上班之后作息变得非常规律，几乎每晚十一点睡，上午七点多自然醒，这真是在学校里无法想象的，也正因为少了许多杂事，多了一些阅读的时间。这一篇里谈一谈所谓的“社会工程学”

实际上，社会工程学（Social Engineering）这个名字，总有点浓浓的伪科学气息，比如会让人想到社保、物业、居委会大妈...而且它真的很可能是一门伪科学，中国人在翻译涉及到某某新技术的词汇时，总爱给后面加上一个“学”字，好像这样就能登大雅之堂了，实际上从英文来看，这个概念的创始人应该没有什么想把它发展成“学”的意思，倒是有几分黑色幽默的意味。

凯文·米特尼克 Kevin Mitnick

言归正传，先从这个词汇的创始人说起。凯文·米特尼克，美国人，1963年生。15岁时破解北美空中防务指挥系统，20岁时入侵五角大楼，目前经营一家安全咨询公司。其实这位老前辈真正声名鹊起是因为他在被禁止接触一切数字设备的那几年内写的一部书《The Art of Deception》，这部书里正式提出了社会工程这个词汇。

社会工程最有代表性的应用在我看来可以简短解释为，在尽可能少的科技手段的协助下运用社会学与心理分析获取本无法取得的信息的过程。特别要说明的一点是，这和无耻的诈骗是两码事。每个人一生中总会有一些时候，需要知道某些对他人无害但对自己又极大帮助的信息，却发现难以获取，这是社会工程的运用场合（比如在大学里你要转专业，某院只有10个名额，按照报名者成绩排序录取，但报名情况不对外公布，每个报名者四年中只有一次选择机会，你如何才能获取已报名者的信息避免浪费这个机会。这个场合下，信息对他人无害因为成绩是既定的，但对你有利）。而无耻的欺诈行为诸如短信诈骗等等，只是一群乌合之众的拙劣把戏而已。

一个有代表性的案例，出自《The Art of Deception》：

有一位私人侦探，受托为一名要离婚的女士调查她丈夫的储蓄银行，因为他的丈夫比她早了一步,从两人的储蓄帐户中把大量存款提了出来，存到了另一个秘密账户。他用了三个电话拿到了这个信息，来看一下他的做法：

第一个：“国家银行,我是吉姆,您是想要开一个帐户么?” “嗨,吉姆,我想请教个问题。你们与信誉支票打交道么?” “是的。” “你们给信誉支票打电话时,怎么称呼你们提供的号码?是叫‘交易号’(Merchant ID)么?”短暂的沉默,基姆在衡量这个问题,对方是什么意图,她是否应该回答。打电话的人 不容对方思考接着问:“是这样,吉姆,我在写一本涉及私人调查的书。” “是的。”她有了回答的信心,因为她还是愿意帮助一个作家的。 “就叫“交易号”,对么?” “啊,嗯。” “好的,很好。我是想确认我的书中使用了正确的专业用语,谢谢你的帮忙,再见,吉姆。”

第二个：“国家银行,开户处,我是克瑞丝。” “嗨,克瑞丝,我是阿莱克斯。”打电话的人说,“我是‘信誉支票’的客服代表,我们在做一项改善服务质量的调查。能耽误您几分钟么?”克瑞丝表示愿意,打电话的人继续: “好的。你们部门营业时间是多少?”她给予回答,并接着回答下面的一系列问题。“你们部门有多少人使用我们的服务?” “大约多长时间给我们打一次咨询电话?” “您用的是我们哪一个 800 免费电话号码?” “我们的客服代表服务态度好么?” “我们对业务的响应时间如何?” “您在银行工作多长时间了?” “您通常使用的交易号是多少?” “您是否发现过我们提供过的信息不准确?” “如果您对我们的服务有所建议,建议是什么呢?”最后: “如果我们把定期调查表寄到你们部门,您会填写么?” 她表示同意,然后彼此简单对了几句话,电话挂掉,克瑞丝继续她的工作。

第三个：“信誉支票,我是亨利·麦克金赛,需要帮忙么?” 打电话的人表明自己是国家银行的职员,并报出正确的交易号,以及他想查询的人的名 字和社会保险号。亨利要求出生日期,他也报上。不一会儿,亨利看着自己的计算机屏幕读 道“韦尔斯·法果在 1998 年报过一次 NSF（客户账户不足）” “自那之后,还有资金往来么?” “没有了。” “有没有申请其他账户?” “我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会,”他断断续续地读出第二个地方,斯卡奈塔第共同投资,他逐字母的将名称拼出。“纽约州。”他最后补充道。

在这个案例中，三个电话是同一个人打的，先是确认了一个看似平常的专业用语，之后扮作一个客服人员，将关键的问题隐藏在一次刻意安排的电话访谈中从而取得了主要信息，最后再利用以上所取得的所有信息达到最终目的。

弗兰克·阿巴内尔 Frank William Abagnale, Jr.

弗兰克·阿巴内尔是另一位需要提及的传奇人物，现为FBI顾问。阿巴内尔在16至18岁期间，利用一套泛美航空飞行员套装与精心策划的“泛美员工”身份，享受了至少免费飞行250多次，总航程超过1,600,000公里，范围遍及全球26个国家。

阿巴内尔年轻时的那个时代，完善的信息化社会还未建立，人与人之间的信任靠的是一种后来米特尼克所称的“地下酒吧式安全”，这来源于美国禁酒时期，提供酒精的夜总会没有什么安保措施也没有招牌，只要你知道正确的地址就基本可以进入。在那时，一套制服就说明了你的职业。看看他是怎么获得泛美飞行员的入场券的（详情可参阅 《Catch Me If You Can》）：

阿巴内尔首先以一名求知若渴的大学报社记者采访了泛美航空的高管，问了“成为一名飞行员所需的一切事情”，包括一些习惯用语，接着以一名在酒店内丢失制服的飞行员身份打电话给泛美的后勤，打听到了制服的供应商与联络人的姓名，之后顺水推舟地拿到了所需的飞行员制服。虽然他最终如愿以偿还靠一张伪造的飞行执照的协助，但这里最关键的是他所获取信息的步骤与方法。首先利用对方愿意协助的心理尽可能地通过合理的问题来获取信息，接下来在另一个场合利用所了解到的信息来建立信任，最终综合已有资源达成目标。

“还有那些我见过的飞行员徽章是干什么的？”

“我是旧金山基地的副驾驶员”

信息与知识和语言一样，是一种力量。在这个时代，请注意我们提供给他人的信息，也请注意别人传递给我们的任何信息。