《反欺骗的艺术》与其他信息安全书籍不同：书中并没有大段枯燥无味的技术细节，它更像是一本侦探小说合集，通过各种有趣的信息安全案例，向大家展示了攻击者或者欺诈者是如何利用心理学、信息不对称等社会工程方法，突破用户的信任，达到自己的目的。作者还会在案例结束后给出点评和建议，以帮助读者提高信息安全水平。

对于信息安全行业或者IT行业的从业人员来说，阅读这本书可以帮助你提高安全技能，减少工作失误。而对于普通人来说，这本书也可以帮助你提高安全意识，减少隐私泄露，防范各种网络钓鱼诈骗手段。

本书的作者「凯文·米特尼克」在信息安全史上是一个传奇，他是社会工程学的奠基人之一，年轻时狂放不羁，15岁就成功入侵美国军方的网络系统———北美空中防务系统指挥部，此后涉嫌入侵DEC（美国数字设备公司）、Novell（诺威尔有限公司）、SunMicroSystem（现已被甲骨文公司收购）、诺基亚等大公司，甚至还入侵了FBI的网络系统。前后涉案金额高达数亿美金，被FBI和国际刑警组织追捕多年，为了防止他造成破坏，曾一度被法庭判决不许接触任何可能上网的电子设备。后来他改邪归正，以自己的经历和经验为基础，出版了《反欺骗的艺术》《反入侵的艺术》和《线上幽灵》三部曲，向大众普及如何防范社会工程学的攻击，并成立了自己的咨询公司，转行成为保护信息安全的专家，为政府和公司提供信息安全咨询服务，而凯文早年的丰富经验，成为了读者们重要的知识来源，从他的书中我们可以切换到攻击者和欺诈者的视角，看到不一样的信息安全世界。

阅读《反欺骗的艺术》这本书要注意三个要点：

信息安全过程中最脆弱也最重要的环节是人而不是技术。

突破人的环节最重要的手法是骗取信任，而我们常常会错误地使用信任。

攻击者获取信任的重要捷径是「看似无关紧要」的信息泄露。

下面我来为大家进行详细的讲解。

信息安全过程中最脆弱也最重要的环节是人而不是技术。

信息世界是由IT技术所构建的，绝大多数信息安全问题看起来都像是单纯的技术问题。我们往往会误以为，信息安全问题的核心是技术，所有的安全弱点都是由于技术水平不够而造成的，只要拥有了高超的防御技术，就可以有效防范各种威胁和攻击。我们购买防火墙、安装杀毒软件、使用入侵防御系统、加密数据、升级到高端的生物识别设备，自以为已经解决了绝大多数安全威胁，从此高枕无忧，然而各种信息安全事件还是层出不穷，高精尖的技术手段常常失效，这是为什么呢？因为信息安全过程中最脆弱也最重要的环节是人，不解决人的问题，就没办法从根本上解决信息安全风险。

这就是凯文在书中试图向我们展示的道理：提出需求的是人，开发软件的是人，控制流程的是人，最终操作机器的也是人，整个信息世界虽然由技术构建，却围绕着人而运转。人性总有弱点，而且人性的弱点无法简单地用技术手段来防护，不能防护好人性弱点，就无法有效防护信息安全。本书案例中的攻击者并不仅仅使用技术手段，同时还会瞄准人性弱点发动社会工程攻击，他们避开复杂的技术体系，绕过坚实的安全防御，仅仅使用社会工程学手段，简单地拨通电话或者发送邮件，就可以让目标用户心甘情愿地把自己的隐私、账号、密码、数据、钱财交出来，为他们打开大门、提供便利，甚至还满心喜悦。

