图灵社区的电子书没有采用专有客 户端，您可以在任意设备上，用自 己喜欢的浏览器和PDF阅读器进行 阅读。 但您购买的电子书仅供您个人使用， 未经授权，不得进行传播。 我们愿意相信读者具有这样的良知 和觉悟，与我们共同保护知识产权。 如果购买者有侵权行为，我们可能 对该用户实施包括但不限于关闭该 帐号等维权措施，并可能追究法律 责任。 内 容 提 要 本书从专业社会工程人员的视角，详细介绍了钓鱼欺诈中所使用的心理学原则和技术工 具，帮助读者辨识和防范各种类型和难度级别的钓鱼欺诈。本书包含大量真实案例，全面展 示了恶意钓鱼攻击者的各种手段。本书还针对企业如何防范钓鱼攻击并组织开展相关培训提 供了切实可行的意见。本书提供了企业和个人面对现实中的社会工程问题和风险的无可替代 的解决方案。 本书适合社会工程人员、企业管理人员、IT 部门人员以及任何对信息安全感兴趣的人阅读。 ◆ 著　　　　[美] Christopher Hadnagy Michele Fincher 译　　　　肖诗尧 责任编辑　朱　巍 执行编辑　温　雪 责任印制　彭志环 ◆ 人民邮电出版社出版发行　　北京市丰台区成寿寺路11号 邮编　100164　　电子邮件　315@ptpress.com.cn 网址　http://www.ptpress.com.cn 北京　　　　　　印刷 ◆ 开本：720×960　1/16 印张：12 字数：199千字 印数：1— 4 000册 著作权合同登记号 2016年 10 月第 1 版 2016年 10 月北京第 1 次印刷 图字：01-2015-4674 号 定价：49.00元 读者服务热线：(010)51095186转600　印装质量热线：(010)81055316 反盗版热线：(010)81055315 广告经营许可证：京东工商广字第 8052 号 序| 1 版权声明 All Rights Reserved. This translation published under license. Authorized translation from the English language edition, entitled Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails, ISBN 9781118958476, by Christopher Hadnagy and Michele Fincher, Published by John Wiley & Sons. No part of this book may be reproduced in any form without the written permission of the original copyrights holder. Simplified Chinese translation edition published by POSTS & TELECOM PRESS Copyright © 2016． 本书简体中文版由 John Wiley & Sons, Inc.授权人民邮电出版社独家出版。 本书封底贴有 John Wiley & Sons, Inc.激光防伪标签，无标签者不得销售。 版权所有，侵权必究。 2| 致 谢 献词 谨以此书献给那些使得它顺利出版的人。我的妻子阿丽莎，你是我遇见过的 最耐心、善良和有智慧的人。我会永远坚持自己的梦想。 米歇尔，多亏平多年前推荐了你。没有你，这一切都不可能实现。 大卫，当我写下这些话时，我都无法相信我们已经走了这么远。谢谢你的 支持。 ——克里斯托弗·海德纳吉 献给我的丈夫，你是宇宙中最美丽的灵魂，是我整个人生的主宰。 也献给克里斯托弗，谢谢你给我这份工作并且信任我。 ——米歇尔·芬奇 图灵社区会员 ChenyangGao(2339083510@qq.com) 专享 尊重版权 序| 1 序 无论你是否对那些针对主要商业公司、政府部门、电网或者私有银行发起的黑客攻击 感到担忧，你都能从更多的信息和个人训练中受益，并以此来保护自己、保护公司、 保护你所爱的和所关心的人，避免经济损失、遭遇尴尬或者更糟糕的情况。几乎每一 起成功的网络攻击的核心都是人的因素。人的因素使得坏人能找出攻击系统的途径。 由于人是每一起成功的安全攻击的核心要素，克里斯托弗（简称克里斯）决心通过教 育培训，结合他作为专业社会工程人员（白帽子）和渗透测试者的经验，帮助大型公 司以及他遇到的每一个人抵御这些攻击。 当克里斯和他出色的合著者兼训练伙伴米歇尔·芬奇一起，问我是否愿意为他们最近 的一本书作序时，我感到既吃惊又荣幸。我多年前遇见克里斯时，他刚创办自己的公 司 Social-Engineer。克里斯曾（并且仍在）主持一系列很棒的播客访谈节目，采访来 自人际交互不同领域的专家。在那些日子里，克里斯迅速意识到人是最容易受到攻击 的部分，并且技术和它的使用者和维护者一样脆弱。 我很清楚地记得我和克里斯多年前的第一次谈话。我当时就对他在行为学方面渊博的 学识和充沛的热情印象深刻。更让我印象深刻的是，他的工作结合了自己在人际关系 方面的学识、在安全领域多年的工作经验，以及在大型机构协调和组织培训项目的才 能。