《安全簡史（α版）》（3）：社會工程學

摘要與邀擂：霍金寫了《時間簡史》，布萊森寫了《萬物簡史》，格雷克寫了《信息簡史》…。這些簡史真的好精彩喲！不但出神入化，而且還能改變讀者的世界觀！唉～，咱安全界，誰能出面也寫部“外行不覺深，內行不覺淺”的《安全簡史》來“為百姓明心，為專家見性；為安全寫簡史，為學科開通論”呀！可惜，論“文”，咱比不過“旅游文學作家”布萊森和“科普暢銷書作家”格雷克；論“武”，更不敢比世界頂級科學家霍金。可是，真的又需要有本《安全簡史》！怎么辦呢？老朽不才，想到了“眾籌”和“迭代”，即，為了引出玉，先由我們拋出磚（α-測試版本的初稿），然后，由廣大讀者來進行全方位的修改、批評和版本更新，包括但不限于寫作內容、素材、架構安排、等任何建議。希望“三個臭皮匠”真的能夠“賽過***”。當然，我們不可能全身心投入《安全簡史》，因為，建立旨在統一安全各分支學科的基礎理論，《安全通論》，才是我們的主業。但愿有朝一日，咱安全界既有《安全簡史》來“立地”，又有《安全通論》來“頂天”。本章是第三塊“磚”，主題是社會工程學。謝謝大家！

伙計，聽說過嗎，“社會工程學”這個名詞？

如果沒聽說過，那就太正常不過了。不但普通百姓沒聽過，就算是網絡空間安全界的專家們，對它也比較陌生；因為，直到最近這幾年，“社會工程學”這個名詞才慢慢浮出水面；但是，別忘了，在水下，這家伙可是一座巨大無比的冰山喲！

如果你不想聽，也不想了解“社會工程學”的話，那么，你就又錯了，而且還大錯特錯！因為，它可不是吃素的，就算你不理它，它也可能不會放過你喲。萬一被它擊中，你就慘了，后悔都來不及了！與黑客的所有其它工具不同，“社會工程學”對你的電腦幾乎不感興趣，對你的硬件、軟件、系統等所有你嚴加防范的東西，也幾乎都不感興趣；因為，這些東西對它來說，簡直是小菜一碟，根本就用不著親自勞它大駕，只需它的嘍啰出手就行了。它自己則有更重要的事情要做，是的，它只攻擊一樣東西，就是那個有血有肉、能說會道、還自以為是的活物。對，就是你！聽明白了嗎，就是你！如果你不理它，那么，它基本上可以百發百中，打得你哭爹喊娘；當然，如果你關注了它，那么，你就會馬上掌握主動權，因為，“社會工程學”其實是易守難攻的，就怕你不屑一守。

好了，嚇著了吧！那么，下面就請你跟我來一起了解“社會工程學”吧。

首先，別以為“XX學”這些帶“學”的學問，都像“數學、化學、物理學”那樣，是高大上的陽春白雪。雖然“社會工程學”確有白富美的成分（這也是本章將介紹的主流），但是，我必須提醒你：像坑、蒙、拐、騙等“下三爛”東西，也充斥其間，也是“社會工程學”不可或缺的內容。比如，大家深惡痛絕的電信詐騙，所使用的手法，大部分都屬于“社會工程學”；也許這些人渣并未系統學習過這門學問，甚至，不知道世上還有“社會工程學”這回事，但是，他們卻僅憑那一點雞鳴狗盜，就能把你搞得狼狽不堪。因此，本章繁簡程度的拿捏，就非常困難：太仔細了吧，就好像我在教人犯罪似的；太粗略了吧，又怕伙計您受騙！不過，有一點可以肯定，那就是，我們不能采取駝鳥政策，對“社會工程學”中的惡，假裝視而不見，聽而不聞。對于普通用戶來說，防范電信詐騙，還相對比較容易；畢竟，騙子看重的只是你的錢；所以，你只需要記住“別談錢，談錢就翻臉”就行了。但是，要對付“社會工程學者”這樣的黑客，就困難多了，因為，他們的目標千變萬化，讓你防不勝防；而且，整個攻擊行動的路線清晰、節奏分明。若沒有足夠的警惕性和應對措施，那么，你必定就范。“社會工程學”既可能直接攻擊你本人，包括但不限于你知道的信息、你的小辮子、你的財產、隱私、軟肋等；輕者讓你名利俱損；重者被牽住鼻子，任人擺布，生不如死；更有甚者，逼你從事危害國家和社會的違法活動。“社會工程學”還可能間接攻擊你，包括但不限于，把你當作攻擊別人的跳板，比如，先獲取你的身份，然后，冒充你去攻擊別人等；或者從你身上收集別人信息，為后續的進攻打下堅實基礎等。總之，“社會工程學”所能夠發動的進攻，招數之多，只有你想不到，沒有它做不到；真實案例之精彩，完全不亞于任何小說、科幻和諜戰片。