这样的案例不仅存在于凯文的书中，也存在于我们的现实生活里，当前针对普通人的各种网络攻击，如网络钓鱼、电信诈骗、勒索病毒等，都大量基于社会工程学原理。

我有一个客户曾经被勒索病毒锁定了电脑里所有的重要文件，我问他防病毒软件为什么没有及时阻止病毒，他一脸无辜地回答：「其实防病毒软件有提示安全风险，但因为它阻止我下载软件，所以被我关掉了。」这就是一个典型的利用社会工程学原理辅助攻击的例子，攻击者对下载网站的界面进行伪装，通过伪装建立了虚假的信任，让用户以为这是一个可信的网站。利用受害者希望尽快使用某个软件的心情，构造了虚假的紧迫感，制造了杀毒软件与用户需求之间的冲突，引诱用户自行关闭了杀毒软件，安装病毒到自己的电脑里。在这个例子中，攻击者并没有使用高超的技术手段去和防病毒软件进行对抗，防病毒软件的技术水平高低也并不重要，因为一旦攻击者突破了人的壁垒，获取了目标用户的信任，安全技术手段就已经无能为力了。

并非只有普通用户会遭到社会工程学的攻击，在针对企业和政府的攻击中，也常常能看到社会工程学的身影。攻击者在试图入侵政府或者军队这样高防御水平的网络时，电子邮件钓鱼是最重要的手段之一，电子邮件钓鱼者通过伪装邮件的「发送者」身份，欺骗收件人主动执行附件中的木马病毒，从而达到入侵内部网络的目的，可以有效绕过各种高精尖的信息安全防御措施。这一手法至少有三十年的历史了，迄今仍然屡试不爽，虽然信息安全技术在不断进步，但人性的弱点几千年来并没有发生本质的变化，因此社会工程学的技巧总是长期有效。与上面讲到的关闭杀毒软件，自己安装勒索病毒的例子类似，在很多电子邮件钓鱼攻击的案例中，正是受害者自己关掉了防病毒软件和其他的防御措施，木马病毒才能得以顺利执行，在这些例子里，目标用户几乎可以称为是共犯，他们与攻击者一起共同破坏了信息安全防御体系。

所以，信息安全过程中最脆弱也最重要的环节是人而不是技术，要想保护好我们的信息安全，首要的任务就是确保与之相关的人都具备充分的安全意识、良好的行为规范，这也是我向大家推荐《反欺骗的艺术》这本书的原因。通过阅读本书，你可以见识到各种各样的社会工程攻击手法，深刻理解社会工程师的思维方式，熟悉骗子常用的话术技巧，从而提高自己对欺骗的免疫力。

本书的第二个要点是，突破人的环节最重要的手法是骗取信任，而我们常常错误地使用信任。

人是信息安全过程中的最大弱点，很重要的一个原因是机器只考虑逻辑，而人会受到太多感情因素的干扰。软件漏洞的必然性在于如果软件足够复杂，那么漏洞几乎不可避免，人性比软件的复杂度远远高出了好几个数量级，因此人性上的漏洞会更多也更致命。

《反诈骗的艺术》用大量实例告诉我们：人们有同情心、有倾诉欲、有内疚感，会恐惧、会贪婪、会疲劳、会盲从，这些漏洞，会干扰人们做出理性的判断，而社会工程师善于利用这些弱点，构造出虚假的场景，让人们做出错误的判断和决定，把信任给予错误的对象。

社会工程学攻击中一个最常见的场景是：社会工程师伪装成目标用户的同事，直接询问相关的敏感信息。如果由计算机来处理这个被询问的过程，计算机会严格地对询问者进行身份查询和校验，然后给出明确的判断：允许或者不允许，没有一点含糊。人类处理这个过程的方法则完全不同，与计算机相比，人类更善于进行模糊判断，这是人类的优势，可以让我们以非常高的速度处理大量复杂的决策。但在遇到类似凯文·米特尼克这种社会工程师的时候，「模糊判断」就成为了信息安全的软肋，他们能操纵我们情绪上的波动，使得「模糊判断」的尺度发生很大的变化，超过信息安全策略所允许的界限，引诱我们为他们打开方便之门。

大多数人会觉得被害者是因为愚蠢所以才会「轻易」上当，只要保持足够聪明就不会被骗。但网络诈骗之所以会如此泛滥，并不是因为目标用户「愚蠢」，而是因为他们错误地使用了「信任」。骗子常常利用窃取到或者在地下市场购买来的社会工程库，充分了解目标用户的各种情况，包括姓名、电话、住址、家庭关系等内容，加上社会工程学的技巧，构造了让目标用户容易产生信任的场景，在这样的环境下，目标用户非常容易给出自己的信任。有些骗局设计之巧妙，连我这样多年从事信息安全职业的专家都不能幸免，所以不能简单地认为只需要不愚蠢就能保护自己，而是应该通过不断学习案例和深入思考来训练自己，管好自己的信任，不要把信任随便交给看似熟悉的人，这才是确保我们自身安全的重要原则。

