没有硝烟的战争——社会工程学

    社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。

 一、请狼入室

    李小姐是某个大公司的经理秘书，她工作的电脑上存储着公司的许多重要业务资料，所以属于公司着重保护的对象，安全部门设置了层层安全防护措施，可以说，她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒，安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许是贪图方便，维护员与李小姐的日常联系是通过QQ进行的。

    这天，李小姐刚打开QQ，就收到维护员的消息：“小李，我忘记登录密码了，快告诉我，有个紧急的安全设置要做呢！”因为和维护员很熟了，李小姐就把密码发了过去。

    一夜之间，公司的主要竞争对手掌握了公司的业务，在一些重要生意上以低于公司底价的竞争手段抢去了大客户，令公司蒙受损失。经过调查才知道是公司的业务资料被对方拿到了，公司愤然起诉对手，同时也展开了内部调查，李小姐自然成了众矢之的。最后焦点集中在那个QQ消息上。维护员一再声称自己没发过那样的消息，但是电脑上的记录却明明白白的显示着……随着警方的介入以及犯罪嫌疑人的招供，一宗典型的“社会工程学”欺骗案件浮出水面。


    李小姐正是出于对维护员的信任，所以被对方欺骗了。因为那个在QQ上出现的维护员根本不是公司的维护员本人，而是对手盗取了维护员的QQ，再利用一个小小的信任关系，就轻易取得了登录密码，公司的业务资料自然落入对方手中。这能否算作入侵案件呢？对方并没有用任何技术手段对公司电脑进行扫描、漏洞渗透，密码也是公司员工自己告知的，因此出现了有趣的矛盾：对方是在未经授权的情况下登录了受害者机器并盗取了具有经济价值的资料，这已经属于入侵，那么这个人就属于入侵者；但是对方登录的密码却不是通过非法手段取得的，而是受害者方面告知的，那这个人又可以称为合法登录者？最终还是警方有能耐，结案为：被告通过欺骗手段骗取受害者公司员工的登录密码，并在未经授权的情况下登录受害者机器盗取业务资料，此案虽然未涉及技术手段，然而被告利用社会工程学手段进行偷窃已经证据确凿，仍然属于非法入侵，此外还涉及诈骗……

    公司终于通过法律手段挽回了损失，但是“社会工程学”的可怕已经在每个人的心里挥之不去了……

    二、形同虚设的密码

    现在把焦点转向那个维护员。由于安全部门距离李小姐的工作地点有好些距离，管理不方便，所以公司让他们直接通过网络来管理机器，除非是不得不通过物理途径来解决的故障，否则他们一般不用亲自过去。
    
    他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。

    作为安全人员，他自然知道密码的重要性，因此他的任何密码都设置得十分复杂，穷举几乎不可能。至于被入侵，那更不可能发生。他还要保护那台重要的电脑呢，自己都保护不了，有什么资格保护别人？然而百密仍有一疏，他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码，然后去联系李小姐……

    他在输入提示答案的时候，下意识的输入了他心里最重要的那个人的名字。但是对手也知道他心里那个人的名字，这是商业中所谓的“知己知彼”。于是噩梦开始了……

    现在很多网络工具、论坛等涉及密码的东西都提供了“取回密码”功能，而这种功能大部分都是根据确认用户回答的问题是否和原来预设的一致而决定是否给出密码的，这就留下了一个心理学的安全隐患，大部分人会下意识的输入自己的名字、亲友恋人的名字、某些有特殊意义的字符、特殊日期、证件号码等，而这些数据只要偷窃者和用户有过特殊意图的接触后都能轻易取得，于是，无论多么复杂的密码，无论里面出现了多少个特殊符号，它们都等于没有设置了。

