开文之前，我们说一下范围，是在信息安全领域中的社交工程骗子。而不是社会学领域的社交工程，那都是些宗教、政治领袖或传销骗子们玩儿的。

人们经常说，社交工程诈骗通常是集团式作战，有严密的分工。当然，要干“大事儿”，需要有团队，有人编骗术剧本，有人负责技术，有人打电话，有人网上偷钱，有人线下取钱……

事实上，这个行业也可以“单干”，或者小规模团队行动，尤其是目标集中在重要信息的社交工程骗子。当然，首先要说的就是，我们绝不鼓励您去“行骗”，那是违法的，我们自己也绝不会给您提供网络犯罪工具，或教唆您去违法犯罪。相反，您应该严格遵守适用的法律法规，比如《网络安全法》、《计算机安全保护条例》等，做一名合格的网民。我们的目的只是引起您的好奇心，让您了解这种可能性，即一个社交工程“骗子”是如何炼成的，进而让您能够“知己知彼”，在工作和生活中注意防范社交工程诈骗，保护好重要甚至机密信息。

通过社会工程大师之路

我在信息技术世界和信息安全领域的岁月有20余年了。昆明亭长朗然科技有限公司网络安全研究员董志军说：期间遇到了许多年轻干将、各种各样的极客高手以及介于两者之间的各色人物。不管是外向的和内向的，在这个行业中混迹的发达的都有。所以，不管您是什么样的性格特质，都有可能成为社交工程“骗子”，也就是说，什么性格的社交工程“骗子”都有。

不要以为口才好的，外向的人才能成为社交骗子，外向的人更容易而已。这是因为社交工程的基本难题是能够开始和目标进行对话，让目标开始信任您，并且不会对您最终提出的问题和要求产生怀疑。我搞信息安全与保密的久了，性格变得保守和内向了，像很多程序员“码农”一样，几乎没有什么社交互动。但是我看到类似的内向性格人员却很自信，当然也很成功，他们以不同但相似的方式进行网络冒充、钓鱼和掠夺。有的人甚至因干了这一行当而彻底改变了性格，原本的极内向的好好先生，后来成为生活中的泡妞高手和人生赢家。

英雄不论出处，社会工程大师不论出生，不管您是红二代、官二代、富二代还是穷二代，只要努力，就能成功，就像人们膜拜的互联网英雄大佬们一样。我看到很多今天混在城中村小黑屋里的“穷鬼”，干成一大笔后，明天买下别墅，开着豪车出入奢华场馆。当然，更多还是保持相当的低调，纵使发达了，仍然像个普通人一样平静地过日子。

我是从做电脑文员、IT/网络管理/服务器支持进入网络安全领域的，但是我看到进入这行业的人来自各行当的都有，其中有一个粮油店伙计，前期在业余时间有这爱好，后期发达了，从粮油伙计变成渔具店老板了。当然，这“渔具”就是“网络钓鱼”用的黑产工具。不过，那小子知道及时止步，前几年洗手不干，移民海外了。

再次强调一下，不管做什么事儿，都要弄清自我，做守法公民，并遵守适用的职业道德规范。人生不值得为短暂的辉煌而冒险去干违法犯罪的事儿，进而让自己在牢狱里度过大半生。

既然有了追求，就要努力，现在诱惑多，工作报酬低，很多年轻人很无奈，在空闲时间就玩儿手游。我不是说不能玩儿，但是沉迷进去不行，人生短暂，时间都花到娱乐中，哪儿还能学习社交工程啊。还有一点是方法，就是要走出舒适区，人们往往善于做自己的专业工作，虽然枯燥，但这个舒适区的吸引力很强，我们要挑战自己，走出我的舒适区。不断尝新，设立一些掌握新知的小目标，在实现了之后，给自己适当的奖励，不断通过这样来刺激自己成长。视野宽了，懂得多了，社交工程才更好做。

上述基本上就是一个通往社会工程大师之路的关键点了，在这过程中会有很多不适，就是不舒服，比如碰到自己不懂的或者难消化的新知，或者忍受一些生活中的困难甚至他人的嘲讽。但是只要有希望，坚持不懈，永不放弃，终会成功。比如，您给自己定下了掌握Metasploit社交工程套件的计划，就应该全身心投入，即使放弃一些手游娱乐以及同事聚餐。

终上所述，不要小看社交工程“骗子”，他们同很多专业人士一样，都是经过努力拼打过来的，当然有能力的时候要走正路，到网络安全公司谋职是不错的，有很多社工和渗透测试工作相关的职位。

了解防范社交工程“骗子”们的成长轨迹，知晓他们的骗术手法，当您对社会工程“骗子”的了解超过他们自己后，在遭遇社工诈骗时，不用急着试探和揭开他们的真实面目，应该及时避开并向相关人员发起报告和警示。

希望本文通过分享一些我的职业生涯中的所见与所感，能帮助坚定您的意愿，至少对您是否进入社交工程行业产生了积极影响，这个道路丰富了我的个人生活。在这过程中我们能够遇到很么多新的、有趣的人，并进一步巩固友谊，让我的整个世界变得更加开放和充实。社交工程技能在与信息安全无关的日常情况下是可用且有意义的，不见得会帮您找个美女或帅哥相伴，但是也不排除这种可能。

