第2章

本书的第二部分（第二至九章），大家将会看到社会工程师是如何利用人们的信任、乐于助人的愿望和同情心使你上当受骗，从而获得他们想要的信息。本书通过小说故事的形式来叙述典型的攻击案例，给读者演示社会工程师可以戴上许多面具并冒充各种身份。如果你认为自己从来没有遇到过这种事情，你很可能错了。你能从本书的故事中认出自己似曾相识的场景么？你想知道自己是否经历过社会工程学的攻击么？这些都极有可能。但当你看完了第二章到第九章时，便知道下一个社会工程师打来电话时你该如何占取主动了。

接下来的部分将展示一个社会工程师如何铤而走险，进入企业内部，盗取关健信息并越过高级安全防控措施的过程。此部分内容会让人意识到安全威胁存在于各个方面，从普通员工对企业的报复一直到电脑空间的网络恐怖主义。如果你对保持公司业务运转的数据和秘密信息十分重视并为之感到担心，请仔细的阅读本书第三部分（第十至第十四章）。这里需要注明的是：“除非另做声明，本书中的故事情节纯属虚构。”

本书第四部分(第十五至十六章)我将谈到，在业务对话中如何成功的防止社会工程学给企业带来的攻击。第十五章提供一套有效的安全防范培训计划；第十六章也许正解你的燃眉之急――它包含一个完整的安全策略，你可以按公司的需要来立刻应用，以保证企业的信息安全。

最后，本书提供一个由列表、表格组成的“安全一瞥”，用来概括说明一些关健信息，以帮助员工在工作中阻止社会工程学带来的攻击。这些方法还可以为你做出自己的信息安全培训计划提供颇具价值的帮助。

纵览全书，你还可以发现一些非常有用的内容条目：“术语箱”提供社会工程学和计算机黑客的术语；“米特尼克信箱”发出精典短语，有助于加深安全策略的印象；注释与工具条则带来一些有趣的背景知识等附加信息。

成为社会工程师

每天早晨，许多人从床上一爬起来，便开始对千篇一律的繁重工作犯愁。我却很幸运，因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。我的天份在称为社会工程学（使人们做在通常情况下不会为陌生人做的事情）的表演艺术中得到磨练和回报。

对我来说，成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域，因此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时，这就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种，一种是通过诈骗、欺骗来获得钱财，这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的，这就是社会工程师。从我使用诡计免费乘车的时候（我那时还小，并没有认识到这样做有什么不对），就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了解术语和培养良好的操纵技巧，更为加强了这种天份。一个用来发展我的专业技艺（如果这可以称为一个专业的话）的方法就是看我是否能与电话另一端的人攀谈，并获得相关信息，即便这些信息对我毫无用处，这样做只是为了证明我的专业技巧。同样，我还用此种方法，练习奇巧的计谋、托辞，不久我发现我可以取得我想关注的任何信息。正如我在数年后的国会听证会上，在利伯曼（Lieberman）和汤姆森（Tompson）参议员面前所做的证词中描述的那样：

“我未经授权进入了世界上最大的几家公司的计算机系统，并成功渗透了一些防范最好的电脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码，以研究它们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么，并发现其中的秘密，比如操作系统、移动电话以及任何能引起我好奇心的东西。”

最后的想法

第一部幕后的故事

自从被捕以后，我已经承认了自己这些行为的非法，侵犯了他人的秘密。我的错误行为是由于好奇心引起的，我抑制不住的想知道电话网络是如何运转的，以及了解计算机安全的每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。当我反省过去的这30年时，我承认自己做出了极其拙劣的选择，被好奇心驱使，被学习技术的欲望和智力挑战的虚荣所驾驭。

但我现在已经转变，我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他人，以避免那些怀有恶意的信息盗贼可能带来的危害。我相信，你将会从本书中得到乐趣、教育和启发。

内容介绍

本书包含丰富的信息安全与社会工程学的知识，为有助阅览，下面对本书内容做一个简要介绍：

在本书的第一部分（第一章），我将展示信息安全的薄弱环节，并指出为什么你和你们的企业处于社会工程师攻击的危险之下。