欲地打开和关闭说服的技巧，它就成为社会工程师的强大特征。

有各种各样的影响和说服方面，个人可以使用，但有八种技巧因其经常被政治家、媒体、政府、骗子、骗子和社会工程师频繁使用而脱颖而出。

影响和说服技巧

回报

人们希望得到像他们对待他人那样被对待的内在期望被称为回报。 例如，如果你为某人开门，你希望他或她在进来的时候说声谢谢，同时确保你一直为他或她保持门开。 了解回报规则很重要，因为返回的好意通常是无意识的。

社会工程师总是在寻找即使是小机会，他们也会获得有价值的信息。 他们往往通过让他们的目标感到对他们感恩来获得信息。 此外，社会工程师极其注意周围发生的事情以及他们可以做的微小事情，以使他们的目标出于回报而行动。 他们尽可能自然地行事，以便他们的目标不会察觉到他们身上有任何异常之处。 因此，当自然地执行时，互惠是一种有效的影响和说服策略。

义务

义务是指个人由于法律、社会或道德责任、合同、职责或承诺而被迫做某事的状态。在社会工程中，义务很像是互惠，只是更广义。例如，简单地为目标人物开门就是社会工程背景下的一种义务形式。反过来，目标人物将被迫为社会工程师开内门。

在大多数情况下，社会工程师将义务作为攻击因素，特别是当他们针对客户服务部门的个人时。他们还将义务用于巧妙的恭维。例如，社会工程师称赞目标人物，然后请求某事。这是一种技术，在社会工程师缺乏经验并误判目标内心感觉信号时很容易出错。然而，对于高级社会工程师来说，义务使他们能够在实施策略时获取即使是微不足道的相关信息。

让步

让步指的是屈服或让步的行为。它类似于承认或承认某事的行为。在社会工程的背景下，让步被用来帮助触发目标人物的互惠本能。一般来说，人们似乎有一种内在的能力，迫使他们为他人做事，就像他人为他们做事一样。

社会工程师在他们的策略中使用让步，基于“只要后者也为他们做出让步，就会回报目标人物”的原则。此外，社会工程师在应用让步到他们的攻击时遵循一些基本原则。这些原则包括标记他们的让步，要求和定义互惠，做出有条件的让步，以及分期制定让步。

在标记方面，社会工程师让目标人物意识到他们何时何物在让步。这种技术使目标人物更难忽视回报的需要。社会工程师通常使用“我会与你妥协”或“我会让你一次”这样的陈述来显示他们在让步。

当涉及要求和定义互惠时，社会工程师从互惠的基础开始，以增加从目标人物那里得到回报的机会。例如，攻击者可以通过与目标人物的非言语交流开始，以展示他们的灵活性。虽然这些可能是小事，但最终可以在建立目标人物互惠感方面取得巨大成果。

当涉及到做出有条件的让步时，社交工程师通常会在不要求任何回报的情况下屈服于目标需要或想要的东西。这种让步是“零风险”的，尤其在社交工程师需要让目标知道他们已准备好让步时尤其有效。这是一种避免让目标感到社交工程师需要他们提供什么的方式。

最后，当涉及到分期付款方式制造让步时，社交工程师首先会稍微让步，然后随着时间的推移再做些让步，以便他们的目标会继续回报。鉴于人们天生具有回报的性质，在某人做出让步，比如在一个交易协议或谈判过程中，他们通常会觉得有义务做出回报。

社交工程师、谈判者和销售人员几乎本能地使用让步是很重要的。这些人能够通过接管局势并抵制目标对他们施加的操纵来使用让步。

稀缺性

在大多数情况下，人们发现物品甚至机会更具吸引力，如果它们难以获得、稀有或稀缺。人们可能会被广播、电视和报纸广告中的信息所吸引，比如“3 天特卖”，“限时特价”，“永久性关闭”和“最后一天”。一般来说，这些信息会吸引人们分享商品、产品或机会，这些可能已经不再可用。在销售的背景下，使用稀缺性广泛被称为“前 100 位来电者有资格获得免费小部件”或“立即行动，库存有限”等口号。

在社交工程的背景下，稀缺性被用来在目标方面做出决策时建立一种紧迫感。这种紧迫感通常使得社交工程师能够操纵决策并控制他们向目标提供的信息。社交工程师通常同时使用稀缺性和权威原则。

举例来说，一个冒充 IT 技术人员的社交工程师以首席执行官（CEO）的助手为目标。社交工程师会声称 CEO 在周末长假前打电话给他来解决一个电子邮件问题。此外，社交工程师告诉助理，CEO 声称对这些崩溃感到厌倦，并希望在周一之前解决问题。在这种情况下，社交工程师在目标身上制造了一种紧迫感，因为 CEO 不可用。此外，稀缺的物品是时间，因为问题应该在 CEO 回到工作前解决。因此，稀缺性建立了一种愿望，导致目标立即做出决定。

权威

当人们将某人视为权威时，他们往往更愿意遵循该个体给出的建议或指示。例如，孩子们被告知要服从父母、老师、保姆和辅导员等人的指示，因为这些人对他们有权威。此外，孩子们也被教导，质疑或违抗权威是不尊重的，他们会因服从而受到奖励。这些原则延续到成年期。这就是为什么人们尊重并避免质疑权威人士的命令和规则的原因。

