关于社会工程学的一些个人看法

从何讲起呢？
本人从上学时了解到社会工程学这门黑客学科
社会工程学是指，利用人性的弱点和特性，直接对目标相关的人进行社会关系和心理学的信息套取的手段。
主要行动方向有两条，一方面是从目标人物已经完成的社会行为中搜索关键信息，比如，找到目标人物的网络社交账号与发表的信息等。
另一方面是直接接触目标人物，通过语言或肢体交流进行信息套取，这里从广泛的意义上讲，电信诈骗也是应用案例之一。

我不想讲社工中的那些方法论，那些东西太死板，交给乙方公司的安服团队，公司会用这种方法完成他们的变现。

而我想表达的内容应该更适合还在学习社工，并纠结与社工工作的人。

首先要说的是，社工不难，而且很灵活，你通过自己的办法去发现那些信息就已经是天花板了。从互联网空间中能找到信息，一方面是互联网公司自身对客户的信息保护不够，另一方面是目标对自身信息的保护不够。
比如，你通过穷举法获取目标的平台账号密码，是互联网公司的措施不完善。
又比如，你在目标社交平台上发布的生活轨迹中发现关键信息，是目标本身对敏感信息的敏感度不足造成的。

而通过这两种思路，组合打法就能帮你获取到足够多的信息了。

之后要说的是，请你记住你要获取信息的目的，你只是想拿到那个password，或者拿到某个关键目标放在什么位置，或者是目标公司老板几点在公司这种信息而已。

而获取信息的渠道很多，你千万不要陷入到给获取目标渠道中的这个人的人物画像当中去，那不应该是你的主要工作。

可能护网工作会要求你充分溯源红队人员的个人信息，但你在做溯源的时候，只要知道是红队中的谁攻击，用的什么手段攻击即可。不需要疯狂地去完善报告中他的生活细节。可能你想通过这种方式来表现你的工作能力。
而护网中，真的没人在意这个人年龄多大，家里几个人，婚否，对象好不好看，喜不喜欢烟酒二次元等乱七八糟的事情。

因为当你花费了大量的时间在这上面，并把一份详细且完整的画像报告交上去时，你的主管回复你，你找错目标了。请问你花费的时间和精力要谁来买单呢？

不仅仅是护网工作，你会发现能用到社工手段的地方太多了，因为这个手段门槛太低，不需要你会多少计算机语言，不需要你懂不懂什么OSI七层协议框架。你只要动手去做，无论找不找得到目标信息，你都会有一定的收获。

比如，你很想知道喜欢的人，这个人网络上发布了什么，喜好什么，最近在做什么。你很强，你把这些信息都拿到了，然后呢？你会发现一个很严重的问题，这些信息要怎么利用？这些信息是否真实？这些信息有多少是他想表现在网络上，而真正的信息都藏起来根本不会发布。

于是你又开始分析信息，分析行为，分析社会关系，甚至开始根据这些信息开始侧写。

这个时候，如果你不是为了相关工作去调查犯罪嫌疑人，那你已经是一个不折不扣的大变态了。

你只是为了满足你那肮脏不堪的窥私欲而已。

这些信息看得多了，你会发现人性的不堪，因为你会发现很多人被自身的欲望裹挟而做出的徘徊于人性边缘的事情。你开始会对每一个人都保持距离感，并对人性保持一种相当的怀疑态度。

没错，你走火入魔了，你太依赖于社会工程学了。

我要说的是，社工是一门手段，但不是万金油。

企业可以通过相应的管理制度来规避社工攻击带来的风险，人本身也可以通过学习相关知识并改变生活中的一些行为来规避社工攻击。同时，我上面讲过，人在网络上表达的内容仅仅是想让你看到的内容，那并不是真实的。

以上，

在我对自身的社工防范手段做到位了之后，就不在社工这件事本身再投入精力了。

毕竟把太多的精力放在对人的信息挖掘上，目光未免太过狭窄。

地球在宇宙中存在了46亿年，陆地总面积约14900万平方千米，地球总人口约78.88亿，人类平均寿命大约是76岁，你大约已经用掉了30%，那么你大约还有五十多年的时间，去了解历史、丈量土地、遇见更多的人。

在此希望你能为祖国健康工作50年。