欺骗的艺术-读后总结

    这本书是春节期间回家来回的路上看的，数内容并不多，内容很容易懂。如果目前来说你没有看过这本书并且打算看的话，先事先剧透一下：

1.首先这本书里面没有过多的涉及计算机技术相关，也就是说如果是想学写什么间谍软件啥啥啥的，不建议看这本书，这本书几乎所有的事情都是在讲人，讲故事。

2.这本书上的例子几乎都是很早以前的了，也就是说里面的方式不能直接照搬了，比如几乎整本书都是在说盗打电话的问题，但是就现在的尿性来看，几乎所有的电话都不是那种分机中转啥的了，就近期我办张电话卡那货既然让我举着身份证拍照。FK。看这本书的话只是学习里面的思路而已。

3.本书里面一部分例子是事情，一部分例子是故事。也就是有的时候看着看着就感觉很无聊，因为觉得太扯淡了。但这不是重点，重点是虽然作者说这本书可以让你获得10点的成长（扯淡），而我觉得能获得6点甚至1点的成长也行，也就足够了。所以看到中间部分觉得无聊的小伙伴一定要坚持看完，学会过滤信息很重要。

4.最后一点建议就是最好是看这本书的时候把他当做小说看。把所有的事情都当做是故事。然后再觉得有意义的清洁里暂停一会好好理解下。

    OK，废话不多说，说下看完这本书的收获：

    这本书本身是讲社会工程学相关（之后简称社工），而我对社会工程学这个词的理解就是骗子有了文化。所谓的社会工程师其实可以理解成是聪明并且技术也不错的骗子。我和大家一样，厌恶骗子小偷什么的。但是这不是重点，重点是我觉得我虽然不会去偷偷的撬开别人家的门偷东西。但是我还是会对怎么样才能桥开锁感兴趣。

    接下来整理一些思路：

  （1）一开始文章在讨论 安全软肋问题，也就是在安全方面。到底什么才是最容易攻破的地方，其实很容易想到，人才是最弱的一个环节。我们总是有这样或者那样的惯性和情绪还有天性。这些所谓的习惯导致我们很容易被社工欺骗。举了很多现实的成功例子，比如其中一个例子是。一个公司为了保护商业机密，在技术方面采取了各种各样的保护，花了很多钱。然而最终却因为内部人员被社工攻击。导致代码泄漏出去。具体攻击方式，后面再说。

  （2）然后讨论的是无用信息的价值。有很多商业间谍会通过在你公司门口的垃圾箱里找东西来获取他们想要的数据。比如员工号，比如这个登记表那个登记表，比如公司的一些制度信息，比如一些计划草稿文件。这些东西也许平时我们看起来不重要。但是当一天一个人给你打电话求助的时候，自称是你们公司的员工，他和你对话用的全是公司内部项目相关的专业术语（注意这个地方非常关键），然后随便说了一些你知道的公司内部人的名字。这样很容易会让你不自觉的就相信他。因为他所做的一切就是尽可能的让你自己认为他就是你们公司的员工，尤其是当公司规模大到一定程度的时候，很多地方部分的同事你都不认识，然而你们之间又有着任务上的交接。一天你突然接到电话或者消息。说我是XXX部门，把咱们公司A项目的那个B部分的代码给我拷一份过来吧。我和C一起对这个项目进行D方面的修改...，当所有的XXX,A,B,C,D...都是你知道的，并且是真是存在的时候，你很容易就默认他肯定是内部人员了。当然这些A,B,C...各种各样的信息都是我们平时不注意的，也觉得无所谓的信息。被有心人收集并且用于这个时候。这就是无用信息的价值。

  （3）然后说了个极端的方式-直接索取。有的时候你想得到一样东西，可以采取直接要的方式，看准时机，看准机会直接要。比如一天你给人事部打电话。说我想要一份XXX数据，请给我邮件发过来。这边着急用。 这个时候不用太多废话，直接就是说着急用。然后记得要先调查专业术语。然后尽量让对方潜意识认为你没问题，并且别给对方太多的时间反应。再或者比如某公司有一个内部服务号码。比如你想要获取A家的宽带相关信息，同时你又知道A家宽带办理人员长打的内部服务电话的话。这个时候，不用废话，直接打这个电话。然后可以直接说:你好，B C D巴拉巴拉一堆专业术语（再次体现专业术语专业性）。A的信息是多少？我这边宽带维修需要下这个信息。很多时候这样会更有用，虽然我觉得这太容易暴露了，但是这本书的作者表示这个方式很有用。重点是看好时机。但是一定要注意一点就是，你想从一个人身上得到A这个东西，一旦第一次失败了并且被发现了，那么第二次尝试成功的机会几乎是0。所以，要三思，要三思。但是还要强调一点。我们只是在研究怎么样开锁，但不是为了去偷别人家的东西。某些时候我们可以用知道的思路去对自己家的锁进行强化改造。

     对了，针对3，突然想起来我朋友和我说的他身边的一个真实例子，一天A接到电话，对方称自己是B银行的工作人员，对方说发现A的账户存在安全问题，需要采取冻结方式。为了保护A的财产安全，然后要A提供账号和密码。然后就没有然后了。

（4）建立信任。这个也比较容易理解。火车站有个骗子想骗你，然后找个理由和你搭话，然后你发现原来你们是老乡，然后你们就开始开心的聊着老家的事（虽然彼此都对不上，但这并不影响你们之间的好感）。然后你们聊了很久，甚至一起在上车之前吃了个饭。最后你在上车的时候和他挥手告别。车开走的时候你想玩会手机，发现手机没了（有些时候知道的越多反而活着就更累。有很多人认为天下所有的人全是好人，他每天都开开心心轻松的活着，不会想太多，然而这一生也没被骗过。但是假如有一天你在火车站遇到老乡结果含泪告别后钱包没了。这个时候你再次在火车站遇到老乡你会搭理他吗？你会热情的和他聊天吗？我觉得你可能会，也可能不会。但是不管是会还是不会，你都会挣扎一会，回忆一会，考虑一会，然后做出决策。所以经历的越多，懂得越多有的时候就越累）。

