引言

这世上没有公平竞争这一回事。要利用一切弱点。

——凯利·卡弗里（Cary Caffrey）

社会工程已经成为大部分IT部门关注的重点，尤其是近两年，大部分美国公司也开始关注社会工程。据统计，超过60%的网络攻击的关键因素或主要因素是“人的因素”。对过去12个月里几乎所有的大型攻击事件的分析结果表明，绝大多数攻击都与社会工程有关，涉及网络钓鱼邮件（phishing e-mail）、鱼叉式网络钓鱼（spear phish）或恶意来电（malicious phone call, vishing）。

我已经写过两本书来剖析骗子和社会工程人员的心理、生理和历史沿革。而在写这两本书的同时，我发现了一个最近很火的主题，那就是电子邮件。自从人类发明电子邮件以来，它就被骗子和社会工程人员用来进行信用卡、金钱和信息等方面的欺诈。

在最近的一份报告中，Radicati集团评估的结果显示，2014年平均每天有1914亿封电子邮件被发送出去，这意味着全年有69.8万亿多封电子邮件被发送出去。你能想象这个数字吗？69861000000000，让人大吃一惊，对吧？但可能更让你吃惊的是，Social-Engineer Infographic的信息显示，超过90%的电子邮件都是垃圾邮件。

电子邮件早已成为生活的一部分。我们会在电脑、平板电脑和手机上使用电子邮件。在曾经和我共事过的一些人里，有半数以上告诉我他们每天收到100封、150封甚至200封邮件。

2014年，Radicati集团宣称全世界有41亿个电子邮件地址。根据这一数据我进行了计算，发现平均下来每个人每天都会收到50封左右的电子邮件。因为我们知道并不是每个人每天都会收到那么多邮件，所以有人每天会收到100封、150封甚至250封邮件也就不足为奇了。

随着人们的生活压力和工作负担加重，以及科技产品的日益普及，骗子和社会工程人员知道电子邮件是渗透进我们的工作和生活的利器。再想想伪造电子邮件账户或合法账户以及愚弄人们让他们做一些不符合他们利益的事是多么容易，就会明白为什么电子邮件很快就成为了恶意攻击的头号媒介。

当我们不在大型会议（比如DEF CON）上举办社会工程学竞赛，米歇尔也没在和学生斗智斗勇（这是真的，我发誓）的时候，我们会在全世界范围内与一些顶尖的公司一起做安全项目。即使很多公司都知道钓鱼攻击的存在并且有强大的安全措施来防范钓鱼攻击，也还是有人不可避免地成为钓鱼攻击的牺牲品。

写这本书时，我们的脑海中一直在回想着那些经历。我们自问：“我们该如何利用这些年和大公司一起工作的经验，帮助每个公司立即行动起来，并做好防范钓鱼攻击的教育培训呢？”

我是一名建筑师了吗

我和米歇尔曾经在一些地方开展过一个项目，这个项目很简单但很强大。它利用那些攻击我们的工具反过来增强我们自己。我们知道这个想法不是我们发明的，毕竟现在有不少公司都在兜售“网络钓鱼”服务给合法组织。这些产品的很多使用者——大公司，过来找我们说：“我们已经使用这个工具一年了，但是员工钓鱼攻击的中招率还是很高，我们该怎么办？”

在回答这个问题之前，让我先讲一个故事。我记得我买第一套房子快收房的时候，我和妻子都非常激动，（我们要拥有自己的房子了！）于是我做了所有拥有自己的房子的男人都会做的一件事：买一些工具。我去家得宝（Home Depot）买了一套精致的工具，包括一把拉锯、一把电钻、一把竖锯，还有其他一些五花八门的工具。

把这些工具买回家的第一天，我在地下室的架子上找了一个绝佳的摆放位置，然后就让它们在那儿闲置了一年。然后有一天我突然要锯点东西，我非常激动，因为总算有机会使用这些新工具了！我拿出工具箱，取出圆锯。我把所有的说明书都读了一遍，包括：“确定你根据所锯的材料选择了合适的锯齿。”

我看了看锯齿，心想：“看起来挺锋利的。”然后我就开始锯板子。起初一切顺利，我的手脚还在，板子也锯开了，圆锯也没毁坏。可是好景不长，几小时后圆锯突然卡住不动了。于是我给圆锯充电，但是没有什么作用。我还拿手摸了一下锯齿，锯齿依旧很锋利。于是我断定是圆锯出了毛病：“这锯子肯定有问题。”

然后我请了一个朋友过来帮我解决这个问题，他拿起圆锯看了一下说：“你为什么用这种细密的锯齿来锯2×4的板子？”

我回答道：“你说的是什么锯齿？”

