当我们谈论黑客攻击时，尤其是在如今这个时代，我们经常能够从媒体那里听到黑客是如何入侵数据库并窃取信息等等相关的新闻消息，我们总是喜欢谈论这些故事。有关黑客以及黑客技术的报道，总是环绕在我们耳边。比如Stuxnet蠕虫和Flame、攻击系统的恶意代码、信息丢失和宕机故障等等。但是在这些社会报道中很少能听到关于社会工程学这类的攻击事件，但社会工程学在黑客攻击当中却起到了巨大的作用。在这篇文章中，我们将着眼于社会工程学攻击，其操作形式比较简单，而且一般人都可以预防这种类型的攻击。

　　借由世界著名黑客Kevin Mitnick在他的著作“网线里的幽灵”的内容，我们可以了解到社会工程学，全书都贯穿着Mitnick先生是如何利用社会工程学的。Mitnick先生通过扮演不同的角色，给一些公司致电，并要求访问他们的网络，最后都能毫不费力地得到访问权。甚至当他是个孩子时就问了公交车司机哪里能买到用于给公交换乘票检票的打孔机。随后，他买了一个那种打孔机，并在垃圾箱内发现了部分使用过的空白公交换乘票存根，然后免费到达了圣费尔南多谷，这是另一种形式的社会工程学。当Mitnick先生还是个孩子被抓获时，他就已经是个专业的社会工程师了。

　　在他的“网线里的幽灵”这本书中还说，即使到了今天，他仍然在执行一些社会工程学攻击，当然，那些都是在合乎道德的情况下，与他自己的渗透测试公司一起完成的。Kevin Mitnick还对我们提到：如今，社会工程学已经存在了一段时间了，你只需要想想周围的环境，侦查你的目标，然后想出一个办法来获得信息。

　　人们说：“我不会遇上这种事的，它永远不会发生在我身上。”然而可怕的是，技术越来越复杂，可能我们都来不及考虑，那些钱就没了。例如，我从一位女士那里遇到过一个情况，有人打电话给Shelly，并谎称为是她在巴西的孙子Ralph，他告诉她需要钱从监狱保释。Shelly说那个声音听起来跟Ralph的一样，所以她就取出了一些钱，准备将这些钱转到他的账户上用于保释。当她到达当地的杂货店准备完成转账的时候，在交易前她被业务员阻止了，并被询问了一些问题。碰巧的是，还有个别的客户正在准备为她的爱人进行一个与Shelly类似的转账交易。Shelly简直不敢相信，那个客户接的电话内容与她的一模一样。Shelly觉得非常心烦意乱，她打电话给她的儿子Ben，询问Ralph在哪里，而得到的答案是“他正坐在我的旁边。”。Shelly松了一口气，但仍然无法相信她几乎就要上当受骗了。

　　Shelly无疑是非常幸运的，因为在交易之前工作人员提出了质疑。这件事情的发生，让她知道一旦接触到这样的电话，首先要与相关的人验证这电话是否是真实的。她还可以回拨电话再次验证一下，或是打电话给运营商，询问这个号码的来源。

　　总之，社会工程师会有各种各样的方法，包括伪装成公司员工或是模仿别人说话。所有员工都应当参与保护公司资产的培训，教育他们通过口误、情感或是在某人想访问或得到信息之前没有时间检查核实身份的时候该怎么办。我们都是人，都会犯错误，尤其是现在，在我们这个生活在快节奏的世界当中。然而仅仅是多一个关怀和思考，若是在电话中总是处于被动，这肯定是不行的。“您想找Doe先生？我想请问您是哪位？能否留个号码让他给您回电话？”想必若是询问了这些问题，那就足以防止社会工程师寻找不同的目标了。

[课程]Linux pwn 探索篇！