当我被要求设置一些关于安全意识的演示时，我总是使用用户群熟悉的东西来展示可以被利用的弱点。

让我们以一个简单的组织 Acme 为例。Acme 拥有大约 200 名员工、强大的 IT 基础设施、顶级防火墙、安全应用程序、智能 CISO 等。他们的无线是 WPA2 和 RADIUS Auth，它使用用户的 AD 凭据。他们还经常使用 Outlook Web 应用程序 (OWA)。

如果这是我向其展示攻击的组织，我将首先建立一个看起来就像 OWA 安装的网络钓鱼站点。使用 wget 这样易于访问的东西非常简单，或者您可以使用 Trusted Sec 的社会工程工具包来设置它。完成此操作后，更改登录表单，以便输入的用户名和密码进入您自己的数据库/文件存储区——或者，您可以再次使用 SET 的凭证收集器。可选：购买一个域，例如 acme-corpwebmail.com 或类似的东西。

接下来要做的是向自己发送一封示例电子邮件。它可能类似于 IT 升级和人们需要验证他们的帐户的方式——专注于电子邮件的可信度、良好的英语、甚至可以信任的东西。使用凭据登录，并显示它们已被捕获。

使用相同的凭据登录企业网络（毕竟是 AD 凭据）。现在，攻击者可以访问 ACME 员工可以访问的所有内容，而且他甚至没有破坏应用程序或进入大楼。他可以一直坐在停车场外面。

想要额外的效果吗？让整个事情成为一个非常酷的视频。这并不难，即使它需要一点额外的时间。

一旦你展示了攻击者如何进入，关注员工需要做什么来保护自己——即，确保电子邮件来自它声称来自的人。如果有疑问，请询问对方是否发送了电子邮件——如果这意味着安全，可以浪费对方的时间。如果链接在组织外部，请在单击之前询问人员/安全团队。如果它是外部的并询问凭据，除非另有说明，否则假定它是恶意的。

根据个人经验，我可以告诉你，这是非常有效的——它给人留下了深刻的印象，即使它在某些人身上产生了偏执——而且一定程度的偏执总是好的。:)

如果您想将其提升到一个新的水平，我真的建议您查看 SET 提供的内容。戴夫·肯尼迪（Dave Kennedy）和所有其他从事此工作的人在该工具上做得非常出色，它提供了向人们传授社会工程知识所需的所有工具。

我想说，教育他人了解社会工程攻击的最佳方式是向他们展示这一点。从理论上解释这些概念固然很好，但大多数人在真正体验到它可能对他们产生的影响之前，不会真正吸收这个教训。

电影Now You See Me中有一个有趣的场景，几个魔术师通过看似正常的谈话欺骗他们的老板，让他的银行账户的秘密问题的答案，并从他那里偷走了1.4亿美元。

虽然你很可能没有拥有 1.4 亿美元或更多净资产的朋友（如果这不是真的，那你真幸运！），它确实说明了最无害的对话如何比你透露更多关于你的信息会很舒服。

所以，在你的朋友身上尝试一些社会工程技巧。让他们坐下来，在他们面前登录他们的帐户，并解释你是如何做到的。您不能真正事先征求许可（否则将不再有效），因此请确保他们是真正的好朋友。:P

社会工程学围绕心理学展开。它试图影响人类行为以达到目标，不幸的是它通常运作良好。在我看来，教育人们的最好方法就是以身作则。一个有趣的视频是 Defcon 的Social Engineering LIVE演示。

大多数情况下，社会工程师需要采取主动，要么通过发送电子邮件、拨打电话，甚至发送传真（正如在 Rapid 7 DNS 劫持中最初假设的那样）。以下是您应该问自己的几个问题：

• 谁在这里联系我？（请记住，大多数联系方式都可以在互联网上找到！）
• 他为什么要联系我？
• 他联系我的方式对于这家公司来说正常吗？
• 他要求的信息是敏感信息吗？
• 有没有办法验证这确实是这个人？

一个好的方法是使用预先建立的两个单独的沟通渠道。例如，如果您接到某个人的电话，要求您执行某些操作，请放下电话并使用来自受信任来源的凭据回电该人。例如，如果有人从帮助台打来电话，请检查他们的分机号码和姓名。然后在你公司的内部电话簿中查找它，看看它是否相同。您可能想自己给他们回电话，看看是否仍然是同一个人。永远不要使用这个人自己提供的电话号码（无论如何，对于这个例子）。