其次，“社會工程學”的名稱雖然是新的，但其內容卻絕不是新的，是典型的“舊酒裝新瓶”。古今中外的正史、野史、傳說、神話等，無一不留下它的明晰身影。你看，當年在伊甸園中，那條蛇就是利用“社會工程學”，引誘夏娃吃了一粒蘋果，并讓亞當也吃了；好處是，從此人類有了“明白是非善惡的智慧”；壞處是，上帝震怒了，作為懲罰，把人類趕出了伊甸園，從此，子孫世代便在塵世間承受各種苦難；要不然，沒準你我這時還正在伊甸園里蕩秋千呢。在另一個“當年”，銅制***精良堅利、部眾勇猛剽悍、生性善戰、擅長角牴的蚩尤，本來可以輕松戰勝炎帝和黃帝聯軍的，但是，由于后者善于利用“社會工程學”，政治和軍事兩手抓，而且兩手都較硬，最后竟然以弱勝強，奠定了華夏集團占據廣大中原地區的基礎；否則，本來我們漢族應該躲在深山老林，像現在的某些邊遠少數民族那樣，正與劉三姐對情歌呢；當然，如今炎帝、黃帝和蚩尤，仍然是我們共同祭奠的祖先，稱為“三祖”。歷史上“社會工程學”的成功案例，多如牛毛：***七擒孟獲，就是要用“社會工程學”最終征服南人，達到長期維穩的效果；猛張飛在長坂坡，“當陽橋頭一聲吼，喝斷橋梁水倒流”，嚇退數十萬曹軍，就是平時積累的“社會工程學”信息，在關鍵時刻突然爆發的結果；身在曹營心在漢的關羽，更是典型的“社會工程學”者；至于那位三天一大哭，兩頭一小哭的劉備，則早已出神入化，用淚水把“社會工程學”玩到了極致；觀音菩薩教唐僧用“社會工程學”，愣是騙得悟空，把緊箍咒戴在了自己的頭上；大師兄依靠“社會工程學”，鉆進了鐵扇公主的肚子；二師兄更是常常采用“社會工程學”激將法，把那石猴指揮得滴溜兒轉。可以這樣說吧，歷史上的成功人士，沒有一個不是“社會工程學”的高手。關于“社會工程學”的學術專著，絕對不止車載斗量，只不過書名有所變化而已。《三十六計》中，計計皆含“社會工程學”之精華，特別是金蟬脫殼、借刀殺人、趁火打劫、渾水摸魚、打草驚蛇、瞞天過海、反間計、調虎離山、指桑罵槐、暗渡陳倉、欲擒故縱、空城計、苦肉計、偷梁換柱、美人計、借尸還魂、圍魏救趙、連環計等等，簡直把“社會工程學”演繹得目不暇接、眼花繚亂。《孫子兵法》八十二篇中，篇篇都是“社會工程學”的杰作，甚至連再明白不過的“間諜”概念，也都還要更進一步地細分為：敵方普通人做間諜的“因間”；敵方的官吏做間諜的“內間”；收買或利用敵方派來的間諜為我效力的“反間”；故意散布虛假情況給對方間諜，讓其誤導敵方并被處死的“死間”；派往敵方偵察后，能活著回報敵情的“生間”等等。當五種間諜同時使用，更能使敵人莫測高深，而無從應付。總之，雖不敢說整個人類史，就是一部“社會工程學”史；但是，如果抽去“社會工程學”，歷史可能將會變得相當蒼白、無趣。