遗憾的是，这正是许多妇女和儿童经常被诱导至性侵者和虐待者手中的同一原则。虽然性侵和虐待的原因不仅仅基于这个原则，但那些侵害儿童的个体知道后者被教导了关于权威的概念。同样，社会工程师利用权威原则来实施他们的策略，通过操纵目标行动，导致违约。

承诺与一致性

尽管人们希望自己的行为一致，他们也重视他人的一致性。总的来说，人们希望在言行和态度上都得到自己和他人的一致性和一致性。通过保持一致性，可以减少重新处理信息和做出复杂决策的需求。

社会工程师利用一致性和承诺作为实施策略的强大工具。一旦他们与目标建立了沟通方式，他们就会全身心地承诺，直到实现目标。当社会工程师感觉到他们的目标在做出决定时是凭直觉时，他们会加倍努力利用承诺和一致性。这是为了消除他们的目标可能感受到的任何不确定性。

喜欢

一般来说，当人们喜欢一个个体时，是因为那个个体也喜欢他们。在社会工程的背景下，喜欢是一个极其有用的工具。社会工程师应具备的重要属性之一是讨人喜欢。此外，由于社会工程师需要获得目标的信任，他们会以一种真诚的方式显露对人的兴趣。例如，在预设情景中，社会工程师成为他们所模拟的个体，而不仅仅是表达一种信仰或想法。这使得他们更容易被人喜欢，因为他们的目标会认为他们真正感兴趣于喜欢、帮助或协助目标。

社会证据或共识

社会证据或共识被称为一种心理状态，人们在社交场合无法辨别适当行为方式。当人们以某种方式交谈或行动时，可以安全地假设他们的行为是适当的。通常，社会影响会导致大群人的一致，无论选择是正确还是错误。例如，处于陌生情况下的人，特别是如果他们不知道如何在这种情况下行动，倾向于寻找那些已经熟悉并更了解情况的他人的行为。此外，他们会模仿那些人的行为，并假定这是适当的行为方式。

在社会工程的背景下，社会证据是另一个强大的工具。社会工程师利用社会证据来促使他们的目标遵从请求，通过告诉他们其他人也采取了相同的行为或行动。往往，社会工程师会提到榜样或知名人士，以便让他们的目标做他们想要的事情。

社会工程师在特定情况下使用社会证据，尤其是在存在不确定性和相似性的情况下。例如，社会工程师知道当目标由于逃避情况而感到不确定时，目标倾向于观察他人的行为，并假定这种行为是适当的。社会工程师还知道当目标倾向于模仿或跟随他人在特定情况下的行为时。这些条件使得社会工程师更容易使用社会证据。当他们告诉目标之前有许多人做过同样的行为时，他们会显得更有说服力。

上述讨论的影响策略只是社会工程师用来实施诡计的一些强大工具。这些策略使得社会工程师能够激励和激发人们按照他们的目标行事。因此，社会工程师掌控任何情况。

在社会工程中，影响和说服的艺术是一个过程，社会工程师让他们的目标想要以他们希望的方式思考、做、相信和反应。

第三章：社会工程学工具

除了心理学原理之外，社会工程还使用一个不错的工具集，可以决定一个社会工程师是否能够成功地执行他或她的策略。大多数高效的社会工程师都具有使用这些工具的充足知识，这弥补了失败与成功之间的差距。

值得注意的是，社会工程师仅仅拥有工具，即使是最好或最昂贵的工具，也不能保证在他们的策略中取得成功。这些工具只是让社会工程师增强他们的安全实践，特别是在执行攻击时。

社会工程学有三类工具，包括物理工具、电话工具和基于软件的工具。

物理工具

物理安全指的是人们或公司在没有涉及计算机的情况下采取的措施，用于保障安全。通常涉及运动摄像头、锁和窗户传感器等设备。在社会工程中，了解物理安全的工作原理同样重要，就像普通人了解简单的安全机制一样有价值。

例如，电视和电影中所描述的撬锁技术，似乎只需把撬锁工具插入，门就会立即打开。一些人了解撬锁技术；然而，大多数人都是通过无数次尝试、挫折和紧张来慢慢学会的。与撬锁技术相关的一个技巧是撬动。这是使用撬动工具，轻轻地在锁孔中移动，用最小的压力作用于张力扳手。通常情况下，撬锁技术结合撬动技巧可以打开大多数类型的锁，使入侵尽可能简单和轻松。社会工程师高效地学习撬锁技术和撬动技巧以执行他们的策略。

如今，许多公司和组织正在使用射频识别（RFID）、磁卡和其他类型的电子徽章，使得撬锁几乎过时了。例如，2004 年，沃尔玛启动了一个试点项目，利用无线射频识别（RFID）技术来实施其战略计划，为其主要供应商使用库存跟踪标签。RFID 被称为一种自动识别系统，它使数据能够通过一种被称为标签的便携式设备进行传输。标签被 RFID 读卡器读取，并根据特定应用的需求进行处理。标签传输的数据可能包括已标记产品的识别或位置信息，例如购买日期、颜色和价格等。据沃尔玛称，RFID 将使员工更有能力在需要时在某个位置找到产品并将其放在货架上供顾客选购。另一方面，RFID 的使用也会对其员工产生影响，比如对他们的审计师。注册会计师和审计师将不得不获得重新评估与 RFID 系统使用相关的会计程序、系统和方法的技能和知识。实际上，他们将需要熟练评估 RFID 系统控制，并注意到不准确或信息不足的迹象，例如部分库存清点。RFID 系统的使用也可能影响信息的安全性。RFID 标签的非法跟踪一直是 RFID 技术的主要安全问题。由于标签是可读的，因此它们对个人位置隐私和企业安全构成风险。因此，对于许多没有足够财力安装电子门禁系统的公司来说，锁和撬锁仍然被广泛使用。

