天。
过程分析
每个人都曾是新员工。我们对上班第一天的事情记忆犹新，尤其是当我们没有经验，对
工作不熟练的时候。所以当一个新员工求助时，他可以盼望许多人——尤其是登记处的人—
—可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些，他知道
可以利用目标的同情心来办到。
93
我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划，即使在入口处有
守卫并对每一个非员工实行签名程序，任意变化一个在这个故事里使用的诡计，都能让一个
入侵者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢？这是个好
规定，但是它只在这种假设下才有效——你的员工们真正尽责的拦住任何有或没有访客认证
的人并询问他，然后如果对回答不满意你的员工们会联系安全部门。
攻击者谈论进入你的公司危及敏感信息的方法，这对他们来说很容易。当今世界，恐怖
分子攻击的威胁笼罩着我们的社会，比陷入危险中的信息多得多。
“现在就做”
不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部
信息的人都变得危险，即使任何公司的经理对员工的所有个人信息文件和数据库进行限制
（当然，大部分公司都会这样做），危险依然存在。
当不对职工们进行教育和培训如何防御社会工程学攻击时，坚决的人，就像接下来的故
事里那位被抛弃了的女士一样，所做的事情大多数诚实的人会认为不可能。
道格(Doug)的故事
总之，和琳达(Linda)的事情不是很顺利，当我看到艾瑞(Erin)时，我就确定她是我的唯
一。琳达是，像是，有一点……好吧，有些不确切，不稳定，当她烦恼时她会不经过大脑就
行事。
我尽量温和地告诉她必须从我家搬出去，并且帮她整理东西，甚至让她拿走了几张属于
我的Queensryche CD。等她一走我马上到五金店买了一把新的Medico 锁，把它装在了前
门并在当天晚上锁好。第二天上午我打了一个电话给电话公司，让他们更改我的电话号码，
并对其保密。
我可以自由地追求艾瑞了。
琳达的故事
我准备离开了，无论如何，那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。
所以只有一个问题，我该怎样让他知道他有多么负心？
94
没花费很多时间就可以断定他有了另一个女孩子，否则不会这样仓促地和我分手。所以
我只要稍等一下，然后在晚上很晚的时候开始打电话给他。你知道的，在这段时间他们最不
想接电话。
我等到第二个星期才在星期六晚上11 点钟打电话给他，可是他更改了他的电话号码，
新号码又没有在电话表里列出来，这有些像是SOB 的人干的。
这不是个很大的挫折。我开始在一些文件里到处翻寻，那是我辞去电话公司的工作前设
法带到家里的。就是它——我保存的一张维修票，道格的电话线路有一次出现故障，这上面
列出了他的电话线路。看吧，你可以尽你想要的修改你的电话号码，但你的电话线依然连接
在你的房子和电话公司的中继局之间，接通着电话总机办公室(Central Office，或者说CO)。
电话线路的设置被这些接通着线路的号码所确认，如果你知道电话公司是怎么样做这些事情
的，像我做的那样，找到电话号码只需要获得目标的电话线路设置。
我有一张这个城市所有CO 的列表，里面有他们的地址和电话号码，我找到了一个在道
格这个负心汉我以前住的地方旁边的CO 号码，并且打过去，但是没有人在那里。转接员在
你需要他的时候在哪里？实足用了20 分钟我才拿出计划，开始打电话给附近的其他CO，
最终锁定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按我需
要的做，我已经计划好了。
