本书作者

Kevin D.Mitnick（凯文.米特尼克）曾是“黑客”的代名词，他开创了“社会工程学”，是历史上最令FBI头痛的计算机顽徒之一，商业和政府机构都惧他三分；米特尼克的黑客生涯充满传奇，15岁就成功侵入北美空中防务指挥系统，翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。之后，防守最严密的美国网络系统（美国国防部、五角大楼、中央情报局、美国国家税务局、纽约花旗银行）都成了他闲庭信步之处。米特尼克也是全球首个遭到通缉和逮捕的黑客，出狱后曾一度被禁用计算机和互联网，甚至包括手机和调制解调器。
后来，米特尼克金盆洗手，洗心革面，成了全球最受欢迎的计算机安全专家之一，担任多家企业的安全顾问，并与他人合作成立了洛杉矶咨询公司Defensive Thinking。米特尼克曾登上CourtTV、“早安，美国”、“60分钟”、CNN的“头条新闻”等电视节目，也曾在洛杉矶的KFI AM 640主持每周一次的访谈节目。米特尼克的文章散见于各大新闻杂志和行业杂志，他已多次在重要活动上发表主题演讲。

社交工程

社交工程（Social Engineering）利用影响力和说服力来欺骗人们，使他们相信社交工程师所假冒的身份，或者被社交工程师所操纵。因此，社交工程师能够利用这些人来得到想要的信息，此过程中可能用到技术手段，也可能根本不用技术手段。

摘记

攻击者的艺术

1、看似无害的信息带来的损害

社交领域的基本策略：获取那些在尚未造成危害时公司职员认为无害的信息。“把关键的问题隐藏在无关紧要的问题当中”。
- 我们应该对重要的信息有敏感性，提起足够的重视。
就像在拼图游戏中一样，每条信息本身可能并不相干。但是很多信息组合到一起时，一个清晰地画面就浮现在眼前了。
- 不要向任何人透露任何关于个人或公司内部的信息或身份标识，除非你能听出他（她）的声音，而且他（她）确实需要知道这些信息。
正如一句古老的谚语所言，真正的多疑者，可能确有其敌人。我们要假定每个商业机构都有自己的敌人——那些试图通过攻击网络基础设施来窃取商业机密的攻击者。不要使自己成为计算机的牺牲品——现在是该采取必要的防范的措施，通过深思熟虑的安全政策和规程来实施适当的控制的时候了。

预防

公司有责任让职员知道，对非公共信息的不当处理可能导致非常严重的后果
一个考虑周全的信息安全政策，加上适当的教育和培训，可以极大地增加职员们正确处理公司商业信息的意识。
信息分类政策能够帮助你从信息泄露的角度来实现正确的控制。若没有信息分类政策，则所有的内部信息，除非有特殊说明，否则都应视为机密。

2、直接攻击：开门见山地索取

信任同伴是人类的天性，尤其当对方的请求通过了合理性测试的时候。社交工程师利用这个常识来对付他们的目标对象，从而达到自己的目的。
公司为保护信息资产制定政策后，所做的安全培训必须针对公司的每个员工，而不是仅仅针对那些有权通过电子或物理方式访问到公司IT资产的人。
不要总认为所有的社交工程攻击都需要经过精心的策划，都非常复杂以至于在尚未完成之前可能就被发觉到了。有些攻击非常简单，只需直进直出，打完就走，甚至仅仅是——开门见山的索取。