使用锁的问题并不在于锁的选择，而在于支持它们的安全计划。例如，一家公司可能已经安装了一个需要生物识别和钥匙访问才能进入服务器房间的重型锁；然而，隔壁可能有一个单层玻璃窗，骗子、小偷或社会工程师可以轻易地打破并以极少的努力就能进入。

因此，仅靠锁并不足以确保公司甚至家庭的安全，无论这些锁是否属于顶级类型。社会工程师确切地知道安全不仅仅依赖于一件硬件。

在社会工程审计过程中，公司对其人力基础进行加固以提升安全性，人们将接受关于公司安全的知识和技能测试。然而，当社会工程师实施他们的策略时，同样的原则也会被应用。

一般来说，人们不愿意承认他们容易受到社会工程师的欺骗或诱导。事实上，大多数人会因为担心工作后果和尴尬而否认受到简单社会工程战术的欺骗。录音设备可以证明欺骗实际上发生了，尽管它们也可以用来训练雇主和员工，特别是要注意什么信号。

摄像机和录音设备不应该被用来让员工尴尬或陷入麻烦。另一方面，从这些设备获取的信息为员工提供了宝贵的学习，以展示他们是如何上了社会工程师的招数和其他诈骗的。

大多数使用摄像机和录音设备的公司都可以获得社会工程师成功攻击的证据。这可以教育雇主和员工应该如何应对涉及社会工程的恶意尝试。

录音设备还为公司提供了必要的保护，以防止社会工程诡计，特别是来自高级或高技能社会工程师的诡计。例如，在摄像机录制中，工作人员可以看到社会工程师的面部表情和其他细微之处。因此，一旦摄像机捕捉到这些细节，工作人员就有东西可以分析，以便为社会工程攻击做好准备。

电话工具

电话是社会工程师用来进行诡计的最古老的工具之一。随着手机、自制电话服务器和 VoIP 的出现，社会工程师有了广泛的选项来通过电话进行他们的恶意计划。

由于人们被销售宣传、电话营销电话和销售广告淹没，社会工程师被迫在使用电话时变得熟练，从而导致了一个成功的诡计。虽然看起来很简单，但使用电话作为工具的社会工程师可以在几分钟内 compromize 一个公司的安全。

今天，大多数人，如果不是所有人，都在使用手机，并且在地铁、公共汽车和任何其他公共场所进行个人和商务通话。在这些地方，社会工程师很可能窃听或打电话给他们的目标，在他们之前的恶意尝试中可能没有获得的额外向量。

随着智能手机和类似计算机的手持电话数量的增加，大多数人倾向于在这些设备中存储个人数据、密码和其他私人信息。因此，社会工程师又获得了一个机会来进行他们的诡计，因为他们可以在各种情况下访问他们的目标以及他们的数据。

此外，人们可以随时访问他们的智能手机，这使得他们更倾向于在社会工程师假扮为“可信”来电者时迅速提供信息。以手机上的来电显示为例，显示了来电者的身份。当社会工程师成功通过从公司大楼打电话给他们的目标来接触他们时，目标很可能会毫不犹豫地提供信息，而不验证来电者的身份。Android 和 iPhone 智能手机中有一些应用程序可用于欺骗来电显示号码为任何所需号码。

在社会工程的背景下，电话的使用分为两类：手机上配备的技术和社会工程师计划告诉他们的目标的内容。

基于软件的工具

社会工程的一个关键方面是信息收集。社会工程师花时间收集关于他们的目标和目标的信息，以确保他们计谋的成功。如今，有各种工具可以帮助社会工程师收集、利用和编目他们收集的数据。这意味着社会工程师不再受限于从常规搜索中获取的信息，因为在线和软件工具已经可用。

社会工程师工具包（SET）

虽然社会工程师花费大部分时间磨练他们的技能，但是执行他们计谋的许多变量需要生成嵌入恶意代码的 PDF 和/或电子邮件的能力。社会工程师已经开发了社会工程师工具包（SET），为他们提供通过恶意代码更轻松、更快地渗透他们的目标的能力。

如今，社会工程技术（SET）不断扩展。事实上，最近，SET 已经证明了其处理攻击的能力，例如传染性媒体生成器，以及鱼叉式网络钓鱼和网站克隆。传染性媒体生成器允许用户创建一个带有恶意文件的 CD、DVD 或 USB 密钥。然后，CD、DVD 或 USB 密钥被留在或丢弃在目标办公楼。一旦在计算机中插入并运行，生成器将执行其恶意负载，导致目标计算机受到威胁。

SET 还具有生成简单负载以及适当监听器的能力。例如，如果社会工程师想要嵌入一个带有反向连接到他们服务器的 EXE 文件，可以使用 USB 密钥携带负载并执行他们的计谋。一旦社会工程师找到一个用于远程访问的计算机或任何机器，他们可以插入 USB 密钥并运行负载文件。这使得社会工程师能够快速连接回他们的服务器。

