网络安全—社会工程学

免责声明：由本文做出的违法行为，作者概不负责
一.社会工程学

1.什么是社会工程学？
世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。

社会工程学（Social Engineering） 是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是，这种手段非常有效，而且应用效率极高。事实上，社会工程学已是企业安全最大的威胁之一。狭义与广义社会工程学最明显的区别就是是否会与受害者产生交互行为。广义是有针对性的去对某一单一或多一目标进行攻击的行为。

社工三大法宝：网络钓鱼、电话钓鱼、伪装模拟
狭义三大法宝：谷歌、社工库、QQ
社工师的分类：黑客、渗透测试、间die、te工、gov、公司内部员工、诈骗人员、猎头、销售人员、普通人

举个例子：
某黑客知道了小H的手机号，通常QQ号和手机号是一样的，然后我们可以获取小H的QQ昵称，家乡，性别，年龄等一些基本信息。这仅仅是刚开始，然后通过小H的QQ获取空间个人一些相册，自己写的一些文章，自己对别人的评论，别人最自己的评论，留言板等信息，这些可以进行小H的心里分析，看小H是一个怎样的。接着通过看小H的手机号，获取小H 的微信号，进一步获取更多个人信息，再然后通过网站获取小H的所有注册过的网站，通过各个网站进一步获取信息。现在要进行深一步的了解了，利用小H生日组合或者名字进行暴力破解，破解小H注册的一个垃圾网站的号码密码，然后登陆其他的网站。通常防范意识不高的，很多账号密码都是一样，可以获取小H的学历，还有小H里面其他所有的好友，名字，还有和别人的聊天记录，现在开始有交集了，把小H其他人进行收集。最后把小H的所有信息收集，不停的对比和整理。最后基本了解小H的信息了，可以将小H的信息进行贩卖。

那么，信息是如何被泄露的呢？泄露的方式有很多，比如：

在网上注册时，垃圾网站被黑客攻入（服务器或者数据库被攻击），黑客获取信息。
网站内部人员将信息贩卖，然后获取信息。
通讯被窃听，http协议用post或者get提交时，使用火狐进行拦截。
撞库，比如你在这个A网站注册时，使用了一个密码，在B网站也使用这个密码，知道A网站的密码，自己也可以用这个密码登录B网站了，这个就是撞库。
为什么攻击者会选择利用社会工程学进行攻击行为？
因为它是最便捷的攻击方式。攻击者在搞定一个极其复杂的内网环境或者高度防