總體上來說，社會(huì)工程學(xué)就是使人們順從你的意愿、滿足你的欲望的一門藝術(shù)與學(xué)問。它并不單純是一種控制意志的途徑，但它不能幫助你掌握人們?cè)诜钦�常意識(shí)以外的行為，且學(xué)習(xí)與運(yùn)用這門學(xué)問一點(diǎn)也不容易。

　　它同樣也蘊(yùn)涵了各式各樣的靈活的構(gòu)思與變化著的因素。無論任何時(shí)候，在需要套取到所需要的信息之前，社會(huì)工程學(xué)的實(shí)施者都必須：掌握大量的相關(guān)知識(shí)基礎(chǔ)、花時(shí)間去從事資料的收集與進(jìn)行必要的如交談性質(zhì)的溝通行為。與以往的的入侵行為相類似，社會(huì)工程學(xué)在實(shí)施以前都是要完成很多相關(guān)的準(zhǔn)備工作的，這些工作甚至要比其本身還要更為繁重。

　　你也許會(huì)認(rèn)為我們現(xiàn)在的論點(diǎn)只是集中在證明“怎樣利用這種技術(shù)也能進(jìn)行入侵行為”的一個(gè)突破口上。好了，其實(shí)這樣夠公平的了。無論怎么說，“知道這些方法是如何運(yùn)用的”也是唯一能防范和抵御這類型的入侵攻擊的手段了。從這些技術(shù)中提取而得出的知識(shí)可以幫助你或者你的機(jī)構(gòu)預(yù)防這類型的攻擊。在出現(xiàn)社會(huì)工程學(xué)攻擊這類型攻擊的情況下，像CERT發(fā)放的、略帶少量相關(guān)信息的警告是毫無意義的。它們通常都將簡單地歸結(jié)于：“有的人通過‘假裝某些東西是真的’的方式去嘗試訪問你的系統(tǒng)。不要讓他們得逞。”然而，這樣的現(xiàn)象卻常有發(fā)生。

　　那又如何呢？

　　社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈路的一個(gè)最脆弱的環(huán)節(jié)上。我們經(jīng)常講：最安全的計(jì)算機(jī)就是已經(jīng)拔去了插頭（注釋：網(wǎng)絡(luò)接口）的那一臺(tái)（注釋：“物理隔離”）。真實(shí)上，你可以去說服某人（注釋：使用者）把這臺(tái)非正常工作狀態(tài)下的、容易受到攻擊的（注釋：有漏洞的）機(jī)器接上插頭（注釋：連上網(wǎng)絡(luò)）并啟動(dòng)（注釋：提供日常的服務(wù)）。

　　也可以看出，“人”這個(gè)環(huán)節(jié)在整個(gè)安全體系中是非常重要的。這不像地球上的計(jì)算機(jī)系統(tǒng)，不依賴他人手動(dòng)干預(yù)（注釋：人有自己的主觀思維）。由此意味著這一點(diǎn)信息安全的脆弱性是普遍存在的，它不會(huì)因?yàn)橄到y(tǒng)平臺(tái)、軟件、網(wǎng)絡(luò)又或者是設(shè)備的年齡等因素不相同而有所差異。

　　無論是在物理上還是在虛擬的電子信息上，任何一個(gè)可以訪問系統(tǒng)某個(gè)部分（注釋：某種服務(wù)）的人都有可能構(gòu)成潛在的安全風(fēng)險(xiǎn)與威脅。任何細(xì)微的信息都可能會(huì)被社會(huì)工程學(xué)使用者用著“補(bǔ)給資料”來運(yùn)用，使其得到其它的信息。這意味著沒有把“人”（注釋：這里指的是使用者/管理人員等的參與者）這個(gè)因素放進(jìn)企業(yè)安全管理策略中去的話將會(huì)構(gòu)成一個(gè)很大的安全“裂縫”。
一個(gè)大問題？

　　安全專家常常會(huì)不經(jīng)意地把安全的觀念講得非常的含糊，這樣會(huì)導(dǎo)致信息安全上的不牢固性。在這樣的情況下社會(huì)工程學(xué)就是導(dǎo)致不安全的根本之一了。我們不應(yīng)該模糊人類使用計(jì)算機(jī)或者影響計(jì)算機(jī)系統(tǒng)運(yùn)作這個(gè)事實(shí)，原因我在之前已經(jīng)聲明過了，地球上的計(jì)算機(jī)系統(tǒng)不可能沒有“人”這個(gè)因素的。幾乎每個(gè)人都有途徑去嘗試進(jìn)行社會(huì)工程學(xué)“攻擊”的，唯一的不同之處在于使用這些途徑時(shí)的技巧高低而已。

