社会工程学利用的人性弱点包括

社会工程学利用的人性弱点包括（ABCD）。

A . 信任权威

B . 信任共同爱好

C . 期望守信

D . 期望社会认可

社会工程学是利用人性弱点体察、获取有价值信息的实践方法，它是一种欺骗的艺术。

社会工程学(Social Engineering)一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。

接下来给大家讲一个案例

一名社会工程师进入了一家公司工作，依靠他伪装出来的开朗活泼的性格，很快和员工打成一片，和老板也是熟人熟事

不久，他很快得到公司和公司员工的认可，赢得了员工们及老板的信赖

陈明是公司的监事人，那么他便是工程师的目标，通过不久时间的人际交往，工程师成功取得陈明的信任

公司的商业机密在老板的电脑中，要打开需要密码，而密码只有陈明和老板知道

这天，陈明刚打开电脑就收到工程师的信息“陈明，老板发给我一个文件叫我明天去复印一下，可是打开的密码我忘记了，快告诉我我有紧急的安全设置要做呢”

因为陈明和工程师很熟了陈明就把密码发了过去了。

工程师成功地拿到了密码，进入公司电脑取得商业机密

这是社会工程学一个极为简单的案例，也是工程师们使用最为广泛的方法，原理大致是这样的

社会工程师首先通过各种手段伪装成一个良好的形象，他所扮演的这个身份，被你的公司和同事们认可了

这样，社会工程师在人际方面就有较大优势，并赢得了任何人的信赖。于是，社会工程师可以在公司中获得

很多权限来实施他们的某些计划。例如访问那些本不应该允许的办公区域或机密区域

先跟大家说第一种攻击手段

假托(pretexting)

是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专业术语的研究，以建立合情合理的假象

跟大家说说一个案例吧，以更好理解

攻击目标:取得一名异性的手机号码，姓名，地址，身份证

首先，一名社会工程师伪装成移动营业厅服务员，首先，锁定了一个目标，一位被扣费错误的异性

她问工程师“我的话费明明有一百多，明明没有怎么打电话怎么扣我那么多钱”

工程师“请问您的电话号码是?”

女士“**********”

工程师回答“我查查看”“你好女士，我们这里显示扣费正常，并没有什么误差”

女士“那不可能啊，我怎么会无缘无故少了这么多呢”

工程师“您先别紧张，我再给您看看”“女士，你这个是被木马病毒入侵了”女士“那怎么办啊?！”

工程师“你先别慌，帮客户恢复正常是我们的责任之内”“这边可能需要你的一些资料”“你有带身份证吗”

女士“没有”

工程师“请问你家离这里远吗”

女士“不远，大概就在***那个地方”

工程师“那可能需要麻烦你到家里取一下身份证，因为这里有一些资料需要填充”

女士“好，是不是填充完就好了”

工程师“是的”

等取完身份证回来，一切信息都已经被工程师知道了

这就是一个简单的假托案例，大概是思路是这样的

先顺着她的要求，取得电话号码，再通过木马病毒让对方产生紧张心理，这时她得到你的帮助

就跟容易套路出难得的信息，等拿到身份证之时，一切信息就都在工程师眼前了。

接下来跟大家讲讲平时需要注意的地方

1.机会总是留给有准备的人，在做每一件事情，都要提前了解准备，为事件的

发生做好心理准备

2.多利用人的潜意识，情绪，以及观察人的微表情，来推动计划的实施

3.沟通，是我们在社工中无法避免的东西。学会一些沟通的艺术，能让我们更好的社工

4.不要暴露真实的自己,这容易让别人看到你的弱点，从而导致信息泄露

5.见好就收，言多必失

6.胆大心细，不要因为对方人多什么的而害怕，利用好人性的弱点，拉拢人心

7.不要让你的表面随着心展现出来，即便内心很慌，也不能表现出来

8.善于积累生活中的一切,学会运用身边任何可能成为你工具的东西

何为社会工程学

所谓的社会工程学，是指利用人类心理学完成获得建筑物、系统和数据访问权限的艺术，有别于使用黑客计入的入侵手段。例如，一名社会工程师可以伪装成一个雇员或IT支持人员，试图诱骗目标以获取对方的密码，而不是去寻找一个软件的漏洞。社会工程师的目标通常是获得一个或多个目标的信任。

著名黑客Kevin Mitnick在上世纪90年代就开始推广社会工程学的概念，不过当时的想法比较简单，即：欺骗某人做某事或泄露敏感信息。

目标：飙起演技，信息到手

许多社会工程师的目标是获得个人信息，可能直接导致目标的财产或身份被盗、或准备向目标发动更有针对性的攻击。社会工程师还会寻找各种方式去安装恶意软件，以便更好的访问目标的个人数据、计算机系统或账号。另外，社会工程师也可能在寻找可以获得竞争优势的信息。

有价值的信息包括：

密码

账号

密钥

任何个人信息

访问卡河身份证件

电话名单

计算机系统的详情

具有访问权限的人的名单

服务器、网络、非公网URL地址、内部局域网等信息

玩社工要懂占卜，会演戏

利用社会工程学发起攻击的方式多种多样。诈骗者可能骗你给他开门、访问一个钓鱼网站、下载一个含有恶意代码的文件、或者他可以利用你计算机上的一个USB接口获得你公司网络的访问权限。典型的策略包括：

“玄学”猜密码：黑客使用目标的社会网络画像，猜测受害人的密码或安全问题。

伪装成熟人：这种情况下，黑客获得个人或团体的信任，让他们点击包含恶意软件的链接或附件。

伪装成社交网络上的好友：这种情况下，黑客伪装成一个你熟悉的网友在网上联系你，请你帮忙从“办公室”发送一个数据或向他传送一个表格，“你要知道，你在电脑上看到的任何东西都可能是伪装、虚假或修饰过的”。