互聯網的萬千世界中什么最重要? 個人隱私、安全、秘密最不為過。談及到隱私和數據安全，可以分為很多很多種，今天我們主要來探索社會工程學的奧秘。我個人是對Web安全和社會工程學有著濃厚興趣的，后者也是最近一段時間才慢慢升溫。

[[72150]]

那么，究竟什么是社會工程學?

社會工程學是一門深奧且復雜的學問，可以寫成一篇文章甚至一本書。

凱文·米特尼克 《欺騙的藝術》 就是其中一個典例 :) 非常經典，值得品讀。

星塵(邪紅色信息安全組織成員)今說 ： 社工是一門大學問，面很廣，很難寫。

但我覺得可試，目的是為了科普給某些剛接觸這個圈子的朋友以及身邊的摯友，去給大家講解隱私安全方面的危害性和保護隱私的重要性，尤其是在今天日益發展的互聯網上

什么是社會工程學?

社會工程學也算是中國的本土說法，據說還是Helen開創的名詞，真正是稱之為社交工程學，也是如今漢譯國外黑客社工的常用說法。黑客們口中長談到的社工便是社會工程學，它是臭名昭著的黑客米特尼克悔改后在《欺騙的藝術》中所提出，但其初始目的是讓全球的網民們能夠懂得網絡安全，提高警惕，防止沒必要的個人損失。但在我國黑客集體中還在不斷使用其手段欺騙無知網民制造違法行為，社會影響惡劣，一直受到公安機關的嚴厲打擊。一切通過各種渠道散布、傳播、教授黑客技術的行為都構成傳授犯罪方法罪，如目前出版的《黑客社會工程學攻擊2》已被公安機關網安部門所關注，予以打擊;

他是一種通過基礎工具或黑客工具的運用，合法或非法，基于網絡或者收集人們在因特網中泄露或做以安全校驗的個人資料的手段;他也是一種與普通的欺騙和詐騙不同層次的手法。因為社工需要搜集大量的信息并針對對方的實際情況，進行心理戰。

社會工程學簡單可劃分為兩種：

1)基于計算機或網絡實施的攻擊

2)基于實體對象的攻擊

意思已經描述的很清楚，前者利用Internet攻擊，往往有些時候需要一定的技術含量，后者直接實地接觸活生生的人進行欺騙誘惑等攻擊。鑒于文章的全面性，后面都會進行簡單敘述案例與防范。

我們拿社會工程學鼻祖凱文米特尼克的某次社工案例來舉個例子：

通過獲取中間人信息，偽造中間人，成功直入受害者獲取個人密碼。也許你會覺得很扯淡，對!他確實很扯淡，扯淡到你自己受害后并沒有發現隱私等安全問題的發生。#p#

科普的也差不多了，直接進入主題，讓我來看看社會工程學到底有多么的恐怖?

在日益發展的今天，我們一起來看看我們的數據隱私究竟有多不安全?

被社會工程學攻擊的危害?

照片泄露、手機號碼泄露、密碼泄露、甚至你的支付寶等財產口令泄露!

通常我們都知道一個情況，一個人的密碼不會在各個網站及個人口令中超過五個。

超過五個的大腦密碼存儲量會陷入渾渾噩噩的狀態，我深有體會，很早很早以前我在各網站的密碼都不同并且難度很復雜

于是導致的結果就是，每次登陸一個網站都要點擊忘記密碼。。。找回。。。

談到社會工程學和用多少個密碼有什么關系?

關系大了!