“我是琳达，维修中心，”我说，“我们遇到了紧急情况。一台医疗机构的服务器当机了。
我们使用技术手段尝试重新启动服务器，但是找不到问题所在。我们需要你马上开车到韦伯
斯特(Webster) 的CO，看我们离开电话总机办公室能否拨通。”
然后我告诉他，“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中
心找我。
我知道他不愿意离开舒适的电话总机办公室，穿得厚厚实实的，擦掉挡风玻璃上的积雪，
深夜在烂泥地上开车。但这是紧急事件，他没理由说自己很忙。
当我四十分钟后在韦伯斯特的CO 里见到他时，我告诉他检查29 线2481 路，然后他
热情地检查了，并说，是的，线路是通的。当然这我早知道了。
所以我说，“好的，我需要你进行LV（line verification 线路排查）。”那需要他确认电话
号码，他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话
表里的号码，或者是这个号码刚刚被修改过。所以他按我要求的做了，并且展示了他的线路
95
工人的测试设置。很好，所有的事情像有魔力一般完成了。
我告诉他，“好的，故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他
并告诉他我们要继续工作，然后说，晚安。
米特尼克信箱
一旦一个社会工程师了解了目标公司的内部工作流程，使用这些知识与一个正式员工相
识将变得很容易。公司需要预防这些社会工程学攻击，来自现在的或以前的别有企图的员工。
后台检查可以帮助清除有这些行为倾向的人。但是在大多数案例中，发现这些人是非常困难
的。在这些案例中唯一合理的安全措施就是执行和审核身份验证程序，包括员工身份和之前
有无透漏公司的任何内部信息给任何人。
道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。
好戏开始了。
过程分析
这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划，是因为她拥有内
部知识：那些电话号码、程序和电话公司的行话。有了它们她不仅可以找到一个新的、未公
布的电话号码，而且可以在冬季的晚上，让一个电话转接员为了她而穿过整个城镇。
“比格(BIGG)先生想要这个”
一个流行的非常有效的胁迫方式——因为它太简单了——依赖于利用权威来影响人们
的行为。
仅CEO 办公室助手的名字就很有价值，私人侦探，甚至猎头公司都始终在做这些事情。
他们打电话给接线员,说他们想要联系CEO 的办公室。当秘书或者助理经理回应时，他们就
说他们有一个文件或者包裹给CEO，或者如果他们发送一份电子邮件附件，她能把它打印
出来吗？或者他们会问，传真号码是多少？顺便问一下，你叫什么名字？
然后他们打电话给下一个人，说，“比格先生办公室的琼尼(Jeannie)要我打电话给你，
他说你能帮我。”
96
这个技巧是打电话时略提权威人士以示相识而提高自己身份，它通常是个惯用的方法，
通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系，目标大多对这些人有
好感，他们认识他认识的人。
如果攻击者着眼于进攻高度敏感的信息，他可以使用这些方法激起受害人有用的情绪，
例如害怕和上司之间陷入麻烦。下面是一个例子。
斯科特(Scott)的故事
“斯科特·艾布拉姆(Scott Abrams)。”
“斯科特，我是克里斯多佛·道布瑞 (Christopher Dalbridg)，我刚刚和比格雷
(Biggley)先生结束通话，他有些不高兴。他说他10 天前发了一条短信给你，想要拿你的市
场深入调查给我们分析。但我们没有拿到任何东西。
“市场深入调查？没有人和我说过和它有关的任何事情。你是哪个部门的？”
