社會(huì)工程學(xué)是黑客米特尼克在《欺騙的藝術(shù)》中率先提出的，其初始目的是為了讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全，提高警惕，防止不必要的個(gè)人損失。
        很多企業(yè)、公司在信息安全上投入大量的資金，最終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。
        你們可能永遠(yuǎn)都想象不到，對(duì)于黑客來說，通過一個(gè)用戶名、一串?dāng)?shù)字、一串英文代碼，社會(huì)工程師可以根據(jù)這么幾條的線索，通過社工攻擊手段，加以篩選、整理，就能把你的所有個(gè)人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個(gè)人信息全部掌握得一清二楚。
        雖然這個(gè)可能是最不起眼，而且還是最麻煩的方法。一種無需依托任何黑客軟件，更注重研究人性弱點(diǎn)的黑客手法正在興起，這就是社會(huì)工程學(xué)黑客技術(shù)。
        隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)及安全防護(hù)產(chǎn)品應(yīng)用的越來越成熟，很多常規(guī)的黑客入侵手段越來越難。在這種情況下，更多的黑客將攻擊手法轉(zhuǎn)向了社會(huì)工程學(xué)攻擊，同時(shí)利用社會(huì)工程學(xué)的攻擊手段也日趨成熟，技術(shù)含量也越來越高。
        黑客在實(shí)施社會(huì)工程學(xué)攻擊之前必須掌握一定的心理學(xué)、人際關(guān)系、行為學(xué)等知識(shí)和技能，以便搜集和掌握實(shí)施社會(huì)工程學(xué)攻擊行為所需要的資料和信息等。
        社會(huì)工程師的目標(biāo)
    許多社會(huì)工程師的目標(biāo)是獲得個(gè)人信息，可能直接導(dǎo)致目標(biāo)的財(cái)產(chǎn)或身份被盜、或準(zhǔn)備向目標(biāo)發(fā)動(dòng)更有針對(duì)性的攻擊。社會(huì)工程師還會(huì)尋找各種方式去安裝惡意軟件，以便更好的訪問目標(biāo)的個(gè)人數(shù)據(jù)、計(jì)算機(jī)系統(tǒng)或賬號(hào)。另外，社會(huì)工程師也可能在尋找可以獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的信息。
        有價(jià)值的信息包括：
    密碼
    賬號(hào)
    密鑰
    任何個(gè)人信息
    訪問卡和身份證件
    電話名單
    計(jì)算機(jī)系統(tǒng)的詳情
    具有訪問權(quán)限的人的名單
    服務(wù)器、網(wǎng)絡(luò)、非公網(wǎng)URL地址、內(nèi)部局域網(wǎng)等信息
    怎樣獲得有用的信息
    起點(diǎn)可能是一個(gè)微博 ID，或者是QQ號(hào)，又或者是郵箱，最有用的當(dāng)然還是郵箱和手機(jī)號(hào)。
        僅有手機(jī)號(hào)的情況：
        省份、城市地區(qū)百度就出來了，如果撥通電話，通過聲音大致可以了解到機(jī)主的性別，年齡等信息。
        對(duì)于手機(jī)尾號(hào)，如尾號(hào)是666/168/888，這一般是經(jīng)濟(jì)條件較好的生意人，尾號(hào)2連號(hào)或是ABAB、AABB身份多半是小生意人，也有國(guó)企等職員使用，如果是一般的尾號(hào)則可能是普通老百姓或者是低調(diào)的企業(yè)家。
        暴露微信號(hào)、微博、支付寶、QQ等
        由于我們的微信、微博可能會(huì)綁定手機(jī)號(hào)，還可能會(huì)拿手機(jī)號(hào)注冊(cè)支付寶。如此，當(dāng)別人拿到我們的號(hào)碼，他可以把號(hào)碼存到他們的手機(jī)上，這樣如果你開設(shè)了通訊錄添加好友，他可能會(huì)查詢到以下這些信息。
        根據(jù)火車票還原身份證信息
        利用前6位得知?dú)w屬地，出生日月則只有366種可能，倒數(shù)第二位可根據(jù)性別區(qū)分降低遍歷數(shù)量，最后一位是校驗(yàn)碼。
