全球化和互联网（特别是移动互联网），为经济增长持续注入动力，创造了诸多便利，也使得本就成为风险社会的当代社会，变得更为脆弱。人们不得不为此学习应对各类变得更频繁、更难捕捉规律的风险。

    人在自然和社会生态面前，本质上是无知的。但人们总是下意识地夸大有限的已知，或者信赖自身直觉、能力，或者迷信可以预判和计算的概率（风险模型），或者轻信技术防护。从资源和环境问题上的竭泽而渔，到金融投资领域中的狂妄，再到各类机构和个人的安全防护，人们不断为自己意识不到及不愿承认的无知付出代价。

    《社会工程：安全体系中的人性漏洞》就是一本揭示人性漏洞，放大社会风险，会让此前没有具体接触和了解过社会工程的读者看得心惊肉跳的作品。与管理学、传播学等学科（项目）相似，“社会工程”是中性的，可以理解为一门科学，同时也是一门艺术。具体来说，社会工程就是“借助操纵他人采取特定行动，该行动不一定符合‘目标人’的最佳利益，其结果包括获取信息、取得访问权限或让目标采取特定的行动”的活动。医生、心理学家、警察、教师经常使用社会工程中的一些要素，以获得诊疗、讯问、教学等活动的有效成果；同样，黑客、骗子常常也能无师自通掌握社会工程的某些要素。

    《社会工程：安全体系中的人性漏洞》这本书的作者克里斯·海德纳吉是世界上第一个社会工程框架的主要开发者，有着16年以上的安全和信息技术实践经验，也是主动式安全渗透测试小组的首席社会工程专家。克里斯·海德纳吉在书中描述了社会工程诸项要素，结合大量的正反案例清晰的指出，而今许多政府机关、企业、社会组织及个人都误以为只要引进或购买了专业的安全防护设备，开展了相关的操作培训，让防御流程变得严密有效，就能避免本单位或个人成为黑客入侵、骗子行骗以及相关欺诈交易等行为的受害者——这是因为，人们普遍缺乏安全防护意识，并且人性弱点往往会使得我们成为他人诱导、伪装、心理影响、人际操纵的对象。

    书中第二章“信息收集”，历数了社会工程中信息收集工具、信息源的广泛来源渠道、导引信息的交流模型，这些内容相信会让很多人深感意外。人们常常自认为低调，也很重视不对外泄露个人及组织信息，然而而今借助互联网和技术工具，黑客和骗子都非常容易引出许多非常有价值的信息。我们的信息事实上处于常态化的不设防状态。

    书中第三、四、五、六章分别介绍了社会工程诱导、伪装、心理战术、影响。诱导通过人际、电话、网络等沟通方式实现，一名成功的诱导者会通过表达共同兴趣、唤醒他人的自我、有意说错、主动提供信息、假装高深及因地制宜的不同问题类型，“套”出交流对象的话。社会工程中的伪装早已发展到可以媲美完全真实的水平，1978年，美国巨骗瑞夫金伪装成计算机工作人员，在美国一家银行的电汇室窃得密码；再通过电话伪装成该银行员工，以正确密码将1020万美元转出。这样一起不携带任何武器、不动一分钱、不劫持任何人质的抢劫案，反映出案犯的高明伪装术；与之形成鲜明对照的是，斥巨资建设了精密安防系统和完善业务流程体系的当事银行，在案犯骗举面前的茫然无知。心理战术则通过塑造表情、神经语言程序学、达成共识等原理来达成目的。影响指的是高超的说服术，具体又可分为回报、义务、稀缺、权威、承诺和一致性、框架等要素。

    克里斯·海德纳吉认为，人们天性中的盲目轻信、同情、怜悯以及帮助他人的欲望，使得社会工程的各项要素很容易找到切入点，这就为入侵、行骗等行为创造了可乘之机。因此，无论是个人还是组织，都需要正视社会工程攻击的广泛存在，以社会工程视角检视查找安全漏洞。“你越了解攻击的方式，就越容易‘随时’识破它们”。在此基础上，要充分意识到信息的价值，尽可能的堵塞信息安全漏洞，开展社会安全审计。