序

无论你是否对那些针对主要商业公司、政府部门、电网或者私有银行发起的黑客攻击感到担忧，你都能从更多的信息和个人训练中受益，并以此来保护自己、保护公司、保护你所爱的和所关心的人，避免经济损失、遭遇尴尬或者更糟糕的情况。几乎每一起成功的网络攻击的核心都是人的因素。人的因素使得坏人能找出攻击系统的途径。由于人是每一起成功的安全攻击的核心要素，克里斯托弗（简称克里斯）决心通过教育培训，结合他作为专业社会工程人员（白帽子）和渗透测试者的经验，帮助大型公司以及他遇到的每一个人抵御这些攻击。

当克里斯和他出色的合著者兼训练伙伴米歇尔·芬奇一起，问我是否愿意为他们最近的一本书作序时，我感到既吃惊又荣幸。我多年前遇见克里斯时，他刚创办自己的公司Social-Engineer。克里斯曾（并且仍在）主持一系列很棒的播客访谈节目，采访来自人际交互不同领域的专家。在那些日子里，克里斯迅速意识到人是最容易受到攻击的部分，并且技术和它的使用者和维护者一样脆弱。

我很清楚地记得我和克里斯多年前的第一次谈话。我当时就对他在行为学方面渊博的学识和充沛的热情印象深刻。更让我印象深刻的是，他的工作结合了自己在人际关系方面的学识、在安全领域多年的工作经验，以及在大型机构协调和组织培训项目的才能。最后，他的诚意和想要帮助他人的渴望，让我相信他是这个领域了不起的人物。

无需多言，我和克里斯很快就成了朋友。基于帮助他人的共同热情，我们创造了一种克里斯和他的合作伙伴如今成功开展并正在拓展的训练，他的合作伙伴就是空军学校毕业生、行为专家和合著者米歇尔。克里斯开阔了我的眼界，让我了解到我曾经使用多年的、用以获取他人信任的、让我成为海军陆战队军官的技术，以及作为FBI探员用来挫败敌人的本领，实际上和恶意攻击者所使用的技术是一样的。通过利用一些建立信任的技术，黑客使得收到恶意邮件的人以为点击恶意链接或者采取某种类似的行动才是最符合他们的利益的。而克里斯正是致力于通过训练来阻止人们采取这种危险行动。

当我帮助别人时，我在生活中的方方面面都会用到从克里斯那里学来的知识。我也会教授政府和私有企业这些容易由于人的因素而受到攻击的机构一些社会工程学意识。实际上，我常常会把我和克里斯多年前在华盛顿州西雅图市开设第一节社会工程学认证课程时使用的钓鱼邮件拿出来。一周的训练里包含了大量的实践练习，参与者会试着与他们遇到的普通人建立信任并施加影响。克里斯用写字板创建了一封典型的钓鱼邮件，这封邮件他总是在渗透测试中使用，并取得了很大的成功。克里斯解释了他是如何利用这封邮件得到75%的点击率的。那75%的人点击了这封邮件里的链接后，会立刻跳转到一个训练网站，里面展示了一些材料，帮助这些人了解以后应该注意哪些方面。换句话说，学习和教育变成了一种非常积极而非消极的事情。在刚才提到的那封邮件的基础上，我们利用人际关系和信任建立方面的一些技巧对其稍微进行了调整，在不增加邮件长度的前提下增加了3种新的技术。接下来的一周，克里斯告诉我他用那封修改后的邮件取得了100%的点击率。由于训练有素，比起参加克里斯加强型反钓鱼攻击训练前，那家公司已经取得了明显的进步。

我所学到的知识和我的个人经验告诉我：克里斯是这方面的杰出专家。我——和这个世界——都受益于他的热情、知识以及教授别人知识的能力，这样我们就可以生活在一个更安全的世界里。

本书的内容适合所有人阅读，可以用于职业生涯和个人生活的方方面面。克里斯和米歇尔用他们作为专业社会工程人员和渗透测试者的实际经验，阐释了人类点击不该点击的东西这一行为背后的心理学。结合克里斯自嘲式的幽默和米歇尔风趣的点评，本书可以在保护你和你的公司的同时，为你的阅读增添一些乐趣。最后，本书是一本实用手册，告诉你如何经营更安全、红火的企业，同时让个人生活免受恶意攻击者干扰。

通过阅读、记忆和实践本书中的内容，你能够重新审视自我、你的公司以及那些你关心的人。如果我们能够处理好恶意攻击中的首要因素——人的因素，那么这个世界就不会遭受影响数百万人的大范围攻击了。

——罗宾·德瑞克（Robin Dreeke），美国海军陆战队军官，FBI探员/行为学家，People Formula（www.peopleformula.com）创始人，畅销书It's Not All About “Me”独立作者

以上观点和想法仅代表笔者个人，不代表FBI。