网络罪犯广泛地使用社会工程攻击来潜入组织内部，并使用巧妙的方法欺骗公司员工和个人，以哄骗目标机构涉密或内部的信息数据，这种攻击方法很复杂。尽管现在的防御措施也越来越强大，但是仍然有大量的网络安全事件发生，这显得有些矛盾。对此，昆明亭长朗然科技有限公司网络安全顾问董志军表示：这个问题并不是新鲜的，网络安全管理负责人应该更清晰地认识到防范网络罪犯，不仅仅是IT部门通过技术手段可以解决的问题，更是需要得到用户的理解和支持。

美国安全机构的一项权威统计数据称：近几年，确定的社交工程受害者人数每年增幅高达270％。国内一项针对CSO和CISO们的最新的调查表明，网络信息安全管理者目前最头痛的是高素质网络安全人才的缺乏，其次便是如何保护组织中最薄弱的安全环节，也就是组织机构内部的最终用户。说到底，在网络安全管理者越来越认识到网络安全博弈便是人才的竞争之时，犯罪分子的眼光也瞄向了人员的安全弱点。

什么是社会工程学攻击

社会工程学是一种操纵公司员工的简便而有效的方法，目的是使他们泄露机密而宝贵的公司信息。社会工程学有多种方法，使用这些方法的攻击者通常很善于进行心理操纵，以种种复杂的方式瞄准毫无戒心的员工，寻找非常机密的信息，例如密码、银行信息等，甚至控制计算机以在系统中安装某些恶意软件。

可以肯定地说，这些攻击者们知道目标组织网络中确实存在的安全漏洞，毕竟这个世界中没有弱点的人员和机构是几乎没有的。由于组织机构在网络安全中存在无法识别的弱点，因此职员们可以将机密信息泄露到无法修复的难堪程度。社会工程学骗子往往藏人群之中，他们甚至是您和其他职员们经常遇到并与之打招呼的那些面孔。通过玩儿耐心和信任的游戏，不法分子们一直在关注容易上钩的目标。因此，您和其他职员们都应该熟悉社交工程技术，以便可以在有价值的信息遭受恶意破坏之前识别出具有恶意意图的不法分子。

社会工程学攻击的严重性

尽管社会工程学的后果很严重，成为网络安全业界一个非常严肃的问题，但是一直以来，几乎没有很好的解决方案出现。分析原因有如下几点：

• 攻击者越来越多地通过诱使人们自己动手来感染计算机，比如通过诈骗电话、网络钓鱼和恶意电邮，当然这些只是使员工亲手伤害公司声誉的几种老套方法。
• 窃取移动计算设备隐私及涉密数据的移动应用程序多到令人震惊，据行业专家评估，每天有约高达几十亿条敏感数据被各种应用从后台悄悄取走！普通的智能手机用户可以轻松地下载恶意的移动应用程序，从而帮助攻击者获取信息！
• 由于社交媒体正以极快的速度传播，社交平台上网络钓鱼的可能性是恶意软件的数十倍，因此，在社交媒体正成为黑客创建虚假信息并针对最终用户进行诈骗的主流媒介。

保护您所在的组织机构免受社会工程攻击

不是东风压倒西风，就是西风压倒东风，知难而上保护脆弱的职员避免将隐私及涉密的信息数据交给恶意手中已成为当下迫切需要解决的问题。安全保密总监、经理和主管们，是时候要制定社会工程学反击计划、预防策略了！

为了帮助各种类型机构的安全保密管理人员更好地检测社会工程学攻击，昆明亭长朗然科技有限公司创作了大量的社会工程学攻击案例，包括动画视频和讲解模块儿，共同组成一些可供选用的培训课程，我们对各类社会工程学攻击所涉及的多种方法进行深入浅出的介绍，以希望能够帮助各类型的组织机构可以使用其对员工们进行安全保密意识宣教，进而从根本上防止受到相关的损害。欢迎有兴趣和需求的客户及行业合作伙伴们联系我们，洽谈采购与合作。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

开文之前，我们说一下范围，是在信息安全领域中的社交工程骗子。而不是社会学领域的社交工程，那都是些宗教、政治领袖或传销骗子们玩儿的。

人们经常说，社交工程诈骗通常是集团式作战，有严密的分工。当然，要干“大事儿”，需要有团队，有人编骗术剧本，有人负责技术，有人打电话，有人网上偷钱，有人线下取钱……

事实上，这个行业也可以“单干”，或者小规模团队行动，尤其是目标集中在重要信息的社交工程骗子。当然，首先要说的就是，我们绝不鼓励您去“行骗”，那是违法的，我们自己也绝不会给您提供网络犯罪工具，或教唆您去违法犯罪。相反，您应该严格遵守适用的法律法规，比如《网络安全法》、《计算机安全保护条例》等，做一名合格的网民。我们的目的只是引起您的好奇心，让您了解这种可能性，即一个社交工程“骗子”是如何炼成的，进而让您能够“知己知彼”，在工作和生活中注意防范社交工程诈骗，保护好重要甚至机密信息。

