社会工程学理论与实践//Neurohazard

社会工程学应该分成两个部分，其一为非接触信息收集;其二为与人交流的社会工程学。

ChristopherHadnagy社会工程-安全体系中的人性漏洞社会工程卷2：解读肢体语言社会工程防范钓鱼欺诈卷3信息安全技术管理杰出全专家教你辨识并防范钓鱼欺诈避免信息被窃取入侵的艺术(凯文米特尼克全集)欺骗的艺术线上幽灵非安全黑客社会工程学攻击档案袋反黑风暴-黑客社会工程学攻防演练武新华

提供两个视频

非接触信息收集主要应该收集哪些信息，做到什么程度应该停止（因为越往后需要的成本越高）？在一次渗透测试中，社会工程学应该处于何种位置，应该与其他常规手段如何配合？这是一个合格的社会工程学实践者应该考虑的。

在我的理解中，非接触信息收集，顾名思义，就是在不物理接触目标的情况下，通过互联网或其他手段，对目标进行信息收集。主要包括以下信息：

因为通过这两个可以迅速关联出大量网络痕迹。关联方法为:

此处的原理应该是ajax+无法重复注册。

附录微博操作指南app客户端，需绑定手机，启用通讯录。发现-找人-通讯录好友兴趣(往下滑比较多)

支付宝转账核对财付通转账核对

获取目标的网络痕迹后，要适当筛选。一些较为关键的节点如下：

显然如果是专业的社会工程学团队，可以以企业的身份入驻各大求职网站，然后通过简历筛选条件来获取目标简历。（此处仅作为一个思路参考，实现起来未必划算）

SNS信息采集相对是一个比较耗时的工作，而且手法各异。

能获取的信息量要依赖于目标的隐私保护意识。

在阅读目标的SNS时，同时也是对目标个性，性格，隐私保护意识的判断。

此外SNS的信息仍可用于猜测密码保护问题的答案。

常见的SNS包括

人人网教育履历职业社交类赤兔/脉脉/LinkedIn可以获得教育/工作履历

在这方面我暂时还没有统一解决的思维框架，只能举一些例子。

如果目标本身的安全意识较高，那么我们可以考虑从他的好友入手，从侧路迂回攻击。当然这样的攻击成本也会更高。

可以通过手机号获取目标主要活动范围。

户籍信息驾驶人信息、机动车信息、违法犯罪人员信息等选项

民航信息中航信系统

公安天网系统和sis系统简单的说：道路上遍布的摄像头，酒店登记的开房信息、乘坐飞机火车的记录等等，都属于天网系统的一部分。

系统的风控也做了充分的准备，通过权限来防止信息大规模泄露。比如，最基础的权限（姑且称为三级权限吧，专有名就不透露了），是查身份证号码、姓名、住址，二级权限是多了省内的开房记录、网吧纪录等敏感性稍低的信息，一级权限是多了乘机纪录和火车记录。

另外，像镇级派出所这样的地方一般都是三级权限，县级公安局里的刑侦大队这样的核心部门里才会有一级权限的，而且基本都是队长或副队掌握密码账号吧。警察只需要用自己的数字证书（可以理解成账号）在公安的电脑或者警务通上就可以登陆内部的sis系统。

顺丰、京东、饿了吗三箭齐发，确定Q先生的家庭和公司地址

顺丰物流站出京东是仓库出，饿了么是公司内部出

其他军官证与PLA的系统

中航信系统B系统C系统春秋航空自带系统高铁信息系统

联通详单移动详单

全国或省级数据库

金盾工程信息库包括如下八大信息库。

全国资源

比较有价值的公开社工库

临时获取权限是一种较为暴露的做法，不到迫不得已，最好不要使用。

除了web以外，还有很多客户端工具。当然你也可以手动猜解，只是这样效率比较低，要学会充分发挥自动化工具的优势。

Adict(自己写的弱口令生成器)