再其次，別以為“社會工程學”這個名稱看上去很面善，其實它很兇險。過去人們都習慣于，把網絡看成一個由硬件和軟件組成的系統，認為可以通過不斷的軟件升級、硬件加固、嚴防死守等辦法來保障安全；但是，卻往往忽略了一個最重要、最薄弱的關鍵環節，那就是人！這個“人”，既包括網絡的合法用戶及其親朋好友，又包括網絡的保衛者及其親朋好友等；因為，完整地看，只有將軟件、硬件和人，三者結合在一起來考慮，才可能形成一個閉環；而只有保證了這個閉環的整體安全后，才能真正建成有效的安全保障體系。更明白地說，硬件和軟件其實是沒有“天敵”的，只要不斷地“水漲船高”，總能夠解決已有的軟硬件安全問題；但是，“社會工程學”卻是“人”的天敵，每一招對所有人來說，都有效；每一招還都不會過時，都長期具有殺傷力；“舊招”不但不會被淘汰，新招還層出不窮。針對人性的每一處弱項，遲早會產生至少一項“社會工程學”狠招，而隨著社會信息化步伐的加快，人性的缺陷和漏洞將暴露得越來越多，當然就會被“社會工程學”揍得越來越慘。如果你還不知道“社會工程學”到底有多厲害，那就請看下面這個真實的故事吧。

美國聯邦***，俗稱FBI，厲害吧！其局長直接由美國總統任命，并經參議院批準。FBI不但在反暴、反毒、反有組織犯罪、反外國間諜和反白領犯罪等方面享有最高特權；而且，在“社會工程學”的資源、積累和能力等方面，如果它謙虛點自稱老二的話，那么，沒人敢號稱老大，包括前蘇聯的克格勃。可是，就是這么一個巨無霸，竟然被一位單槍匹馬的黑客，凱文·米特尼克，只利用“社會工程學”就玩得死去活來。在這匹黑馬面前，FBI的所謂通緝令簡直就像手紙一張，完全沒有任何約束力。費了九牛二虎之力，當然也主要是“社會工程學”手段，好容易才將其捉拿歸案吧，剛要嚴禁他與外界聯系，結果，就在監獄中，當著獄長的面，這家伙卻略施小計，就撥通了外界電話，讓官方大跌眼鏡。刑滿釋放了，為了不重蹈尷尬，政府還不得不趕緊拍其馬屁，為他安排一個光榮而高薪的“網絡安全咨詢師”職業。如今，這位世界“頭號電腦黑客”，已將其傳奇的“社會工程學”應用經歷，寫成了多本暢銷書：《反欺騙的藝術》、《反入侵的藝術》和《線上幽靈：世界頭號黑客米特尼克自傳》等。

你看看，這家伙竟然將“社會工程學”玩成了藝術，簡直不可思議！

好了，現在插播有關這位超級黑客的幾則小故事，就算是課間休息吧。也順便讓你頭上冒點汗，背上發點涼。

相信，米特尼克的“事跡”，會促使你從此認真了解“社會工程學”，因為，你將肯定不愿意成為這種“社會工程學者”的犧牲品。當然，必須承認，凱文·米特尼克的“成功”，主要取決于他強大心理素質和嫻熟的運用技巧；幸好，并非每位學過“社會工程學”的黑客都能這么牛。

除了超強的“社會工程學”能力之外，其實，凱文·米特尼克與其它黑客并無本質區別。這位生于1963年，因父母離異而性格孤僻、倔強的家伙，從小就迷上了無線電、計算機和網絡系統。作為學渣，他在讀小學時，就因襲擊鄰居學校的網絡而被迫退學。哪知，他不但不改邪歸正，反而發誓，要干出一番“大事”來，于是：他成功地闖入了“北美空中防護指揮系統”；進入了“太平洋電話公司通信網絡系統”，不但可以任意免費撥打電話，還可隨時偷聽別人聊天，還篡改了許多重要信息，包括一些知名人士的號碼和通訊地址等；后來，還覺不過癮，就干脆入侵了FBI的網絡和美國五角大樓的電腦系統。不過，因為那時他還只是初出茅廬，而且又被同伙的女朋友舉報，所以，才被FBI逮捕并投入了“少管所”。

在“少管所”里，凱文·米特尼克“面壁思過”，認真總結了經驗教訓，大大提高了“社會工程學”水平。被保釋出來后，便如虎添翼，在很短的時間里，一舉攻破了包括Sun系統公司、Novell電腦公司、NEC美國公司以及諾基亞移動電話等多家巨型公司的網絡，不斷破壞其核心系統，造成巨額損失。1988年，他再次因非法入侵他人系統而入獄。由于系重犯，他被處以一年徒刑，并被禁止從事電腦網絡工作；因為，警察當局認為，他只要擁有鍵盤，就會對社會構成威脅。

