社会工程学究竟是个什么东西?在百度百科上是这样的解释:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。
但你若仔细来看,这种定义还是似是而非的,社会工程学是什么,怎么来的,它有什么用,究竟怎么用,在国内这些都尚不清晰。社会工程学不是教你如何骗人,不是教你违法的,它本身就只是一种社交手段和方法。
熟练运用社会工程学的人,比如破案的警察,国外比较流行的今年来国内也逐渐流行的私家侦探,他们也会称呼自己为社会工程学师,也有说社会工程师,前者读起来十分拗口,后者则容易引起歧义,而我觉得,读作社会工程学家则更为合适。社会工程学家喜欢运用社会中的社交手段获取你的信任,从而从你的口中、身边、周围获得更多更有价值的信息,这些都是合法的(没有伤害到任何人,注意是合法的社交活动),他们用这些信息再去其他地方获得更多的信息,更有价值的信息,这也是合法的,直到有一天,他若把这信息卖给了别人,这才有可能违法。但事实上,社会工程学家获取的大多为信息,可能一个电子文件,可能是一句话,甚至是一幅图片,他拷贝走了,你的文件还在那里,一动不动,很大程度上说,他并没有拿走你什么东西:)
那么社会工程学(社工学家)与黑客又有着什么关系呢?这还得是从社会工程学本身说起。由于“社会工程学”这个说法(实际上还称不上是学科)最初是由一名黑客让它流行起来,所以每每谈到社会工程学,人们总是不忘会联想到那些balabala敲键盘的黑客,实际上,你要是不会点电脑技术,这社会工程学家也确实不好当:)
社会工程学(我们暂且给它扣个学科的帽子)是一门复合学科,不像是语文数学物理这种单独的科目,只需要精通一门,其它作为辅助就够了。社工学里从大的角度来讲,可以理解为几个毫不相关的方向,这包括:心理学、计算机科学、侦查与反侦查等学科(这里暂不做详细科目介绍,笔者知识水平有限,不求全面但求行文无过)心理学方向细分则包括行为心理学、社会心理学、性格心理学等均需涉猎。侦查与反侦察很好理解了,你既然要去社交,要去“骗人”,那么不让人抓住小尾巴也是必备技能啊!
最后一个,则是计算机科学,也就是我们常说的,成为一名黑客,这意味着,你不能仅仅会中文,不能仅仅会在windows操作系统里编程,不能……我想,现在你应该已经能对社会工程学与黑客的关系有个大概的理解了。
社会工程学,脱开黑客技术是很难实现的,因为那就不仅仅是靠一张嘴了,也将不是依靠信任去获取信息,而是欺骗、恐吓、乃至于贿赂,那是违法的,那不叫社会工程学。因为你伤害到了别人,乃至于不相关的人。但凡你懂一点点黑客技术,如果你本身技术很高明,那更好了,在使用社会工程学获取信息的时候,将起到画龙点睛的效果。当然,你不懂社会工程学,你是一个厉害的黑客,当你去获取一些信息可能会很困难,可能真的无从下手,或许你也可以试试用社会工程学来从侧面破解,为什么?因为你可能完全不需要去暴力运算那长达128位的充满了特殊字符和大小写字母的密码,仅仅需要一个电话就可以搞定了。事实上在国内,很多人也确实是这么干的,其实这也说明为什么人们一提到社会工程学,就会想到黑客,因为国内确实就是这个样子……但你要明白一个事实那就是:社会工程学本身离不开黑客技术,但并不是只有黑客才能够利用社会工程学,而社会工程学也不是为了入侵和欺骗而生的,只不过是被黑客在恰好的时间和恰好的地点给利用了,所以它借着黑客的光出名了。
说了这么多,希望看这篇文章的你能够摆正社工学和黑客的关系,社工学家不一定是黑客,但他一定会黑客技术,这样讲似乎更明确一些呵呵,辛辛苦苦码了这么多字,一千多了,好久没有写这么长的文字,下面来说说我为什么要写这篇文章。
我是路由,路由的路,路由的由,我有一个很帅气的英文代号叫Router。我接触社工,完全是偶然,上课的时候老师讲到了凯文,也谈到了他的《The Art of Deception》《欺骗的艺术》,所以我就买来读了,这确实为我展开了一扇全新的大门:入侵和防御的战场或许从来就不在网络上!
