人的交流会传送两个层次的信息：语言和非语言，社工就是利用这些语言和非语言的潜在信息，改变目标的感知，从而得到想要的结果。交流的基本含义是发送一个信息包给既定的接受者（通俗解释：说话），信息中会包含多个信息源，用来描述这个“事件”即：通信过程，有名的通信模型是——“Shannon-weaver模型”鼻祖模型。模型包含“信息源、信息、发送器、信号、信道、噪声、接收器、信息目的地、误差概率、编码、解码、信息率、信息容量”，此模型也被称为传递模型。

网络钓鱼

网络钓鱼（Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。网络钓鱼是一种在线身份盗窃方式。

钓鱼阶段：信息收集-信息分析-钓鱼网络-下饵-上钩

钓鱼攻击：采用钓鱼的方式向某个特定的目标系统发起攻击，并最终成功获取到被攻击目标中的信息。

比如：Adobe reader的漏洞、Word的漏洞、flash漏洞、IE漏洞。

钓鱼可以借助邮件或者信息传播途径，将含有恶意程序的文档发送给目标服务器中，使之有意或无意的点击恶意程序从而控制目标主机。常见的钓鱼手段包括：鱼叉式网络钓鱼攻击、水坑式网络钓鱼攻击、钓鲸、APT等。

Maltego

Maltego作为一款成功的信息收集工具其功能强大，它不仅可以自动收集到所需信息，而且可以将收集的信息可视化，用一种图像化的方式将结果呈现给我们。

信息刺探

在入侵前，通常都会对目标进行一次较为全面的检测，所谓不打没有把握的仗，入侵前的信息刺探很重要，通过对目标主机的检测，我们可以知道对方主机操作系统类型，开放了哪些网络服务，是否存在漏洞等信息。将搜集到的信息整理起来将会对后面的入侵工作起到事半功倍的效果。同样，社工也需要在入侵前进行踩点。

通过QQ号获取信息，包括用户真实姓名、昵称。通过QQ空间获取照片、行为特征、好友。

通过社交网络微博、微信、知乎、贴吧、虎扑等获取用户相关信息。

通过手机号找出QQ号，腾讯QQ提供了匹配通讯录的功能，这一功能本意是想让你添加通讯录里的好友，但由于手机号匹配之后还是会显示你的部分信息，我们可以通过这部分信息来查找。

一般来说，越是设置得非主流的越容易查找，越是设置得大众的越难查，首先我们可以复制昵称，注意现在手机上的QQ是直接提供复制功能给用户的，如果查到的结果很多，我们可以限制搜索条件，比如年龄、性别等。

打完收功，为了大家都能看懂，赘述稍微繁琐了一点，不过绝对是满满的干货，当然，盾叔分享给大家，不只是希望大家有兴趣可以去学习这方面的内容，更重要的是知道如何更好地保护自己的个人信息，也不要点一些来历不明的网站和链接，避免给不法分子可乘之机。

而，想要更多了解网络安全和社会工程学的相关知识可以私戳盾叔，小姐姐在等你哦。

好，下课！

文章来源：《生物医学工程学杂志》 网址: http://www.swyxgcxzzzz.cn/zonghexinwen/2022/0301/725.html