社會工程學，簡稱社工，是一門欺騙的藝術，也是網絡安全中不可或缺的一部分，不懂社工的人，以為社工是詐騙，懂社工的人才明白它到底有多可怕。

一、社會工程學是什么？

社會工程學是黑客米特尼克在《反欺騙的藝術》中所提出的，是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。

最初的表現方式為，以人的因素攻擊信息安全鏈中，最薄弱的環節，通過欺騙的手段，入侵被騙者的計算機系統的一種攻擊方式。

后來延伸到真實社會當中之后，社工通常以交談的方式套取用戶的秘密，從而收集信息對被害人進行滲透。

二、社會工程學有多可怕？

社會工程學有多可怕？精通社工的人，可能會利用一個手機號，一個名字，一個單位，一個住址，就可以對相關人進行欺騙。

舉個例子，某公司想挖走競爭對手的員工，假裝蛋糕店搞活動，只要填寫手機號和姓名就可以免費得到一塊蛋糕，順利的話可以拿到公司所有人的聯系方式。

再舉個例子，你有個暗戀的人，通過社工可以輕而易舉地知道他/她的詳細情況。

社工能做的事兒有很多，但千萬要注意合法合規！

三、社工的具體方法

社工主要獲取相關人的具體信息，基本包含：

• 真實名字/網絡昵稱
• 出生日期
• 身份證號
• 籍貫
• 手機號
• QQ/微博/論壇/網易云等賬號
• 就讀的小學/中學/大學
• 學號
• 對方的朋友圈子
• 共同好友的資料
• 各類照片等等

那么該如何拿到以上具體信息呢？大概有以下幾個方法（不完全）：

1、直接索取

直接索取就是直接問目標人員各類信息，也就是俗稱的“搭訕”。

“你好，同學，可以加個微信嗎？”

“同學，我有個朋友想認識一下你，但他有點害羞，所以讓我幫他要一下你聯系方式，你看可以不？”

如果對方直接給你微信號了，那就不用費那心思去偽裝了。而且有了對方的微信號，那么他的手機號、微博、QQ等個人信息也都告訴你了。

2、個人偽裝

最直接的就是“猜猜我是誰”。

早些年，流行過一個詐騙手段，主要表現就是“猜猜我是誰”，然后根據受騙人的回答偽裝成這個人來進行詐騙。

個人偽裝和“猜猜我是誰”有異曲同工之妙，主要看的是演技。

“你好，我是來面試的，XXXXXX”

“你好，我是修下水道的，XXXXX”

通過偽裝，對方的個人信息就盡在手中了（現實生活中也有利用社工進行詐騙的案例，但近年來也有許多網安人利用社工來進行網安攻防。）

另一個老把戲是“釣魚攻擊”，大多是偽裝成銀行、學習、公司或政府機構等可信服務提供者，美劇里最愛偽裝成FBI。

3、發送郵件

這可是一個經典手段了，和我們現在還會收到的垃圾、詐騙郵件不一樣，社工的郵件制作更要精細。

這種方式一般是偽裝成熟人發來的郵件，正因如此，對方更容易得手。所以郵件得是一對一的。如果對方點擊鏈接，你就可以輕松進入他的地址簿和個人信息。

4、環境滲透

對特定的環境進行滲透，也是社工常用的手段之一，它可以不和對方打交道就可以獲得對方的姓名、生日、手機號、郵箱等。

5、暴力恐嚇

這種方式和偽裝有些相似，都是需要借助一定的身份去進行，不同的是暴力恐嚇往往以木馬、病毒、漏洞等敏感內容，散步安全警告，系統風險等信息，使得對方主動“投網”。

除此之外，社工還有很多手段和方式，對人、對計算機都有著不同的方式。

注：本文內容是【網絡安全資源庫】的原創文章，僅供交流學習，禁止用于非法用途，否則后果自負。

本文鏈接：http://www.persephonegardens.com/41379.html