社工要点（转载自无极领域）

1.社工工程学的定义不是你简简单单的网上搜索出受害人的一些信息，这甚至连狭义的社会工程学都不算。你要进行的活动是不局限于狭义社会工程学，你要与受害人或者信息拥有者进行一些深层次的交互式行为。

①这中间要充分利用已知信息，特别是在搜索引擎中延伸出来的信息，增加信任度。比如利用谷歌地图探知其周边环境情况或者了解受害人的人际关系和在网络上的活跃程度等。 ②注重权威身份和内部身份的利用。

③注重专业术语内部指令的应用，特别要注意你的身份所应使用的语气。

④永远不要想信息会自己飞到你的身边，你要做的就是制造获得信息的机会。

2.注重聊天工具的应用，包括传统的电话和网络上的聊天工具。

3.注重搜索引擎被忽略部分。 博客搜索、论坛搜索、微博搜索

4.注重微博上信息的泄漏。

5.不要忽视校友录的作用。

6.通过支付宝试查询已知邮箱，可能会得到受害人的真实姓名。

7.充分利用网上已经有的一切有利工具，如身份证查实网站：http://qq.ip138.com/idsearch/id.htm（www.ip138.com）

8.永远记住社会工程学不是单独的分支，它应该和传统的信息安全要点相结合。如配合WEB入侵或者其它应用，比如查询网站whois信息或者利用已知信息进行攻击。

9.注重收集个人的社工信息库和社工工具。

10.当你社工已经失败或者接近失败，不要妄图继续下去。作为一个社会工程学师，你要做的就是和刺客一样一击毙命，如果失败了就要马上远遁。记住，安全是最重要的，机会下次还有。

11.最后一点也是最重要的一点，永远不要因为自己取得的一点成绩就沾沾自喜，要不断学习不断完善自己。随着互联网的发展，普通民众安全意识的提高和公司内部职员安全培训的普及，社会工程学会变的越来越复杂，我们要运用的技巧也会越来越多，这就需要我们不断的学习新兴知识。