我的朋友摇了摇头，然后就锯齿的问题给我上了一课。

为什么我要讲这个丢脸的、缺乏男子气概的故事，而不是直接指出我自己缺乏男子气概？这是为了论证一个观点：拥有工具并不会使你成为一名建筑师！

同样，钓鱼工具和建筑工具没什么区别。仅仅购买工具并不能保证你的安全，也不会让你有能力教导其他人防范钓鱼攻击。

教导人们钓鱼攻击

好了，让我们回到我和米歇尔开展的那个项目上来：我们分析了钓鱼攻击和安全防范意识培训，发现正如很多安全专家所说的那样，这些项目大多都没有用。

当然，这里并不是说安全防范意识毫无作用，我也不会很傻很天真地说我们不需要安全防范意识。但是现有的安全防范意识训练采用的方法和方式的确不奏效。有人曾经在安全防范意识训练中专注地看了30分钟或者60分钟的DVD演示吗？有的话，请举起你的右手。好了，后排坐着的那位朋友，你可以把你的手放下来了。正如我所猜想的，基本上没有人举手。

如果训练中没有互动或者训练时间过长，那么人们就会在训练时开小差。商人显然深谙这一点，他们告诉我们要把网站做得有趣一点、互动性强一点、直奔主题一点，这样人们才会喜欢。教育的过程难道不也该如此吗？

于是我们提出了一个计划，把客户的安全防范意识培训中钓鱼攻击的部分做得更有趣一些、互动性更强一些。当然，最重要的是不要太冗长。这也是有必要写这本书的原因，我们想要在其中回答如下一些问题。

❑ 钓鱼攻击有多严重？

❑ 心理学原则在钓鱼攻击中起到了怎样的作用？

❑ 钓鱼攻击真的可以在安全防范意识训练中成为一个成功的部分吗？

❑ 如果说可以，那么公司应该如何开展这一训练呢？

❑ 任何规模的公司都能进行钓鱼攻击的培训吗？

我们列了一下关于钓鱼攻击的书的提纲，对我们的项目进行了定义，并对我们的流程进行了规范。我们考虑了很久是否要把这本书向公众发行。毕竟，研究这些方法花费了很多年。在看到这一项目对客户的巨大帮助之后，我们决定写这本书。乍一看，这似乎是一本大多数人都没什么兴趣的书，至少在2014年不断出事以前是这样的。2014年，钓鱼攻击在真实的黑客攻击中一次又一次地占据了头条，每天的攻击中都使用了钓鱼攻击，钓鱼攻击服务的提供者每个月都层出不穷，全世界的公司都开始跻身于轰轰烈烈的反钓鱼培训之中。

本书主要内容

我和米歇尔希望本书可以帮助你进行自我保护，以及帮助公司防御恶意钓鱼攻击者。本书会带你踏上我们准备写这本书时所走过的路。

第1章介绍基础知识。这一章解释了钓鱼攻击是什么，以及为什么要使用钓鱼攻击。我们列举了很多最近发生的有效的钓鱼攻击的例子。

第2章探究了钓鱼攻击的原理。为什么钓鱼攻击有效？它们背后蕴含了怎样的心理学原则？

第3章只关注一个方面——影响，解释了影响原则是如何被恶意钓鱼攻击者利用的。

第4章讨论保护。前三章已经涵盖了钓鱼攻击的基础知识，所以是时候讨论该如何自保了。我们分别对普通人和专业人士提出了建议，同时也分析了我们所听说过的最糟糕的建议。

第5章介绍了公司如何开展钓鱼攻击项目以帮助员工提高安全意识。

但是你如何把这些内容融入到公司政策里？我懂，我懂，政策这个词在这些书里看上去似乎没有探讨的必要。但是我们不得不讨论它，简短而重要的第6章就是讨论这一主题的。

如果不介绍市面上一些重要的钓鱼攻击软件的话，那么这本书就是不完整的。第7章会介绍这些工具，同时告诉你如何运用它们来进行钓鱼攻击。

第8章对本书中所有的原则和讨论进行了总结，并对钓鱼攻击训练的一些原则进行了讨论。

本书排版约定

为了帮助你理解书中内容，本书采用了一些排版约定。

❑ 专业术语和重要的词汇用楷体表示。

总结

本书的主旨是剖析钓鱼攻击是什么、为什么它会起作用，以及它背后的原理是什么。我们想要把钓鱼攻击所有的漏洞都揭示出来，这样你就能了解如何抵御钓鱼攻击。

在我的上一本书《社会工程 卷2：解读肢体语言》中，我讲了一个剑术大师朋友的故事。他通过学习关于剑术的一切知识——如何用剑以及剑术的原理——来掌握剑术，然后找来了最好的陪练来帮他学习如何运用剑术。这个故事在这里也同样适用。当你学会辨认钓鱼攻击，熟悉钓鱼攻击工具，知道如何选择好搭档以后，也可以通过创建钓鱼攻击项目来提高你的技术水平，同时帮助你的同事、家人和朋友抵御钓鱼攻击。

在深入学习之前，我们需要了解一些基本问题，例如“什么是钓鱼攻击”以及“钓鱼攻击有哪些例子”。

一起来寻找这些问题的答案吧。