邮件头部伪造

此外Kali有一个工具叫Swaks用于伪造邮件头部信息。

FB重叠社交关系分析

《社会工程：安全体系中的人性漏洞》

凯文米特尼克系列《欺骗的艺术》《入侵的艺术》《线上幽灵》

《国土安全部：防诱导手册》《FBI:防诱导手册》

《非安全：黑客社会工程学攻击档案袋》《非安全：黑客社会工程学攻击2》

102、百度应用百度搜索中输入：发票真伪查询可进入查询应用

与人交流的社会工程学应该是社会工程学中最具魅力与艺术性的部分。

其实这部分在现实中随处可见，并且各领域对它的称呼各不相同，从行走江湖的各路活神仙，大师，仁波切，到传销公司，到p2p金融骗子，到现在各种自媒体的运营，以及巨头们的市场公关部门，到处可以见到它的表演舞台。除了社会工程学这个名字以外，有人称它为话术，有人说这是厚黑，培训公司称之为沟通技巧，迷男们管这叫PUA，甚至于某些情报部门…

简而言之，就是在说话的过程中仔细观察对方，揣测他的心理状态，多换位思考，并提出一些诱导性的问题。

另外提供两个关于如何防御诱导提问(Elicitation)的科普手册。

(微表情的有效性有待证实，并且训练成本过高，或者可以考虑利用影响慢放)微表情这一话题就是以世界著名的心理学家和研究学者保罗·艾克曼博士的研究成果为基础的，他利用自己的天赋开发出的解读人们面部表情的技术，改变了司法人员、政府官员、医生以及普通人与他人交往的方式。神经语言程序学的鼻祖理查德·布兰德勒（RichardBrandler）和约翰·葛瑞德（JohnGrinder）提出的一些理论，改变了人们对思维模式和语言重要性的认识。这些都是相当具有争议的领域，本章将揭开其神秘面纱，并且讲解其在社会工程中的应用。

与此类似的，如果有机会在对方安装其他传感器(心率，体温)，可以以赠送智能设备(手环)作为礼物的理由，以测慌仪的方式应用。

(或许可以再参考一些有关审讯的资料)

有许多诱导技术，并且多种技术可在诱导尝试使用。下面是其中一些技术的说明。

个人感觉1,2和5更隐蔽。

除了通过沟通来进行诱导信息以外，还有技术与人性相结合的社会工程学手段，这些剧本前期就需要精心地构造了。在freebuf的《物理攻击？那些年我们忽略的社会工程学手段》中体现得很好。

有这样一群商业黑客，可能不能理解为传统的黑客定义了，因为他们做的事情确实有些匪夷所思，下文简称为B组织吧。这次B组织的目标是国内数一数二的网络公司，旗下业务众多，规章制度健全，员工素质及文化成都普遍很高，管理和运营系统中的数据量异常庞大。

显然这次需要B组织进驻内网才能完成任务，但是正面渗透入侵的希望十分渺茫，在系统的渗透和检测之后，他们选择了物理攻击的途径。

好的，不管了，接下来，B组织的快递哥再次登场，带着快递送到了该公司，这个公司安保还是不错的，并没有让他进去，而是让他在前台等待IT男的到来，不过B组织的快递哥还是瞄到了前台电脑上装的企业版赛门铁克SEP杀软。嗯，交完快递后，B组织的快递哥立马赶回总部号召大家对木马进行针对赛门铁克Sep的免杀。大家应该好奇那个传单列表上都是些什么优惠~恩~就比如下图，只是价格写的是一元两元左右而已。

也许，大家根本就不会用u盘赠送的渣渣加密软件，但是好奇心会让你打开下，看看界面，最后删除掉。这是心理学上的，笔者也不懂，大概意思就是，白送你一个东西，你也许瞧不上，但不会看都不看就扔掉，但在计算机里，看，意味着什么？双击和运行。

聊了这么多，笔者发现，很多电影中才有的情节，确实发生了，感到很费解。和朋友聊了下，豁然开朗。这些技术并不高深，甚至成本低廉。只是有些人专注于技术，有些人专注心计。这两种人走到一起，事情变得简单了。而所谓B组织在行业内也是比比皆是，只是他们选择了与黑客这个名词不同的道路而已。

