社会工程

作品简介

本书首次从技术层面剖析和解密社会工程手法，从攻击者的视角详细介绍了社会工程的所有方面，包括诱导、伪装、心理影响和人际操纵等，并通过凯文 · 米特尼克等社会工程大师的真实故事和案例加以阐释，探讨了社会工程的奥秘。主要内容包括黑客、间谍和骗子所使用的欺骗手法，以及防止社会工程威胁的关键步骤。

本书适用于社会工程师、对社会工程及信息安全感兴趣的人。

作者简介：

Christopher Hadnagy

世界上第一个社会工程框架（www.social-engineer.org）的主要开发者。与BackTrack（ www.backtrack-linux.org）安全团队一起参与了各种类型的安全项目，有16年以上的安全和信息技术实践经验。他也是主动式安全（Offensive Security）渗透测试小组的培训师和首席社会工程专家。

译者简介：

陆道宏

1995年毕业于华东理工大学计算机与科学系，获硕士学位，长期从事信息安全与计算机取证研究和开发工作。2004年，合伙创建盘石软件（上海）有限公司，领导开发了盘石计算机现场取证系统（SafeImager）、盘石速影网站猎手（SafeSite）等系列计算机取证专业工具。

杜娟

毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件（上海）有限公司计算机司法鉴定所，任职期间完成多起电子物证案件的鉴定，主导鉴定实验室通过国家认可委CNAS认证认可，为多个省部级单位做过电子数据取证的专业技术培训。

邱璟

计算机取证行业从事者，信息安全、计算机犯罪研究、计算机司法鉴定研究爱好者。毕业于华东政法大学刑事司法学院计算机科学与技术专业。现就职于盘石软件（上海）有限公司，专业从事计算机取证调查工作。