SET 创建了编程，告诉小型板在插入时该做什么。它还命令小型板提供反向 shell 或设置监听端口。

如前所述，SET 还具有一个 Web 接口功能，通过该功能，Web 服务器会自动在 Web 页面上启动 SET，以便社会工程师能够轻松使用。因此，SET 是一款非常强大的社会工程工具，允许攻击者测试目标的弱点，特别是在公司内部。

密码分析器

社会工程师使用的另一组工具是密码分析器。在获取有关目标的信息后，社会工程师会为每个目标创建一个档案。这个档案用于规划一些攻击策略，社会工程师认为这些策略适合特定的目标。档案还用于建立潜在密码列表，社会工程师可以在他们的诡计中使用这些密码。在某些情况下，密码可以帮助社会工程师进行黑客攻击。

在社会工程中使用了几种密码分析器，这些工具可以帮助分析目标或公司潜在的密码。其中一些密码分析工具包括“Who's Your Daddy”（WYD）和“Common User Passwords Profiler”（CUPP）。

尽管私人和政府部门都发出了各种警告，但每年都有越来越多的人落入简单的社会工程陷阱中。此外，关于自己、自己的生活和家庭的各种信息在互联网上的发布数量也在增加。

社会工程师可以通过简单使用他们的工具并结合社交媒体使用建立的档案来描述和概述他们目标的整个生活。在社会工程师看来，这很有效，因为大多数人选择他们的密码。事实上，大多数人在各种互联网账户上（如电子邮件和社交网络）使用相同的密码。更糟糕的是，这些人选择的密码很容易被别人猜到。

虽然社会工程工具对于实施恶意策略至关重要，但它们并不能保证社会工程师的成功。工具只有在配以使用知识时才有用。社会工程师还应该能够最大限度地利用这些工具，以实现成功的诱骗。因此，潜在目标也应该了解这些工具，因为即使是普通人也经常使用这些工具。

无论社会工程师使用什么工具，无论是物理工具、电话工具、软件工具还是工具的组合，只有他们对每个工具有足够的了解，才有可能成功地诱骗。对于目标来说，他们应该对这些工具的功能有所了解，以免成为社会工程的受害者。

第四章：社交工程师的搭讪词汇

正如本书前几章所述，一些最常见的社交工程骗局发生地包括公司办公室、社交网络网站以及网络上的几乎任何地方。社交工程师能够渗透公司系统，劫持账户，窃取身份，并通过采用不同的策略赚钱，包括制定好的搭讪词汇。

搭讪词汇被用于社交工程中，以鼓励社交工程师与其目标之间的交流。本书的下一节将讨论一些在社交工程中使用的最有效的搭讪词汇以及它们的工作原理。

社交网络搭讪词汇

我在纽约独自旅行，我丢了钱包。你能汇些钱吗？

当社交工程师假装是 Facebook“朋友”或其他社交网络中的联系人时，这种搭讪起作用。他或她向目标发送消息，假装在外地旅行并因钱包丢失、被抢劫或其他不幸事件而没有钱。然后，社交工程师要求目标汇款。

在这种类型的搭讪中，人们应该格外小心，因为大多数社交工程师能够入侵账户并冒充目标的联系人或朋友之一。因此，人们不能保证他们联系的人的身份，特别是在社交网络中。

点击此链接！

当社交工程师发送消息或电子邮件并鼓励目标点击链接时，这种搭讪起作用，该链接将导致一个伪造的网站。社交工程师通常会冒充朋友，以便目标更有可能阅读消息。一旦目标点击链接，这个可能看起来合法的伪造网站会要求目标提供个人信息，如账号或密码。

例如，有一个在 Twitter 上流传的垃圾信息活动。它配有一句搭讪词：“你看过这个视频吗？”许多拥有 Twitter 账号的人都上当受骗，导致他们被引导至一个要求他们密码的假 Twitter 网站。

有人暗恋你！找出是谁！下载这个应用程序。

这种搭讪在许多应用程序中起作用，用户可以在 Facebook 和其他社交网站上下载。这是因为并非所有在 Facebook 上可用的应用程序都是安全的。社交工程师管理和控制安装广告软件以发布弹出广告的应用程序。他们还有一些应用程序，其中目标的个人信息被暴露给第三方。

办公室搭讪词汇

我是技术服务部的杰克。我被要求检查你的电脑，因为受到感染。

这个搭讪方式在社会工程师假装成某家企业或公司的技术支持人员，给目标打电话时起作用。社会工程师告诉目标计算机受到感染，并提供修复服务。然后，社会工程师故意加大技术难度，同时利用目标的恐惧和脆弱性。随着目标变得更加紧张，社会工程师趁机让目标透露密码作为“完成修复所需”。

你好，我是来自（公司名称）的代表，我来见（目标姓名）。

这个搭讪方式在社会工程师假装成客户、服务技术员、销售代表等人员时起作用，使他/她成为合法访客。社会工程师会利用自己对所代表公司的了解。一些社会工程师甚至穿着印有公司标志的衬衫。这种策略在获得接待员的信任或信心方面非常有效。社会工程师花费数天、数周，甚至数月来获取关于目标的充分信息。他们花时间了解该向谁询问以及进入公司后如何着装和表现。