93年出生，中专毕业的齐崇，怎样也没有想到自己竟然成了一场商业间谍案中最重要的棋子。

这位刚满20岁的青年，在2011年，接手层层转包的任务，执行了一次三一重工黑客入侵中联重科系统商业间谍案。或许，直到他被长沙市公安局拘留的那一天，这位以自己出色的计算机技术为饭碗的年轻人，都不知道背后到底是谁，在策划着这一切，害的自己差一点身陷囹圄。2012年，长沙市岳麓区检察院在经过一系列的调查审理后，包括齐崇在内的4位犯罪嫌疑人对犯罪事实供认不讳。事后，虽然受害方中联重科从大局考虑，谅解了4位犯罪嫌疑人的行为，决定对齐崇等人做不起诉处理，然而到如今，这起事件的最高策划者仍然逍遥法外。

起源：三一重工的黑手

三一重工对于中联重科的敌视由来已久。这两家同在长沙的机械设备制造商，也同样都是国内的机械行业巨头，但长久以来，中联都在销售和规模上更胜一筹，在《财富》公布的排名等方面，中联重科也屡屡压过三一重工。“明的不行就来暗的”，长期屈居老二心生不服的三一重工开始试图踩踏法律的红线。

三抓齐某端掉黑客团伙查雇主牵出三一重工

1、中联重科紧急报案，长沙公安缉拿齐某(齐崇)。2011年8月13日，中联重科向长沙市公安局报案。办案干警深入沈阳、西安、北京等地取证，进一步锁定了齐某。2011年10月20日，在北京警方的帮助下，长沙市公安干警缉拿了齐某。

2011年10月23日，长沙市公安干警讯问了攻击中联重科OA系统的组织者苗某某。据苗交代：2010年3月，苗某某在杭州某信息咨询公司工作时认识了该咨询公司北京分公司副总经理付某某。2011年5月间，付某某要苗某某找一个在计算机网络入侵与渗透方面比较擅长的人入侵中联重科OA系统，拷贝一些销售资料，说雇主会视情报质量，每月可给4至10万元的报酬。苗某某应允后，许诺每月给齐某10000元报酬，指使其入侵中联重科OA，并将买家的具体需求转告了齐某。齐某接单后，通过黑客入侵方式，将中联重科的销售数据拷给了苗某某，苗某某随即将齐某所窃的中联重科商业秘密给了付某某。2011年10月25日，攻击中联重科OA系统的组织者苗某某因涉嫌非法入侵计算机信息系统罪，被长沙市公安局刑事拘留。

4、审问黑客中介付某某，缉拿黑客雇主韩某某。

2011年10月27日，干警缉拿了付某某。据付交代：2011年6月初，付某某的业内朋友韩某某找到他，要他找人搜索中联重科的市场数据。付某某答应后，找到以前的同事苗某某，许诺可视情报质量给苗某某4至10万元。不久，苗某某就将中联重科的销售数据拷贝给了付某某。付某某随即约见韩某某，韩某某就带着三一重工的市场信息科科长杨树岩一同用U盘把苗某某递交的中联重科销售数据拷走。2011年10月28日，攻击中联重科OA系统的黑客中介者付某某因涉嫌非法入侵计算机信息系统罪，被长沙市公安局刑事拘留。

6、审问台前雇主韩某某，牵出幕后雇主杨树岩。

2011年10月30日，办案干警传讯了黑客雇主韩某某。据韩交待：2008年5月，三一重工市场策划部杨树岩在“北京某公司”组织的研讨会上认识了韩某某，便常找她做中联重科等企业的情报信息研究。2011年5月，三一重工杨树岩进京找到韩某某搜集中联重科的情报信息，说三一重工将按情报质量付给4至10万元报酬，或由韩某某所在公司请业内人士操作，可从成交的雇金中抽取10％-20％的介绍费。韩某某所在公司担心违法，不愿直接接单。韩某某就找到业内的好友付某某帮忙，韩某某只收取10％-20％的介绍费。