这方面的一个例子是最近的 Microsoft 支持骗局，攻击者伪装成 Microsoft 技术人员。受害者被指示打开cmd并执行命令，然后攻击者说“嘿，我是微软，因为我可以做到这一点”。他们随后要求受害者关闭他们的防病毒和任何其他安全机制。在受害者开始怀疑的情况下，攻击者会以其他方式施加压力。

就公司而言，特别是当有适当的身份验证和验证程序时，必须确保没有可以绕过协议的漏洞。我最近听到一个人试图提高他的信用卡限额的故事（经常被骗子用来在盗窃信用卡后提高他们的消费能力）。这个人没有得到他的增加，因为他无法被认证。哪个好！但随后他打电话给客户支持，非常生气并威胁要更换银行。客户支持通过增加他的信用额度做出回应，甚至没有尝试对他进行身份验证。这只是出于邪恶目的向人们施压的一个例子。

非 IT 头脑的人可能会被此欺骗，所以为了教育他们，给他们几个社会工程攻击的例子。David Schwartzberg的一个很好的建议：

每当电话中未经身份验证的人建议浏览不熟悉的网站时，最好的办法就是什么都不做。每当电话中未经证实的人要求提供个人身份信息或财务信息时，最好的办法就是挂断电话。甚至不说再见。

如果您需要了解更多信息，请访问social-engineering.org

US-CERT也有一些针对社会工程学的指导方针：

• 警惕来自询问员工或其他内部信息的个人的不请自来的电话、访问或电子邮件。如果未知个人声称来自合法组织，请尝试直接与公司核实他或她的身份。
• 不要提供有关您的组织的个人信息或信息，包括其结构或网络，除非您确定某人有权获得这些信息。
• 请勿在电子邮件中透露个人或财务信息，也不要回复有关此信息的电子邮件请求。这包括通过电子邮件发送的以下链接。
• 在检查网站的安全性之前，不要通过 Internet 发送敏感信息（有关更多信息，请参阅保护您的隐私）。
• 注意网站的 URL。恶意网站可能看起来与合法网站相同，但 URL 可能使用不同的拼写形式或不同的域（例如，.com 与 .net）。
• 如果您不确定电子邮件请求是否合法，请尝试通过直接联系公司进行验证。不要使用与请求相关的网站上提供的联系信息；相反，请查看以前的声明以获取联系信息。有关已知网络钓鱼攻击的信息也可从反网络钓鱼工作组 ( http://www.antiphishing.org ) 等组织在线获得。
• 安装和维护防病毒软件、防火墙和电子邮件过滤器以减少部分流量（有关详细信息，请参阅了解防火墙、了解防病毒软件和减少垃圾邮件）。
• 利用您的电子邮件客户端和 Web 浏览器提供的任何反网络钓鱼功能。

如果你是受害者，你应该怎么做？

• 如果您认为自己可能泄露了有关您的组织的敏感信息，请将其报告给组织内的适当人员，包括网络管理员。他们可以对任何可疑或不寻常的活动保持警惕。

• 如果您认为您的财务账户可能被盗用，请立即联系您的金融机构并关闭任何可能被盗用的账户。注意您的帐户是否有任何无法解释的费用。

• 立即更改您可能泄露的任何密码。如果您对多个资源使用相同的密码，请确保为每个帐户更改它，并且以后不要使用该密码。

• 注意身份盗用的其他迹象（有关更多信息，请参阅防止和应对身份盗用）。

• 考虑向警方报告袭击事件，并向联邦贸易委员会 ( http://www.ftc.gov/ ) 提交报告。

在不断发展的举措中，让您的观众互相进行社会工程。让他们想办法从彼此身上提取信息，并分享他们的想法和有效的方法。你越早在离家近的地方完成这个过程，他们就越容易在日常生活中积极地使用它作为模型。

1940 年代在美国进行的一项研究着眼于在没有优质肉类的情况下如何让家庭主妇在他们的菜单中使用更多的器官肉。教育计划惨遭失败，甚至一对一的失败，直到一位研究人员有了完全停止讲座的想法。他根本没有进行任何教育，而是召集家庭主妇“集思广益”如何设计一项教育计划，让其他家庭主妇使用更多的器官肉。参加“头脑风暴”会议的人在会议结束后持续使用内脏的比率明显更高。当然，重点不是人们想出的东西，而是让人们想出自己的理由。一旦“桌子被翻转”，行为变化就会变得自然并长期保持一致。