我們依舊來舉個例子，你的A網站密碼泄露了，后面會講如何得知你泄露的密碼以及如何泄露：

A網站/PassWord: ff0000team

B網站/PassWord: woaievi1m0

基本上通過得到以上兩個網站的密碼，完全可以淪陷受害者90%的ID ，為何?因為通常得知某網站或幾個網站的不同密碼，完全可以推測出其他，或根本就都是一樣密碼的某網站口令，毛骨悚然有木有，心情糾結有木有?#p#

常見的社會工程學攻擊手法：

1) 搜索引擎資料收集

2) 人性弱點攻擊

3) 中間人偽造攻擊

4) 數據庫索引攻擊

詳細介紹：

1)搜索引擎是最普遍最常用的一種資料收集獲取方式，通過搜索受害人QQ號碼 郵箱等關鍵字，進行資料的獲取，通常使用Google搜索，為何不用百度? 原因你懂得 :) 獲取的資料有何用? 你想要的資料也許可以直接搜索到或者進行密碼猜解?

2)人性弱點的攻擊也是常見的一種社工手法，黑客們把這種手法通常用于域名劫持，比如常見的社工IDC客服 證明自己是域名擁有人 然后偽造一張收集到的域名注冊人的身份證，進行域名劫持。小偉(社工愛好者)經常用于此手法進行劫持，很榮幸，我也是:)

3) 中間人偽造攻擊普遍用于重要資料的獲取，如：手機號碼直接索取，密碼的直接索取等。 但前提需要社工師擁有中間人的詳細信息進行完美的偽裝，從而讓受害者信任。前面說過，社會工程學是利用受害者的貪婪、信任等人性弱點進行的攻擊手法。

4) 數據庫索引攻擊(Data Indexs Attack)是筆者感覺最有殺傷力并一針見血的攻擊，甚至不需要收集太多的資料以及前面3種攻擊偽造，直入要害!

如前段時間刺總(Axsi)在道哥黑板報寫到的《中國黑客傳說：游走在黑暗中的精靈》 文中寫到的“他最大的成就，是積累了一個去重后有13億條數據的數據庫。每條記錄，都包含了用戶名、密碼、身份證號(社保ID)、手機號、郵箱、登錄IP等信息。

對于V來說，想知道誰的密碼，只需要在庫中簡單的查詢一下，馬上就得到了。有時候密碼經過了哈希算法的處理，需要經過彩虹表的反查，或者V會拿到一個云計算中心去用分布式計算框架破解。所以V能夠直接查到女孩的郵箱密碼。”

文章中上面這一段無不令人咋舌，13E的數據究竟有多大的殺傷力?

我通常習慣把數據庫索引攻擊稱為 大殺器! 因為他足以撐得起這個稱號。

我手里也是有一小點兒褲子 (網站被脫的數據庫) /* 有***.sql****.txt****此處屏蔽防和諧***/

曾因某些原因不得不使用一次大殺器，讓我親身體驗了數據庫索引攻擊(DIA)的威力。

現在回想起仍然能感受到當時的快感、刺激感、驚悚感。短短的幾分鐘，索引完畢整個Database(數據庫所在目錄)...

受害人在各個網站的密碼呈現在淡白的熒光屏上，而且其中不乏有很多網站是明文存儲的密碼。

#p#

好了好了，不要在制造恐慌了，那么我們究竟如何防御上面這幾種攻擊?

1)防御搜索引擎攻擊

盡量在網上不要使用真實的信息以及公布自己的資料 ， 其實防御這類社工很簡單，可以使用逆向社工手法 如現在網上散播出各種自己的虛假信息以及照片，進行資料假造 爬蟲爬過后， 各大搜索引擎收錄后，以后自己偶爾不小心泄露了某個資料也能逃避某黑的眼球

2)防御人性弱點

這一點是最難防的，因為代碼是死的，但人是活的。 人有七情六欲，沒有則無意。

個人認為防御這一類攻擊首先要對 對方的一些涉及自己隱私的問題進行慎重考慮以及確定，然后做出明確的判斷。

不要感情用事，這是目前很多青年人易犯的錯誤。 總認為和他是有感情的，殊不知，社工就是利用了這點。

3)防御中間人偽造

這類攻擊很普遍同樣很容易被疏忽，為何?因為當社工師使用這種手法計謀的時候，通常已經掌握了中間人的大部分信息，從而能夠自信的讓你相信社工師就是那個他，那么如何去防御?

