淺談社會工程學與黑客

社會工程學究竟是個什麼東西？在百度百科上是這樣的解釋：社會工程學是關於建立理論通過自然的、社會的和製度上的途徑並特別強調根據現實的雙向計劃和設計經驗來一步一步地解決各種社會問題。

但你若仔細來看，這種定義還是似是而非的，社會工程學是什麼，怎麼來的，它有什麼用，究竟怎麼用，在國內這些都尚不清晰。社會工程學不是教你如何騙人，不是教你違法的，它本身就只是一種社交手段和方法。

熟練運用社會工程學的人，比如破案的警察，國外比較流行的今年來國內也逐漸流行的私家偵探，他們也會稱呼自己為社會工程學師，也有說社會工程師，前者讀起來十分拗口，後者則容易引起歧義，而我覺得，讀作社會工程學家則更為合適。社會工程學家喜歡運用社會中的社交手段獲取你的信任，從而從你的口中、身邊、周圍獲得更多更有價值的信息，這些都是合法的（沒有傷害到任何人，注意是合法的社交活動），他們用這些信息再去其他地方獲得更多的信息，更有價值的信息，這也是合法的，直到有一天，他若把這信息賣給了別人，這才有可能違法。但事實上，社會工程學家獲取的大多為信息，可能一個電子文件，可能是一句話，甚至是一幅圖片，他拷貝走了，你的文件還在那裡，一動不動，很大程度上說，他並沒有拿走你什麼東西：）

那麼社會工程學（社工學家）與黑客又有著什麼關係呢？這還得是從社會工程學本身說起。由於“社會工程學”這個說法（實際上還稱不上是學科）最初是由一名黑客讓它流行起來，所以每每談到社會工程學，人們總是不忘會聯想到那些balabala敲鍵盤的黑客，實際上，你要是不會點電腦技術，這社會工程學家也確實不好當：）

社會工程學（我們暫且給它扣個學科的帽子）是一門複合學科，不像是語文數學物理這種單獨的科目，只需要精通一門，其它作為輔助就夠了。社工學裡從大的角度來講，可以理解為幾個毫不相關的方向，這包括：心理學、電腦科學、偵查與反偵查等學科（這裡暫不做詳細科目介紹，筆者知識水平有限，不求全面但求行文無過）心理學方向細分則包括行為心理學、社會心理學、性格心理學等均需涉獵。偵查與反偵察很好理解了，你既然要去社交，要去“騙人”，那麼不讓人抓住小尾巴也是必備技能啊！

最後一個，則是計算機科學，也就是我們常說的，成為一名黑客，這意味著，你不能僅僅會中文，不能僅僅會在windows操作系統裡編程，不能……我想，現在你應該已經能對社會工程學與黑客的關係有個大概的理解了。

社會工程學，脫開黑客技術是很難實現的，因為那就不僅僅是靠一張嘴了，也將不是依靠信任去獲取信息，而是欺騙、恐嚇、乃至於賄賂，那是違法的，那不叫社會工程學。因為你傷害到了別人，乃至於不相關的人。但凡你懂一點點黑客技術，如果你本身技術很高明，那更好了，在使用社會工程學獲取信息的時候，將起到畫龍點睛的效果。當然，你不懂社會工程學，你是一個厲害的黑客，當你去獲取一些信息可能會很困難，可能真的無從下手，或許你也可以試試用社會工程學來從側面破解，為什麼？因為你可能完全不需要去暴力運算那長達128位的充滿了特殊字符和大小寫字母的密碼，僅僅需要一個電話就可以搞定了。事實上在國內，很多人也確實是這麼幹的，其實這也說明為什麼人們一提到社會工程學，就會想到黑客，因為國內確實就是這個樣子……但你要明白一個事實那就是：社會工程學本身離不開黑客技術，但並不是只有黑客才能夠利用社會工程學，而社會工程學也不是為了入侵和欺騙而生的，只不過是被黑客在恰好的時間和恰好的地點給利用了，所以它藉著黑客的光出名了。