    不过提示答案也不要设置得太复杂，笔者在写此文时候改了个连自己也记不起来的QQ提示答案，汗…… 

    三、E时代的守株待兔

    高中生win7平时喜欢QQ聊天，而绚丽的QQ秀和一些特色服务更令他爱不释手，但是这一切都必须和金钱划等号，win7虽然喜欢QQ，可是也知道精打细算，他是不会把钱用在这种虚拟方面的，但是又想要自己的QQ生涯过得辉煌，于是他把眼光投在一些获取Q币的方法上。这天，一个好友给win7发来一个URL，还说这个网站通过一定的点击次数提供Q币。如此好的机会win7怎能放过？他根据网站的提示输入了QQ号码和密码完成注册，然后给QQ上的朋友们发了网址。然而等了许久，自己的Q币依然没有动静。第二天，win7想登录QQ时，却发现怎么也登录不上去了——QQ密码被人改了。这是最近闹得轰轰烈烈的QQ欺骗案件之一，连腾讯公司也不得不出面澄清：“目前许多冒充我公司的网站，打着送Q币或赠送QQ号的旗号，要求用户在对话框输入QQ号码以及密码。网站地址多为有qq字样， 点击进入页面有仿制QQ公仔形象，页面正中有明显要求输入QQ号，密码，验证码的对话框。目前此些网站多为骗取用户点击率，但将来有可能发展为盗号的一种手段。”

    由于QQ在中国深入人心，越来越多的人打起了QQ的主意，如果说用木马盗取QQ密码只是早期的手段，那么如今通过网站等待用户自己送上门的手法可谓暂时的顶峰了。其实类似这种的方法前些日子就出现过了，如果你时常泡一些比较大的论坛，就会有机会碰上诸如此种内容的帖子：“为了方便快捷的管理，腾讯公司预留了几个管理专用号码作为充值号，此号是自动读取指令的，腾讯公司为了不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身。只要发送{Jerusalum/PLO号码}{Vesselin Bontchev密码}{FRALDMUZK Q币数量}，然后下线5分钟，等着收Q币吧。”——大哥你是不是在搞笑？！改我密码还要5分钟啊？麻烦你快一点好不好！

    此外还有QQ中奖要求用户填写密码以待“验证”等伎俩，无论什么手法，最终结局都是一样的，那就是——用户的密码被人改掉。

    如此白痴的骗局，只要有点常识的人都不难理解其中的“笑话”，奇怪的是却屡屡有人上当，究其原因，就是因为国人的贪小便宜心理作祟。作俑者利用这种看似“非常有赚头”的低级欺骗手法，引得众人自愿撞死在他的树桩上，而且是来了一批又一批。

    而中国独有的QQ尾巴病毒，也开始融入了社会工程学的雏形，很早以前，QQ尾巴近似于弱智的欺骗手法是随机发送一些莫名其妙的地址，而如今，QQ尾巴们已经开始“智能”化，在某句话后加入“补充”或者与当前聊天内容相关的句子，对方往往出于下意识的反应就打开了病毒网址。

    除了QQ，其他利用网络可以搜刮的资源也在一些人的窥视中，例如银行账号、身份证号码、生日姓名、联系地址等，不要以为这些信息的泄漏并不会带来什么严重后果，恰恰相反，它们为犯罪分子提供了重要情报，大学生张某就遭遇了一回网络圈套，他在本市一个网络游戏网站注册会员时就发现此网站要求填写的资料多得异常，从姓名到家庭住址都涉及了，据称是为了给会员邮递免费资料用的。注册不到一星期，家里便打来电话询问张某是不是破坏了学校公物，因为有人打电话通知张某家人汇款到某账户用以赔偿“被张某破坏的教学设备”。张某很快就反应过来了，随即向网警报了案。

    漫游网络，我们在不同的地方都需要一个标明自己的ID，而注册ID的时候需要按照要求填写相关信息，然而这里又出现一个缺陷，犯罪分子可以堂而皇之伪造一个罗嗦至极的注册页面，从中套取用户的众多资料，有了这些资料，犯罪分子能干的事情就很多了。一些所谓的测手机号码或者信箱凶吉的网站，利用广大用户的好奇心理，公然获取用户信箱或者手机来发送广告垃圾；一些网站通过“调查手机服务”偷偷开通手机收费服务，可谓费尽心思。

    防范！警惕！话虽如此，可是看着一批又一批兔子撞死在树桩上，我们能有什么办法呢？贪婪和好奇心可是会要人命的！

    四、轻而