首先感谢大家前几期的支持,在这会不定期的给大家分享一些干货,希望大家喜欢,谢谢

首先本期讨论的内容可能有些多,为了方便大家阅读本文为第一期,主要讲解社会工程学概念,社会工程学（Social Engineering）定义:一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，社工的变种之一“电信诈骗,人肉搜索等”就是例子。

黑客界第一大佬被称为FBI最想得到的人，Kevin mitnick曾经在他的著作《欺骗的艺术》中说过这么一句话，与其大费周章的破解系统，不如直接从管理员那里问密码。这其实就是社工的核心精神，每一个固若金汤的系统都是由喜怒哀乐的活人在控制，搞定他们就搞定了他们背后的系统。根据权威网络安全研究机构profpoint2016年的人类因素报告，社会工程学攻击是排名第一的网络攻击方法.当传统黑客还在用解码器穷举试数企图连入公共WiFi的时候，社工黑客已经谈笑间轻取密码了。当传统黑哥还在千里之外搞远程渗透过的机密数据的时候，社工黑客已经在和管理员把酒言欢了。无论一个系统在结构角度上有多么严谨安全，一个简单的人为漏洞还是能让他不攻自破。因为相比于只依靠数学逻辑来进行工作的硬件系统来说，人类有个致命的弱点——认知偏差。我们往往重感感受，轻客观咨询，而人类的这种认知偏差也就成了社会工程学攻击的突破口。造成这种突破口的原因可是太多了，难道你在网上冲浪的时候看到一个劲爆露骨的小弹窗，不想点进去看看吗？难道心心念念的高价游戏突然在网上被放出了“破解版”也不想下来玩玩吗？难道在急着给女神回信息，但是突然断网的情况下刷到某个开放的WiFi，你不想连上去用用吗？你也许不会，但是别人呢？一张外卖单上就有你的电话号码、姓名。有了这两个信息就能知道你的微博、人人网、微信等等。也可以通过这些软件了解你的兴趣爱好、职业、年龄、收入水平、甚至是你在追什么番......这就是一个比较完整的“猎物画像了”这也是大数据时代下的悬顶之剑，方便沟通、共享知识的同事却也让公民的yin si裸奔，暴露在危险之中。自互联网诞生起，全球用户共同建立的这个庞大社交网络，其实就是社工黑客的一个多级跳板而已。那么社工黑客怎么利用这些信息呢？举个简单例子，当黑客通过调查获得知识，摸清一个企业的人事，业务等信息之后，便可以完美化身该企业员工，以电脑故障之类理由打电话要求技术人员进入某个设置好钓鱼网站。都是同事嘛，行个方便有什么大不了的，而在这位技术人员点击链接的一瞬间，就交出了公司系统。换做技术流黑客估计还在吭哧吭哧敲键盘呢，而如果黑客发现你是一个打工是不可能打工的，天天在家躺着刷视频的人上人，那大不了把挖掘到的信息打包养起来，这就是传说中的社工库。社工库就是黑客木马泄露用户信息整合分析，然后集中归档的一个地方，大部分来自黑客们拖库、撞库得到数据，比如说团购电子发票、银行卡交易明细等等，说到这里，可能有人觉得骗子都是这些套路。先摸清你，再套你的钱。那么社工黑客和社会骗子到底有什么区别呢？先看另一个问题，为什么要发展出社会工程学黑客这个旁门左道，难道黑客技术不够用了吗？首先，要知道是现在的网络安全环境可不是以前能比得了的。那个时候一个熊猫烧香只能搞得一个国家的网络系统叫苦连天，而今天呢，随着防火墙与杀毒技术的发展，我们似乎也很少听到网络病毒肆虐这样的新闻。而且各大互联网公司一年好几百万掌握的白帽也不是吃白饭，没事搞个自攻自防的演练什么的，根本不给黑客留机会，自己就把漏洞都排查一遍。而互联网公司还经常漏洞悬赏，提交漏洞任何人都可以获得赏金，从另一个方向减少了被黑产的黑客。在这种环境下，还贼心不死想走黑产。不整点歪门邪道就很难，还是那句话，只要是有人为因素影响的系统就没有绝对的安全。能线下搞到的权限，何必拘泥于线上呢。三杯两盏淡酒能搞定的事情，何必费这个事情敲键盘呢？兵胀娆攻城为下、攻心为上。于是黑客们就学会了社会工程学，选择绕过防火墙，杀毒软件，直击环节中最薄弱的人性，这些回答上面的问题，社工黑客和社会骗子有什么区别？——就是技术。黑客这个词原本的意思就是不带任何感qing se彩，只是代表了精通计算机技术的一类人而已。骗子们不需要技术傍身，会说瞎话就可以了。而黑客们则不同，写木马需要技术吧，编社工库需要技术吧，做网站挂钓鱼程序需要技术吧，社工是手段，直接达成目的的还是技术。黑客这个看似中二、酷炫的职业，其实和影视作品中的描写还是大相径庭的。真正的黑客永远不局限于在屋里闷头C作的程度，社会工程学又赋予了他们左右逢源、八面玲珑的反刻板印象属性。那么，该怎么防范被恶意社工呢？假如对屏幕前的你进行一番社工的话，那么只需要一个炫酷的封面吸引你的注意力，UC的标题党归点进来，再来一个争议性的话题让你喷几句。这时你就陷入社工的圈套，完全可以点进头像，看你正在追什么动漫美剧，然后加你好友攀谈一番所以完全的防范住社工唯一的一条路，应该就是摒弃人性。因为人的好恶、欲望，这个本应该负责承载信息、分享知识的互联网，有了攻防，社工这些东西，任何诞生于人性的事物也能作用于人性本身。社会工程学就是一个直观的缩影。说信息安全是一个环一点问题都没有，黑客精神也本应是作为一种解决问题，克服限制的思想。而现在却被拥有这种精神吗但却别有用心的人赋予了攻击、破坏、盗窃、监视的含义。我们能做的，恐怕只有随之进步，无论是技术上，还是意识上。分享不易，有启发的兄弟们麻烦点个张老头