社会工程：我不是教你诈，只是教你认清人性

~「社会工程：安全体系中的人性漏洞」读书笔记

不安全随处可见

让我们一起来看看几年前出现的一个网站——

www.icanstalku.com. 不同于它的域名，这个网站并不是鼓励人们去跟踪别人，它跟踪的是那些毫无防范意识的 Twitter 用户。它遍历 Twitter 网站，寻找那些蠢到用自己的智能手机拍摄照片并上传的家伙。很多人都没意识到智能手机拍摄的照片会隐藏 GPS 信息。你上传这些照片的同时，也泄露了自己的拍摄位置信息。

信息泄露与信息收集距离我们并不遥远。我曾感叹智能手机可以快速按照拍摄地点整理照片，由此想来，便细思极恐。倘若手机被盗，犯罪团伙便可轻而易举分析出你的常在地，且定位十分精确，接下来的安全隐患不言而喻。好在一般盗贼只是贪恋财物，大规模地追踪被盗者的情况并不多见。另外，我也想到在秘密的军事重地中，不允许军人随意发布照片，特别是包含个人相貌、地点的信息，现在看来，这样的措施虽略显无情，但着实合情合理。

当今社会上，这样的例子举不胜举，我们也可以从中发现，我们身边并不像我们想象中的那么安全，有许多的恶意社会工程人员存在，如果我们不清楚恶意社会工程人员的思维方式，其结果就是很容易被攻击。

像社会工程者一样思考

在信息大爆炸的世界，我们必须改变平常的思维方式，学会质疑一切，看到信息时就按照社会工程人员的思维方式来思考。

学习成为一名信息收集大师，然后与交流模型相结合予以实践。这只是个开始，但是它能改变你作为社会工程人员在日常生活中与他人交流的方式。

书中有个小事例给我留下了非常深刻的印象，也是我们可以立即上手，向社会工程人员学习的。强尼·龙（Johnny Long）曾为渗透测试人员写了本著作，叫「Google Hacking for Penetration Testers」。他总结出了一系列用来查询公司信息的语法。例如，在谷歌搜索框中输入 site:microsoft.com filetype:pdf，就能得到 microsoft.com 网站上的所有 PDF 文档列表。

为什么要了解「社会工程」？

我们并非执行审计人员，为什么要学习社会工程呢？掌握这些信息可以提高日常沟通能力。知道如何通过表情或如何提问会让他人更加轻松并引出正面回应；此外，它也可帮助你成为一位好的倾听者，让你更加关注他人的感受。

以克里斯·尼克森的一句话做结，与君共勉——

真正的社会工程不仅是以为自己在扮演角色，而且是在那个时刻，你就是那个人，你就是那个角色，你的生活就是那样的。

公众号：麦穗时间（myselftimes）

读书这件小事儿，希望你和我一起坚持❤️Deep Reading, Deep Thinking!

愿化作火炭上一滴麦芽糖，在翻腾不休的时间里，“滋滋”地响