从社会工程学攻击谈到如何防诈骗

社会工程学攻击，简称社工攻击，更简称为社工，攻击对象是人（ 不是IT设备），黑客（在非IT行业就是骗子）将人看成特殊的计算机（热血计算机），去攻击输入（视觉、感觉）、输出（语言）、存储（记忆）和处理（思维、认知）等部分。社工这个让人不明所以的叫法容易误导人，但它的思路从古至今大量被使用：从《三十六计》到现在街头骗局、电信诈骗和各种PUA，都是利用人性弱点（佛教：贪、嗔、痴/天主教七宗罪：傲慢、嫉妒、暴怒、懒惰、贪婪、暴食和色欲）来实现攻击。

从IT行业看，每年的护网行动里，不时有守方会做出关闭服务器来避免被攻击这种“用魔法打败魔法”的做法，可见防范攻击确实不容易。另外还不时有竞争对手买通机房维护人员拔掉服务器电源线/网线的神操作。或者破解复杂密码无果，却在使用者电脑屏幕前的便签纸上发现密码明文。所有这些都是社工，简单暴力有效。

对应到日常生活里，不管是街上这种黑白复印纸低价卖铺的诈骗广告，还是富婆重金求子/重金招聘日结男女公关 、再到校园里的青春贷丽人贷、街上高档写字楼的传销公司、网络的刷单提现/空气币Air Coin/NFT/元宇宙Metaverse，骗子对从富豪到底层穷苦百姓总有各种收割手段，让人防不胜防。我自己也经常听到这些让人悲伤的故事，而且被骗后穷人受到的伤害远比富人大的多。如同买彩票的人群里穷人才是主力，毕竟一夜暴富（的想象）总是能刺激人分泌多巴胺。

因为骗子和骗术形形色色，防御起来说来很难，但再细想也很容易，父亲简单一句话就点到了本质：不占别人便宜就上不了当。

希望大家都不再被骗。

-----------下面才是书评-----------

今天终于看完了《黑客心理学 社会工程学原理》，两位北邮博导写的书籍，前言里提到为了写成这本跨学科的书籍，翻阅了近两千本心理学专著或教材，并精读了其中上百本著作，还尽最大努力收集整理了社工攻击可能有用的全部内容。

初看这本书就引起了我很大的兴趣，虽然是个各种内容融（pin）合（cou）的“缝合怪”，但确实是少有的专门描述社工的类教材严肃图书。这本书站在（防御）黑客角度讲解信息安全中的“社会工程学”，而社会工程学最初跟美国“世界头号黑客”凯文·米特尼克有很大关系：此人1983年开始黑客入侵，1988年被捕，1999年判刑68个月，2000年假释后在2002年出版了一本畅销书《欺骗的艺术》，详细介绍了他和其它黑客专门利用人性的善良、人的轻信和人性弱点的攻击手段，并美其名曰“社会工程学攻击”，在传到中国时，各种原因删减命名为《反欺骗的艺术》。