对不起，你能帮我开门吗？我把我的门禁卡/钥匙卡留在车里了，我要迟到开会了。

这个搭讪方式在社会工程师等待在公司入口处时起作用，通常是吸烟区或前门的入口处。社会工程师会假装成其中一名员工。大多数情况下，目标会乐意为伪装成社会工程师的人开门。因此，攻击者可以在不被要求出示身份的情况下进入建筑物。此外，社会工程师在使用高端摄影技术方面变得更加娴熟，特别是用于打印看起来真实的徽章。因此，即使被要求出示凭证，社会工程师也会简单地展示他们自制的假徽章。

钓鱼搭讪方式

你最近在 eBay 上赢得了物品，但尚未支付。请点击这里支付。

这个搭讪方式在社会工程师向目标发送一封似乎来自知名公司和组织（如 eBay）的电子邮件时起作用。邮件告诉目标他或她赢得了竞标，但尚未支付物品。社会工程师知道，对于像 eBay 这样的网站的用户，他们非常重视自己的评级，而无法支付赢得的物品将导致负面影响。因此，他们很可能会点击链接，而社会工程师则获取目标的个人信息。

你已经被解雇。点击这里领取你的遣散费。

当社会工程师利用数字化增加和经济不确定性时，这个骗局就会奏效。社会工程师向目标发送包含恶意链接的电子邮件，该链接可能看起来合法。该链接可能由另一个骗局支持，如“今年，我们将以电子方式发送 W-2 表格。点击这里。”

利用骗局进行有针对性的社会工程攻击

社会工程的策略越来越具体，攻击者倾向于以更大回报为目标针对个人。社会工程师使用更有利可图的骗局来获取目标的个人信息并赚更多钱。

为飓风受害者和恢复工作捐款！

这个骗局通常在海啸、大地震或其他灾难发生后不久开始传播。社会工程师管理的虚假网站针对那些深感担忧他们在灾区的亲人的人。该网站通常声称有救援行动和其他专门资源来帮助找到受害者及其恢复。为了募集慈善捐款，该网站收集愿意捐款的人的姓名和联系信息。社会工程师随后会打电话给情绪自然高涨的受害者，以获取其账户或信用卡号码。因此，社会工程师将能够利用所获得的所有信息，如目标的姓名、地址、账户或信用卡号码和亲属姓名等，进行身份盗窃。一些社会工程师甚至通过冒充银行代表进行二次攻击，要求受害者提供社会安全号码，以验证捐款的合法性。

这是微软支持; 我们想要帮助你。

当社会工程师冒充微软技术支持人员时，这个骗局就会奏效。社会工程师声称正在通知所有遇到由软件漏洞引起的异常错误的持有 Windows 许可证的用户。目标被指示访问事件日志，这对于经验不足的用户通常是令人担忧的。通常情况下，Windows 事件日志能够记录大量但较小的错误。目标很可能会按照社会工程师的指示去做，促使他前往远程访问服务，如 Teamviewer.com。该服务使社会工程师控制目标 PC。然后，社会工程师安装恶意软件，这将使他/她持续访问目标 PC。

@Twitterguy，你对奥巴马关于#网络安全的声明有什么看法？Http://shar.es/HNGAt

这是社会工程中最常见的钓鱼诱饵之一。攻击者持续观察 Twitter 的趋势以执行他们的计谋。例如，社会工程师劫持合法的标签以嵌入恶意链接。一旦目标使用这些标签发推文，恶意软件就会将他们重定向到一个钓鱼网站，目的是启动更多的恶意软件或窃取目标在 Twitter 中的账户信息。通常情况下，社会工程师通过了解目标的兴趣在 Twitter 上寻找目标。然后，攻击者发送看似合法的推文来诱使目标点击链接，进入钓鱼网站。

没有新的关注者？在这里获得更多的 Twitter 关注者！

当社会工程师发送一条推文时，这个搭讪方式会起作用，承诺目标点击链接后会增加他们的关注者。然后链接会引导目标到一个网络服务，要求他们在 Twitter 上输入凭据。对于了解情况的人来说，没有合法的第三方会要求 Twitter 凭据。

主题：关于您的求职申请。

当社会工程师以在多个求职岗位回复电子邮件中嵌入恶意软件的方式针对企业和猎头时，这个搭讪方式会起作用。根据 FBI 发布的警告，一家知名企业因未经授权的电汇而被盗取了超过$150,000。社会工程师回复了一个特定就业网站上的招聘信息。一旦恶意软件安装完成，社会工程师就会获取目标的凭据，特别是用于在线银行业务以进行公司内的财务交易。社会工程师通过更改账户设置将电汇转移到自己的账户上。随着这种策略的泛滥，大多数公司和组织现在使用在线表格供求职者填写，而不是接受他们的求职信和简历作为电子邮件附件。

第五章：社交网络上的社会工程骗局——过去与现在

谷歌及其赛里斯黑客

2010 年初，谷歌登上了头条新闻，并透露称赛里斯黑客成功侵入了其系统的一部分。谷歌声称其部分服务受到了侵犯，而肇事者想要通过他们的 Gmail 账户获取赛里斯人权活动人士的访问权限。除了谷歌，这些社会工程师还针对其他知名公司进行了攻击，包括赛门铁克、Adobe Systems 和雅虎。

