社交工程学——欺骗的艺术

Kevin.D.Mitnick曾是“ 黑客“的代名词，任何黑客在面对无法攻破的技术防火墙是，都不得不赞扬他的天才，他所开创的社交工程学已经是每一位黑客走向大师之路的必备技能，纵使如今的社交工程技术已不再局限于Kevin最初开创时的墨阳，但其思想却依旧是如今的社交工程学技术最强力的内核之一——通过人性的漏洞达成目的。

Kevin这般称呼社交工程学——“欺骗的艺术”，其精髓在于，借助目标所存在的心理倾向和行为习惯，通过巧妙的话术，挖掘出有价值的信息或利用对方来达成自己的目的。社交工程学攻击成立的基础是人性的弱点，例如人们在非物理接触中与人沟通时所表现出的轻信与盲从，在工作中对于权威或同事的依赖于不由自主，因此，即使是极为老道的社交工程师或信息安全专家，也可能会轻易落入攻击者的圈套。在阅读《反欺骗的艺术》一书的过程中，我很难不惊叹社交工程师们是如何凭借短短几句话给予对方强烈的心理暗示并快速建立信赖关系的，同事又不由频出冷汗，面对如此防不胜防的攻击手段，能有几人能有效地做到辨别与防卫？更何况在当今这个信息安全意识普遍薄弱而通信技术空前发达的社会？

当今社交工程学得到了相当充足的发展，其中较为突出的一点在于对信息的深入挖掘，尤其在大数据背景下，这一手段甚至成为了最重要而又简便有效的攻击方式，社交工程学的主要攻击对象由企业机构及其内部系统逐渐转移到了个体用户身上，对于不了解相关技术的人而言，他们根本不会相信能有人单单借助一条手机号码，查出目标及其家人，亲属，同事等一系列相关者的身份证号，社会关系网，社交账号及密码等一系列私密信息，或是根据你拍摄的一张照片得出你所处的误差不超过100m的地理位置信息，这不仅是因为社交工程师惊人的信息挖掘能力，同时也与某些黑色产业有一定的关系，不仅是信息贩子，工商业间谍，还有黑客入侵盗走企业数据库导致的大量用户数据流入黑产市场，即所谓的“脱库”，使得个人信息安全几乎时刻处于裸奔状态下，而大数据时代下更进一步的用户数据采集更是使得社交工程师能情谊长我一个人的包括爱好，喜恶以致更深一层的行为习惯与个人信息，当这一点运用在Kevin式的攻击企业的社交工程学攻击上时，攻击者因此能更加准确有效地渗透进目标内部，个人信息隐私与企业信息安全不过形同虚设。

尽管在这一篇博客中我将社交工程学描述的充满恶意与攻击性——事实上也往往如此——但我丝毫不像也是自己对社交工程学的痴迷于对社交工程师的赞叹，其一在于我是坚定的“技术无罪论”的拥护者，其二在于即使这一技术确实常被用来做那些阴暗，不义的勾当，也丝毫不影响我这样引用《厚黑学》中的观点——“以厚黑待友，是狡黠之恶徒；以厚黑学对敌，乃无上之功德”。因此，我仍要称赞它，社交工程学是欺骗的艺术，坐拥其独特的美学！