今天之所以找这本书来看，主要是因为了解到社工组织（社会工程学）这个曾经牛逼的存在。很好奇，他们是怎样运行的。

看了很多介绍和信息，得到一些轮廓。

社会工程学圈子里会有一个数据库，在这个库里，成千上万的个人数据（比如，你的qq号，密码，电话号码，身份证号码等）被搜集。只要社工的人搜索一个名字，隐私信息立即弹出，这使得欺诈变得方便可行。

如果你的信息在数据库里没有，还可以通过社工测试成功的各种方法找到你的信息，实在不行，就去猫扑花钱人肉。

社工获取隐私信息的方式有很多，只要你上过网，那么你必定会留下蛛丝马迹。通过搜索引擎，社交工具。比如，如果我只有一个人的电话，但我不知道这个人的名字，那么我会通过给这个人转账的方式来确定他姓名的最后一个字，（如果他用这个号码注册支付宝或是微信的话）。

类似这样的方法，在社工的宝典里面有成千上万，而且随时在更新，和增加。利用各种软件、网站的bug，利用人的爱占小便宜等等心理来钓取你的信息。

今天看的这本书，相对于上面说的要高逼格很多。

这本书是一个黑客写的，叫凯文·米特尼克，wiki上说他是社会工程学的大师和开山鼻祖。

他在10几岁的时候就利用公交系统的漏洞，使用社会工程学的谈话技巧，自己制作公交票。

由于好奇心旺盛，越玩越大，甚至侵入美国政府网站，最后被抓，然后悔悟，立志通过自己的经历和技术帮助个人、企业和政府进行安全维护。

在《反欺骗的艺术》这本书中，他主要介绍了社工们使用各种谈话和获取信息的技巧，通过打电话的方式，侵入企业内部，获取企业的私密信息。

他写这本书的目的也在于：

即使当年他从事社交工程活动期间，他的动机也从来不是发财致富或者损害别人。这并不是说没有人利用社交工程来从事危险的破坏活动，并且给社会带来真正的危害。实际上，这正是他写作这本书的原因：提醒你警惕这些罪犯。

说了这么多，什么是社工呢？

从事欺骗活动的人可以分为两类。那些诈骗他人钱财的是第一类，即通常所说的“骗子”。另一些人则使用欺骗性的、煽动性的或者富有说服力的手段来对付商业机构，通常的目标是为了获取它们的信息，这些人属于另一类，即“社交工程师”。

社交工程师利用各种假借的身份，利用你的信任、你好心助人的骗钱电话另一端愿望、你的同情心以及人类易轻信的弱点来使人们相信社交工程师所假冒的身份，或者被社交工程师所操纵。因此，社交工程师能够利用这些人来得到想要的信息，此过程中可能用到技术手段，也可能根本不用技术手段。

令我影响最深刻的是，作者提出技术、防护手段这些方法在安全问题上都不是最关键的，人的因素是安全过程中最薄弱、最关键的环节。

因为技术、和防护手段这些东西很僵硬，突破了就突破了。而人很灵活，同时也很容易受骗，一个人只要受到一些社工的训练和具备一些心理学的相关知识，就可以通过利用敌人来突破技术的防线。因而，作者认为：

攻击不难防范，关键是每一个人都履行好自己的安全职责。

防范的关键不在于技术，或者说还有比技术更重要的东西，那就是——人。

通过培训的方式，可以增强人的防范意识，规范人的安全行为。

书名叫作《反欺骗的艺术》，作者是这样解释的：

一个流行的说法是，只有关掉的计算机才是真正安全的计算机。这听起来很有道理，但其实并不对：善骗者可以找到借口说服某人去办公室把计算机打开。想知道你机密信息的对手通过某种手段就能够做到这一点，通常这样的手段多种多样。至于是否成功，则只是时间、耐心、个性和毅力的问题了。这正是欺骗艺术的所在。

社工在获取那些重要的信息时，往往会采取如下手段：

把重要的问题插进可以建立信任感的无关紧要的问题中

一个好的私人侦探还知道，千万不要在得到关键信息后马上结束谈话。多问两三个问题，小聊一会儿，然后再说拜拜。如果对方稍后想起你提过的问题，很可能是你最后提出的问题，其它的通常会忘记。

他懂得把关健信息藏在无关紧要的信息中，也知道在套出交易号之前用私人问题来测试对方的配合程度。

不要怀疑比你职位更高的人。等级，换句话说就是拥有特权，特权不会被等级低的人挑战（质疑，怀疑）。因为，社工往往会冒出比被攻击者更高等级的身份来行骗。

熟练的社会工程师非常擅长一个诡计：刺激情感，如畏惧、兴奋或内疚。他们利用心理触发——自动机制，引导人们未经深入分析有用的信息就回应请求。我们想让自己和他人都避免陷入困境，基于此论断，攻击者可以利用人们的同情心，让他的目标感到内疚，或者像使用武器一样胁迫受害者。

那么，我们怎样避免这些情况发生呢？

除了小心，小心，再谨慎之外。我们还需要

不要把任何个人、公司或组织内部信息或是识别标识告诉他人，除非你听出她或他的声音是熟人，并确认对方有这些信息的知情权。

在进行安全培训时，试一下这个方法：无论什么时候在接受一个陌生人询问时，首先要礼貌的拒绝，直到确认对方身份。

一个确认对方的好办法就是拨打公司通讯录上的电话。

那建立信任的欺骗技术是社会工程学最有效的策略之一，你务必要考虑你是否真正认识与你谈话的人。在一些不常见的情形下，对方很可能不是他自己声称的那个人。因此，我们必须学会观察、思考和提问。

使用双因素认证：用两种不同的验证方式对身份进行确认。比如，一个人必须从某个可确认的地方打来电话并知道口令来确认自已的身份，然后工作人员从你的信息中选出某个条目（通常为社会保险号码、出生日期或是母亲的姓氏）来询问你，如果你的答案正确，这就是第二次的验证――基于你应该知道的信息。

最后，让我们用20 世纪最受尊崇的科学家阿尔伯特·爱因斯坦的一句名言来结束这篇文章吧：

只有两种东西是无限的，宇宙和人类的愚昧，我对于前者还不十分确定。