“我们是他请来的顾问团,我们已经落后于预定计划了。”
“听着，我在去开会的路上，告诉我你的电话号码……”
现在攻击者听上去有些失落：“你想让我告诉比格雷先生吗？！听着，他希望明天早上
拿到我们的分析，我们不得不整晚都为它工作。现在，你希望我告诉他我们不能完成，因为
我们没有没有从你那里拿到报告，或者你想亲自告诉他呢？”
一个生气的CEO 可以摧毁你的一个星期，目标可能会决定在去开会之前较好的解决这
些事情。再一次，社会工程师按下了正确的按钮获得了他想要的回应。
过程分析
如果一个人在公司里地位相当低，通过提及权威人士工作的胁迫方式很有效，利用重要
人物的名字不仅可以消除正常的不愿和怀疑，而且经常让人热情的满足要求。当你认为这个
你帮助的人是重要的或有权势的，自然希望自己变得更加有用。
社会工程师知道，虽然，运用这种特殊的欺骗是最好的，利用比目标上司等级更高的人
的名字，但是小公司对这种开局很机警：攻击者不想他的目标有和商业副总裁交谈的机会。
“我发送了一份产品销售计划给你，那个人跟我说的。”能轻易的引起这样的回答“什么销
售计划？什么人？”这将导致公司发现自己被攻击了。
97
米特尼克信箱
胁迫可以引起对惩罚的畏惧心理，使人们合作。胁迫也可以引起人们对困境的畏惧心理
或者害怕失去新的提升机会。
人们必须训练当陷入安全危机时，不但是可以接受的而且是合理的去挑战权威。信息安
全训练应该包含教育人们如何通过友好用户途径挑战权威，而不会破坏关系。而且，应当落
实这些期望。如果一个员工不支持不考虑身份的挑战权威，正常的反应是停止挑战——正好
和你想的相反。
社会保险总署(Social Security Administration)了解你的哪些事情
我们喜欢认为政府机构把我们的信息保护得很严密，只有可信的人才能知道。事实是甚
至联邦政府都不像我们想象的那样免疫入侵。
梅林(May Linn)的电话
地点: 社会保险总署区域办公室
时间:星期四的早晨, 上午10:18
“三号Mod,我是王梅林。”
电话的另一端的声音听上去像是在道歉，几乎有些羞怯。
“王女士，我是艾伦戴尔·亚瑟，审查中心办公室。我能叫你‘梅’吗？”
“是‘梅林’”她说。
“好的，是这样的，梅林，我们这里来了个新人，他至今还没有电脑，马上他要有一个
优先的任务，他就用了我的电脑。我们属于美国政府，我们大声的抱怨，但他们说他们的预
算里没有足够的钱为这个人买一台电脑。现在我的上司认为我拖欠了工作并不想听到任何借
口，你知道吗？”
“我懂你的意思，好的。”
“你能帮我快速查询一下MCS 吗？”他请求道，用到了查询纳税人信息的电脑系统的
名字。
“当然，你要查什么？”
98
“首先我需要你对约瑟夫·詹森进行一次阿尔法查询(alphadent)，DOB 是7/4/69。”（阿
尔法查询的意思是在电脑里按字母顺序查询纳税人的名字，通过生日来确认身份。）
在简短的停顿后，她问道：
“你需要知道什么？”
“他的账户号码是多少？”他说，用到了社会保险号码的内部称呼。她把它读了出来。
“好的，我需要你对那个账户号码进行数据列表(numident)。”打电话的人说。
数据列表是请求她把纳税人的基本数据读出来。梅林回答了纳税人的出生地点、母亲的
名字和父亲的名字。当她同样告诉他发行卡的年月和发行它的区域办公室时，打电话的人有
耐心的听着。
他下一步请求进行一次DEQY(显然“DECK-wee”是“详细收入查询”的简写。)
DEQY 的请求得到了这样的回应，“哪一年的？”
打电话的人回答，“2001 年。”
梅林说，“总计190,286 美元，户头是詹森微技术公司。”
“还有其它收入吗？”
“没有。”
“谢谢，”他说，“你真是个好人。”
然后他试着和她商量当他需要信息并且不能使用他的电脑的时候能获得帮助，他再次使
用了拿手的社会工程学欺骗，尝试和同一个人保持联系，避免每次都要寻找新的目标。