社会工程师的成功是由于花费了数周甚至数月的时间在对谷歌员工进行侦察和定位，以获取信息。他们首先利用在社交网络和其他地方找到的员工信息。一旦他们获得了必要的信息，社会工程师就向员工发送了看起来合法并来自朋友或联系人的消息。认为消息真的来自朋友，员工点击了嵌有恶意软件的链接，导致间谍软件被安装在他们的计算机上。

这次针对谷歌的攻击是经过精心策划和实施的，持续了相当长的一段时间。社会工程师花了很多时间收集信息，赢得员工的信任，以便能够进行互动并获取信息。

鉴于大多数公司将社交网络作为营销策略的一部分，社会工程师发现更容易收集有关其目标的信息。除了通过社交媒体传达他们的营销策略外，公司还暴露了他们的公司结构，使社会工程师所需的信息易于获取。

维基解密上的信息泄露

同样，在 2010 年，高度机密的政府信息被社会工程师成功地暴露在维基解密上。

布拉德利·曼宁，一名被派驻在伊拉克支援营的美国陆军士兵，被指控向维基解密的创始人朱利安·阿桑奇提供机密信息。

曼宁能够获取材料是因为他有权访问被美国国务院和国防部用于传输机密信息的秘密互联网协议路由器网络。

与此同时，前黑客阿德里安·拉莫向当局报告了曼宁，告诉官员曼宁从 SIPRNet 下载了材料并将其保存在 CD-RWs 上。据称，曼宁成功地欺骗了他的同事，让他们以为他只是在听音乐，而不是访问和下载机密信息。

曼宁通过带有标签的 CD-RW 上的音乐进行了他的诡计，比如“Lady Gaga”。他擦除了音乐，用压缩的分割文件覆盖了它。曼宁在在线聊天中告诉拉莫，他的同事们没有人怀疑任何事情，因为他听着甚至跟着唱着 Lady Gaga 的歌曲《Telephone》。在这样做的同时，他“外泄”了美国历史上可能最慷慨的信息泄露。

曼宁能够利用他同事的信任，同时保持冷静。像曼宁这样的社会工程师是无情的，因为他知道他的行动可能导致军事法庭审判，但他仍然坚持下去。

在维基解密曝光高度机密信息后，其他社会工程师利用这一机会发送带有“你想阅读维基解密的文件吗？点击这里。”的消息。一旦用户点击链接，它会将他们带到一个 pdf 文件，允许社会工程师通过 Javascript 搜索计算机，确定计算机上的 Adobe 阅读器版本，并为该版本启动他们的利用。受害者不在意 pdf 加载需要时间，因为他们期待着一个巨大的文件。然而，他们也不知道加载时间长的不是文件，而是社会工程师嵌入的恶意软件。

Facebook 好友请求

社会工程中使用的诡计不断演变，因为各种获取信息的工具不断推出。这些工具专门设计用于在社交网络网站中收集信息。

2011 年，一群驻埃及的安全研究人员开发了一个被称为 Facebook 个人资料转储工具的工具。该工具旨在教育用户如何在 Facebook 上容易受骗。这个基于 Java 的工具被释放供一般使用。它自动化收集用户的隐藏 Facebook 个人资料，这些资料只能被用户网络中的朋友访问。根据开发者的说法，该工具使用户能够向多个 Facebook 个人资料发送好友请求。一旦接收者接受了好友请求，该工具就会将他/她的所有信息、好友列表和照片转储到本地文件夹。

开发者声称，一个骗子或社会工程师通过创建一个新帐户就能从用户的 Facebook 个人资料中收集信息。然后，社会工程师通过“好友插件”添加所有用户的朋友，以确保他们与用户有一些共同的朋友。

然后，社会工程师使用一个克隆插件，允许他们选择用户的一个朋友。该插件克隆所选朋友的显示名称和图片，并将其放置到经过认证的帐户中。

社会工程师随后向用户的账户发送了好友请求，一旦用户接受了，该工具就开始保存所有信息、标签、图片和可访问的 HTML 页面，使攻击者能够离线检查它们。尽管可能为时已晚，但用户在发现实际上是假的情况下可能会取消对伪造账户的好友请求。

鉴于社会工程师能够侵入用户的信息，他们将能够进行一系列社会工程策略。当社会工程师能够获取更多个人信息时，他们很可能会执行更具说服力的策略。例如，如果目标看起来似乎是真实的，他们很可能会倾向于打开恶意的电子邮件附件，这是社会工程师通常在针对特定目标的网络钓鱼攻击中使用的。

该工具开发人员发布它的主要目标是让人们意识到在社交网络中发生的事情，特别是关于世界上正在发生的事情。开发人员声称，该工具将提醒人们并谨慎对待他们在网上的行为。例如，接受好友请求而不验证个人资料的真实性是人们犯下的错误行为之一。即使给出了最短的时间，社会工程师也能够利用用户资料。

开发人员还希望他们能让人们意识到 Facebook 的用户验证过程存在缺陷。他们声称，建议 Facebook 在验证声称是“好友”的个人资料时采取更严格的政策，并过滤出冒充或虚假账户。