確認身份是防御這種攻擊最直接的辦法，如何確認那就要分場景來看了，比如打個電話? 問問他沒有某事件的事情看他如何回答?

4)防御DIA攻擊

寫到這里，我的確頭疼了。 防御DIA攻擊，你不能確保你所登錄的網站沒有被Hacker脫褲(意指被入侵后拖庫)的風險。

所以我們做最壞的打算，你所處網站A被脫，褲子到了Evi1m0手里，他現在可以查看一切用戶的密碼。

怎么辦?

網站通常保存密碼由加密和非加密兩種方式，談到后者不的不說： CSDN數據庫公布，明文存儲!

我對CSDN事件也不在這里多說什么，因為實在時隔已久。 且當時也寫過小小的點評 ：)

那么加密方式存儲的密碼到了黑客手中就無法查看明文了嗎?

非也，CMD5等各種解密網站不是吃干飯的，當然如果你密碼設置的實在變態的話，也好。

這里就要提醒各位朋友，設置密碼時一定要設置高強度密碼且與個人身份無關最好：)

黑客進行DTA攻擊的時候，是要從數據庫進行關鍵字搜索的，如QQ號碼： 7777777

然后獲取自己手里擁有數據庫的關鍵字密碼，進行攻擊方法.1的信息收集，從而登陸各個站點及目的性。

這里，我建議大家注冊1個企鵝的小號以及郵箱，以后注冊時信息盡量填寫小號，小號并無好友，也就是說當你接受DIA攻擊的時候，褲子里面并未存儲于你號碼的信息，這一點和防止.1攻擊手法有點相似，盡最大量少泄露自己信息，讓黑闊無路可走。#p#

甩尾：簡單總結上面幾點

1) 注重自己的隱私!

2) 請勿泄露個人隱私!

3) 密碼請定期更換!

4) 密碼要設置高難度!

5) 隨時提高自己的警惕!

6) ------More------

最后，筆者(Evi1m0)榮幸的邀請了幾名安全研究者來進行點評及保護隱私安全方面的建議：

孤獨雪狼(紅黑聯盟管理員)：

首先很感謝邪紅色信息安全組織的Evi1m0為大家所寫的《剖析隱私安全的奧秘》，從文章中可以看出個人信息安全在如今的網絡世界里是越來越受到大家的重視。

針對《剖析隱私安全的奧秘》文中所談到的保護隱私安全方面，我有以下幾點建議：

1.養成良好的上網習慣。凡是來自于網上的東西都要有持謹慎的態度，下載軟件等其他應

盡量從知名軟件開發商的站點下載，打開之前最好用正版最新的殺毒軟件進行病毒查殺下。

2.安裝殺毒軟件與個人防火墻，打開實時監控，及時升級。對于個人來說，最大的網絡安全隱患往往發生在訪問網頁的時候。

3.正確使用移動存儲設備(如U盤，移動硬盤，MP3等)。

4.關閉或刪除系統中不需要的服務。

5.進行安全操作時需謹慎。特別注意在使用網銀等安全操作時更需要謹慎對待。

總之，如今中國的網絡技術目前正處于蓬勃發展的階段，新技術層出不窮，其中也不可避免的存在一些漏洞，

因此，進行網絡安全防范要不斷追蹤新技術的應用情況，及時升級完善自身的防御措施。對于個人電腦用戶來說，

提高安全防范意識，養成良好的安全習慣是解決安全問題的根本。

小菜有幸在去年的2月份在網易微博跟幾位朋友參加了一個交流會，交流會的主題就是“你的網絡安全嗎?”