在監獄中的這一年，又是他在“社會工程學”方面“閉關修行、突飛猛進”的一年。出獄后，早已“無招勝有招”的他，按捺不住內心激動，馬上施展絕技，瞬間就造成了3億美元的損失（FBI的評估結果）。待警察想再度將其繩之以法時，他已口念咒語，像白骨精那樣，一道閃電就不見了。從此，米特尼克就與FBI，玩起了長達數年的老鼠戲貓游戲。

在頂著“頭號通緝令”的逃亡期間，米特尼克一刻也不曾閑著，一會兒竊聽警察局的電話，看看笨貓們是如何設計來試圖***他的；一會兒向位于圣迭戈的超級計算機中心發動攻擊，“將整個互聯網置于一種危險的境地”（《紐約時報》的評語）。最后，FBI不得不“以其人之道，還其人之身”，仍然采用“社會工程學”：出重金收買了他最要好的朋友，并經過5年多漫長而艱難的緝拿行動，終于在1995年發現了其行蹤，并動用FBI的精銳力量，將其捉拿，并被指控犯有23項罪，后又增加了25項附加罪。

在服刑期間，他當然再次不被允許接觸任何數字設備，包括程控電話、手機和任何電腦。但是，即使這樣，也發生了令人哭笑不得的事故：也不知從哪里弄到了一臺微型收音機，他將它改造后，竟然用于了偷聽獄管人員的談話；為此，他被監獄當局，從普通牢房轉到隔離牢房，實行24小時連續監管。

好了，課間休息結束了，咱們繼續上課吧。下面該介紹“社會工程學”的嚴肅內容了。

與兵法類似，要想成為一名優秀的“社會工程學者”，絕不能僅靠死記硬背，更不可紙上談兵；但是，作為普通網友，如果你只需防范上當，那么，在很大程度上，讀完此章就夠了，除非你確實被超級黑客盯上了。當然，假如黑客真的要吃定你的話，我也只能幫你到這里了，勸你還是趕緊報案吧。

其實，“社會工程學”也并非黑客的專利，許多人都會在某種程度上依賴于它，比如，律師和醫生（特別是心理醫生），需要采用它來誘導當事人，通過見機行事的對話，來操縱病人，讓他們做出期望的行動；政府需要利用“社會工程學”，來更加有效地傳遞正能量；銷售人員需要掌握豐富的人際交往技巧，提高業績；騙子，需要利用人性的貪婪，以“發財致富”為誘餌，來達到目的；間諜，更需要不擇手段地濫用“社會工程學”等等。不過，他們并非本章所要介紹的重點，我們只是在此一筆帶過而已。

那么，到底什么是“社會工程學”呢？

從網絡空間安全的角度來看，所謂“社會工程學”主要指的是一類特殊的黑客攻擊手段。它的攻擊目標是人，是要鉆人性的空子，更準確地說是要充分利用人性的弱點、本能反應、好奇心、信任、貪婪等心理特質，來對受害者進行諸如欺騙、恐駭、威逼等，以獲取自身利益。隨著網絡化程度的不斷提高，“社會工程學”的運用門檻越來越低，難度越來越小，危害也越來越大，甚至有被濫用的趨勢。因此，必須讓普通網民對它有所了解，促使大家提高警惕，避免上當受騙，減少不必要的損失。

擅長“社會工程學”的黑客，首先需要做的，也是最重要的，事情就是“收集你的信息”，否則，再巧的媳婦，也做不出無米之炊！他可以借助于任何工具，從網上獲取盡可能多的相關信息；也可利用任何機會，從你的親朋好友、鄰居同事等處，獲得大量的間接資料；這些手段你可能都已經想到，也不用我再贅述了。但是，有個損招，一定會出乎你的意料！那就是，你的最直接，最私密的信息，卻大部分都隱藏在你每天隨手丟棄的垃圾里！真的，不是開玩笑，還記得課間休息的那位“世界頭號黑客”嗎？他正是通過翻撿垃圾，獲得了FBI的入門證，然后，大搖大擺地闖了進去，當然，這需要超強的心理承受力。想想看，面對荷槍實彈的衛兵，誰不腿軟呀。

