社会工程学 我们是专业的|

社会工程学 我们是专业的

最近有很多人来问嗷嗷，什么时候社会工程学？它有什么用？人肉就是社工吗？这篇文章我将简单概述社会工程学。

1.浅析社会工程学

（浅析社会工程学）

社会工程学是一门复杂的学科，涵盖计算机技术、心理学、社会学等多方面

今天，社会工程学的未来：

钓鱼攻击

APT攻击

信息收集

BADUSB

（主要收集信息的列表）

1.姓名(中文、拼音与英文)

2.常用昵称或ID

3.信息安全意识评测(1-10)

4.性别

5.职位

6.照片

7.兴趣爱好

8.身份证号

9.实际出生日期(阳历与阴历)

10.身份证出生日期

11.身份证家庭住址

12.家庭成员

13.社会关系

14.快递收货地址

15.教育经历

16.QQ号码

17.微信号

18.常用电子邮箱地址

19.手机号(曾用与现用)

20.银行卡号

21.支付宝

22.社交平台主页(QQ空间,微博,人人网,百度贴吧,校友网,facebook,twitter等) 23.常用密码

24.常用密码字符或组合规律

（收集信息几个注意的）

1.购买通讯录，然后冒名拨打电话，收集目标信息，根据收集的信息进行筛选，收集更有用的信息进行关联并进一步套取更有用的信息，从边缘到核心

2.比如，RFID复制器，树莓派，照相机（一般用收集），指纹扫描器，和一些比较昂贵的高科技设备。物理方法收集的缺点就是必须要在现场，没法躲在黑暗的屋子里，更容易暴露自己，这就使得社工师必须熟练的掌握并运用假象、模拟、、影响、心理学等多种因素，来更快的找到信息源和信息切入点，比如、常见的路由设备，公开的USB接口，一些办公资料，记事簿，不经意间掉落的东西。实在不行就翻翻垃圾桶，垃圾桶是人们比较放松警惕的地方，里面可能会有你需要的有价值的东西，简历、照片、报表、开会笔记、对账单、财务信息、日志以及个人的私有物品，这些都可以被用来对目标者实施攻击

（常用数据库）

交通信息数据：

中航信系统 春秋航空系统 高铁信息系统

通信信息：

联通详单移动详单电信详单

全国或省级数据库：

全国人口查询系统驾驶人信息资源库全国人口基本信息资源库各大快递系统（越权多得是）中国联通cbbs系统

金盾工程八大信息库：

全国人口基本信息资源库

全国出入境人员资源库

全国机动车/驾驶人信息资源库

全国警员信息资源库全国在逃人员信息资源库

全国违法犯罪人员信息资源库

全国被盗抢汽车信息资源库

2.社工信息库的技术解析

（谈清洗数据）

数据的准备工作——数据清洗

2）减少人力成本

3）提高数据应用效率

数据清洗要用在哪些方面？

字典制作（目录爆破、社工库、撞库攻击）、风控规则

（如何进行数据清洗）

1）导入：将起始数据转换为txt文本，采用统一分隔符，相同字段数

2）第一次过滤：过滤缺失数据（这里可以单独建立一份，由被排出的缺失数据组成的新文本）

3）第二次过滤：MD5加密数据，排序去重

4）核验：综合过滤后的结果，可能需要删除、增加字段

5）输出：输出到logitech配置文件的目录

（搭建一个社工库的技术实现）

1）ETL工具——Kettle Spoon

2）索引——Elasticsearch

3）入库——Logitech

3.跨越网络：微表情学

（跨越网络：微表情学）

1.情绪为何产生？

2.情绪分类。

3.情绪是否会因个人控制而变化？

4.微表情识别基本情绪？

情绪为何会产生？

悲伤，痛苦；愤怒；惊讶，恐惧；厌恶，蔑视；愉悦。

所有情绪产生都需要原因，就像发动一辆普通的汽车需要汽油，引爆炸药包需要导火索。

引发情绪产生的原因叫做：诱因。

小的时候，每年过节的压岁钱我妈都给我说她帮我保存起来，等我开学给我交学费，我发现，学费的支出要远远小于我的压岁钱。于是，我生气了；转年，我妈又是这样说，我学聪明了，把钱做了记号，后来，我发现她拿这些钱用来打麻将。

上述故事中，两次事件表明，一种情绪，针对于同一个人，或者同一件事，在第一次和第二次前后会有不同的情绪递进。（情绪由小到大的一个问题）

日常生活中的沟通，7%通过语言完成，93%是通过肢体，表情完成的。

识别出情绪以后可以更好的识别表情产生的谎言，更好的运用于销售交流，

商务沟通等。表情是跨越文化和语言的。

情绪的分类：

悲伤，痛苦；愤怒；惊讶，恐惧；厌恶，蔑视；愉悦。

情绪的不反映期：

在不反映期之内，对于其他情绪性的疏导，建议。会远离，不接受。（也就是常说的不冷静，冲动）

每个人在产生情绪的时候都会有不反映期，思想，言语，行动上会有偏离轨道的行为。不同的是通过控制或者后天训练可以缩短不反应期。

在不反应期的时间内越长，受情绪支配所受的影响越大。

1.眉毛上扬呈八字

2.上眼睑下垂

3.嘴部动作

（按照关键性动作呈现顺序排列）

在了解愤怒之前需要说明：

愤怒和恐惧是对同一种威胁的反应，通常会同时出现。

愤怒在有些时候会有助于减少恐惧

（这个在面对对手异常愤怒的时候通常会有恐惧伴随）。

有一部分人也会享受愤怒的感觉。

1.眉毛下沉并聚拢。上眼睑紧张，下眼睑紧绷。

2.双唇紧闭，保持紧张状态。直观的感觉嘴唇变薄

（愤怒是否存在控制的一个比较关键的点）。

3.睁大双眼。

谎言识别基础：

1.安抚动作。（揉搓，双手，双脚）

2.眼神交流。（在经验尚浅的阶段，会刻意屏蔽掉眼神的交流。

经验老成的说谎者会持续性眼神交流让目标相信他所说的话）

3.声音上扬，词语重复。

4.倒叙。

注意：识别谎言的前提是不能孤立动作和表情。一旦孤立掉单一的动作和表情，

没有结合当下的语言和环境情景，动作和表情的单一解答是很容易造成“奥赛罗错误”的。

如何从微表情识别谎言：

所谓“言行一致”。表情也是一样，当一件真实存在的悲伤的事情发生之后，每当回想起来都会有悲伤的迹象在面部显露出来。但如果没有，基本可以断定就是说谎的迹象。

最后我推荐各位看一部影片《我是谁：没有绝对安全的系统》，想必也有不少师傅听过他的大名，这是一部黑客题材的影片，主角将社会工程学表现的淋漓尽致，看完之后你一定会对社会工程学有更深的认识

Thanks！

——嗷嗷

---

|社会工程学、我们是专业的

我们是专业的 社会工程学