通过社会工程大师之路

我在信息技术世界和信息安全领域的岁月有20余年了。昆明亭长朗然科技有限公司网络安全研究员董志军说：期间遇到了许多年轻干将、各种各样的极客高手以及介于两者之间的各色人物。不管是外向的和内向的，在这个行业中混迹的发达的都有。所以，不管您是什么样的性格特质，都有可能成为社交工程“骗子”，也就是说，什么性格的社交工程“骗子”都有。

不要以为口才好的，外向的人才能成为社交骗子，外向的人更容易而已。这是因为社交工程的基本难题是能够开始和目标进行对话，让目标开始信任您，并且不会对您最终提出的问题和要求产生怀疑。我搞信息安全与保密的久了，性格变得保守和内向了，像很多程序员“码农”一样，几乎没有什么社交互动。但是我看到类似的内向性格人员却很自信，当然也很成功，他们以不同但相似的方式进行网络冒充、钓鱼和掠夺。有的人甚至因干了这一行当而彻底改变了性格，原本的极内向的好好先生，后来成为生活中的泡妞高手和人生赢家。

英雄不论出处，社会工程大师不论出生，不管您是红二代、官二代、富二代还是穷二代，只要努力，就能成功，就像人们膜拜的互联网英雄大佬们一样。我看到很多今天混在城中村小黑屋里的“穷鬼”，干成一大笔后，明天买下别墅，开着豪车出入奢华场馆。当然，更多还是保持相当的低调，纵使发达了，仍然像个普通人一样平静地过日子。

我是从做电脑文员、IT/网络管理/服务器支持进入网络安全领域的，但是我看到进入这行业的人来自各行当的都有，其中有一个粮油店伙计，前期在业余时间有这爱好，后期发达了，从粮油伙计变成渔具店老板了。当然，这“渔具”就是“网络钓鱼”用的黑产工具。不过，那小子知道及时止步，前几年洗手不干，移民海外了。

再次强调一下，不管做什么事儿，都要弄清自我，做守法公民，并遵守适用的职业道德规范。人生不值得为短暂的辉煌而冒险去干违法犯罪的事儿，进而让自己在牢狱里度过大半生。

既然有了追求，就要努力，现在诱惑多，工作报酬低，很多年轻人很无奈，在空闲时间就玩儿手游。我不是说不能玩儿，但是沉迷进去不行，人生短暂，时间都花到娱乐中，哪儿还能学习社交工程啊。还有一点是方法，就是要走出舒适区，人们往往善于做自己的专业工作，虽然枯燥，但这个舒适区的吸引力很强，我们要挑战自己，走出我的舒适区。不断尝新，设立一些掌握新知的小目标，在实现了之后，给自己适当的奖励，不断通过这样来刺激自己成长。视野宽了，懂得多了，社交工程才更好做。

上述基本上就是一个通往社会工程大师之路的关键点了，在这过程中会有很多不适，就是不舒服，比如碰到自己不懂的或者难消化的新知，或者忍受一些生活中的困难甚至他人的嘲讽。但是只要有希望，坚持不懈，永不放弃，终会成功。比如，您给自己定下了掌握Metasploit社交工程套件的计划，就应该全身心投入，即使放弃一些手游娱乐以及同事聚餐。

终上所述，不要小看社交工程“骗子”，他们同很多专业人士一样，都是经过努力拼打过来的，当然有能力的时候要走正路，到网络安全公司谋职是不错的，有很多社工和渗透测试工作相关的职位。

了解防范社交工程“骗子”们的成长轨迹，知晓他们的骗术手法，当您对社会工程“骗子”的了解超过他们自己后，在遭遇社工诈骗时，不用急着试探和揭开他们的真实面目，应该及时避开并向相关人员发起报告和警示。

希望本文通过分享一些我的职业生涯中的所见与所感，能帮助坚定您的意愿，至少对您是否进入社交工程行业产生了积极影响，这个道路丰富了我的个人生活。在这过程中我们能够遇到很么多新的、有趣的人，并进一步巩固友谊，让我的整个世界变得更加开放和充实。社交工程技能在与信息安全无关的日常情况下是可用且有意义的，不见得会帮您找个美女或帅哥相伴，但是也不排除这种可能。

如果您对社会心理学、信息安全或相关课题感兴趣，那么社会工程学就是您应该研究的领域。社交工程大师就可以成为您的职业目标，祝您早日成材，正大光明，行大道！

昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片，数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识，不仅保护好了自己，也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系，洽谈业务合作。

昆明亭长朗然科技有限公司

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：info@securemymind.com
QQ：1767022898