“下个星期不行。”她告诉他，因为她要去肯塔基州参加她妹妹的婚礼，在其它的时间
她可以帮他，只要她办得到。
当她挂上电话时，梅林感觉很好，因为她为一个未被赏识的公务员提供了帮助。
基思·卡特(Keith Carter)的故事
从电影和畅销犯罪小说里可以得出结论，私人侦探缺乏道德规范，渴望知道如何了解人
们有趣的事实。他们用很违法的方法实现它，几乎不能消除被逮捕的危险。真相，当然，大
部分PI（译者注：private investigator 缩写，私人侦探。）的生意运作完全合法。自从他们中
许多人开始在他们的工作中声称完全遵守法律，他们完全知道什么是合法的，什么是不合法
99
的，大部分人不会想越过这条线。
这里，仍然，有例外。一些 PI——比一些更多——所做的确实和犯罪小说里塑造的那
些家伙一样。这些人在交易中充当信息经纪人很出名，将要违反法律的人的教养有限。他们
知道如果走捷径就可以更快更好的完成任何任务。这些捷径可能严重触犯了法律，不过似乎
不能阻止一个更加肆无忌惮的人，那将使他们在高墙下度过数年的时光。
高消费阶层的 PI——这些人在城镇高价出租屋里设计出独特的办公套房——不亲自做
这些事情，他们只是雇用一些信息经纪人为他们工作。
我们称呼这个人为基思·卡特，一个不受道德规范限制的私人侦探。
一个典型的案例是:“他藏钱的地方在哪里？”或者有时候是:“她藏钱的地方在哪里？”
有时候是一个有钱的女士,想知道她的丈夫把她的钱藏在哪里(虽然为什么一个有钱的女人
曾经和一个家伙结婚是一个谜,但这不是基思·卡特现在想知道的,因此没有去找一个很好
的答案)。
这个案例里的丈夫名字是乔·詹森，他把钱藏了起来。他“是一个非常聪明的人，他从
他妻子家族借了一万美元创建了一家高技术公司，发展成了上亿美元的公司。”按照她的离
婚律师所说，他做了一件高难度的事情隐藏了他的资产，这位律师想要一份完成的资产报告。
基思首先确定他的起点是社会保险总署，目标是他们关于詹森的文件，像这样的情形，
那里装着非常有用的信息。有了相关信息的帮助，基思可以伪装成目标让银行、经济公司和
风险投资公司告诉他任何事情。
他的第一个电话打给了本地区域办公室，使用了任何公共成员都可以使用的同一个的
800 号码，这个号码列在了本地电话本里。当办事员在线时，基思要求连线产权局的人。等
待了一会儿，然后有了声音。现在基思改变了方式,“你好，”他说，“我是格热格瑞·亚当
斯(Gregory Adams)，329 区域办公室。听着，我在设法联系一个产权调停者操作一个尾数
为329 的账户号码，我从传真机那里得到的这个号码。”
“那是2 号Mod。”这个人说，他查到了号码并告诉了基思。
下一个电话他打给了2 号Mod（译者注：上文中说的是三号Mod，不知道为什么）。当
梅林响应时，他改换了角色，成了审查中心办公室的一名进行常规审查的工作人员，碰到了
问题，他的电脑不得不给别人使用。她把他要找的信息告诉了他，还同意在他将来需要帮助
时找她帮忙。
100
过程分析
是什么使得利用员工的同情心这一方法有效？在这个故事里，别人用了他的电脑然后
“我的上司对我不满了”。人们并不经常表达他们的情感，当他们这样做时，可以使人们再
一次失去对社会工程学的本能防御。“我遇到了麻烦，你能帮我吗？”的情感策略是赢得这
一天用的所有东西。
不安全的社会
难以置信，社会保险总署把他们全部的程序操作手册提交到了网上，这些信息里有很多
对他们有用，但同样也对社会工程师有价值。它包含了缩写、术语和如何请求你想要的东西
的指令,就像这个故事里描述的那样。
想要知道社会保险总署的更多内部信息？只要在Google 里面搜索或者在你的浏览器里
输入下面这个地址：http://policy.ssa.gov/poms.nsf/。除非这个机构已经阅读了这个故事并在你阅
读这些以前移除了这个手册，你可以找到在线使用说明，它甚至详细地给出了哪些数据SSA