　　方法

　　試圖驅(qū)使某人遵循你的意愿去完成你想要完成的任務(wù)是可以有很多種方法的。第一種方法也是最簡單明了的方法，就是目標(biāo)個(gè)體被問到要完成你的目的時(shí)給予其一個(gè)直接的“指引”了。毫無疑問這是最容易成功的，也是最簡單與最直觀的方法了。當(dāng)然，被指引的個(gè)體也會(huì)清楚地知道你想他們干些什么。

　　第二種就是為某個(gè)個(gè)體度身訂造一個(gè)人為的（注釋：通過捏造的手段）特定情形/環(huán)境。這種方法比你僅僅需要考慮到了某個(gè)個(gè)體的相關(guān)信息狀況附帶更多的因素，例如如何說服你的對(duì)象，你可以設(shè)定（注釋：刻意安排）某個(gè)理由/動(dòng)機(jī)去迫使其為你完成某個(gè)非其本身意愿的行為結(jié)果。這包括了遠(yuǎn)至于為某個(gè)特定的個(gè)體創(chuàng)造一個(gè)有說服力的企圖而進(jìn)行的工作，與大量你想得到的“目標(biāo)”的相關(guān)知識(shí)。這意味著那些特定的情況/環(huán)境必須建立在客觀事實(shí)的基礎(chǔ)上。少量的謊言會(huì)使效果更好一些。

　　社會(huì)工程學(xué)中最精煉的手段之一就是針對(duì)現(xiàn)實(shí)事物的良好記憶能力。在這個(gè)問題上黑客與系統(tǒng)管理員會(huì)更為側(cè)重一點(diǎn)，特別是在某種事物與他們的領(lǐng)域有所關(guān)聯(lián)的情況下。為了說明上述的方法，我準(zhǔn)備列舉一個(gè)小型的范例.......

　　[范例如下，當(dāng)你把某個(gè)個(gè)體“置于”群體/社會(huì)壓力（注釋：其類型如輿論壓力等）下的處境/形勢(shì)時(shí)，個(gè)體很有可能會(huì)做出符合群體決定的行為，盡管這個(gè)決定很明顯是錯(cuò)誤的。]

　　一致性

　　若在某些情況下有人堅(jiān)信他們?nèi)后w的決定是對(duì)的話，那么這將有可能導(dǎo)致他們做出不同于往常的判斷/行為。比方說如果我曾發(fā)表過某個(gè)結(jié)論，論點(diǎn)的理由非常充分（注釋：這里指的是符合群體中多數(shù)人的意愿），那么往后無論我花多大的精力去嘗試說服他們，都不可能令他們?cè)俑淖冏约旱臎Q定了。

　　另外，一個(gè)群體是由不同位置/層次的成員組成的。這個(gè)位置/層次問題被心理學(xué)者稱之為“demand charac-teristics”（注釋：“意愿的特征性”），這個(gè)位置/層次問題在參與者的行為上受其濃厚的社會(huì)約束性所影響。不希望得罪其他的成員的、不想被其他人看出自己在會(huì)議中想睡覺的、不想破壞與自身關(guān)系良好的伙伴的觀點(diǎn)等的心態(tài)最終都會(huì)成為“隨波逐流”現(xiàn)象的形成因素。這種運(yùn)用到特征的處理方式是引導(dǎo)人們行為的一種有效途徑。

情形

　　無論怎么說，大多數(shù)的社會(huì)工程學(xué)行為都是被一些單獨(dú)的個(gè)體所運(yùn)用的，因此諸如社會(huì)壓力與其它的一些影響因素都必須建立在和目標(biāo)有一定的可信關(guān)系的情況下進(jìn)行的。

　　如果處于這樣的情形下，當(dāng)有了真實(shí)或者虛構(gòu)出來的固有特征時(shí)目標(biāo)個(gè)體就很可能會(huì)遵循你的意愿而工作了。這些固有特征包括：

　　·目標(biāo)個(gè)體以外的壓力問題。如讓個(gè)體相信某個(gè)行為的后果并不是他一個(gè)人的責(zé)任。

　　·借助機(jī)會(huì)去迎合某人。這些行為更多取決于此個(gè)體是否認(rèn)為某個(gè)決定能為某人帶來“好處”。這樣的行為可以使你與老板的關(guān)系更為融洽。

　　·道德上的責(zé)任。個(gè)體會(huì)遵從你是因?yàn)樗麄冇X得自己（注釋：在道德上）有義務(wù)這么做。這就是利用了內(nèi)疚感。人們比較愿意逃避內(nèi)疚感，因此如果有一個(gè)“可能”會(huì)讓他們覺得有內(nèi)疚感的話他們都會(huì)盡可能地去避免這個(gè)“可能”。