“拉關系”也是你見得較少的，“社會工程學者”收集信息的重要手段。其原理是：通過獲得被攻擊者的認可，營造出信任的氛圍，然后，誘導你說出有價值的信息，或讓你去點擊某個鏈接，或做任何危害自己的蠢事等。這怎么可能呢？確實可能！因為，人性中至少有這樣的善良弱點：當別人對你敞開心扉，愿意信任你并分享他們的生活信息時，你也會在這種“親近感”（或“信任感”）的驅使下，毫不猶豫地說出自己的秘密。“社會工程學者”已經總結出了與你“拉關系”的如下十條口訣（你要小心喲）：

人為時間限制：讓你知道，他不會打擾你很長時間。

配合默契的非語言行為：確保他的“非語言行為”與其言語是匹配的，否則會露餡。比如，談到悲傷處時，不妨掉幾滴淚。這里的“非語言行為”主要是指肢體語言，這將在后面還會詳細介紹，因為它重要嘛。

放慢語速：慢點說話，才不會表現出緊張的情緒。

打同情牌：對你使用有力的語言，比如，“求求你啦！”

自我抑制：假裝認可你的所有觀點和行為，即使他心里在罵你。

包容：用“溫暖”和“真誠”包容你，以及你的知識和技能等，這也算是“愛屋及烏”了吧。

詢問：不斷地問你“怎么樣？”“什么時候？”“為什么？”等，因為，詢問既能夠引出更多話茬，又便于套取你的秘密。

讓步條件：他將稍稍釋放一些信息，讓你感到舒適，進而誘你分享一些信息給他。

調控預期：他將隨時調整其預期，如果進展順利，就會窮追猛打；如果不行，見好就收，絕不太貪心。因為，即使本次坑你失敗，下次還有的是機會！

信息收集當然是越多越好，但是，還有必要對這些信息進行深入分析，爭取從中發現你的軟肋，至少找出你的特點吧。為此，既可以使用高大上的所謂“大數據分析技術”，但也別排斥下里巴人的直覺推斷，更要充分利用豐富的經驗。比如，從你的廚房垃圾中，傻瓜都找得到你的飲食習慣；從廢信封上，沒準就能與你那遠在天邊的二舅媽，“偶然”成為好朋友，然后，把你的家底查個一清二楚；通過閱讀每天發布的微博，你的行蹤當然暴露無遺；萬一幸運的話，從收集到信息中，發現了一些有關你經濟、生活或人事關系等方面的蛛絲馬跡，那么，再加以適當誘導，沒準你的把柄就牢牢掌握在他手中了。

如果說上網搜索和刨垃圾等，算是間接收集和分析信息的話，那么，“察言觀色”就算是直接的火力偵察了；這既是普通網民容易中招的一環，也是稍加警惕就能避免上當的一環，所以，我們在此多費一點筆墨。該方面，水平最高，也是大家最熟悉的，應該是算命先生了。下面我們就來解剖這只麻雀，見識一下。算命先生是如何與你短兵相接的。

算命先生的功課主要有五門：前棚、后棚、懸管、炳點、和托門。

所謂前棚，就是招攬客戶的手段，即，運用心理技巧來引你注意，進而讓你相信他，并最終心悅誠服地坐下來，求他為你占一卦。“這位施主，貧道看你印堂發黑，七日內必有血光之災”；伙計，當你聽到這話，又假如你碰巧正在躲債的話，難道你不會覺得是老天開眼，讓活神仙下凡，來指引你逃脫苦難嗎！還不趕緊磕頭求簽，更待何時！“前棚”又叫“拴馬樁”，意指要把你給拴住，為此，占卦界總結了祖傳秘笈“金點十三簧”。如果再加“水火簧”的靈活運用，嘿嘿~，伙計，就算你是白龍馬，也在劫難逃，定被拴牢。當然，如果你壓根不理他，只是淡淡一笑，那么，該“印堂發黑”的，就不是你，而是他了。

“前棚”完事后，就該“后棚”了。拴住你，只是手段；讓你“出血”才是目的，這就是“后棚”的功夫了。通常“后棚”開場的第一句話，就會單刀直入問你要錢。但是，妙就妙在，這錢你還不好意思不給，甚至還恨不得快點給，給多點。比如，“天師”高風亮節道：既然你我有緣，我就破例給你一卦，但該卦不能白起，你得給“相禮”（其實就是錢）；不過，這錢我不拿，你就放桌上，先聽聽我說的對不對；如果對了，這錢歸我，咱們繼續往下說；如果不對，您拿錢走人，我分文不取。