在交流會中，小菜跟幾位朋友也提到了對于個人信息的安全防范提了很多建議，大家可以去看下

交流會地址為：http://t.163.com/chat/wangluo

Fooying(知道創宇安全研究成員)

社會工程學是一種"很好玩"的技術，在很多技術上攻克不了的入侵，通過社工也許就能取得意想不到的想過，因為環節里存在了人。我把社工總結成一個原因，人性。任何環節，只有有人參加，就能有利用的地方，沒有一個人是真的無懈可擊的。

就個人而言，挺喜歡Evi1m0的寫文章風格，這篇文章也是同樣的風格，簡單的語言讓你了解社工。不是長篇的大道理，而是實實在在的語言，把自己想說的內容說的清楚，文章的一些鏈接，題外閱讀也是精彩的推薦。

通過搜索引擎搜索相關資料，利用人天然缺少的安全警惕性，隨意的將個人資料提交，導致資料得以出現在互聯網而被搜索;同時也是對與目標網站的過分相信，其實對于任何網站都應該保持一份警惕。而數據庫索引，更能說明對網站警惕性的重要，同時也利用了人的惰性，不同的網站，為了方便，使用相同的帳號和密碼;而人性脆弱就更不用說了。

人性，不能完全的避免，如果能的話，除非非人。

但是盡量的避免社工還是可以做到的。針對性的對社工的利用方式進行處理就ok，比如帳號方面，如果不是什么重要帳號，倒是可以無所謂不一樣，但是對那種臨時登陸就可以臨時取個密碼，當然最好，每個站都設置不同密碼和帳號，怕忘記，可以借助一些密碼管理工具;對任何人，任何事，多一些懷疑。多一步確認!

星塵(邪紅色信息安全組織成員)

社工這一數十年來不變的安全話題，防止社工有時候不僅僅是用戶需要注意的問題，運營商也有著不可推卸的職責。這就像弱口令的存在是用戶還是運營商的問題一樣。

RedRain (國內安全研究者)

寫給Evi1m0基友：社會工程學攻擊永遠是一個最吸引人的話題，他的神秘性和對所有資源、知識的恰當利用都讓所有黑客和安全研究人員神往不已，我一直相信一點，社會工程學攻擊這樣的社會關聯活動是獲取目標最真實信息的最牛方法，想想你不費一兵一卒，便對目標了如指掌，任何人或事件對于你來說都是透明的，這是多么想開了上帝模式啊

本屌也對社會工程學攻擊神往已久，也做過一些實驗性的攻擊，Evi1m0基友將社會工程學的攻擊方式都寫得很詳細，本屌也有一些小技法介紹給大家，也是我常用的

0x01 十度分隔法

這是我從大黑客凱文米特尼克學來的，在社會心理學中，六度分隔的古老游戲是由很多分隔層的，而當黑客進行攻擊時，通常會從與目標任務或時間間隔十層(不一定是十層，視情況而定)的關系目標開始滲透，

如：我要入侵公司內網，那我會先選擇一臺連入內網的主機——機主——機主的妻子——其妻子的高中同學

這樣的好處是不會讓你暴露很強的目的性，有一定的隱蔽作用(做APT是經常使用)

0x02 社交信任認證欺騙(社交網絡釣魚)

釣魚大家都很熟悉了，當我的目標是個SNS(社交型網絡服務)迷時，我通常會發送偽造郵件(fake email)進行郵件欺騙，將目標劫持到我做的釣魚頁面

如：郵件內容大概為本站正在進行維護，請在此輸入信息以便升級之用。然后用戶點入連接即被劫持到釣魚頁面最后，感謝Evi1m0的文章!

相守(京東商城信息安全工程師)

社會工程學給人的感覺是一種很神秘的技術，社會工程學看似簡單的欺騙而已，卻又包含了復雜的心理學因素，其可怕程度要比直接的技術入侵大得多，對于技術入侵我們可以防范，但是心理漏洞誰又能時刻警惕呢?

社工就好比一場沒有硝煙的戰爭，社工的危害遠遠大于入侵滲透，因為在你不知道的情況下，就中招了，，它利用人的心理弱點、規章與制度的漏洞來攻擊，以期獲取攻擊者所想要的信息。

至于社會工程學如何防御，樓上幾位大牛已經提到相關的防御方法 最主要是一點不要輕易把自己的信息給暴漏在互聯網上面。