　　個(gè)人的說服力

　　個(gè)人的聲望/說服能力是一種常被用于促使某人配合/順從你的有利手段。使用個(gè)人說服力的目的并不是要?jiǎng)e人強(qiáng)行接受你所指派的“任務(wù)”，而是增強(qiáng)他們對(duì)完成你所指派的任務(wù)的主動(dòng)順從意識(shí)。

　　其實(shí)這是有些矛盾的。基本上，目標(biāo)只是被我們簡單地引導(dǎo)到一個(gè)已經(jīng)設(shè)置好的、特定的（注釋：故意安排的）思維模式上去。目標(biāo)會(huì)認(rèn)為他們可以控制住局面，在此同時(shí)他們也通過他們的力量幫助了你。

　　事實(shí)上，目標(biāo)所得到的利益與他間接幫助你得到的利益此兩者是沒有沖突的。社會(huì)工程學(xué)使用者的目的是說服目標(biāo)，使其有充分的理由去相信只需花費(fèi)小量的時(shí)間與精力就可以“換取”得到利益了。

　　合作

　　存在著多個(gè)因素可以促使一個(gè)社會(huì)工程學(xué)使用者增加與目標(biāo)“合作”的機(jī)會(huì)。

　　盡量少與目標(biāo)發(fā)生沖突。使用平和的態(tài)度去面對(duì)對(duì)方可以提高達(dá)成目的成功幾率。拉攏關(guān)系或者發(fā)展新的關(guān)系，共同的煩惱又或者是一些比較特殊的任務(wù)都可以有效地迫使目標(biāo)與你合作。

　　在這里‘走向成功’的因素往往集中在你是否有能力去掌握與處理好你的說服力。這是非常重要的，這一點(diǎn)常被“騙子”（注釋：常常使用欺騙手段的人）認(rèn)為是萬試萬靈的手段。心理學(xué)研究指出如果人們先前曾經(jīng)遵照過某個(gè)極小的指引而工作（注釋：并獲得成功）時(shí)現(xiàn)在他/她就更可能會(huì)去遵照一個(gè)更大的（注釋：指引）了。在這里如果曾有過合作的前科的話，那么這次再合作，達(dá)成的機(jī)會(huì)就很大了。

　　更好的方法是讓社會(huì)工程學(xué)者給予合作對(duì)象一些比較敏感的信息。尤其是一些非常逼真的視聽感觀，目標(biāo)能夠現(xiàn)場看到或聽到你給他們的信息要比他們僅僅可以通過電話聽到你的聲音更能令他們信服。這個(gè)觀點(diǎn)一點(diǎn)也不稀奇，以書寫形式或電子方式進(jìn)行交流的信息是很難讓人信服的。這就如同拒絕某人進(jìn)行某個(gè)IRC風(fēng)格的通信一樣。

關(guān)聯(lián)

　　不管怎么說，社會(huì)工程學(xué)運(yùn)用是否能成功也有取決于目標(biāo)個(gè)體與你的目的有多大關(guān)聯(lián)的因素的。我們可以說系統(tǒng)管理員、計(jì)算機(jī)安全執(zhí)行官、技術(shù)研究人員、那些依靠計(jì)算機(jī)/網(wǎng)絡(luò)進(jìn)行工作又或者通過其進(jìn)行通信的人與大多數(shù)黑客使用社會(huì)工程學(xué)進(jìn)行攻擊的目標(biāo)都是有莫大的關(guān)聯(lián)的。

　　有高度關(guān)聯(lián)性的個(gè)體大多會(huì)被強(qiáng)而有利的論據(jù)所說服。事實(shí)上你可以給予他們更多強(qiáng)而有利的論據(jù)來支持你的觀點(diǎn)。當(dāng)然，那些觀點(diǎn)也有薄弱的一面。你是否將論點(diǎn)薄弱的一面展現(xiàn)給有高度關(guān)聯(lián)的人知道將極大可能地決定你是否能說服此人。當(dāng)某人有可能直接被社會(huì)工程學(xué)攻擊所影響，若此時(shí)出現(xiàn)薄弱的論據(jù)將有可能會(huì)導(dǎo)致其思想上產(chǎn)生“相反”的意識(shí)。所以面對(duì)與你的目的有關(guān)聯(lián)的人時(shí)你必須給予強(qiáng)而有力的論據(jù)，而避免出現(xiàn)理由薄弱的論據(jù)。

