我不是教你诈，只是教你认清人性

~「社会工程：安全体系中的人性漏洞」读书笔记

不安全随处可见

让我们一起来看看一个几年前出现的网站——

www.icanstalku.com. 不同于它的域名，这个网站并不是鼓励人们去跟踪别人，它跟踪的是那些毫无防范意识的 Twitter 用户。它遍历 Twitter 网站，寻找那些蠢到用自己的智能手机拍摄照片并上传的家伙。很多人都没意识到智能手机拍摄的照片会隐藏 GPS 信息。你上传这些照片的同时，也泄露了自己的拍摄位置信息。

信息泄露与信息收集距离我们并不遥远。我曾感叹智能手机可以快速按照拍摄地点整理照片，由此想来，便细思极恐。倘若手机被盗，犯罪团伙便可轻而易举分析出你的常在地，且定位十分精确，接下来的安全隐患不言而喻。好在一般盗贼只是贪恋财物，大规模地追踪被盗者的情况并不多见。另外，我也想到在秘密的军事重地中，不允许军人随意发布照片，特别是包含个人相貌、地点的信息，现在看来，这样的措施虽略显无情，但着实合情合理。

当今社会上，这样的例子举不胜举，我们也可以从中发现，我们身边并不像我们想象中的那么安全，有许多的恶意社会工程人员存在，如果我们不清楚恶意社会工程人员的思维方式，其结果就是很容易被攻击。

什么是「社会工程」

社会工程的定义是——

一种操纵他人采取特定行动的行为，该行为不一定符合「目标人」的最佳利益，其结果包括获取信息、取得访问权限或让目标采取特定的行动。

在不少人心目中，「社会工程」与欺骗、窃取、撒谎等负面词语息息相关。殊不知，「社会工程」存在于你我之间，存在于生活各处。或许你我也正在应用着「社会工程」。如小孩使用社会工程从父母那里得到自己想要的东西；医生、心理学家及临床医学家通常会使用社会工程的一些因素「操纵」病人，使其采取对病人有益的行动。

我们并非执行审计人员，为什么要学习社会工程呢？掌握这些信息可以提高日常沟通能力。知道如何通过表情或如何提问会让他人更加轻松并引出正面回应；此外，它也可帮助你成为一位好的倾听者，让你更加关注他人的感受。

像社会工程者一样思考

在信息大爆炸的世界，我们必须改变平常的思维方式，学会质疑一切，看到信息时就按照社会工程人员的思维方式来思考。

学习成为一名信息收集大师，然后与交流模型相结合予以实践。这只是个开始，但是它能改变你作为社会工程人员在日常生活中与他人交流的方式。

书中有个小事例给我留下了非常深刻的印象，也是我们可以立即上手，向社会工程人员学习的。强尼·龙（Johnny Long）曾为渗透测试人员写了本著作，叫「Google Hacking for Penetration Testers」。他总结出了一系列用来查询公司信息的语法。例如，在谷歌搜索框中输入 site:microsoft.com filetype:pdf，就能得到 microsoft.com 网站上的所有 PDF 文档列表。

我不是教你诈，只是教你认清人性。我们要变得比坏人强大，才不会被「骗局」蒙蔽双眼。在我们眼中，大多社会工程人员往往扮演坏人的角色，但值得肯定的一点是，坏人也有值得我们学习的地方，他们有着更不寻常的思考方式。以克里斯·尼克森的一句话做结，与君共勉——

真正的社会工程不仅是以为自己在扮演角色，而且是在那个时刻，你就是那个人，你就是那个角色，你的生活就是那样的。