第六章：社会工程 - 如何预防和减轻

社会工程预防

尽管听起来很愚蠢，但有些公司和组织认为他们对社会工程的威胁是有抵抗力的。 相反，没有哪个组织对社会工程免疫，甚至包括白宫或任何其他重要系统。

例如，在一次安全会议上举办了一项比赛，参与者被要求从目标公司获取信息，这些信息可以用于假设的攻击。 在向目标公司的员工打了 140 个电话后，几乎所有员工都泄露了信息，只有五个员工拒绝提供任何信息。 此外，90% 的员工点击了被参与者发送给他们的 URL。 这些员工甚至都不介意发送链接的人是谁。 这次安全会议总结了社会工程对所有系统和组织的广泛和危险的范围。

因此，最好知道一些有效的方法来预防社会工程或仅仅在组织中减少风险。

学会识别社会工程攻击

在任何组织可以预防和减轻社会工程之前，第一步是学会如何确定攻击是否是社会工程策划的一部分。 组织不需要知道如何创建完美的欺骗或策划恶意攻击。 关键是要理解当恶意的 PDF 链接被点击时会发生什么，以及在确定某个个人是否涉及欺骗性行为时要寻找的迹象。 组织需要了解社会工程的威胁以及这种威胁如何适用于它们。

举例来说，Z 先生拥有一所房子，并与家人一起居住。 Z 先生重视他的房子和家人；因此，他希望随时保护他们免受任何伤害或恶意行为。 为了做到这一点，Z 先生不应该等待家中发生火灾才知道如何预防和减轻危险。 他应该做的是规划一个逃生路径，并安装烟雾探测器以防火灾发生。 此外，Z 先生应该让家人了解“停下、滚动、和滚动”的口诀，这样他们在火灾发生时就知道该怎么做。 教会家人如何走到门口并低头避开烟雾可以减轻火灾的危险。 Z 先生可以应用所有这些方法来预防和减轻火灾。

同样的规则适用于保护组织免受社会工程中涉及的恶意攻击。 一个组织不应该等待攻击发生后才发现它有多破坏性。

预防和缓解社会工程的关键在于更多地了解攻击是如何进行的。这样，就更容易确定组织的最合适解决方案。组织应该注意的一些因素包括社会工程尝试中使用的表情、肢体语言和措辞。

一旦组织获得了足够的有关社会工程攻击的知识，下一步就是提高员工的意识，同时建立一个注重安全的文化。

提高员工的安全意识

对抗社会工程攻击的最有效方式之一是提高员工的安全意识。在任何类型的组织中，拥有一个注重安全的文化是至关重要的，只要每个成员都将其作为操作的标准。此外，应该持续不断地强化相关概念。

组织有各种各样的方法来建立注重安全的文化，以及提高员工对社会工程破坏性的认识。

1. 组织的高层管理者应该确保他们的员工对安全感兴趣。他们应该掌握保护公司信息和个人信息的技巧。组织可以为员工提供安全研讨会，获取有关在家中需要锁起来或碎掉的物品、如何保护家庭无线网络以及如何管理个人密码等方面的建议。

2. 组织的高层管理者应该开始让员工看到他们的信息。例如，可以在咖啡室、吸烟区、传真机和甚至碎纸箱上张贴海报。海报应该引人注目，以便员工不会错过。此外，海报应该足够清晰可见，以便任何经过的员工都能清楚地阅读和理解它们。信息应该至少每月更换一次，以便员工了解新的安全知识。如果组织没有内部的平面设计师，可以使用安全意识供应商提供的现成海报。

3. 组织的高层管理者应该允许他们的安全部门为员工提供一些小礼物，以感谢他们为保护组织做出的贡献。例如，安全部门可以给员工提供甜甜圈或杯子蛋糕作为感谢他们在保护组织方面尽了自己的一份力的表示。

4. 组织的高层管理者应该在办公时间结束后进行随机的桌面检查。那些桌面上没有敏感材料的人将获得奖励。这个奖励可以简单到留下一包口香糖或一块巧克力，并附上一张便条，“感谢你保持桌面清洁”或“感谢你尽了自己的一份力”。

5. 拥有每月通讯的组织可以包含一篇安全文章，提供关于同行业最新事件的重要信息。这份通讯可以通过每月电子邮件向组织所有成员发送，其中包含有关相关主题的引人注目信息，例如“应急准备”，“PDA 安全”，或者简单提醒可疑或恶意事件的举报电话号码。组织最好还为员工提供一个内部网页，其中包括安全政策列表、链接和重要联系信息等。

6. 组织的高层管理人员应定期开展包括互动竞赛、练习、赠品或安全游戏在内的培训计划。培训计划不需要耗费太多时间。重要的是测试员工对安全的理解程度。

7. 组织的高层管理人员应该言传身教。这意味着组织的领导者应该展示他们对保护公司安全的兴趣。

员工可以成就或破坏组织的安全计划。因此，组织的每个成员都应通过建议和反馈参与安全流程。

停下来。思考。连接。

与奥巴马总统的命令《网络空间政策审查》一致，许多组织构思了一个以“停下来，思考，连接”为口号的活动，旨在鼓励人们在参与潜在危险或破坏性在线活动之前先三思。这个口号被提议要像其他广为人知的口号一样易于理解和执行，比如“停下来，看一看，听一听”或“系好安全带”。与此同时，奥巴马总统的命令要求建立一个关注网络安全的全国性宣传活动。

