电子邮件同样可以被用来作为更直截获取系统访问权限的手段。例如，从某位有信任关系的人发来的电子邮件附件中可能携带病毒，蠕虫或者是木马。一个很好的案例是VIGILANTe提到的对于AOL的攻击:“在这个案例中，黑客打电话给AOL的技术支持中心，并与技术支持人员进行了近一个小时的谈话。在谈话中黑客提到他有意低价出售他的汽车。那名技术支持人员对此很感兴趣，于是黑客就发送了一篇带有表明为“汽车照片”附件的电子邮件给他。但是实际上，那不是什么汽车的照片，邮件执行了一个后门程序让黑客可以透过AOL的防火墙建立连接。

westsafe.net

　　说服

　　黑客他们自己从心理学角度对社会工程学做的阐述中强调了如何调整出一个完美的心理状态去攻击。基本的说服手段包括:。不论是使用哪一种方法，主要目的还是说服目标泄露所需要的敏感信息，所以这时一个社会工程师实际上就是一个可以被信任并由此获得敏感信息的人。另一个很重要的地方在于不要一次询问太多的信息，而是每次从某个人获得少量的信息来维护良好的自身形象。

　　扮演一般来讲是说构造某种类型的角色并按该角色的身份行事。并且角色应该是越简单越好。某些时候就仅仅是打电话给目标，说:“嗨，我是MIS的Joe，我需要你的密码，”但是这种方式并不是任何时候都有效。在其他情况下黑客会专心调查目标机构中的某一个人并在他外出的时候冒充他的声音来打电话询问信息。根据Bernz，一个在这方面发表了大量文章的黑客的说法，他们是使用某种小设备来伪装声音并且还要对他们扮演目标说话的方式与机构的组织结构进行大量的研究。但是我认为这种手段基本上不具备扮演攻击的特征，因为它需要大量的时间来进行准备，但是无论如何，这种攻击方式同样是存在的。

　　在扮演攻击中经常采用的角色包括:维修人员，技术支持人员，经理，可信的第三方人员(例如总裁的执行助理打电话说总裁已经允许他对某些信息进行询问)，或者是企业同事。在一个大公司这点是不难实现的。因为每人不可能都认识公司中的每个人员而身份标识是可以伪造的。这些角色中的大多数都具有一定的权利，让别人会不由自主的去巴结。大多数的雇员都想讨好老板，所以他们会点头哈腰的对那些有权利的人提供他们所需要的信息。

　　让他人服从是一种基于团体的行为，但是有时也可以利用来说服单一个体，告诉他所有人都已经提供了黑客现在所询问的同类信息，假设黑客现在扮演的是一名IT经理。黑客所需要做的就是让目标暂时对自己职责的不明确。

　　还有一种比较有争议的社会工程学手段是仅仅简单的表现出友善的一面来套取信息。其理由是大多数人都愿意相信打电话来寻求帮助的同事所说的话，所以黑客只需要获得基本的信任就可以了。进一步来说，大多数的雇员会友善的作出回应，特别是对于女性的请求。稍稍恭维一下目标或是与他调情会让目标乐意进一步的合作，但聪明的黑客在获取信息的时候分寸会把握得很好，不会让目标对任何的特别之处产生怀疑。一个微笑(如果是在面对面的场合下)或者一句简单的“谢谢”都可以成为合作的开始。如果这个还不够的话，冒充新手同样可以达到目的:“我都糊涂了，(眨眼睛)你能帮帮我吗?” 网安官方站

　　反向社会工程学 网安官方站

　　获得非法信息更为高级的手段被称为“反向社会工程学”。黑客会扮演一个不存在的但是权利很大的人物让企业雇员主动的像他询问信息。如果深入的研究，细心的计划与实施的话，反向社会工程学攻击手段可以让黑客获得更多更好的机会来从雇员那里获得有价值的信息。但是这需要大量的时间来准备，研究以及进行一些前期的黑客工作。 你复制的文字来自西部网安

　　根据Rick Nelson所写的《黑客手段:社会工程学》中的说法，反向社会工程学包括三个部分:暗中破坏，自我推销和进行帮助。黑客先是对网络进行暗中的破坏让网络出现明显的问题，然后他就来对网络进行维修并从雇员那里获得他真正需要的信息。那些雇员不会知道他是个黑客，因为他们网络中出现的问题会得到解决，所有人都会很高兴(包括黑客在内^_^)。

　　结束语 你复制的文字来自西部网安

　　当然，任何一篇社会工程学的文章都不能不提到Kevin Mitnick,所以我也引用他在Security Focus发表的一篇文章中的一句话:“你可以花大价钱购买技术与服务……但是你的网络设施同样免不了受到老伎俩的侵害。” westsafe.net