說了這麼多，希望看這篇文章的你能夠擺正社工學和黑客的關係，社工學家不一定是黑客，但他一定會黑客技術，這樣講似乎更明確一些呵呵，辛辛苦苦碼了這麼多字，一千多了，好久沒有寫這麼長的文字，下面來說說我為什麼要寫這篇文章。

我是路由，路由的路，路由的由，我有一個很帥氣的英文代號叫Router。我接觸社工，完全是偶然，上課的時候老師講到了凱文，也談到了他的《The Art of Deception》《欺騙的藝術》，所以我就買來讀了，這確實為我展開了一扇全新的大門：入侵和防禦的戰場或許從來就不在網絡上！

我也推薦對社會工程學好奇的你來讀一讀，這本書也被譽為是社工學界最經典的教程，著作者便是社會工程學界最有名的大師凱文·米特尼克，書中擅長運用一個故事，從多角度敘述來引起你的思考，故事內容很有意思，結尾點評也很引人深思，全書沒有多少筆墨在寫技術性內容，全部通俗易懂，但你仔細看的話，你就會發現，裡邊但凡運用黑客技術的地方，無一不是點睛之筆！

讀完這本《欺騙的藝術》我想你多少就能對社會工程學有點概念了，但是卻總會有不得要領的感覺，因為這本書中的故事都發生在了國外，生活方式，包括社會風氣的不同，會讓你覺得在國內是完全不適用的。不過沒有關係，只要基礎牢固（我們看了最經典的教材）那麼上層建築就是小意思了（再適應國內氣氛）！

（如果你沒有失去興趣的話）這裡你應該讀一讀這本《黑客社會工程學攻擊檔案袋》這本書是非安全出的一本書，應該是國內第一本系統講解社會工程學的書籍，這本書優點在於行文輕快，闡述詳細，重點是文中實例十分的接地氣，就算是完全不懂黑客技術的你，也可以當作是基礎知識掃盲來看，從這個角度來講，寫的很不錯。但倘若你是想要深入了解社會工程學，我只建議你看書中的入侵實例即可，了解下社會工程學在入侵當中起到了什麼作用。因為這本書的作者顯然還沒有脫開對黑客技術的依賴，入侵中大多針對個人，對於企業的則很少，使用的社會工程學也是十分簡單，更多的是依賴於精湛的網絡技術來達到目的，不是說有對有錯（事實上我還是很佩服作者的，以我的水平，差遠了）而是說對於社會工程學的行使方式尚有不足。

在說書中對心理學部分的講解，知識點沒錯，但可能會給你造成錯覺——作為心里工程學家的你，總要面對面的與他她交談。這是非常嚴重的錯誤，事實上，你與交談之人隔的越遠，你就越安全，其實很多時候，當事人是完全不知道你是誰的。也就像書中後半段所寫：“你入侵的時候，最好繞大半個地球再回​​來。“

好了，說了這麼多，也就是給對社會工程學半懂不懂的你推薦了兩本書，給我自己寫一寫讀後感，這也是我剛剛讀完的兩本書，說實話《黑客社會工程學攻擊檔案袋》這本書給我的啟發還是很大的，畢竟我對於黑客技術這方面也是白痴呵呵（相信很快會趕上來）

所以，這篇文章的題目也寫明了是淺談，不求知識全面，但求行文無過，倘若出現什麼知識上的錯誤，懇請大家指正，個人觀點，不足掛齒，不做權威，飯後談資而已。

路由最近一直在努力，你呢？路由會在最快的時間讀完《社會心理學》（輕工業出版社）也推薦你有空讀一讀

其他推薦的書籍：《心理學與生活》

另外，我的《黑客社會工程學攻擊檔案袋》是在臥雲樓下載的。

請勿隨意修改文章內容，轉載隨意，但不要忘記標明原作者：路由 | 文章原始出處

本文由 落格博客 原創撰寫：落格博客 » 淺談社會工程學與黑客

轉載請保留出處和原文鏈接：https://www.logcg.com/archives/180.html