欺骗的艺术读后感

欺骗的艺术

——————读《反欺骗的艺术有感》

这是著名的黑客凯文米特尼克写的一本关于社会工程学的公益性质的书籍。在所有的黑客中，凯文米特尼克是最具传奇色彩的人物。好莱坞甚至将他搬上了银幕，拍摄了《战争游戏》。然而本书中，作者并不是在介绍那些神奇的黑客技术和入侵计算机系统的技巧。他介绍的是社会工程学。用现在流行的话讲，就是“忽悠”。

不要以为入侵一个严密防护的计算机系统就需要高深的技术，一个的出色的社会工程师也可以完成这样的任务。或者可以这么说，将人类社会比喻成一个巨大的计算机系统，那么社会工程师就是这个系统中的黑客。

书中介绍一些故事。从中我们可以看到，一个社会工程师是怎样利用几个电话或其他普通的交际手段，来骗取他人的信任，从而获得自己想要的信息。最完善的防护措施，最好的防火墙，最出色的入侵检测系统，也阻挡不了社会工程师的脚步，因为人性的弱点总是存在的。试想一下，当某个不认识的人询问你某事时，想想自己是什么态度。如果一个衣衫褴褛的陌生人来到你门前，很可能你不会让他进去。如果是一位衣着得体、皮鞋明亮、发型完美，举止优雅并面带微笑的陌生人，你可能就会放松警觉。书中举了一个例子，介绍如何骗取用户的信用卡号。汤米打电话给一个音像店分店的服务员，假装要写信给经理表扬服务员的工作，从而获取到经理的地址和姓名。然后，汤米冒充经理给另一个分店的服务员打电话，声称自己的计算机出故障了，需要服务员帮忙确认一下客户的信息。而服务员就在不知不觉中将客户的信用卡号透露给这个“经理”了。这个例子很简单，却也让

我们震惊，我们的隐私就这么轻易地用几个电话就被人获取了。事实上，这个技巧对欺骗警察或政府部门的职员更加有效。因为执法人员像军人一样，从他们第一天到上班开始等级制度观念就已经根深蒂固了。只要社会工程师伪装成一个警官或助理官员——比和他谈话的人等级更高——受骗者将被精心学习的课程支配，不要怀疑比你职位更高的人。等级，换句话说就是拥有特权，特权不会被等级低的人挑战。

这么书的种种案例说明，骗取内部人员的信任和绕过所有技术上的保护是多么的轻而易举。社会工程师无处不在。

凯文写这本书的目的就是要提醒大家警惕这些罪犯这本书都如同一个清晰、明确的路标，它将帮助我们弄清社会工程师的手段，并且挫败他们的阴谋。最后，截取了几条作者的提

醒：建立信任的欺骗技术是社会工程学最有效的策略之一，你务必要考虑你是否真正认识与你谈话的人。在一些不常见的情形下，对方很可能不是他自己声称的那个人。每个人都应该知道社会工程师的一贯手法：尽可能地搜集一些关于目标的信息，利用这些信息增加内部人员的信任。然后直取要害！

在企业的新员工可以访问任何计算机系统之前，必须进行培训以遵从良好的安全操作规程，尤其是有关绝不要泄露口令的规则。

不要指望网络安全装置和防火墙来保护你的信息，要注意最薄弱的环节。通常，那就是你的员工。原著的标题是“The Art of Deception”，直译应该是“欺骗的艺术”，但实际上译作采用了“反欺骗的艺术”作为标题。毕竟“欺骗的艺术”稍显歧义，有“做坏事”的感觉，而“反欺骗的艺术”则显出正能量，说明从这本书中我们可以学习到如何降

低被欺骗的概率、增加安全意识。

那么，这本书增强我们的安全意识呢？书中通过一个个根据事实改编的故事来吸引读者，让人着迷。如果换一个标题来形容书中内容的话，可能“社会工程学案例分析”是个可以凑合的描述，但相比于原标题，则显得枯燥了许多，毕竟书中的一个个故事很是形象生动，引人入胜。阅读过程中，跟随者原著故事的精彩性，以及潘爱民老师翻译的功底，我脑子里面都会不自觉浮现出社会工程案例展开的画面。同时，内心也在时不时的问自己，如果换成是我，我会不会在这种场景下泄露书中对应的信息呢？答案是不确定的，有可能会，也有可能不会——因为我看了这本书，所以不会的概率更高了。看完之后，当涉及到一些工作相关的数据时，我会下意识地想：这些信息适合说出去吗？在很多场景下，我们不知不觉很容易讨论到一些敏感数据造成信息上的泄露。比如我上周刚遇到的，由于公司IPO备受瞩目，连运钞车的武装押运都跟我闲聊起来了，而且越聊越深。当对方问到一些比较敏感的数据时，我就会有意识的笑笑、礼貌结束会话，然后走开。当你无法确定一些信息是否可以交流时，最好不要交流。一种比较方便的确定方法是——你是否因为该工作岗位才了解了这些信息？如果是，请注意保密。