社会工程师生涯五年：我的经验与技术洞察

那是一个平淡无奇的办公室下午，我正为酒店最近举办的会议整理一长串数字，制作易于阅读的发票。作为酒店客户经理，我的工作感觉重复而麻木。当我像僵尸一样输入数字时，突然想起可以收听新的SE（Social-Engineer, LLC）播客。听到关于入侵和社会工程心理层面的故事时，我不禁停下来思考"这工作太棒了"。没想到短短几个月后，我就开始了作为社会工程师的职业生涯。

思维重构

作为初级社会工程师，我大部分工作都涉及伪装电话（vishing）。在这些电话中，我必须进入我的假身份角色，并使用权威、紧迫感和同情心等影响技巧来传递真实的借口。

有时目标非常友好，会分享他们生活的个人细节，比如刚休完产假想念宝宝，或因失去家人而不得不请丧假。我会真诚地为与我交谈的人感到高兴或难过；有时我感到很糟糕，因为他们不仅给了我所需的信息，还与我分享了生活的私密细节。这种经历常常让我觉得自己在背叛他们的信任。为了管理这些内疚感，我必须找到应对方法。

与一位同事的对话帮助我理解了两件事：1）我们是演员而不是骗子；2）我们正在帮助他们在工作和个人生活中更加安全；3）在SECOM，我们与那些不希望测试失败带来惩罚性结果的公司合作。通过重构或调整我对我们执行的伪装电话练习的思考方式，帮助我对自己的工作感到满意，知道最终我是在帮助人们，而不是伤害他们。

同理心

有些人可能会想"你如何能在拥有同理心的同时为客户执行真实的模拟？“作为道德社会工程师，我们研究恶意攻击者的方法和行为，并使用相同的策略来影响人们。然而，有些东西使我们与众不同，那就是同理心。同理心使我们能够测试人们的脆弱性，同时在互动后让他们感觉更好。这体现在我们的借口中；我们从不使用恐惧、威胁、内疚、羞耻或调情，并且我们始终确保目标有"退出"的选择来阻止我们。

尽管能够影响和/或操纵他人可能令人兴奋，但我们的目标是培训和教育客户，使他们在工作场所和个人生活中更加安全。我学到的一个宝贵教训是，道德社会工程师永远不会以牺牲他人尊严为代价来炫耀自己的技能。同理心使我们能够像坏人一样行事，但永远不会成为他们。

拥抱不适

作为道德社会工程师，我经常步入不熟悉或情感上具有挑战性的情境，如面对或利用偏见、质疑规范，或为培训目的模拟欺骗。我学会了拥抱不适，而不是回避这些时刻。有时，将不适或紧张的感觉融入借口可以使其更加有效。

例如，在为新客户启动新的伪装电话活动时，总会有一些犹豫，我会加上类似"抱歉，我是新来的，不太清楚事情如何运作"的话。这样做让我能够接受并感受和展示紧张感，为借口增加了可信度。

同样，在职业生涯中承担新角色，如担任讲师或公开演讲，可能看起来非常令人生畏；然而，我正在学习拥抱不适是职业和个人成长的催化剂。突破我们的极限为学习和转型创造了新的机会。（剧透警告：我将于2025年9月27日在BSides Orlando发表我的首次信息安全演讲）。

重点不在我们

重点不在我们，而在他们。不可否认，这类工作令人兴奋，但这不在于我们作为社会工程师的工作能力或技能有多好。重点是人。重点是通过提供真实的学习体验，同时保持道德和尊重他人尊严，来帮助人们和公司更加安全。

有人说恶意攻击者是不道德的，因此为了保持真实，我们应该采用他们使用的极端恐惧策略。虽然我们使用许多与恶意行为者相同的影​​响技巧，但我们不是他们；因此，我们避免使用极端恐惧或可能贬低他人的借口。有效的消防演习不需要烧毁大楼。

永不止步的学习

很难相信我作为社会工程师的职业生涯已经五年了。当你享受乐趣时，时间真的飞逝！我学到的最重要的事情之一（也是我热爱这份工作的原因）是我永远不会停止学习。我每天都在继续向同事学习。我喜欢看到我们如何都能采用相同的借口，并以五种不同的方式传递。在这个行业中，我还有很多东西要学习……无论是新的OSINT技术、身体语言、心理层面，甚至是开锁技巧。我迫不及待地想看看，在我继续学习并在此过程中帮助他人的同时，会有哪些新机会出现在我面前。

作者
Rosa Rowles
人类风险分析师，Social-Engineer, LLC