無論我們購買了多少安全技術，我們的面前依然橫亙著一道巨大的安全障礙：人。

作為研究分析師和咨詢公司行業顧問的安全從業者，或經驗豐富或技術純熟，花費無數時間評估安全技術，幫助企業確定什么技術和產品能更好保護公司數據安全。然而，只需一名惡意或粗心大意的人員，便可抵消所有技術性控制措施的效果。理想很豐滿，現實很骨感。真相往往殘酷到令人扼腕：人類作為我們最后一道防線的同時，也是我們最大的威脅。

為使人類起到最后一道防線的作用，我們需首先處理好兩個令人不安的真相：

所有人都是騙術大師

我們都很容易受騙

我們每個人，從童年很小的時候起，就在經受各種欺騙訓練。我們被教導：謊言讓生活更容易，讓社會環境更舒適。還記得家庭聚會前，爸爸媽媽告訴你，要表現得很享受這種氛圍嗎?就算被嚇到瑟瑟發抖也不能躲開怪叔叔的熊抱?再討厭芹菜也得給我愉快地吃下去?隨著我們漸漸長大，說謊的技術越發爐火純青——從學會巧妙地轉移“這牛仔褲是不是讓我屁屁看起來很大?”此類的問題，到嫻熟應對另一半問自己喜不喜歡她的新發型，到完美回答老板咨詢關于他/她新戰略的“誠懇意見”。

這些還僅僅是“善意謊言”類別里的;我們都還沒觸及牽涉隱瞞、藏匿、欺詐、誤導、竊取、誘騙等等真正的彌天大謊。而且，善意和惡意謊言都認同的人大有人在。如果我們坦誠面對自己，我們甚至會承認，我們每個人在一生之中總會被狠狠地騙上那么幾次。

如果非要給個我們為什么那么容易受騙上當的主要原因，那必須得是我們的大腦就是那么容易被騙。人類大腦的工作就是過濾并呈現現實。大腦接受大量輸入，然后確定哪些是重要的，這些輸入的影響是什么，需要什么響應。而且，我們的大腦會走捷徑，非常高效地搞定這些判斷。千百年來，魔術師、小偷、騙術大師、欺詐師等，學會了怎樣劫持這些心理捷徑，將之用于爭取己方有利地位。

操縱人類大腦的方法，可以用魔術、妙手空空術和催眠術方便快捷地加以展示。不過，即便不能利用上述方法從視覺上直觀演示，一些高層次理論和基本原則也是可以通過文字加以敘述的。

原則 1：誤導和注意力

人類大腦慣于不斷掃描并確定哪些東西需要“鎖定”。腦科學家將之稱為“注意力焦點”。魔術師和小偷，是利用我們注意力焦點漏洞的大師。他們會把你的注意力引向某個物體或地方，然后在注意力焦點邊緣部分或完全在焦點之外，進行他們的“臟活兒”。他們通常會用顯眼的大動作，來掩護暗處的小動作。

我們總覺得自己才是自身注意力的主人，但我們的注意力其實很容易被劫持。不幸的是，不僅僅是魔術師知道并利用這一點，罪犯和騙術大師也精通此道。今日，世界仍在努力恢復NotPetya造成的傷害。該惡意軟件最初被廣泛認為是其表面上呈現出的那樣——勒索軟件。然而，其本質遠比表面現象惡劣。這是一款偽裝成勒索軟件的數據清除器，極有可能是國家支持的網絡攻擊。

網絡安全世界中，另一個誤導的例子，是攻擊者對金融服務公司發起DDoS攻擊，以轉移對賬戶竊取攻擊的注意力。終端用戶和銀行的目光被DDoS攻擊的明顯效果吸引，賬戶竊取和欺詐交易活動就暫時被混淆，不引人注意。

原則 2：影響和關系

大腦思維劫持活動中起效的另一個基本原理，是影響和關系。催眠師、魔術師、扒手，還有罪犯和騙子，全都是撬動影響杠桿和建立信任關系的能手。街頭和舞臺魔術師、催眠師、扒手，都會努力確保他們的參與者快速建立起一定的信任。這能使他們方便操縱目標對象站哪兒、做什么、看哪里等等。

羅伯特·恰爾蒂尼，亞利桑那州立大學心理學及營銷學的名譽教授，撰寫了《影響力：說服術的心理學分析》一書。該書被認為是影響力起效機制的權威書籍。恰爾蒂尼的影響力理論，基于6條關鍵原則：互惠、承諾及一致性、社會認同、權威、喜好、稀缺性。他最近還加上了第7條原則：統一性原則。該原則是關于共享認同的;也就是營銷大師賽斯·高汀所說的“部落”。我們越認同他人，越容易被他人影響。

恰爾蒂尼的書值得一看，還有很多在他研究基礎之上的衍生作品。然而，全世界的騙子和網絡釣魚者，在下餌時也會利用很多此類技巧。影響力戰術還是可以疊加的的，老練的網絡釣魚者會在一封郵件中采用多種影響力戰術，讓誘餌更加可口。例如，如果網絡釣魚者在一封釣魚郵件中使用了稀缺性/緊迫性、權威、社會認同和互惠多種戰術，就會比不用此類戰術或只用一種戰術的郵件擁有更多火力。

原則 3：框架和情境

框架對演員、政客和營銷人員特別重要，對社會工程師和騙術大師而言，同樣十分關鍵。框架的概念，源自社會科學，基本上就是情境、世界觀，或者某人看待現實(或某特定場景)的方式。框架也可以是社會工程師或攻擊者用以大隱隱于市的途徑(服裝、角色演繹、隨機應變)。

在演示中使用的框架例子，通常是根據想擬的框架能以多種方式呈現特定效果的場景。舉個例子，如果握有內裝參與者選項的密封信封，那么既可以預測的方式揭曉(如果想扮演巫師的角色)，也可以展現如何影響參與者選擇某樣東西的能力(扮演精神導師或催眠大師的角色)。

簡單講，框架賦予我們翻譯或理解眼前信息或身處情況的上下文環境。事實上，有很多政治、宗教和營銷組織在專門搞清人們的各種框架，理解怎樣操作或擴展這些框架，以便人們對新的或差異性/難理解的想法持開放態度。框架是非常強大的力量，且它們通常不是基于事實的。當框架和事實相互沖突，事實會被推到一邊，而框架被人們緊緊擁抱。FrameWorks總裁蘇珊·貝爾斯的名言：“當事實不符合框架，事實被拒絕，而不是框架。”

鑒于所有事都在框架內運作，騙子、網絡釣魚者和其他令人討厭的家伙，就會學習怎樣按框架操作。他們會冒充備受尊敬的權威人士——比如在商業電郵詐騙(BEC)攻擊中。框架也會出現在語言使用、攻擊媒介選擇等等方面。想要深入解析社會工程中的框架，可以看看Social-Engineer.org上《社會工程框架》中“影響他人”一節里的“框架”條目。

結論

理解我們的大腦會被怎樣愚弄來針對我們自身，是學習對抗老練攻擊者的關鍵第一步。

我們需要讓自己慢下來，三思而后行。這么做，可以讓我們擺脫以條件反射/自動的方式行事的情形，讓我們得以更邏輯性地處理事務。然后，我們就可以對人們的話語、收到的郵件、所處的情況背后隱藏的行動和潛在動機，反復深入分析，確定是不是有人正試圖劫持我們的大腦。