不過，這錢只要一上桌，你就別再想拿回；因為，善于見風使舵的半仙，一定會說出虛虛實實、模棱兩可的話來，讓你五體投地。比如，當得知你與兩朋友剛買了彩票，想知道發財結果后，他只需要亮出一根手指頭，甚至連話都不用說，就百分之百地算出了精準結果！你看，如果你們仨都沒中獎，那么，他那一個手指頭說的就是“一個都不中”；如果只有一個人中獎，那么，他的那個指頭說的就是“只一個人中”；如果有兩個人中獎了，那么，他的那個指頭說的就是“只一個不中”；如果三人全都中獎了，那么，他的那個指頭也仍然所向披靡，因為，那意味著“一起中獎了”！這雖是笑話，但是，算命先生的“后棚”就是這么回事，只不過“特事特辦”而已。

好容易逮住個“冤大頭”，剛剛用“后棚”割下你的第一塊肉，哪能就輕易讓煮熟了的鴨子飛了呢！于是，第三門功課“懸管”就開始了。既然你已經徹底相信了面前這位活菩薩，為何不再多燒幾柱香，多問幾件事呢？比如，最近有沒有艷福呀，官運何時亨通呀，辦公室的桌子是不是該調個方位呀，祖墳該不該重修呀，等等。反正，你敢問，他就敢答，而且，還都八九不離十；你就等著乖乖地，一份接著一份地掏錢吧。“后棚”掙下的錢，叫“頭道杵”，即，第一份錢；“懸管”是“二道杵”；一般來說，哪怕是只有“副教授”水平的算命先生，在經歷了“前棚”和“后棚”之后，基本上對你都了如指掌了；于是，他便可以隨意打著“命理”旗號，不斷敲詐你，而且，你還堅信不疑，甚至，還可能由最初的信服，演變為迫不及待地掏錢。這是多么形象的“懸管”呀，把自己懸著，讓他去管！

再往后就進入第四門功課：“炳點”。經過前面幾門功課，真人已經掐指算出了你命中的“血災”，而且，這些天災馬上就會變為現實，全世界沒有任何人能夠為你消災，哪怕是玉皇大帝下凡；但是，幸好剛才閻王捎來信說：貧道能夠勉強為你消災，但卻會為此削減自己的陽壽；所以，你就回家等死吧。這時，已經徹底崩潰的你，哪肯離開，無論如何也要纏住活神仙“求求您，行行好，幫我消掉此災吧，多少錢都行….”。最后，熬不過你的執著，終于“活雷鋒”痛苦地為你消災了。并且，在收完錢后，果然，慘叫一聲，倒地不起。你甚至為他這種勇于自我犧牲的精神，正感動得熱淚盈眶呢。

當然，“炳點”還有一種可能的結局就是：半仙同志大義凜然，掏出前面你已經給出的錢，裝著要退回。哥們兒，你還好意思伸手接回這些錢嗎？就算你臉皮超級厚，他又會突然語重心長地冒一句：“卦錢我都還給你，可這些打點各路神仙的錢，還是別動吧，留著給你消災解難”。說完遞給你一張小票，把其余的“毛爺爺”裝進了口袋。你給算命先生的最后那筆錢，叫“絕后杵”，意思是收完這錢后，此單生意就做完了；你按照他的破解之法走人；他則喝口茶潤潤嗓子，等著下一單生意。

對了，別忘了，算命先生還有最后一門功課，叫“托門”；它其實就是處理善后，主要是叮囑你“天機不可外泄，不要對旁人說起，否則，就不靈了等”。此話把屁股擦得很干凈，即使以后不靈驗，也算是有了推托之詞。因為，畢竟“貧道”還要在這兒長駐，“打一槍換個地方”有失“天師”風范，只有對門那家伙才干這種缺德事兒。

即使不能像算命先生那樣，與你面對面交流并套取信息，“社會工程學者”也還有其它辦法讀懂你的心，并向你發動進攻。比如，閱讀你的肢體語言，觀察你的面部表情等。其實，心理學家們已經發現：一個人要向外界傳達完整的信息，單純的語言成分只占7%，聲調占38%，另外的55%信息都需要由非語言的體態來傳達。而且，由于肢體語言通常是下意識的舉動，所以，它很少具有欺騙性，換句話說，你就很容易被“社會工程學者”掌握實情。

