拆页书籍：《社会工程：安全体系中的人性漏洞》

拆页内容：

如果某人声称自己是CEO的手下，要求你提供密码，该如何应对?如果某人没有预约，但外表和行为上看上去像供应商，他要求进入大楼或其他地方，该怎么处理?

在遇到这些情况时，参考指南能帮助员工作出恰当的反应，并且让他们应对自如。举个例子，有一本参考指南如下。

如果某人打来电话声称自己来自管理层办公室，要求你提供一些信息或内部数据可以按下列步骤操作。

询问来电者的员工号和姓名。在得到反馈前不要回答任何问题。

获取身份信息后，询问他需要这些信息的项目号。

如果1和2都对答如流，就可以为他提供信息。如果答不上来，要求他的经理发一份邮件给你的经理申请授权，然后终止通话。类似这样的简单参考指南可以帮助员工明白在考验其安全意识的情况下该说什么以及该做什么。

what

好的，我看到有小伙伴已经看完了，没看完也没关系，来听我跟大家讲解

这个片段是教会我们如何用三个步骤来识别对方的身份,拒绝被骗。

why

这样做的好处是能够帮我们避免风险,也能够保护好自己,增强安全意识

where

如果有人需要你提供的信息和资料涉及到个人隐私、工作机密、金钱等，或者同事间需要传递重要信息的时候，都可以用这个方法

how

那具体要怎么来做呢,我总结了三个步骤，两查一要。

1.查身份。这一步要先查清楚对方的身份，询问他的个人信息,不回答他的任何问题。尽可能的详细掌握对方的姓名、身份证号、工号等

2.查来由。问清楚对方为什么来,了解一下前因后果

3.要授权。如果1 2他都提供不了,就需要借助权威了。要求对方出示授权文件， 或者来自高层的邮件

举例

步骤很简单，跟大家讲一个很真实的事情，7 月份的时候我在公司做了一场产品发布会,在发布结束之后,有一位内部员工给我发消息，想要了解产品的技术,我一看是内部的同事也没多想就讲了一些内容给他。过了没几天,公司的监 管部门来找我调查这件事情,我才知道那是竞品公司的人冒充内部员工来和我聊天。庆幸的 是我没有说很多。但也心有余悸

[反思]

现在反思我完全可以用这个方法来做。

第一步，我先问问他的个人信息，第二步，问清楚他为什么要了解产品技术，是做什么用，哪个项目要用；第三步，请他的领导发一封邮件。我相信，用了这三步，这个冒充的人一定会露出破绽，我也能够避免这个风险。

预防异议

是不是有人会觉得，平时也没有遇到过有人会来骗我，诈骗电话也很好识别，身边同事也都很友善，没有必要这样吧。但其实骗子无处不在,比如朋友给你发微信借钱,同事发邮件找你要资料。很有可能朋友的帐号被盗了,同事的邮件是一个中了病毒的邮件。

作者在书中也给大家提了醒，如果你认为自己不可能被骗，那么你就是我最想骗的人

分步催化1

【提出问题】

接下来请大家想一下，自己在未来一周或一个月内，有什么场景是可能存在被骗风险的？比如，家里老人要买保健品，没有业务往来的同事给你发了邮件，淘宝客服找你说订单有问题等等

【发出指令】你想到了什么场景呢？可以把它写下来，然后在组内分享。每个人都说一个场景

给大家3分钟的时间在小组内分享交流。

玄子：有人假装是意向客户，来找我们要资料

分步催化2

感谢这位同学讲的这几个场景

【发出指令】

那我们来设想一下，你刚才写下来的那个场景发生了，这个时候，你会怎么来处理？运用我们今天学到的防骗三步法来实践一下吧，在小组内讨论交流一下。

玄子：在遇到类似的情况我会在网上查一下他的一个营业执照，注册多久了，什么性质。再了解一下对方的姓名或者职位，咨询一下同行的人，如果都没有问题就会发给他

结束

感谢小伙伴的分享

我们来一起巩固一下两查一要这个方法，加深印象

1.查身份；2查来由；3要授权

好的，以上就是我今天全部的内容希望能帮助到大家，也欢迎大家把这个方法教给家里的孩子或者老人，增强安全意识保护好自己