办事员可以提供给执法部门。实际上，那一部门包含了任何可以使SSA 办事员相信他来自
执法部门的社会工程师。攻击者不能成功的从一个接到审查中心的电话的办事员那里获得这
些信息。基思的攻击方式仅仅是使用一些公众难以获得的电话号码，接听的人因此希望任何
打这个电话的人应当是内部的一些人员——另一个地下酒吧式安全的例子。帮助这一攻击的
基础包含以下几个前提：
知道Mod 的电话号码。
知道他们使用的术语——阿尔法查询、数据列表和详细收入查询。
假装来自审查中心办公室，那是每一个联邦政府员工都知道的遍布政府的有很大权力的
研究机构。这给了攻击者一个权威的光环。
一个有趣的事实是：社会工程师似乎知道怎么样进行请求，因此一个曾经认为那很困难
的人，即使当他问“为什么你打电话给我。”时，理论上，如果这个电话来自一些完全不同
的其它部门的人，可以建立更多理解。也许他的简单的意图只是帮助这个打电话的人，好让
单调的日常工作能停顿一下，受害人不会去想这个电话有多么不寻常。
101
最后，这个故事里的攻击者，没有满足于这些到手的信息，他还想要和目标建立联系好
让他可以有规律的打电话来。他可以使用普通的同情心攻击策略——“我把咖啡撒在键盘上
了。”可是，那在这里不适用，因为一个键盘可以在一天里面更换掉。
因此他使用了这个别人用了他的电脑的故事，他可以适当地将扩充这些：“是的，我想
他昨天会有一台他自己的电脑，但是一个人进来和另一个家伙进行了一些交易把它给换了。
所以这个爱开玩笑的人仍然出现在我的办公室里。”等等。
我很可怜，我需要帮助，像有魔力一般有效。
一个简单的电话
一个攻击者的主要障碍是让他的请求看上去合理，像是受害人的工作日里碰到典型请求
一样，那不会让受害人太陌生。像一生中的许多其他事情一样，进行合理的请求有一天是个
挑战，但是下一步，它就会变成小菜一碟。
玛丽·哈里斯(Mary Harris)的电话
日期/时间：星期一，十一月23 日，上午7:49
地点：麦斯拜&火炬会计公司(Mauersby & Storch Accounting)，纽约
对于大多数的人而言，会计工作就是数字整理和账目计算，通常认为那些就像在小路上
漫步一样惬意。幸运的是，不是每一个人都那样看这份工作。例如，玛丽·哈里斯认为她的
工作像高级会计师一样有趣，一部分原因是她是这家公司最专注的会计员工之一。
在这个特殊的星期一，玛丽到得很早，开始了漫长的一天里她的首要工作，并吃惊地发
现她的电话响了。她接了电话，报上了她的名字。
“你好，我是彼得·谢帕德(Peter Sheppard)。这里是奥布斯特(Arbuclde)公司，这家
公司为你的公司提供技术支持。我们在周末收到了几个这里电脑有问题的人的投诉。我想我
可以在早上所有人进来工作之前充当故障检修员。你的电脑有任何问题或者连接网络有任何
问题吗？
她告诉他她还不知道。她打开了她的电脑，当电脑启动的时候，他解释了他要做的事情。
“我想在你的电脑上进行一些测试，”他说，“我能在我的屏幕上看见你键入的字，我想
确认网络通顺。所以当你录入时，我想要你告诉我那是什么，然后我会检查这里是否是相同
102
的文字或数字。好吗？”
梦魇一般的景象，她的电脑无法工作，失败的一天，不能完成任何工作，她很高兴这个
人能帮她。过了一会儿，她告诉他：“我到了登陆屏幕，我要输入我的ID。我现在键入它—
—M...A...R...Y...D。”
“到现在为止很好，”他说，“我看到了。现在，前进并输入你的密码但不要把它告诉我。
不要把你的密码告诉任何人，甚至技术支持部门都不可以。我在这里只会看见星号——你的
密码受到了保护所以我无法看到它。”这些都不是真的，但这对玛丽有意义。然后他说：“当
你的电脑启动时告诉我。”
当她说它启动了时，他要她打开两个应用程序，然后她报告说他们运行得“很好”。
玛丽看到所有东西都运行正常，放心了。彼得说，“我很高兴可以确定你的电脑工作正
