因为人为因素漏洞是复杂的、未定义的、非线性的，并且通常无法以可预测的方式重复。能够成功地说服一个人并不足以让组织用作行动的基础。简而言之，如果您可以进行 soceng 测试，那么结果将没有用。

另一方面，Web 表单上的 SQLi 是简单的、已定义的、线性的，并且结果是可重复的。

漏洞赏金是针对技术问题，而不是“所有可能出错的问题”。

SocEng 还产生了包括个人在内的巨额债务，并带来了许多其他问题。你走多远？您收集和武器化了多少个人信息？您如何获得该人的许可并仍然保持测试合法？仅许可就将此活动置于简单的错误赏金计划之外。

测试人为因素漏洞必须由知道自己在做什么的专业人员仔细进行，并且范围非常严格。这就是为什么 soceng 测试倾向于继续进行网络钓鱼模拟的原因。它非常复杂，需要考虑很多附带因素。对于一些随机的错误赏金测试人员来说，这不是什么东西。

我们希望找到未知的、可修复的漏洞

渗透测试的目标是获得可操作的结果——让某人发现组织不知道他们存在的漏洞，但只要他们知道它们存在就可以修复。

社会工程不符合这个目的，它揭示了既不新也不可修复的漏洞。我们已经知道员工很容易受到鱼叉式网络钓鱼和其他类型的社会工程攻击，所以成功的社会工程攻击只是证实了我们所知道的，它并没有提供新的知识。我们一般认为，人们陷入此类攻击的可能性可以降低，但不能消除；因此，确定某些社会工程载体对您的公司起作用并不一定意味着应该或可以更改任何内容以防止将来发生此类攻击。

您可以（并且可能应该）开展一些宣传活动，但您应该期望，即使您已经做了所有可以合理完成的事情，一个好的社会工程攻击有时也会成功。用户遭受攻击并不意味着宣传活动有缺陷或过于有限，或者特定人“未通过测试”并需要受到惩罚（如果这对您来说似乎有争议，这是一个单独的更长的讨论问题）。

检测和减轻社会工程的后果

对于安全方面成熟的组织来说，应对社会工程攻击的关键部分是假设一些员工会陷入攻击的“社会工程”部分，并制定检测此类攻击并限制后果的措施.

这可能是一种“假设违规”策略（这在尝试减轻内部攻击时很有用），但不仅如此 - 它还可以而且应该涉及防止违规的技术措施，假设面向用户的部分可能成功但阻止攻击无法到达用户（限制欺骗性电子邮件或网站的各种措施），即使用户“合作”也阻止攻击成功（例如，不会将所需凭据发送到欺骗性登录页面的 2FA 系统），或减轻攻击的后果（适当的访问控制，以便随机员工妥协并不意味着所有事情的妥协、端点监控等）。

您可以在不涉及用户的情况下测试攻击和响应

您可以进行模拟的“社会工程”攻击来测试您的响应，而无需任何实际的社会工程来伤害您组织中的实际用户（因为，为了强调这一点，即使是模拟的社会工程攻击也会对他们瞄准和受害的用户造成伤害）。如果现有系统和控制措施到位，您可以通过针对组织中的“知情同谋”来测试您检测和响应鱼叉式网络钓鱼的能力，该同谋会故意点击需要点击的任何内容（因为我们已经知道这部分经常成功）将允许有效负载到达他们，并查看您的响应如何工作，无需大规模针对不知情的员工以获得与系统安全审计相同的好处。

您可以通过从组织中的立足点开始渗透测试来测试您减轻社会工程攻击后果的能力 - 您可以让渗透测试人员远程访问工作站和非特权用户帐户凭据（假设这将是成功的社会工程攻击的结果），您无需中断真实用户的工作日即可进行此测试。

社会工程学最常见的形式是操纵、欺凌或对公司员工撒谎，并为此提供赏金就是邀请这种折磨你的员工。赏金猎人斥责呼叫中心试图通过他们的方式进入其他人的帐户，而有效的客户服务电话数量将超过其数量；贵宾的办公室工作人员会被伪装成老板打来的电话淹没。在庞大的数量下，实际的客户服务和生产力将直线下降。

基本上，邀请人们打败你的硬件和软件就可以了。你不能请人打你的人。

声称社会工程是软件中的错误，就像说喜欢刀的连环杀手是刀中的错误。

社会工程是人类的错误，因此您需要通过培训、谴责等方式修补您的人类……

这个问题真的让我想起了 Facebook 以及他们如何在开发者控制台中实现一个巨大的警告：

请注意，警告仅与用户的理解技能一样有效，因此您可能必须单独修补每个用户。希望这能更好地说明为什么不对人工操作提供赏金。