　　相對(duì)于對(duì)你的指引或你想得到的結(jié)果并不敢興趣的人，你可以把他們列入“低關(guān)聯(lián)的人”這個(gè)類別中去。相關(guān)的例子如：一個(gè)網(wǎng)絡(luò)系統(tǒng)機(jī)構(gòu)中的保安人員、清潔工人、又或者是前臺(tái)接待小姐等。因?yàn)榈完P(guān)聯(lián)類別的個(gè)體并不會(huì)直接對(duì)你的目的/結(jié)果造成影響，而且他們往往不會(huì)去分析你用來說服他們的論點(diǎn)的雙面性問題。他們的決策往往會(huì)遵循你的意愿又或者是完全不受其它的“意識(shí)”所影響。這些的“意識(shí)”如：社會(huì)工程學(xué)所提供的理由、表面形勢(shì)上的迫急性又或者是在某人強(qiáng)烈的說服下。憑經(jīng)驗(yàn)而論，在這樣的情況下我們只能盡可能地給予其更多的論據(jù)與理由了，估計(jì)這樣的效果會(huì)更好一些。基本上，對(duì)于那些與你的意識(shí)不一致的人，試圖用大量的論據(jù)和指引去說服他們更勝于他們與你的目的的關(guān)聯(lián)程度。

　　有一點(diǎn)是需要注意的：在進(jìn)行某些工作的時(shí)候，能力低的個(gè)體更多會(huì)去仿效能力高的個(gè)體的行為模式。在計(jì)算機(jī)系統(tǒng)管理方面，“能力低的個(gè)體”大多是指上文所提到的“低關(guān)聯(lián)的人”。站在上述的觀點(diǎn)上考慮，不要試圖對(duì)系統(tǒng)管理員這類別的個(gè)體進(jìn)行社會(huì)工程學(xué)攻擊，除非其能力不及你，不過這樣的可能性非常的低。

　　 防御他人的攻擊

　　綜合上述的資料能否讓讀者更好地保障他們整個(gè)計(jì)算機(jī)系統(tǒng)的安全呢？其實(shí)踏出“美好的”第一步就是要視乎員工們能否在自己的工作崗位上保障自己的計(jì)算機(jī)系統(tǒng)的信息安全。這不但需要你無條件地增強(qiáng)他們的安全防范意識(shí)，而且你自身也必須具備更高的警惕性。打個(gè)比方，如果你讓某人專門負(fù)責(zé)保護(hù)你的計(jì)算機(jī)系統(tǒng)安全的話，那么就有便利于那個(gè)人在沒有正常許可的情況下訪問你系統(tǒng)的可能了。

　　無論如何，對(duì)付與防御這類型攻擊的最有效手段，也作為最常見的手段，就是“教育/培訓(xùn)”了。第一步是教育你的雇員與那些有可能被利用作為社會(huì)工程學(xué)實(shí)施目標(biāo)的人關(guān)于計(jì)算機(jī)/信息安全的重要性。直接給予容易攻擊的人們一些預(yù)先的警告已經(jīng)足以讓他們?nèi)ケ嬲J(rèn)社會(huì)工程攻擊了。不過要記著，在教育他們計(jì)算機(jī)信息安全的時(shí)候可以使用一些故事及其“雙面性”來作為例子。這并不是我自己的個(gè)人喜好哦。當(dāng)個(gè)體明白了這個(gè)焦點(diǎn)的“雙面性”以后他們基本上就不會(huì)動(dòng)搖他們所處的立場了。而且如果他們是專注于計(jì)算機(jī)安全技術(shù)的話，那么他們更有可能會(huì)站在維護(hù)你的數(shù)據(jù)安全的立場上。

　　也有不會(huì)遵從人們的說服力傾向而作出行動(dòng)的思維因素的。在這里你必須有清晰的思維、高度的創(chuàng)造力、可以應(yīng)付和處理壓力的能力與適當(dāng)?shù)淖孕拧�壓力的處理能力與自信可以通過后天培養(yǎng)。至于自身的主張和見解常常被用于對(duì)員工的管理方面，訓(xùn)練它可以減少某些個(gè)體被施行社會(huì)工程學(xué)攻擊的機(jī)會(huì)，也有助于其他方面的工作。

　　了解各種使人們的信息安全意識(shí)降低與威脅你的安全策略的因素。其實(shí)這方面只需要投入小量的精力就可以在降低安全風(fēng)險(xiǎn)方面產(chǎn)生很大的成效了。

　　結(jié)論

　　與普遍的思想觀念相反，運(yùn)用社會(huì)工程學(xué)捕捉人們的心理狀態(tài)的技巧要比入侵一個(gè)sendmail容易得多。但如果你想讓你的員工去預(yù)防與檢測社會(huì)工程學(xué)攻擊的話，其效果絕對(duì)不會(huì)比你讓他們?nèi)ゾS護(hù)UNIX系統(tǒng)安全的效果明顯。

　　站在系統(tǒng)管理員的立場上，不要讓“人之間的關(guān)系”問題介入你的信息安全鏈路之中，以至于讓你的努力前功盡棄。站在黑客的立場上呢，當(dāng)系統(tǒng)管理員的“工作鏈”上存放有你所需要的數(shù)據(jù)時(shí)，千萬不要讓他“擺脫”自身的脆弱環(huán)節(jié)。