这个信息简单、可操作，适用于通过各种设备连接到互联网的任何人，包括个人电脑、笔记本电脑、游戏机，以及最常见的智能手机。

保护最终用户

尽管技术不断变化和发展，但最终用户始终保持不变。根据安全意识公司创始人温·施瓦特劳（Winn Schwartau）的说法，当涉及安全问题时，键盘上的人始终是最薄弱的环节。施瓦特劳声称，随着技术的变化，社会工程学已经增加了新的形式和参与者，尽管其基本技术仍然保持不变。

因此，最终用户永远不应向任何人透露个人信息，并要注意，如果有人要求他们的凭据，那个人是不可信的。

在任何意识培训的重要部分是包括具体的指示，不要向任何人或任何部门泄露个人信息。组织应该教导他们的部门不要向其他部门索要个人信息。如果一个组织计划推出一个新系统，关键是创建新的凭据。任何要求现有凭据的人都可能在进行某些恶意行为。

正如前面提到的，当有人要求凭据时，他或她是不可信的。同样，一个合法的金融机构永远不会通过电子邮件向其客户要求凭据。

始终保持软件更新

大多数情况下，企业都有义务向客户和员工提供信息。例如，企业应该能够提供其电话号码、网址和电子邮件。一些企业需要与供应商、供应商和客户发送和接收 PDF 文件。虽然在本书中讨论了发布信息可能会导致隐私和安全性的丧失，但通常情况下是无法避免的。

然而，有一种有效的方法可以防止社交工程攻击侵入组织的安全——始终保持软件更新。例如，仍然有公司和企业在使用 Adobe Acrobat 8 和 Internet Explorer 6，而这些程序已经有了新版本。那些使用过时软件程序和系统的人比那些使用更新版本的人更容易受到社交工程攻击的影响。

当社交工程师发现某个公司仍然在使用这两个过时的应用程序时，即使该公司已经有防火墙、身份验证和防病毒系统，他们肯定会计划他们的攻击。

因此，对于所有类型的组织来说，定期更新他们的软件是非常重要的。大多数情况下，最新的软件版本已经修复了它们的安全漏洞。此外，组织永远不应该使用有负面记录的软件系统，因为它肯定会容易受到恶意攻击。

开发脚本

开发脚本来帮助员工做好准备，特别是当情况需要批判性思维时，是预防和减轻社交工程攻击最有益的方式之一。

这里提到的脚本与好莱坞演员在拍摄电影时使用的脚本不同。应对社交工程策略的脚本只是能够支持员工在各种场景中的大纲。

例如，当有人声称为 CEO 工作并要求他们的密码时，员工应该如何回应？当一个没有预约但穿着和行为像供应商的人要求进入建筑物的安全区域时，员工应该怎么办？

这些是脚本可以极大帮助的情景。脚本可以帮助员工在特定情况下识别正确的答案、回应或反应。脚本还可以让员工感到放心。

具体情景的脚本示例在以下部分提供。

情景：有人打电话声称来自 CEO 办公室，并要求员工交出内部数据或信息：

脚本：1）询问员工 ID 号和姓名，直到获得这些信息之前不回答任何问题；2）获得身份证明细节后，要求提供与所声称管理或参与的项目相关的项目 ID 号；3）如果成功获得步骤 1 和 2 的信息，请遵守。如果没有，请要求对方提供经理的授权并通过电子邮件发送。结束通话。

在这种情景和脚本中，员工会知道该说什么，如何反应以及在意公司安全的情况下该做什么。

理解社会工程审计

社会工程审计涉及模拟社会工程师进行的恶意攻击。这种模拟由公司聘请的专业安全审计员进行，用于测试公司的政策、物理边界和人员。

专业安全审计员和恶意社会工程师之间有两个主要区别。一是，专业安全审计员遵循法律和道德准则，二是，专业安全审计员的目标是帮助，而恶意社会工程师的目标是伤害、窃取或羞辱目标。

要充分理解社会工程审计的概念，最好确定组织为何要实施它的目标。

专业安全审计员应该根据道德和伦理原则进行行为，同时在允许他冒充恶意社会工程师的情况下跨越界限。换句话说，他应该注意可以用来获取信息或进入公司弱点的事物。虽然他试图在恶意社会工程师的角色中暴露公司防御漏洞，但他仍需要以适当的方式行事。

公司雇佣专业安全审计员时，他们应该能够确定安全漏洞，并将它们与对每个员工的关注平衡。往往，进行社会工程学审计的公司认为，终止落入陷阱的员工或员工是解决问题并修复漏洞的方法。然而，公司应该意识到，一旦审计完成，落入攻击的员工可能是那段时间内建筑物内最安全的员工。因此，专业安全审计员还应采取行动，确保员工的工作不会受到危害。

总结

这本书的主要目的是让你睁开眼睛看到社会工程的真实世界。我希望它能帮助你保持或建立对社会工程可能带来的潜在破坏的健康恐惧，这种破坏不仅限于公司或组织，也涉及到你的家庭和个人生活。因此，我希望你能继续关注本书中讨论的可能的恶意攻击。

放心，遵循并实施你在这本书中读到的原则将增强你辨别和与周围人更有效沟通的能力。