2011年6月底，付某某将搜集到的情报给了韩某某。韩某某确认是中联重科的销售数据和汇报文件，直接交给了一同前往的三一重工市场信息科科长杨树岩。杨树岩当即要付某某每月提供这类数据，许诺按月会付给付某某4.5万元的报酬。2011年10月31日，攻击中联重科OA系统黑客的间接雇主韩某某因涉嫌非法入侵计算机信息系统罪被长沙市公安局刑事拘留。

7、杨树岩悔过断火；三一重工蒙混过关。为了顺利地将韩某某、付某某、苗某某、齐某的案子移送检察机关，2011年11月17日，办案干警前往三一重工传唤了其市场信息科科长杨树岩。面对铁证，杨树岩悔过断火，三一重工蒙混过关。

收网：齐崇等人的落网

商业情报取之有道，下面有两个安例，都是通过正常的手段得来的，没有任务见不得人的地方。

有人认为竞争情报是需要用非常规手段才能获得，但是，从有过侦察兵经历的北京博锐奕典信息技术有限公司董事长张世平的实战经验看来，竞争情报完全可以通过常规手段来获得。

案例一：顺藤摸瓜得情报

某软件企业A投资3000万元，历时6年研发出某项技术，可是就在技术处于完善阶段，正准备推向市场时，A企业一个重要的研发技术人员辞职了。企业A便委托调查公司进行调查，调查的内容主要有两项：一是该技术人员是否去了竞争对手公司，二是竞争对手是否也要研发该技术。

情报获取过程

首先，要确定谁是竞争对手企业？A企业提供了6家企业名单，张世平认为，一个企业直接竞争对手也就两三家，规模远远大于和小于他的企业都不能算直接接竞争对手。经过筛选，找到了3家直接竞争对手：B、C、D企业。

竞争策略应对

这个时候，张世平提醒A企业：竞争对手的技术研发已经完成。虽然A企业的技术还在测试阶段，但依然需要快速投放市场。于是A企业将技术提前投放市场，并在使用过程中进行完善。这样一来，A企业先发制人，利用情报战赢得了市场先机。否则，如果B企业的技术先进入市场，A企业的先期投入就打水漂了。

案例二：剥葱法获取情报

某中外合资研究机构想要调查另一研究机构的人员、成本、财务发展速度等状况，委托调查机构来进行调查。

这家研究机构位于一个知名的写字楼中。情报人员来到这栋24层的写字楼，在一楼的楼层指示图显示，这家公司租下了3、4、8、9、13、14层。这栋楼一层为大厅，二层为功能层，三层以上是写字楼。而且这栋楼除了顶层以外，基本上已经租满。

接着，情报人员进入该公司进行实地考察。情报人员找到该栋楼的物业，声称自己要租下24层，在与物业交谈过程中也获得了这些楼层的一些情况。对于装修和格局安排，情报人员提出由物业带领到3、4层参观，在参观过程中，情报人员记下公司办公室格局，员工工位空置率，最重要是记下了该研究机构的办公家具生产商的名字。

接下来，情报人员联系了这家公司的家具生产商，拿出24层的平面图纸，并要求像3层一样的装修格局，同样大小的工位，计算需要多少张办公桌，计算出来3层的工位数为86个，减去空置工位，再计算了其他楼层的工位数。得出这家研究机构的人员约为500人。

然后，就是计算其财务成本。首先跟物业谈24层的租金，物业给出的价格是4.6元/平米/天，情报人员开始讲价，出价3.8元，物业负责人马上表示：“不可能，我们3层最好的楼层都是4.2元，人家一下子租了6层都是这个价格。”这样很容易就得到了其房租、水电支出。

而后就是人员工资，这是个比较难的部分。情报人员刘女士打听到该研究所的一名高管参加了某羽毛球俱乐部。于是也报名参加了这个羽毛球俱乐部，并定期在俱乐部中与该高管“偶遇”。但是直接打听对方的收入，对方难以接受。了解到对方的爱人喜欢逛街，于是不久以后，刘女士和这位高管的爱人相约一起逛街。看到一件价值6000多元的皮衣，刘女士怂恿该高管的爱人买下，结果对方赚贵。刘女士说：“你老公不是公司的高管吗，他挣那么多钱你花这点钱算什么！”高管爱人答：“他挣得也不多，也就是年薪18万元而已。”