伙計，說來你可能還不信，但是，絕對千真萬確：黑客可以通過你的頭、眼、頸、手、肘、臂、身、胯、足等部位的協調活動，來分析你的思想，了解你的心態，掌握你的情緒等。當然，我不是指“鼓掌表示興奮，頓足代表生氣，搓手表示焦慮，垂頭代表沮喪，攤手表示無奈，捶胸代表痛苦等”這些婦孺皆知的常識，而是指一些你可能在不經意間泄露的秘密。比如：

距離的秘密：他與你面對面時，如果你們彼此間的距離不足半米，那么，他可能是你的親人；如果相距0.5～1.25米，那么，他可能是你的好友；如果你們在三米開外對話，那他也許只是陌生人。

眉目傳情：看到喜歡的人，你就會不自覺地揚眉或低眉，雖然這種潛意識的動作，只會持續短短的1/5秒；你見到暗戀女神時，唇部會有瞬間的機械性開啟。如果某男盯住你最美的部位，毫不掩飾地欣賞你優美的體形；那么，美女，你該注意防狼了。

儀態說話：若某帥哥筆直面對你，且衣著得體，肩膀自然下垂，那么，他可能想向你展示挺拔的姿態，希望引起你注意；如果他身體稍稍前傾，靠近你，聽你談話，那么，他可能對你有好感；如果他不斷地修正領帶或整理頭發，那么，他可能想吸引你注意；如果他摳紐扣，表明他可能很緊張。

女為悅己者容：不時把滑落的頭發理順，或不停地咂嘴，那么，她可能對你有好感；如果鞋尖朝向你，可能就對你感興趣；如果膝蓋朝你而坐，可能暗示著想與你建立更親密的關系；如果把手掌和腕部暴露給你，那么，她可能是想引起你的注意；如果她盤腿而坐，并把膝部暴露給你，這很可能意味著：該你主動出擊了。

行為有含義：興奮時，你會喜歡把玩杯子，或用刀叉輕敲桌面，或用手指觸摸物品；為了掩飾內心的慌亂，你會不時摸摸下巴、耳朵和面頰。當你喜歡某人時，唇部和臉的下半部，就會變得特別敏感；比如，若你在抽煙，此時會猛吸；若在喝水，便會不由自主地牛飲。

讀懂男人：他將手放在你的肘或肩部，是想表達一種保護；撫摸嘴唇，也許在暗示，想吻你啊；寒流突襲時，如果向你提供自己的外套，可能想表達某種所有權，比如，“這是我的，也是你的”。

握手的秘密：男女握手時，如果對方手心干爽，表明她性格開朗，或對本次晤面沒興趣；如果她手心潮濕，表明她性情較內向，或內心恐懼緊張。握手時，手心朝上的女人，多是柔順易于相處的；手心朝下的女人，多是爭強好勝不肯服輸的；而只伸出手指的女人，多是精于世故、吝嗇貪婪，同時，也許還傳達出一層蔑視。一般來說，女人與男人握手時，較少用力；但如果突然施力，肯定是在暗示著什么。

怎么樣，“社會工程學”收集信息、分析信息的學問夠多吧，難度夠大吧。不過，這還不是最難的。比如，“偽裝”就還更難，即，你必須像孫猴子那樣，擁有72變的本領，要可以偽裝成任何人；甚至還要比悟空更厲害，變成土地廟后，不能豎著一根多余的尾巴，當旗桿！因此，當你需要冒充成警察，想混進局里時，至少要懂得基本的執法規矩吧；當你假裝修電腦，按約定進入獵物辦公室時，你必須真的能把那臺電腦修好吧；當你需要進入機要大院，去收集垃圾情報時，你得有專用工作服，并會使用裝卸機吧；當你要以四川老鄉的身份，打電話套取相關信息時，不能滿口山東話吧。總之，你需要演誰，就得像誰，而且，還要真正把自己當成那誰；否則，在關鍵時刻，一緊張就保準露餡。當然，萬一露餡，也要隨機應變，扭轉乾坤。