常。听着，”他继续道，“我们刚才安装了一个更新程序，允许人们更改他们的密码，你可以
给我几分钟时间让我能检查它是否工作正常吗？”
她对他的帮助很感激于是欣然答应了。彼得告诉她运行这个程序的步骤，允许用户修改
密码，这是Windows2000 操作系统的标准组件。“前进并输入你的密码，”他告诉她，“但是
记住不要大声地说出来。”
当她完成这些时，彼得说：“只是为了这个快速测试，当它请求你的新密码时，输入
‘test123’，然后在确认栏里再次输入它，点击确定。”
他告诉她从服务器断开的方法。他让她等待几分钟，然后再连接，这次试着用她的新密
码登陆。它像有魔力一样工作着，彼得似乎很高兴，然后告诉她用初始密码改回去或者选择
一个新的密码——再一次提醒她不要把密码大声地说出来。
“好了，玛丽，”彼得告诉她，“我们找不到任何错误，那很好。听着，如果有了任何问
题，只要打电话到奥布斯特公司我们这里，我通常有特殊任务，但是这里的任何人都可以帮
助你。”她感谢了他然后他们互相说了再见。
彼得的故事
彼得这个名字传播得很广——在他的学校里许多和他一起去学校的人听说他可以进行
一些电脑风啸获得其他人不能获得的有用信息。当艾丽丝·康拉德找到他并寻求帮助时，他
首先说的是不。为什么他要帮忙？当他第一次遇见她并试着和她约会时，她的拒绝让他倍受
103
打击。
但是他拒绝帮忙似乎并没有让她吃惊。她说她认为一些事情他无论如何也办不到。那可
能是个挑战，因为他当然确定他能办得到，那是他同意的理由。
艾丽丝拿出了一份关于一家交易公司的一些顾问工作的合同，但是这份合同的条款似乎
不是很好。在她回去请求获得更好的待遇以前，她想要知道其他顾问他们的合同条款都有些
什么。
下面是彼得讲述这个故事。
当我知道它很容易时，我不想告诉艾丽丝任何事情除了我可以做到人们认为我做不到的
事情。好的，不容易，准确点，这次不容易，要做一系列的事情，但是还好。
我要给她展示这真实的一切，多潇洒。
星期一早上7：30 之后一点点，我打电话给交易公司办公室并联系上了接待员，说我是
这家公司处理他们退休金计划的人，想要和会计公司的人谈话。她有没有注意到会计公司的
人还没有上班？她说：“我想我几分钟之前见到过玛丽，我帮你联系她。”
当玛丽拿起电话时，我告诉她关于电脑故障的一些故事，那让她有些神经过敏，所以她
很高兴的合作了。当我告诉她怎样修改她的密码时，我用同样的临时密码（我要她使用的：test123）快速登陆了系统。
进入并掌握了这里——我安装了一个小型程序允许我无论何时只要我想要就能访问这
家公司的电脑系统，使用了一个我自己的秘密的密码。当我挂断玛丽的电话时，我的第一个
步骤是清除登陆纪录，这样就没有人知道我曾经登陆过他（或她）的系统。这很容易。在我
提升了我的系统权限之后，我下载了一个叫做clearlogs 的免费的程序，我是在一个安全类
的网站www.ntsecurity.nu找到它的。
到真正的工作时间了。我在所有文件里查找文件名带有“contract（译者注：合同）”关
键字的文件，然后把它下载下来。我还在根目录里找到了更多——这些目录里包含了所有的
顾问工资报告。所以我整理了所有的合同文件和一张工资清单。
艾丽丝可以细读这些合同看他们支付多少钱给其他顾问。让她辛苦地细读所有这些文件
吧，我做到了她要我做的。
从我存放这些数据的磁盘里，我打印了一些文件当作证据给她看。我要她和我约会并请
我吃午饭，当她翻阅这一堆纸时你可以看见她的表情。“没门，”她说，“决不。”
104
我没有拿出这些磁盘，它们是诱饵。我说过她不得不过来拿，希望也许她会对我的帮助
表示感谢。
米特尼克信箱
那很令人惊讶，基于那些精心构造的请求社会工程师可以轻易地让人们帮他做事。前提
是引起基于心理作用的自动回应，依赖于当他们觉得这个打电话的人是盟友时人们心理的捷
径。
过程分析
