有些在读的小伙伴私信问我能不能帮他们渗透学校内网然后修改期末考试成绩。

我：？？？

理论上是可以，但人家是专门维护网络安全的，不是当黑客的啊！

这时候我就要来讲一讲一个关键词“社会工程学”了。

 

有很多人认为，“社会工程学”就是黑客技术。社会工程学（Social Engineering）在上个世纪60年代左右作为正式的学科出现，广义的社会工程学指的是通过对社会、自然和制度上的途径建立理论并逐步解决各种复杂的问题，其后分为网络社会工程学和公安社会工程学两个分支。

凯文.米特尼克在《反欺骗的艺术》中说，人为因素才是安全的软肋。

我认为是这样没错，马克思说“资本来到世间，从头到脚，每个毛孔都滴着血和肮脏的东西”；金钱无罪，有罪的是人有了欲念、起了贪心，利用非法手段获得资本。对于黑客们来说，一串数字、一串代码、一个名字，都可以通过社工攻击手段将个人信息、兴趣爱好甚至隐私数据，但凡是你曾在网上走过一遍的痕迹通通给你挖掘出来并加以利用。

和概念上的黑客技术不同，这是一种针对人性弱点、不依靠任何一款黑客软件的社会工程学黑客技术。

社会工程一直是一个灰色地带，一不小心就会在违法的边缘来回跳跃。我们可以描述一个例子从而分析社会工程学具体的行为手段。

比如你在学校食堂里吃饭，一不小心看到了一个妹子并对她一见钟情。

低情商——找她搭讪、索要联系方式、尬聊最后大概率被拒绝；

高情商——找她搭讪、索要联系方式、使用社工手段最后抱得美人归。

通过获取的联系方式（比如手机号、QQ号等）挖掘相关数据，当然也有很多不同的技巧，这里只讲述一个具体的案例;

被攻击者是XX外国语学院大三学生，外貌出众，是学院有名的美女。有一个男生想要追求她，于是在宿舍中打开其中一台控制的校园卡消费信息内网肉鸡，通过渗透内网站群共享授权逻辑错误（默认登陆密码为身份证号后6位，可以获取用户每天的消费记录，也就是弱密码）获取该校一位教师的账号密码，根据消费窗口定位到了该女生，获得了她本人的名字、学院、班级、身份证号码等等，然后冒充她喜欢的作家粉丝来和她进行互动，最终顺利地走到了一起。

这是不是很多人追求社会工程学的终极目的？当然只要不违法，如何使用社会工程学都是个人自由，很明显上面这个例子中的男生打擦边球打得相当出色。

 

然而，社会工程不仅仅是信息搜集，对于社会工程学来说信息搜集只是冰山的一个边角、马拉松的一段起跑线程，社会工程学作为一个庞大的系统，还需要更多的人力和物力对其深入钻研。那么，社会工程学根本上来说是什么呢？

正如下图所示：