偽裝也有其基本原則，比如，事前調查越充分，收集信息越豐富，那么，偽裝的成功率就越大；如果偽裝的角色有鮮明的個人愛好，那么，偽裝成功的可能性就越大；如果被偽裝者與自己的本性越靠近，那么，偽裝也就越容易；掌握盡可能多的方言、地方習慣等，將在關鍵時刻，幫助你偽裝成功；與面對面偽裝相比，“通過電話偽裝”被識破的概率更低，雖然電話偽裝需要做的預備工作并未減少；偽裝越簡單，成功率越高；偽裝最好盡可能地自然；每一次偽裝行動，都要為下一次的行動留下伏筆，不能斷絕后路等。

“社會工程學”中，最難的也是最關鍵的環節，就是所謂的“誘導”；即，牢牢控制你，讓你像僵尸那樣，乖乖地接受指揮，叫干啥就干啥，那怕是***。我肯定不能教你如何去“誘導”別人，但是，你的下述人性弱點，很可能***客用來“誘導”你。所以，建議你花上幾秒鐘，照照下面的鏡子：

互惠互利：讓你在感受到恩惠時，主動泄密；

義務：讓你因感激而去做某些事，哪怕明知在違規，否則你會心里有愧；

讓步：假裝做一些讓步，然后，趁機詢問你更重要的問題；

不足：殘缺的信息可能更有用，也許你以為只提供了只言片段，但是，他卻有本事將它們整合成完整的信息；

權威：是人就有服從權威的天性，你也不例外；

堅持和承諾：他會步步為營，不會突然逼你太甚；他會分階段實施，不會一下子就亮出底牌；

愛好：每個人都喜歡志同道合者。他會讓你感到，你很受歡迎；那么，作為回報，你是不是也該給他提供一點他喜歡的信息呢。

社會認可：如果別人都這么做，那么，我也該這么做；但是，你怎么知道那個“別人”是不是在演戲呢！

當然，“社會工程學”是一本永遠也讀不完、寫不盡的書。不過，本章的目的，絕不是想把你培養成優秀的“社會工程學者”；而只是要讓你，具備必要的免疫力，別成為“米特尼克”的菜。

好了，既然你已花費了大把精力，讀到這里了；那么，作為獎勵，我愿將“超級社會工程學者、世界頭號黑客”，凱文·米特尼克，親自總結的“反欺騙十大招”分享給你。但愿對你有用，畢竟以毒攻毒最有效嘛。

1.備份資料。記住你的系統永遠不會是無懈可擊的，災難性的數據損失會發生在你身上，只需一條蠕蟲或一只木馬就已足夠。

2.選擇很難猜的口令。不要隨意填上幾個與你有關的數字當作口令，在任何情況下，都要及時修改默認口令。

3.記得安裝殺毒軟件，并讓它及時更新升級。

4.及時更新操作系統，時刻留意軟件制造商發布的各種補丁，并及時安裝應用。

5.不用電腦時，千萬別忘了斷開網線和電源。

6.在瀏覽器中會出現一些黑客***，對此要保持清醒，拒絕點擊，同時將電子郵件客戶端的自動腳本功能關閉。

7.在發送敏感郵件時要加密，也可用加密軟件保護你的硬盤數據。

8.安裝一個或幾個反間諜程序，并且要經常運行檢查。

9.使用個人防火墻并正確設置它，阻止其它計算機、網絡和網址與你的計算機建立連接，指定哪些程序可以自動連接到網絡。

10.關閉所有你不使用的系統服務，特別是那些可以讓別人遠程控制你的計算機的服務，如RemoteDesktop、RealVNC和NetBIOS等。

在一個充滿陷阱的網絡世界里，要想保護自己，的確很不容易。請你時刻提醒自己：在某個角落里，某些毫無道德的人，正在刺探你的漏洞，并利用它們來竊取你的敏感秘密。

希望你不是下一位上當者！

最后，讓我們用北宋詩人，蘇東坡的代表作《水調歌頭》，來歸納和結束此章。

安全幾時有？

把酒問青天。

不知“社會工程學”者，

吃虧定在眼前。

我欲細論詳情，

又恐誤用雙刃劍，

反誘出人渣行騙。

揭秘弄清影，

正義留人間。

減私欲，少貪婪，補缺陷。

不應有恨，

凡事警惕長心眼。

人有好壞善惡，

月有陰晴圓缺，

此事古難全。

但愿人長久，

網上共嬋娟。

安全 大數據

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。