通過以上手段很有可能仍然無法獲取足夠的信息,此時就要藉助社會工程學來進行進一步的攻擊。在計算機科學中,社會工程學指的是通過與他人的合法地交流,來使其心理受到影響,做出某些動作或者是透露一些機密信息的方式。這通常被認為是一種欺詐他人以收集信息、行騙和入侵計算機系統的行為。[4]
在社會工程學的開山鼻祖凱文·米特尼克的《欺騙的藝術》一書中,舉了一個社會工程學的經典案例,負責開發電匯交易備份系統的斯坦利·馬克·瑞夫金偷看到了電匯交易員為了圖省事寫在紙片上的交易密碼,隨後通過偽裝成銀行工作人員像電匯交易員發起匯款指令,獲利超過一千萬美元。[5]
現在的系統複雜度不可能通過如此簡單的辦法進行破解,但是社會工程學的思路通過上例已經充分展現了,即利用人的認知偏差,讓受害者自行提供相關的敏感信息。比如常見的電信詐騙,利用人們畏懼權威的心理,攻擊者通過偽裝成法院、公安人員,威脅受害者轉賬到指定賬戶,或偽裝成高校老師,威脅受害學生轉學費到指定賬戶等,通常目標是青少年和中老年。
為了利用人們一套密碼多處使用的習慣,黑客建立了很多「社工庫」,通過社工庫可以查詢被泄露的網站用戶名密碼,獲取這些隱私數據的過程叫做「拖庫」,使用這些用戶名密碼嘗試登陸其他網站的過程叫做「撞庫」,如果客戶使用一套用戶名密碼登陸多個網站,則容易被撞庫攻擊,並且獲取多個網站的相關信息,可能包含姓名、手機號、郵箱地址、證件號、金融賬戶信息等等,造成難以估量的損失。
舉一個社工庫的例子,為避免造成不好的影響,具體地址我就不放了,大家可以在搜索引擎裏嘗試搜索。裡麪包括了幾次比較重大的數據泄露事件泄露出的數據,其中包括某易郵箱,某商城和某書城看鏈接名字就能猜到(某東和某當),大家可以嘗試用一個非敏感信息查詢,比如郵箱或賬號,看看自己的數據是否被泄露過,比較麻煩的是密碼,如果看到自己的郵箱關聯出一個常用明文密碼,儘快把所有用過這個密碼的地方都改掉。需要注意的是,這個網站本身就可能釣魚,比如,同一IP、Cookie,查詢了一套姓名、手機號、郵箱,這本身就是一套用戶主動泄露的隱私,這也是為什麼數據玩家建議大家用非敏感信息來查詢。風險常在,警鐘長鳴。