作品目录

• 献词
• 序
• 前言和致谢
• 第1章 社会工程学初探
• 1.1 为何本书很重要
• 1.1.1 本书框架
• 1.1.2 本书内容
• 1.2 社会工程概述
• 1.2.1 社会工程及其定位
• 1.2.2 社会工程人员的类型
• 1.2.3 社会工程的框架及其使用方法
• 1.3 小结
• 第2章 信息收集
• 2.1 收集信息
• 2.1.1 使用BasKet
• 2.1.2 使用Dradis
• 2.1.3 像社会工程人员一样思考
• 2.2 信息源
• 2.2.1 从网站上收集信息
• 2.2.2 运用观察的力量
• 2.2.3 垃圾堆里找信息
• 2.2.4 运用分析软件
• 2.3 交流模型
• 2.3.1 交流模型及其根源
• 2.3.2 制定交流模型
• 2.4 交流模型的力量
• 第3章 诱导
• 3.1 诱导的含义
• 3.2 诱导的目的
• 3.2.1 铺垫
• 3.2.2 成为成功的诱导者
• 3.2.3 提问的学问
• 3.3 精通诱导
• 3.4 小结
• 第4章 伪装：如何成为任何人
• 4.1 什么是伪装
• 4.2 伪装的原则和计划阶段
• 4.2.1 调查越充分，成功的几率越大
• 4.2.2 植入个人爱好会提高成功率
• 4.2.3 练习方言或者表达方式
• 4.2.4 使用电话不会减少社会工程人员投入的精力
• 4.2.5 伪装越简单，成功率越高
• 4.2.6 伪装必须显得自然
• 4.2.7 为目标提供逻辑结论或下一步安排
• 4.3 成功的伪装
• 4.3.1 案例1：斯坦利·马克·瑞夫金
• 4.3.2 案例2：惠普
• 4.3.3 上遵纪守法
• 4.3.4 其他伪装工具
• 4.4 小结
• 第5章 心理战术：社会工程心理学
• 5.1 思维模式
• 5.1.1 感官
• 5.1.2 3种主要的思维模式
• 5.2 微表情
• 5.2.1 愤怒
• 5.2.2 厌恶
• 5.2.3 轻蔑
• 5.2.4 恐惧
• 5.2.5 惊讶
• 5.2.6 悲伤
• 5.2.7 快乐
• 5.2.8 训练自己识别微表情
• 5.2.9 社会工程人员如何运用微表情
• 5.3 神经语言程序学
• 5.3.1 神经语言程序学的历史
• 5.3.2 神经语言程序学的准则
• 5.3.3 社会工程人员如何应用NLP
• 5.4 采访和审讯
• 5.4.1 专业的审讯技巧
• 5.4.2 手势
• 5.4.3 双臂和手的摆放
• 5.4.4 聆听：通往成功之门
• 5.5 即刻达成共识
• 5.5.1 真正地想要了解他人
• 5.5.2 注意自身形象
• 5.5.3 善于聆听
• 5.5.4 留心自己对他人的影响
• 5.5.5 尽量少谈论自己
• 5.5.6 谨记：同情心是达成共识的关键
• 5.5.7 扩大知识领域
• 5.5.8 挖掘你的好奇心
• 5.5.9 设法满足他人的需求
• 5.5.10 使用其他建立共识的技巧
• 5.5.11 测试“共识”
• 5.6 人类思维缓冲区溢出
• 5.6.1 设定最基本的原则
• 5.6.2 人性操作系统的模糊测试
• 5.6.3 嵌入式指令的规则
• 5.7 小结
• 第6章 影响：说服的力量
• 6.1 影响和说服的5项基本原则
• 6.1.1 心中有明确的目标
• 6.1.2 共识、共识、共识
• 6.1.3 保持自身和环境一致
• 6.1.4 不要疯狂，要灵活应变
• 6.1.5 内省
• 6.2 影响战术
• 6.2.1 回报
• 6.2.2 义务
• 6.2.3 让步
• 6.2.4 稀缺
• 6.2.5 权威
• 6.2.6 承诺和一致性
• 6.2.7 喜欢
• 6.2.8 共识或社会认同
• 6.3 改动现实：框架
• 6.3.1 政治活动
• 6.3.2 在日常生活中使用框架
• 6.3.3 框架联盟的4种类型
• 6.3.4 社会工程人员如何利用框架战术
• 6.4 操纵：控制你的目标
• 6.4.1 召回还是不召回
• 6.4.2 焦虑的最终治愈
• 6.4.3 你不能让我买那个
• 6.4.4 令目标积极地响应
• 6.4.5 操纵激励
• 6.5 社会工程中的操纵
• 6.5.1 提高目标的暗示感受性
• 6.5.2 控制目标的环境
• 6.5.3 迫使目标重新评估
• 6.5.4 让目标感到无能为力
• 6.5.5 给予非肉体惩罚
• 6.5.6 威胁目标
• 6.5.7 使用积极的操纵
• 6.6 小结
• 第7章 社会工程工具
• 7.1 物理工具
• 7.1.1 开锁器
• 7.1.2 摄像机和录音设备
• 7.1.3 使用GPS跟踪器
• 7.2 在线信息收集工具
• 7.2.1 Maltego
• 7.2.2 社会工程人员工具包
• 7.2.3 基于电话的工具
• 7.2.4 密码分析工具
• 7.3 小结
• 第8章 案例研究：剖析社会工程人员
• 8.1 了米特尼克案例1：攻击DMV
• 8.1.1 目标
• 8.1.2 故事
• 8.1.3 社会工程框架的运用
• 8.2 米特尼克案例2：攻击美国社会保障局
• 8.2.1 目标
• 8.2.2 故事
• 8.2.3 社会工程框架的运用
• 8.3 海德纳吉案例1：自负的CEO
• 8.3.1 目标
• 8.3.2 故事
• 8.3.3 社会工程框架的运用
• 8.4 海德纳吉案例2：主题乐园丑闻
• 8.4.1 目标
• 8.4.2 故事
• 8.4.3 社会工程框架的运用
• 8.5 最高机密案例1：不可能的使命
• 8.5.1 目标
• 8.5.2 故事
• 8.5.3 社会工程框架的运用
• 8.6 最高机密案例2：对黑客的社会工程
• 8.6.1 目标
• 8.6.2 故事
• 8.6.3 社会工程框架的运用
• 8.7 案例学习的重要性
• 8.8 小结
• 第9章 预防和补救
• 9.1 学会识别社会工程攻击
• 9.2 创建具有个人安全意识的文化
• 9.3 充分认识信息的价值
• 9.4 及时更新软件
• 9.5 编制参考指南
• 9.6 学习社会工程审计案例
• 9.6.1 理解什么是社会安全审计
• 9.6.2 设立审计目标
• 9.6.3 审计中的可为与不可为
• 9.6.4 挑选最好的审计人员
• 9.7 总结
• 9.7.1 社会工程并非总是消极的
• 9.7.2 收集与组织信息的重要性
• 9.7.3 谨慎用词
• 9.7.4 巧妙伪装
• 9.7.5 练习解读表情
• 9.7.6 操纵与影响
• 9.7.7 警惕恶意策略
• 9.7.8 利用你的恐惧
• 9.8 小结