如果您对社会心理学、信息安全或相关课题感兴趣，那么社会工程学就是您应该研究的领域。社交工程大师就可以成为您的职业目标，祝您早日成材，正大光明，行大道！

昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片，数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识，不仅保护好了自己，也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系，洽谈业务合作。

昆明亭长朗然科技有限公司

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：[email protected]
QQ：1767022898

随着信息服务提供商的安全技术更新，以及等级保护网络安全相关法规的落地，诸如加密、安全更新、防火墙、防病毒、多因素身份验证之类的高级安全措施越来越得到普及，这使黑客越来越难以获得他们想要的东西如机密信息资产等。这是网络社会和信息行业付出巨大代价换来的进步，也是值得欣喜的情况。不过，昆明亭长朗然科技有限公司网络安全研究专员董志军警告称：永远不要太过乐观，因为出于思想政见的不同特别是利益驱动的原因，诸如黑客、间谍或不轨人员等网络犯罪威胁客观存在而且无处不在，当他们无法从技术层面下手时，他们会尝试新的渠道，即利用人性的弱点，这样只会让情况越来越糟，因为人性的弱点太复杂多变了。

您可能想问：人员因素越来越成为黑客的最佳目标呢？这是因为人们可能会有意、无意或疏忽大意间犯错。一些不良的安全习惯或常见错误很容易为黑客提供他们所希望的突破口。社会工程学是一种操纵人们去做事的艺术，尤其是与安全相关的事情，例如交出计算机的访问权限或者泄露机密信息。社会工程学黑客并不是利用高超的技术闯入计算机网络或信息系统，而是使用对人类的心理进行操控的技巧。

在许多情况下，这些黑客只需使用少量信息，就可以获得受害者的信任或访问权限。让我们看一些例子：

• 一名黑客可能会打来电话，自称是您的服务商，并说您的账户已被标记为异常活动，需要验证您的身份，实际上是在骗取您的身份信息。
• 一名攻击者冒充您所在单位中的同事（例如佩戴假工牌的技术支持人员）或顾问或其他受信任的外部权威（例如审核人员），进而获得您的信任，并跟随您进入内部受限工作区域。
• 一名黑客甚至可能添加您为社交媒体好友，然后从您的个人资料或发帖中收集信息。
• 一名黑客可能伪造知名机构的网站，向您发送链接，进而对您进行网络钓鱼攻击和恶意软件感染等。
• 一名黑客可能通过假冒高管的电子邮箱或在社交媒体中假冒成高管，向您紧急借钱，或要求您转账给特定的户头。

如何最大限度地减少社交攻击造成的损失呢？

从战略上讲，防御黑客的最佳方法是像黑客一样思考。因此，安全专员需要赋能用户，培训员工有关黑客的一切。当然，真实的黑客并非媒体或影视剧中表现的那样神乎其神。媒体通过都是通过夸张的表现来吸引人们的眼球。真实的黑客敢闯敢试、足智多谋而且极有耐心。安全人员可以通过鼓励员工参加黑客挑战赛来培养黑客的思维方式。

从战术上讲，为避免成为社交攻击黑客、网络钓鱼分子、电信诈骗者和身份盗用者的侵害，我们可以做很多事情，比如采取如下一些预防措施：

• 避免将所有鸡蛋都放在一个篮子里，账户之间越相互依赖，出现安全问题的可能性就越大，所能造成的破坏就越广泛。
• 为每个网络应用服务使用不同的登录名或密码，当然，最好不要重复使用相同的密码，以确保一个密码的失窃不会影响到其它信息系统。
• 尽量启用双因素身份验证，这样，即使用户名和密码被盗，盗贼也难以轻松进入您的账户。
• 定期检查账户登录情况和个人数据，以查找身份盗窃和账户欺诈行为，定期检查访问日志情况以确认账户没被入侵和滥用。
• 从公共信息数据库中删除您的私人信息，如Firefox监控等一些安全网站或工具可以帮助我们查找自己的私人信息暴露情况，使用相关的资源删除暴露的私人信息。
• 定期备份重要的数据，不怕一万就怕万一，黑客入侵人们通常为了获利，加密型的勒索病毒使很多企业和个人受害不浅，这是惨重的教训。

话说回来，如同表演各种幻术一样，社交工程学黑客会伪装成各种角色的人员身份，向各类人员发起针对您的攻击。如果服务提供商因受到社交工程诈骗的原因而将您的账户访问权限交给了攻击者，上述这些步骤将不会阻止您的账户受到入侵和损害，但是，它们至少可以帮助您将可能的损失降到最低，以让您对保护好自己更有信心。

对于网络安全人员来讲，要不断更新自己的知识储备，加强网络安全学习。同时要鼓励员工们了解潜在的网络犯罪事件，以便认识到新型的网络安全威胁，进而帮助员工们更好地与组织的安全风险建立关联，强化自己的安全防护意识和能力，履行好自己的网络安全职责，防止沦为社交工程黑客利用来攻击工作单位的对象。

为了帮助各类型的组织机构抵御越来越复杂多变的社会工程学黑客攻击，进而帮助保护组织机构的重要信息资产，昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898