最后，他的诚意和想要帮助他人的渴望，让我相信他是这个领域了不起的人物。 无需多言，我和克里斯很快就成了朋友。基于帮助他人的共同热情，我们创造了一种 克里斯和他的合作伙伴如今成功开展并正在拓展的训练，他的合作伙伴就是空军学校 毕业生、行为专家和合著者米歇尔。克里斯开阔了我的眼界，让我了解到我曾经使用 多年的、用以获取他人信任的、让我成为海军陆战队军官的技术，以及作为 FBI 探员 用来挫败敌人的本领，实际上和恶意攻击者所使用的技术是一样的。通过利用一些建 立信任的技术，黑客使得收到恶意邮件的人以为点击恶意链接或者采取某种类似的行 动才是最符合他们的利益的。而克里斯正是致力于通过训练来阻止人们采取这种危险 行动。 当我帮助别人时，我在生活中的方方面面都会用到从克里斯那里学来的知识。我也会 2| 序 教授政府和私有企业这些容易由于人的因素而受到攻击的机构一些社会工程学意识。 实际上，我常常会把我和克里斯多年前在华盛顿州西雅图市开设第一节社会工程学认 证课程时使用的钓鱼邮件拿出来。一周的训练里包含了大量的实践练习，参与者会试 着与他们遇到的普通人建立信任并施加影响。克里斯用写字板创建了一封典型的钓鱼 邮件，这封邮件他总是在渗透测试中使用，并取得了很大的成功。克里斯解释了他是 如何利用这封邮件得到 75%的点击率的。那 75%的人点击了这封邮件里的链接后，会 立刻跳转到一个训练网站，里面展示了一些材料，帮助这些人了解以后应该注意哪些 方面。换句话说，学习和教育变成了一种非常积极而非消极的事情。在刚才提到的那 封邮件的基础上，我们利用人际关系和信任建立方面的一些技巧对其稍微进行了调 整，在不增加邮件长度的前提下增加了 3 种新的技术。接下来的一周，克里斯告诉我 他用那封修改后的邮件取得了 100%的点击率。由于训练有素，比起参加克里斯加强型 反钓鱼攻击训练前，那家公司已经取得了明显的进步。 我所学到的知识和我的个人经验告诉我：克里斯是这方面的杰出专家。我——和这个 世界——都受益于他的热情、知识以及教授别人知识的能力，这样我们就可以生活在 一个更安全的世界里。 本书的内容适合所有人阅读，可以用于职业生涯和个人生活的方方面面。克里斯和米 歇尔用他们作为专业社会工程人员和渗透测试者的实际经验，阐释了人类点击不该点 击的东西这一行为背后的心理学。结合克里斯自嘲式的幽默和米歇尔风趣的点评，本 书可以在保护你和你的公司的同时，为你的阅读增添一些乐趣。最后，本书是一本实 用手册，告诉你如何经营更安全、红火的企业，同时让个人生活免受恶意攻击者干扰。 通过阅读、记忆和实践本书中的内容，你能够重新审视自我、你的公司以及那些你关 心的人。如果我们能够处理好恶意攻击中的首要因素——人的因素，那么这个世界就 不会遭受影响数百万人的大范围攻击了。 ——罗宾·德瑞克（Robin Dreeke）， 美国海军陆战队军官，FBI 探员/行为学家， People Formula（www.peopleformula.com）创始人， 畅销书 It’s Not All About “Me”独立作者 以上观点和想法仅代表笔者个人，不代表 FBI。 致 谢| 1 致谢 2014 年，我的生活发生了一些改变，其中一个较好的变化是我的团队在成长。我和米 歇尔开始教授新成员一些钓鱼攻击意识方法论，这也让我意识到该再写一本书了。 我们在新闻中看到的网络攻击中大部分都利用了钓鱼攻击，但是人们仍然没有意识到 钓鱼攻击是什么，以及应该如何抵御钓鱼攻击。 然而，我的客户见证了员工在面对网络钓鱼邮件时的惊人变化——从 80%以上的点击 率和少得可怜的汇报率到低于 10%的点击率和超过 60%的汇报率。随着时间的推移， 这些数据仍在朝着好的方向发展。 我最近完成了《社会工程 卷 2：解读肢体语言》①，并告诉妻子我会暂时停笔休息一 段时间。而当我又开始写作时，我变成了个隐士。妻子说我“难对付”。我仍然记得 那个场景——我们在公路上开车，我想着可以通过谈论一些近期的安全新闻来激起我 写本新书的欲望。于是我开始谈论钓鱼攻击为什么是个大问题，并说我希望能有一本 书可以帮助人们解决问题。 在我说完后，我那既聪慧又有惊人洞察力的妻子说：“不，不要现在就开始写另一本 书。 ”我做了每个好男人在这种情况下都会做的事，把责任归咎于我的得力助手米歇尔。 “我和米歇尔认为这是个好主意，另外她会负责主要的写作工作。” 如今摆在这里的就是我们的最终成果——一本细致的关于如何增强企业钓鱼防范意 识的书。渗透测试中的审计者常常利用钓鱼攻击来获取远程访问权限，但本书不会谈 到渗透测试中使用的钓鱼攻击。本书主要是为了让人们了解他们所在的组织机构会遇 到的钓鱼攻击并为此做好准备。 我想感谢很多人，没有他们的话，这本书不可能成功出版。 再一次，感激我的妻子阿丽莎。感谢你的耐心和支持，你总是让我畅所欲言，即使你 并不想谈论这个话题。我爱你。 —————————— ① 该书已经由人民邮电出版社出版，书号 9787115382467。——编者注 2| 致 谢 米歇尔，尽管最后我没有让你负责大部分的写作任务，但是如果没有你的支持，这本 书也许就不会完成。谢谢你。 卡罗尔，你为这本书付出了很多。我想让你知道你的努力没有被忽视。感谢你的支持。 夏洛特，和你一起工作很开心，很顺利，也很有收获。谢谢你。 大卫，你