如果我们分析一个典型的电话诈骗过程，会发现虚假的信任无处不在：诈骗电话响起时，攻击者会利用来电显示功能的漏洞向你展示一个可以信任的号码，你看了一眼，做出了错误判断：「这通电话来自我的公司。」当你接起电话之后，攻击者会随口报出你的名字、家庭住址、部门、职务等等，这会进一步加强你的信任，你心里会想：「没错，这肯定是公司同事，才会如此了解我。」潜意识里已经把对方当作了可以信任的人，这时候攻击者会再想办法构造一个虚假的场景，让你觉得着急或者害怕，「老板没有收到你的报表」或者「财务部正在调查你贪污的情况」。于是你乖乖地掉进社会工程学陷阱，把敏感文件发给了对方。如果我们把这个例子中的电话号码换成电子邮件，或者是公司制服和胸卡，那么就可以很轻松地得到另外两个诈骗场景。

凯文在《反欺骗的艺术》中提醒我们，日常就应该针对类似的诈骗过程有所防备，例如：电话响起的时候，要提醒自己来电显示并不一定可信，需要通过其他方式交叉验证。通话的时候，不能简单地因为对方了解情况就假设他是同事或熟人，还需要额外的身份验证方式，害怕、恐惧或贪婪的时候要深吸一口气，放慢节奏，严格按照规定执行。即使是紧急情况，当时来不及思考，事后也要仔细回顾整个过程是不是有可疑的地方，这样哪怕是已经落入陷阱，也可以及时补救。

第三个要点，攻击者获取信任的重要捷径是「看似无关紧要」的信息泄露。

前面说到，社会工程师会利用目标用户的隐私信息，建立容易获取信任的场景，那他们是通过什么途径掌握目标用户的各种隐私信息的呢？其中一部分是通过黑客技术和地下黑市交易，但更多的则是通过目标用户自己「看似无关紧要」的信息泄露。

我周围有一些朋友常常喜欢在社交媒体上无意识地泄露自己的信息，例如发朋友圈的时候标记家庭住址，发微博的时候提及真实姓名，自拍的时候不小心包含了工作单位的名称，在社交网络上和现实生活的亲朋好友进行互动，旅游时晒车船机票甚至身份证护照等。在我给予善意的提醒时，大部分人会不以为然：「这些信息无关紧要，即使泄露了也不会带来严重的后果。」

凯文在《反欺骗的艺术》中，用丰富的案例向我们说明了：看似无关紧要的信息并非真的无关紧要，这些信息，通过社会工程师的组合和运用，在特定场景下也会产生巨大的作用。

人们有信任熟人的倾向，而「看似无关紧要的信息」可以帮助攻击者「变成」你的「熟人」：电话诈骗案件中，家里的老年人经常会对自称是子女好友的诈骗者深信不疑，因为对方能顺利说出子女的姓名、年龄、职务、工作单位、毕业学校、家庭住址等，而这些信息都可以通过社交网络轻松找到。

人们有信任同事的倾向，「看似无关紧要的信息」可以帮助攻击者伪装成你的「同事」：社会工程攻击中，攻击者一般都会先在外围发动几次辅助攻击，获取企业的内部组织结构、专用术语、内部流程、人员姓名等等信息，然后就可以顺利伪装为企业内某个素未谋面的「同事」，骗取攻击目标的信任，而这些「看似无关紧要」的信息，都是企业内其他员工在毫无警惕的情况下通过电话、邮件或者社交网络向社会工程师泄漏的。

人们常常会觉得「既然你已经知道这么多了，我多告诉你一点点也无妨」，这样「看似无关紧要的信息」就可以帮助攻击者伪装成无所不知的样子，从而一步一步了解更多秘密，直到最核心的机密：很多案例中，攻击者为了让目标用户说出机密的信息，会先说出一些他已经知道的模糊事实，目标用户就会误以为攻击者已经了解了大部分情况，从而放下警戒，把真正机密的信息告诉对方。

