您絕對肯定過著虛假的安全感！社會工程學在今天仍然非常普遍，我懷疑這種情況是否會在幾十年內改變。

以下是有關社會工程學為何起作用的一些簡要說明。很難涵蓋所有內容，因為社會工程學是一個非常廣闊的領域。

社會工程學起作用的一些原因（摘自書中底部）：

• 大多數人都擁有禮貌的願望，尤其是對陌生人的禮貌
• 專業人士想要表現出消息靈通和聰慧
• 如果受到稱讚，您將經常多說話，多洩漏
• 大多數人不會為了撒謊而撒謊
• 大多數人會對那些關心他們的人表現出友好的反應

樂於助人

通常人類希望互相幫助。我們喜歡做美好的事情！我與接待員交談，並解釋說我在5分鐘內舉行了一次面試會議，但我只是在所有文件上灑了咖啡。然後，我問接待員是否會如此貼心，然後用我擁有的USB記憶棒為我再次打印出來。

這可能導致接待員的PC受到實際感染，並可能使我在網絡中站穩腳跟。

使用恐懼 strong>

擔心失敗或不按順序進行：

• 該公司董事的（John Smith）facebook頁面（或其他任何信息來源）顯示，他剛乘船旅行了3週。我打電話給秘書，並發出指令性的聲音，說：“嗨，是克里斯打來的。我剛和約翰·史密斯打完電話，他在與妻子卡拉和孩子們的航行中度過了愉快的時光。但是，我們在在整合非常重要的業務系統的過程中，他告訴我給您打電話，以便您可以為我們提供幫助。由於他們正在進行野生動物園活動，他無法打電話給自己，但這確實很緊急。郵寄給他的USB記憶棒將其插入並插入電源，啟動計算機，我們就完成了。項目成功了！

  非常感謝！您提供了很大的幫助！確保約翰·史密斯（John Smith）會因您的這種幫助而認出您。“

玩往復遊戲

• 後擋板。我為您拿著入口門，我迅速走到您後面。當您打開一扇啟用安全保護的下一扇門時，我會朝同一方向前進，大多數人會嘗試再次為您拿著門，以報答有益的行動，從而使您進入不應有的位置。擔心被抓住？不。你只是說對不起，走錯了路。

  目標幾乎會感到有義務為你扇門！

發揮好奇心

• 嘗試在組織中的各個位置放置10個USB記憶棒。您不必將它們放在太明顯的地方。 USB應該有一個自動運行的電話主程序，以便您可以看到有人何時連接了USB記憶棒，並且理論上應該被利用。

  此方法的另一個版本是將USB隨身碟放到單個PDF文檔中，例如“約翰·史密斯-挪威.pdf”。 PDf文檔包含一個Adobe Acrobat Reader漏洞利用程序（其中有成千上萬個），一旦用戶單擊該文件，他將被擁有。當然，您已經確保該漏洞利用是針對目標組織的特定Adobe版本的。對於大多數人來說，打開文檔很自然，因此他們可以嘗試將USB記憶棒歸還其所有者。

  • 好奇心的另一個例子（也許是另一個術語可以更好地解釋這一點）是所有這些垃圾郵件或您贏得了獎勵的不良互聯網廣告，或者尼日利亞王子為您提供了很多錢可以幫助他。我確定您已經熟悉這些內容，但是它們也是社會工程學攻擊，它們沒有停止的原因是它們仍然有效！

這只是幾個例子。當然還有更多！

我們還可以看看歷史性的社會工程事件：

HBGary

完整的故事可以在此處進行閱讀（第3頁包含社會工程部分）

• 去年的HBGary被黑客入侵。這種攻擊涉及許多不同的步驟，但也涉及社會工程方面。長話短說，黑客入侵了公司VIP的電子郵件帳戶，並向目標系統的管理員發送了一封電子郵件，內容如下：“嗨，約翰，我目前在歐洲，我在機場之間彈跳。您從任何IP為我在高編號端口上打開SSH嗎？我需要完成一些工作”。當管理員收到此電子郵件時，他覺得很自然要遵守此規定，因為該電子郵件來自受信任的來源。

  但這不是！攻擊者俱有該帳戶的密碼，但是登錄無效！因此，他通過電子郵件發送給管理員“再次，它似乎不起作用。密碼仍然正確？再次輸入用戶名是什麼？”。現在，他還提供了該系統的實際密碼（攻擊者從同一黑客中另一個系統的較早入侵中獲得了該密碼），從而使攻擊者從管理員那裡獲得了更多信任。因此，管理員當然會遵守並告訴攻擊者他的用戶名。

頂部的列表來自“ 社會工程：人類黑客的藝術”一書，我非常推薦它！

是的，任何系統都與最弱的成員一樣弱，而就是人類，而且總是如此。

您現在可能對某些最明顯的技術是“免疫”的，但是這同樣適用於壓力大的秘書，秘書從IT接到電話要在部門老闆的計算機上快速查找一些重要信息，而這些信息要等到即將到來的周末之後才可以使用。哦，那個奇怪的窗口可能彈出並提出一些不重要的問題，她只需單擊接受代碼>。她當然會這樣做...每個人都會在錯誤的情況下這樣做...