彼得打给交易公司的电话表现的是社会工程学攻击的最基本的形式——一个简单的尝
试只需要一点点准备，首次尝试的工作，只用几分钟就能完成。
甚至更好，玛丽，这个受害人，没有认为那是一些对她的欺骗或诡计，没有提交报告或
引起骚动。
彼得的计划使用了三种社会工程学策略。首先他让玛丽因为害怕而合作——让她认为她
的电脑不能用了。然后他花时间让她打开了两个应用程序，这样她确定了她的电脑工作正常，
让他们之间的好感增加了，感觉有了同盟一样。最终，他按照计划的一部分利用她的感激（他
帮助她确认了她的电脑工作正常）让她进一步地合作。
通过告诉她在任何时候都不能说出她的密码，甚至不能告诉他，彼得彻底地完成了这一
微妙的工作，让她觉得他是在关心她的公司文件的安全。这促进了她的信心，他肯定是合法
的因为他在保护她和她的公司。
警察的搜捕行动
描绘一下这样的情景：政府为一个叫做阿图若·森彻(Arturo Sanchez)的人设置了陷
阱，他在互联网上免费发布电影。好莱坞制片厂说他侵犯了他们的版权，他说他只是推动他
们承认一个不可以避免的交易方式，所以他们开始做些事情让新电影可以免费下载。他指出
（正确地）这是电影公司完全忽视的巨大的收入来源。
搜索证，谢谢
105
一天晚上回家迟了，他穿过街道查看了一下他家的窗户并注意到灯灭了，即使他出去时
也总是会留下一盏灯。
他用力敲着邻居家的门直到他把这个人叫醒了，然后了解到确实有警察搜索了这座建
筑。但是他们让邻居们待在楼下，所以他不能确定他们进入了哪个房间，他只知道他们离开
时带走了一些很重的东西，可是他们把它掩盖了起来，他也说不出那些是什么，他们没有逮
捕任何人。
阿图若检查了他的房间，坏消息是警察留下了一张纸条要求他马上打电话在三天之内确
定一次会面，更坏的消息是他的电脑不见了。
阿图若这天晚上消失了，他和一个朋友待在一起。但是一些不确定的东西困扰着他，警
察知道了多少？他们最后会不会逮捕他，不给他任何逃走的机会？或者也不完全是这样，他
可以解决这些事情而不用离开这里？
在你继续阅读之前，停下来思考几分钟：你能想象出任何途径去找出警察知道你的哪些
事情吗？傲慢的你没有任何政治上的联系或有朋友在警察局或司法办公室，你可以想象任何
途径，像一个普通公民一样，去获得这些信息吗？或者那只有一些有社会工程学技巧的人才
能做到？
警察的故事
阿图若对他需要知道的感到满意，像这些：开始是，他拿到附近复印店的电话号码，打
电话给他们请求使用他们的传真号码。然后他打电话给检察官办公室，找档案室。当他联系
上档案办公室时，他介绍他自己是莱克镇的警官，说他需要和归档现行搜查证的办事员谈话。
“可以。”那位女士说。
“噢，好极了，”他回答，“因为我们昨晚搜捕了一个嫌疑犯，我想要了解宣誓书的位置。”
“我们用他们的地址归档。”她告诉他。
他说出了他的地址，她的声音几乎有些激动。“噢，是的，”她吐着泡沫，“我知道这个，
‘版权侵犯’。”
“就是这个，”他说，“我在寻找宣誓书和许可证的副本。”
“哦，我这里正好有。”
“好极了，”他说，“听着，我现在在外面，有一个关于这件案子的秘密服务的十五分钟
106
会议。我最近有点恍惚，把文件留在了家里，这里没有那些文件并且来不及回去拿了。我可
以从你那里拿到副件吗？”
“当然，没问题。我把它复制一份，你可以到这里来拿它们。”
“好极了，”他说，“那真好。但是听着，我在镇子的另一边，你可以把它们传真给我吗？”
有了一个小麻烦，但是可以克服。“我们档案室没有传真机，”她说，“但是楼下的职员
办公室有，他们可以让我用。”
他说：“我打电话到职员办公室问问看。”
职员办公室的女士说她乐意帮忙但是想要知道“谁来付钱？”，她需要知道账户代码。
“我拿到代码后再打电话给你。”他告诉她。
然后他打电话给DA 办公室，再一次伪装成警官简单地询问了一下接线员，“DA 办公
室的账户代码是多少？”

返回书籍页