我也推荐对社会工程学好奇的你来读一读,这本书也被誉为是社工学界最经典的教程,著作者便是社会工程学界最有名的大师凯文·米特尼克,书中擅长运用一个故事,从多角度叙述来引起你的思考,故事内容很有意思,结尾点评也很引人深思,全书没有多少笔墨在写技术性内容,全部通俗易懂,但你仔细看的话,你就会发现,里边但凡运用黑客技术的地方,无一不是点睛之笔!
读完这本《欺骗的艺术》我想你多少就能对社会工程学有点概念了,但是却总会有不得要领的感觉,因为这本书中的故事都发生在了国外,生活方式,包括社会风气的不同,会让你觉得在国内是完全不适用的。不过没有关系,只要基础牢固(我们看了最经典的教材)那么上层建筑就是小意思了(再适应国内气氛)!
(如果你没有失去兴趣的话)这里你应该读一读这本《黑客社会工程学攻击档案袋》这本书是非安全出的一本书,应该是国内第一本系统讲解社会工程学的书籍,这本书优点在于行文轻快,阐述详细,重点是文中实例十分的接地气,就算是完全不懂黑客技术的你,也可以当作是基础知识扫盲来看,从这个角度来讲,写的很不错。但倘若你是想要深入了解社会工程学,我只建议你看书中的入侵实例即可,了解下社会工程学在入侵当中起到了什么作用。因为这本书的作者显然还没有脱开对黑客技术的依赖,入侵中大多针对个人,对于企业的则很少,使用的社会工程学也是十分简单,更多的是依赖于精湛的网络技术来达到目的,不是说有对有错(事实上我还是很佩服作者的,以我的水平,差远了)而是说对于社会工程学的行使方式尚有不足。
在说书中对心理学部分的讲解,知识点没错,但可能会给你造成错觉——作为心里工程学家的你,总要面对面的与他她交谈。这是非常严重的错误,事实上,你与交谈之人隔的越远,你就越安全,其实很多时候,当事人是完全不知道你是谁的。也就像书中后半段所写:“你入侵的时候,最好绕大半个地球再回来。”
好了,说了这么多,也就是给对社会工程学半懂不懂的你推荐了两本书,给我自己写一写读后感,这也是我刚刚读完的两本书,说实话《黑客社会工程学攻击档案袋》这本书给我的启发还是很大的,毕竟我对于黑客技术这方面也是白痴呵呵(相信很快会赶上来)
所以,这篇文章的题目也写明了是浅谈,不求知识全面,但求行文无过,倘若出现什么知识上的错误,恳请大家指正,个人观点,不足挂齿,不做权威,饭后谈资而已。
路由最近一直在努力,你呢?路由会在最快的时间读完《社会心理学》(轻工业出版社)也推荐你有空读一读
其他推荐的书籍:《心理学与生活》
另外,我的《黑客社会工程学攻击档案袋》是在卧云楼下载的。
请勿随意修改文章内容,转载随意,但不要忘记标明原作者:路由 | 文章原始出处
本文由 落格博客 原创撰写:落格博客 » 浅谈社会工程学与黑客
转载请保留出处和原文链接:https://www.logcg.com/archives/180.html
囧,那你知道《社会工程学》这本书吗?
实际上“社会工程学”这个不是一本书,只是一个国外 social engineering 的翻译罢了……
好吧,这个我知道,但确实存在这么一本书,只是因为一些原因在网上找不到了
是吗?那么这本书是中国人写的还是国外的然后翻译的中文?我试试帮你找找看
应该是中国人写的,一本介绍黑客,行骗心理学的书。
名字就这么叫的?x档案袋 是说这个的,是个中国人写的。
不是 x档案袋, https://www.zhihu.com/question/23161108, 我还在另一个知乎回答中看到过,不过也仅限这两个答案了。书名应该就是 《社会工程学》
https://www.dropbox.com/s/q22rg31ywttzjn1/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6.pdf?dl=0
你别说,还真给我找到了,我上传到 dropbox了,你自己下载吧 :)
谢谢了, 不过看内容,感觉只是一期被命名为 社会工程学 的杂志,怎么看都不像是一本被禁的书籍。无论如何, 非常感谢,可以问一下你是怎么找到的吗?
google ?
好吧,这个我知道,但确实存在这么一本书,只是因为一些原因在网上找不到了。
你好,可以详细介绍下《社会工程学》(轻工业出版社)这本书吗?(作者,出版时间,ISBN号,要是有购买链接就更好了)网上似乎已经找不到这本书了。
?很好,我成功地把《社会心理学》写成了《社会工程学》……已经改正了,汗。