社會工程（SE）不僅涉及利用攻擊者擁有的信息，而且還涉及利用（人類）行為的模式。

為解釋這一點，讓我們做一些練習-大聲說顏色，而不是單詞。

您能在這裡看到“漏洞利用”嗎？這種“剝削”在現實生活中的使用非常令人質疑，但它很清楚地向我們展示了即使我們掌握了有效的信息（嬰兒時都學過顏色）也可以操縱大腦。

現實生活中的例子可能是這樣的-假設您希望秘書將USB插入她的機器。朝她禮貌地要求她這樣做可能會被拒絕，特別是如果有禁止這樣做的政策。但是您可以穿上衣服，把咖啡灑在襯衫/褲子和文件上，然後走到她身邊，拿著那些文件說：“我開會很晚了，開車去這裡的時候，貓跑了進去。我的車子開了，我開始非常努力地折斷了。那隻貓確實活了下來，但我的文件卻沒有。我知道這是一個奇怪的要求，但請你能幫我打印嗎？我真的來晚了，你的老闆可能真的很生我的氣！”

這被稱為藉口，基本上，這是SEr扮演的角色。我們以此為藉口做什麼？我們正在利用情感。如果操作得當，並且您的微表情是真實的，則很可能她會做您想要的。為什麼？因為我們人類是這樣的是的，她可能知道將未知設備放入PC可能有害。是的，她可能對此有所了解，但說實話，您試圖不打貓，您沒有喝咖啡，您弄壞了西裝，開會遲到了，老闆會生您的氣，現在有些政策要求她對你無禮。來吧... 但是，這裡的關鍵部分是使她保持適當的心情-為您感到難過。為此，您的微表情必須由她解釋為真實（真實）。如果打得正確，效果與顏色相同。她知道這是她不應該做的事情（單詞的顏色），但是情緒在告訴她否則（單詞的含義）。

SEr可以拉向目標的另一個技巧就是所謂的巴甫洛夫的狗實驗。那麼，流口水的狗與ITSec有什麼關係？假設我想了解您工作場所的人身安全。您知道您不應該與我分享這些信息。我也知道下班後，你總是來當地的酒吧喝一杯。有一天我自我介紹，我們開始閒聊。起初它只是關於您的酷車。然後，我們開始談論女性在酒吧，然後是我們的前女友，關於去年的假期等等。總而言之，這不是什麼不尋常的話題，而是私人生活。我們見面時，您注意到，每次我問問題時，我都會用香煙打桌子。起初，這甚至可能是一個令人討厭的習慣，但隨後您就忽略了它。在幾天/幾週後，當您開始對我感到自在時，我開始詢問您的工作和工作環境。一點一點地，您告訴我我想了解貴公司的物理安全性。

那麼我在這裡做了什麼？通過與您隨意交談，我訓練您的大腦，使我每次抽煙擊中桌子時都能得到答案。儘管這不是洗腦，但這樣做並不會告訴我您最黑暗的秘密，可以想像一下-剝去一層洋蔥。第二層是我在酒吧與您共度時光所獲得的信任。等等，等等……我確實操縱了你，當我問你一些敏感的問題時，這個簡單的竅門幫助我沒有舉起任何危險信號。再次，這不是關於您擁有的信息（不要告訴陌生人），而是關於您的行為和對外界的反應。

我想在這裡說的是-不管您知道什麼，只要您處在正確的位置，您就會按照您的要求去做。為什麼？因為這是在我們的遺傳學中。

僅舉一個或兩個“ IT領域外”的例子，如果目標用戶擁有熟練的技術知識，他們將如何毫無意義地獲取信息/知識先生在法庭上，證據是純粹的冷事實，但是，好的律師可以，無論其委託人的境況如何，都可以使用SE來使這些事實對他有利。

在購買汽車之前，您將去告訴自己哪個最適合您。當您到達商店購買車時，賣方可以說服您再次使用SE購買更昂貴的汽車。

此外，查看此視頻。他是怎麼做到的？只是表現正常。沒什麼。

當目標是內部信息時，這是最常用的針對性攻擊形式之一-在與社會工程攻擊團隊合作的多年中，我們可以訪問服務器機房和安全區域，獲得機密文件，並被告知敏感的系統等。

人們通常是有用而無知的。這聽起來很刺耳，但總的來說，人們會盡力幫助陷入困境的人，尤其是當那個人看起來或聽起來沒有威脅的時候。並且，當面對一個對系統或過程有更多了解的人時，許多人會做他們應做的事情。

一種相對便宜的方式來提高 組織中的安全性-每年進行意識培訓。就物有所值而言，這可能比在IT安全上花費更為有效。

社會工程學仍然經常是最薄弱的環節。人們普遍信任，有時解決諸如密碼重置之類的低級技術支持問題的人是廉價的，訓練有素的勞動力，並不特別注重安全性。

此外，在設計系統/策略時，信息安全並不一定要像客戶滿意度那樣優先考慮，這會導致社會工程方面的弱點。

社會工程師=信心三分儀。騙子已經完全成功地突破了保護X等於數據，武器，專利，商業秘密，密碼等的任何一種方法（X）。

這應該是個玩笑（管理CVE-0），但是最好攻擊目標的方法是了解您的公司，並找到一個不太精通技術的公司副總裁來打開公司珠寶的大門。

查看您帳戶中所有已被暫停的網絡釣魚垃圾郵件。如果有時無法正常工作，他們將不會發送。這是一種社會工程學攻擊。

自從我寫了我的原始回復以來，我遇到了另一種情況：老闆偽造的一封電子郵件給某位下屬，指示他們向一位老闆支付6位數的款項。某些銀行帳戶來支付他們購買的畫作。嘗試過這種魚叉的人對目標的了解不多，這樣的購買對他而言就顯得格格不入。