转天，在俱乐部里与该高管一起吃饭闲聊，酒过三巡，有了下面的对话。情报人员：“听说你们公司高管年薪18万元。”对方惊讶：“你怎么知道的。”“听别人说的，不过你们收入不高啊。”“是啊，我们那儿收入本来就不高。”“高管也不都一样吧。”“都一样的，四个老总收入差不多。”“你们收入都那么低，那你们部门经理也不高吧。”“是啊，部门经理年薪15万元。”“副经理呢？”“我们那儿不设副经理。”“老外研究人员能高点吗”“老外也不高，他们是月薪，1.3万。”“听说你们那老外不少。”“老外差不多占了1/3吧。”

中高层的薪金了解了之后，普通研究员和刚毕业的人员以及前台等行政人员通过招聘途径就能了解到。最后，再将其人员的结构进行分类，加减乘除，就得到了其人员成本的总支出。这样，被调查机构的基本财务成本就计算出来了。

利用公开、合法的方式，一样可以获取有价值的商业竞争情报

谍战大戏《潜伏》创下了各播放电视台的收视新高，虽然目前首播已结束，但其悬念迭起、惊心动魄的情节依然扣动着观众的神经。

在现实的商业世界中，情报战其实也是无处不在。不过，在当今的信息社会中，商业情报的获取完全不必提心吊胆，也不用流血牺牲。曾在部队做过多年情报搜集和分析工作的张世平，被称为中国企业竞争情报实战派的代表人物，他创办北京博锐奕典信息技术有限公司（以下简称“博锐奕典”）的初衷就是想将军事情报的获取和分析方式应用于商业实战。张世平说自己的目标不仅仅是帮企业获取情报，更希望帮助企业建立情报战略意识，培养自己的“007”。

信息拼图

与军事情报不同，企业竞争情报中的“敌情”往往不是一个企业或者一个企业的某个动作，而是一个竞争环境。因此，企业要想战胜对手就需要进行公开战和秘密战，这种秘密战利用公开的方式一样可以获取情报。张世平2008年自己经手的一个案例正好解释了情报获取的一些思路。

A公司委托博锐奕典获取竞争对手B公司的五年战略规划，这属于B公司的商业机密。按照常规的谍战思路，无非有几种方式：要么派商业间谍潜入对方公司，要么雇佣盗贼撬开对方保险柜偷出来，再者就是收买B公司的员工进行获取。但这些方法在张世平看来，都是非法的、没有可操作性的。

要获得B公司的五年战略规划，按照军事情报的思路，张世平首先做的第一件事是信息拼图。他收集到了如下几种信息：一是B公司的上一个五年规划，这是公开的信息。张世平说：“一个产品已知、顾客群已知、市场已知的公司，其下一个五年规划不会大变，只会微调。”这是一个基本原则，因此B公司的上一个五年规划就成为了信息拼图的一个部分;二是A公司以及其他同行的五年规划，并从中分析出市场趋势和变化;三是找到B公司的竞争对手，在现实市场中，A把B当成竞争对手，但是B未必会把A当成竞争对手。经过分析，张世平得知B的竞争对手是一家美国(博客专区)公司，而了解这家美国公司的发展思路和战略规划，也是信息拼图的重要部分。

接下来就是分析国际和国内环境以及B公司的市场情况。张世平发现，B公司原先的市场是在国际市场和国内一级市场，但是金融危机的形势下，其国际市场收缩严重，其战略重点必然会向国内市场倾斜。而B公司的美国竞争对手，在美国市场上的战略是先做一级市场，然后再拓展二三级市场。

原来B公司在国内一级市场已经有了网点，下一步有可能会向二三级市场挺进。如何证明这个判断？张世平通过互联网搜集了关于该公司所有的招聘信息和招商信息，从招聘职位和地区分布上，以及代理商招商方案中都验证了B公司的二三级市场战略规划。至此，整个信息拼图已经完成，B公司的战略情报已初现雏形，下一步就是具体战术情报的获取。