人们有紧急情况下趋避风险的倾向，在遇到危险的时候人们会做出与平时不同的决定，而「看似无关紧要的信息」可以帮助社会工程师操纵你的情绪，让你以为处于危险中，从而采取与平时不同的行动，落入他们的陷阱。社会工程师非常善于伪装成执法人员、权威人士，或者上级领导，通过威胁目标用户，产生急迫感和危机感，因为急于脱险而主动交出机密信息甚至是钱财。在网络和电信诈骗中总是占据较高比例的一种方法是：冒充警方、法院、税务局追查各种违法事件，要求目标用户将巨额财产存入所谓的「安全账号」。

很多「看似无关紧要」的信息单独泄漏并没有严重的后果，但组合在一起的时候就会产生巨大的影响。很多网站都会允许用户通过回答一些问题来重新设置密码，例如：小学毕业的学校、初中老师的名字、第一辆车的牌照、生日的日期、大学的专业，等等。而这些问题的答案经常就隐藏在用户的社交媒体内，社会工程师常常只需要仔细查看一个用户的社交网络记录，就可以获得大部分密码重置问题的答案。另外，在书中凯文也提到，大多数人都想要一个安全系数高又容易记忆的密码，这通常意味着一些和我们有联系的东西会成为密码的一部分，例如姓名、昵称、亲人的名字、喜欢的歌、电影或饮料、家庭住址、电话号码、工作单位、驾驶的车型。社会工程师可以轻易地通过一个人的社交网络获取上述大部分内容，并组成密码字典用来攻击目标用户的网络账号，使用密码字典来攻击账号密码将数千倍数万倍地降低攻击的成本，提高破解的速度。而大多数人又非常喜欢在不同的网站使用相同或者相似的账号密码，这又使得社会工程师可以在攻破第一个网站账号密码之后迅速将战果扩大到全网。

还有一种情况更加难以防范，人们在发布信息前已经有了足够的安全意识去处理敏感信息，但因为技术水平不足，导致发布出来的信息仍然含有可以被提取的敏感内容，常见的例子就是给照片打码，我曾经在知乎的一个回答中科普了这个问题：很多用户在发布自己的身份证或者银行卡照片的时候，已经具备了一些安全意识，将其中部分数字打码遮住，但他们不了解身份证号码和银行卡是一种冗余编码，错误的打码并不能完全消去敏感的信息内容，社会工程师可以用其他校验信息加上简单的计算就可以恢复被隐藏的内容，最终用户的敏感信息仍然遭到了泄漏，这也是一种「看似无关紧要」的信息造成严重后果的常见案例。

《反欺骗的艺术》中的案例里有大量和上面例子中类似的「看似无关紧要」的信息，同时也展示了社会工程师可以如何利用这些信息来获取更加机密的内容，读者不妨可以观察记录一下，哪些是自己平时不注意不重视的信息，自己过去有没有把这些信息发送到互联网上，社会工程师又是如何利用这些「看似无关紧要」的信息来进行攻击。这会帮助你在日常生活中保护自己的敏感信息。

总体来说，攻击者获取信任的重要捷径是「看似无关紧要」的信息泄露，要防止敏感信息泄漏，必须遵循最小发布原则，也就是说除非有必要，否则不要发布可能包含敏感信息的内容，即使必须发布，也应该控制在可信的对象范围内。只有这样才能最大程度保护我们的隐私，切断攻击者的信息来源，保护好我们的信息安全。

《反欺骗的艺术》是「世界头号传奇黑客」凯文·米特尼克根据自己多年的社会工程经验，编写的一本信息安全意识教育科普读物，在信息安全领域有相当高的地位，很多信息安全专家都对这本书有很高的评价。书中通过大量生动的案例，向读者展示了攻击者如何利用社会工程学欺骗目标用户，从而获取个人和企业的敏感信息和重要资料。精读本书不仅可以提高自己的信息安全意识，也可以触类旁通，将本书的收获应用到生活中的其他领域，有效地保护自己。

我在这里再重复一下本书的三个要点：

信息安全过程中最脆弱也最重要的环节是人而不是技术，所以我们更应该

转载请注明:http://www.aideyishus.com/lkgx/2699.html