《社会工程：安全体系中的人性漏洞（第2版）》第一章笔记

1、我所能找到的最早记载的故事是在《圣经·创世记》中，这个故事据说发生在公元前1800年。雅各觊觎兄弟以扫即将得到的祝福。他们的父亲以撒视力很差，需要依靠其他感官才能知道他在和谁说话，因此雅各穿上了以扫的衣服，准备了以扫会准备的食物。而最精彩的情节是，以扫的毛发旺盛，而雅各则相反，这是众所周知的，于是雅各把两只羔羊的皮毛固定在自己的双臂和颈项后。当以撒伸出手触摸雅各时，他的嗅觉、触觉和味觉让他认为和他在一起的是以扫而非雅各。这样，根据《创世记》的记载，雅各成功地进行了社会工程攻击！

2、社会工程的目的是让人不假思索地做出决定。

3、α 模式是指大脑的运动频率保持在8~13Hz的状态。它的特点通常表现为“做白日梦”，也就是兰格博士所说的“放松的精神集中”。β 模式是指大脑的运动频率保持在14~100Hz的状态。此时，我们的大脑非常警惕而敏锐，能察觉到周围发生的事情。

4、社会工程利用的正是人们的性别偏见、种族偏见、年龄偏见和现状偏见（以及不同偏见的组合）。

5、任意一种能影响某人采取可能符合或不符合其最大利益行动的行为，称为社会工程。

6、“黑客”的含义曾是“此人知晓某件事的原理”，他们不满足于基本知识，而是需要深入挖掘出一切事物的内在原理，在理解了其内在原理之后，他们便会想方设法绕开、加强、利用或改变它的最初用途。

7、当我们感觉到被对方信任时，催产素就会被释放进我们的血液。请理解至关重要的一点：你的大脑不仅会在你信任别人的时候释放催产素，在你感觉到被信任时也会如此。我们的大脑释放的另一种化学物质叫作多巴胺。这是大脑产生的一种神经递质，会在人感到愉快、幸福和受到鼓舞的时刻释放出来。多巴胺和催产素会在亲密的时刻从我们的大脑中释放出来，也可以在正常交谈时释放出来，而这种交谈就是社会工程的核心。

8、社会工程分解为以下四个攻击向量。

• 短信诈骗（SMiShing）
• 电信诈骗：我已提到过这个概念，它指的是语音钓鱼（voice phishing）。
• 网络诈骗：社会工程领域最常被提起的话题就是网络诈骗。
• 冒充：

9、社会工程金字塔

• OSINT，又称开源情报（Open Source Intelligence）收集，这是每个社会工程项目必不可少的部分，同时也是我们花费时间最多的部分。因此，它占据了金字塔的第一层，也是最大的一层。

• 开始设计你的伪装身份。

• 下一步是计划好3个W：what（什么）、when（何时）及who（何人）。

10、恶意的社会工程人员的目的：让目标不考虑潜在危险，就采取不符合其最大利益的行为。