侧翼迂回

博锐奕典有一个部门，人员构成主要是特种部队和侦察兵的退役人员。这个部门综合了特种部队、美国西点军校以及拓展训练的一些训练方式，专门为企业提供内训服务。

当时，B公司招聘了新员工并组建了新部门，正需要企业内训。于是，博锐奕典便积极参与了B公司内训公司的竞标。在与对方人力资源部沟通的过程中，博锐奕典提出：需要了解其各个层面员工的培训需求。于是，博锐奕典的“007”们便得以顺利地以公开和正常的方式，与B公司的高层、中层以及低层员工进行了接触。在交谈的过程中，博锐奕典的“007”们应用了情报套取技巧获取了大量的信息。经过去粗取精，得到了一个重要的情报：B公司将这份五年战略规划的具体方案制成了一个光盘，供中高层人员学习。

这份光盘资料显然是此份情报的核心内容。此时，“007”们也找到了一个渠道，通过这个渠道可以花3万元购买到这个光盘里的内容，但是张世平拒绝了。

在军事行动中，有一个名为“侧翼迂回”的战略，这个战略应用到商业情报的搜集中，可以大大地降低成本。“从B公司自身的业务类型来看，他们应该不是自己刻录的光盘，肯定是通过外面的公司制作的，这是一个重要的突破口。”张世平向他的团队这样分析。于是，他们的调查对象也立刻从B公司转向了其合作公司。

很多为大客户服务的小公司，往往极为乐意把自己的客户名单列出来。通过互联网，张世平的团队立刻找到了为B公司刻录光盘的外包公司。于是，他们以业务合作的名义找到这家公司，并且告诉对方：自己的客户也是B公司，找他们制作光盘也是B公司介绍的，以此来拉近了彼此的关系。

张世平的团队情报人员接着声称：自己制作这张光盘是要在重要会议上播放的，想看看他们的制作效果，希望对方能找一个样品来看看，效果比照B公司的制作效果就行。这样一说，光盘制作公司为了揽活，立刻把B公司的光盘作为样品给了情报人员。在整个过程中，张世平的团队没有使用任何的非法手段，而且也没有投入多少成本，B公司的五年战略规划轻松到手。

《中国经营报》向A公司负责人求证此事，他承认确有其事，但鉴于情报工作本身的特殊性，他不同意媒体公开自己公司的名称。

创可贴INSIGHT

企业应培养自己的“007”

对商业竞争情报有过专门研究的专家陈易一指出，从企业目前面临的市场竞争来看，情报服务机构确实有一定的市场，但是其服务对象和服务手段则是充满争议的部分。比如，企业通过自己的销售行为建立的客户数据库，属于企业自己的商业秘密。无论通过何种手段获取这个数据库，从商业道德角度来讲都是有瑕疵的。但是，如果拿不到核心的情报，只凭公开的信息进行逻辑推理得出的情报，其价值又会大打折扣。

目前，有些所谓的商业情报公司，靠情报软件来支撑其经营显然就更不靠谱了。陈易一表示，情报搜集软件的信息主要来自于互联网，但是企业是不会轻易把自己的战略构想、研发动态、成本构成等核心情报公布上网的。如果是作为消费者网络消费轨迹监控的软件，充其量也只能算作是情报系统的一个手段，也不能作为情报机构的运营支撑。

苗盛茂，资深安全行业从业者，INSAFE安全组织成员，CISP，高级等保测评师，2008年参与奥运安全保障项目，2009年参与共和国60周年庆信息安全保障工作，2010年参加上海世博会信息安全保障工作，曾就职于多家信息安全公司。

中国人民解放军信息工程大学Mandiant报告61398部队&上海交通大学

61398部队61580部队61786部队

据研究亚洲安全和政策问题的弗吉尼亚州2049项目研究所(Project2049Institute)透露，另一名求职者列出了自己在61580部队的工作经历，该部队拥有专门从事“电脑网络防御和攻击”的工程师。

在中国，这支部队只是错综复杂的黑客活动和网络安全世界的冰山一角。这些军事单位的存在并不算是捂得很严实的机密。至少有四名前61786部队成员已经把他们的简历放在了求职网站上，简历列出了他们在该部队的工作经历。该部队负责密码和信息安全事务。