（5）这章的标题是 我来帮你。其实就是做一些对你有好处的事。甚至是对你本身没什么好处的事。比如他掏出自己的地铁卡，然后在身后拍你一下说，嗨！哥们，这地铁卡是不是你掉的。你一摸自己的地铁卡还在。虽然你没丢地铁卡。但是你可能会对这个人有好感，从而导致一种无形的信任。这种信任很危险，尤其是当面临一些做和不做都不确定的事的时候。妈的，其实下次如果有人再对你说。嗨！哥们你地铁卡掉了。这时候想都不要想，直接接过来地铁卡，说谢谢您，然后继续低头玩手机，不用管他。这样是不是很安全。

（6）你能帮我吗？路边乞讨的人，网上那些患病捐款救治的人...这里面有的人确实是真的可怜真的需要帮助，但是又有多少人是骗子呢？记得那一年的春晚上主张说:人摔倒了，可以扶起来。但是心摔倒了，就根本扶不起来了。没记错是在说老人摔倒扶不扶的问题。如果现在让我回答这个问题，我应该会说 不知道。因为我看到摔倒的老人很可怜，心里不舒服。但是如果我昨天在一个不确定的问题上选择了A，结果导致我很惨。今天还是遇到同样的不确定的问题，我觉得我选择A的可能性很小。但这都不是要表达的重点。要表达的重点是同情心可以让我们再不确定的问题上选择A。因为人之初，性本善。

（7）假冒网站和危险附件。大体说的是蜜罐类的骗术，一天你不知道在哪看到支付宝有什么现金红包，点进去了发现 嗯，和平时上的支付宝网址一样，没毛病，然后输入账号，密码。然后发现红包被抢完了。或者直接告诉你。SB你密码泄露了。

（8）  利用同情、内疚和胁迫。这个不解释了，根据标题自己回想发生在我们身边的例子吧。

（9）逆向骗局。您好，我是10086的客服人员（当然目前的技术来说你很有可能看到10086的电话号码打给你），现在为您办理XXX业务，请问您的服务密码是123123吗？你说，不是，我的密码是233233...

（10）进入内部。半夜，直接敲锁进入某家公司，打开电脑。然后安装上自己的软件。偷偷的获取了一些重要文件。然后尽可能的自己去擦掉证据。感觉自己很精明，虽然当时没被抓到，监控也看不清你。但是第二天警察已经接到报警了。然后逮捕了”相关人员”，但是这个人并不是你，是你最恨的一个人B。OK你报仇了。其实如果真的是你要偷东西的话，进入内部这个姿势并不想是一个聪明的社会工程师干的。但是作者的分析是，有的时候这样做得到的回报会比风险大，也就是值得冒险。书上说了一个故事。A进入B公司找一个主管C谈一件对这家公司很有帮助的事，但是C出差了（当然A知道这件事）。然后A约了B公司的其他一些不熟悉的人E,F,G。一起吃饭，一起谈这个业务。最后在大家共同工作下。A从E，F,G那里得到了想要的东西。C回来后大家才知道C根本不认识A这个人。不就之后一家没人听过的公司就上线了他们目前正在开发的一款工具。然后B公司没有什么证据。

（11）综合防止社工。说怎么尽可能的减少被社工的概率。额。不说了，没啥意思。其实我觉得你知道的解锁方式越多，就越可能做出比较安全的锁。

（12）攻击新进员工。这里不止说的是新员工，大体是说的意思是：某些时候因为了解的太少，就有太多的事情不确定。因为不确定很多重要的信息就会被忽略，然而一个你从A哪里得到一条很重要的信息。但是A不知道这个信息重要。这样就会降低这件事的难度。

（13）去社工聪明的人。你和我说聪明的人相比傻子更难骗。我上去就给你一嘴巴。那不是废话吗？在某些时候狂妄，骄傲，瞧不起人会降低一个人的智商。如果你的智商是9，而你对手的智商是10，别和他斗智斗勇，你很有可能会输。但是这个时候你可以让自己的智商看起来像5。降低自己的智商比增加智商更容易实现。当对手看到你的智商是5的时候很容易觉得你是SB，甚至和你说话都爱理不理，然后几乎都不怎么考虑，因为他不觉得你能想多少东西。注意这个时候他的智商也许是8或者更低。等你们对完话后，他的智商回来了，但是已经晚了。有没有想过假如有一天你对一只鹦鹉比比划划，然后这个鹦鹉没反应，因为他不懂你什么意思？你一看动物就是动物。很难理解人类的意思。然后你做了一个鬼脸转头走不远的时候，鹦鹉说话了。你那表情干啥？SB！虽然一开始你做各种动作的时候它是真的没理解。

（14）从14章到最后大体说的都是商业间谍及其如何防护社工。我都看完了，但是没觉得有什么营养。所以这里就不说了。

总结：

     这本书大体讲的就是社会工程学的一些基本手段，可以理解成是一些欺骗手段，还是那句话。我对偷偷的进入别人家不感兴趣，也发自内心的觉得这样做是不对的。但是这并不代表我不对怎样撬开各种各样的锁不感兴趣。如果你知道了目前主流的所有敲锁姿势，也许你可以打造出来一款常规方式很难被撬开的锁。

    也许大家都不想伤害别人，其实这是对的。但是我们应该尽可能的减少被伤害的概率，同时如果被伤害了我们能采取最有力度的回击。否则就是懦弱无能的表现。