        利用搜索引擎
        01. 利用通訊錄軟件（可輸入姓名查詢職業(yè)電話等信息）
        電話萬能鑰匙(可關(guān)聯(lián)手機(jī)號(hào)到姓名) 、騰訊手機(jī)管家 、觸寶電話 、電話邦、360手機(jī)衛(wèi)士、搜狗號(hào)碼通、百度號(hào)碼認(rèn)證、刑部11司、領(lǐng)英等
        03. 通過QQ、支付寶、微信、微博、陌陌、易信、釘釘?shù)燃磿r(shí)通訊軟件查看關(guān)聯(lián)手機(jī)號(hào)碼的網(wǎng)絡(luò)ID信息。
        04. 查詢手機(jī)注冊(cè)過的網(wǎng)站，再通過這些網(wǎng)站核查注冊(cè)人的身份信息。
        05. 中國(guó)聯(lián)通cBSS支撐系統(tǒng) 手機(jī)號(hào)/姓名關(guān)聯(lián)/身份證照片
        06. 少量運(yùn)營(yíng)商信息
        07. 信用數(shù)據(jù)庫
        其他信息：
        騰訊QQ→大量個(gè)人信息
    論壇類 百度貼吧→有大概率獲得郵箱
    人人網(wǎng)→教育履歷
    職業(yè)社交類 赤兔/脈脈→可以獲得教育/工作履歷
    社會(huì)工程學(xué)攻擊
    技術(shù)一：?jiǎn)⒂煤?br />         網(wǎng)絡(luò)攻擊者正在使用社交工程學(xué)手段來誘騙企業(yè)用戶啟用宏，以便宏惡意軟件能夠正常運(yùn)行。在針對(duì)烏克蘭關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊中，Microsoft Office文檔中出現(xiàn)了虛假的對(duì)話框，告訴用戶啟用宏來正確顯示在Microsoft產(chǎn)品的最新版本中創(chuàng)建的內(nèi)容。
        攻擊者用俄語編輯了對(duì)話文本并讓對(duì)話看起來像是出自Microsoft。當(dāng)用戶遵循要求并啟用宏時(shí)，該文件的惡意軟件就會(huì)感染用戶設(shè)備。CyberX工業(yè)網(wǎng)絡(luò)安全副總裁Phil Neray表示，這種網(wǎng)絡(luò)釣魚策略使用了一個(gè)有趣的社會(huì)工程技術(shù)來解決大多數(shù)用戶關(guān)閉宏的事實(shí)。
        技術(shù)二：性勒索
        在稱為“catphishing”的攻擊活動(dòng)中，網(wǎng)絡(luò)犯罪分子會(huì)偽裝成受害者的“潛在愛慕者”，并誘使受害者分享私密的視頻和照片，隨后進(jìn)行敲詐勒索行為。Avecto的高級(jí)安全工程師James Maude表示：
        這些攻擊手段已經(jīng)開始針對(duì)企業(yè)用戶，通過使用社交媒體瞄準(zhǔn)企業(yè)的高層人員，隨后通過性勒索手段向他們索要很多企業(yè)的敏感數(shù)據(jù)。
    技術(shù)三：培養(yǎng)親和度的社會(huì)工程手段
        親和社會(huì)工程是指攻擊者可以和目標(biāo)之間基于共同的興趣或某種相互辨認(rèn)的方式進(jìn)行聯(lián)系。一個(gè)經(jīng)驗(yàn)豐富的社會(huì)工程學(xué)黑客會(huì)精于讀懂他人肢體語言并加以利用。他可能和你同時(shí)出現(xiàn)一個(gè)音樂會(huì)上，和你一樣對(duì)某個(gè)節(jié)段異常欣賞，和你交流時(shí)總能給于適當(dāng)?shù)姆答?，你感覺遇到知己，你和他之間開始建立一個(gè)雙向開放的紐帶，慢慢地他就開始影響你，向你套取一些信息（最初是無害的信息），隨后要求更多的敏感信息。一旦掌握一定程度的信息，他們就會(huì)進(jìn)行勒索行為。
        技術(shù)四：虛假招聘信息
        因?yàn)橛泻芏喃C頭都在尋找合適的應(yīng)聘者，所以如果攻擊者提供誘人的職位薪資來獲取應(yīng)聘者的信息，這一點(diǎn)也不會(huì)引起別人的懷疑。
        Johnston表示：
        這種手段可能不會(huì)直接泄漏計(jì)算機(jī)密碼，但是攻擊者可以獲取足夠的數(shù)據(jù)來確定誰是你公司的密碼管理者。攻擊者也可以威脅員工稱‘已經(jīng)告訴老板他們計(jì)劃離開公司，并已經(jīng)共享了機(jī)密信息’，以便利用受害者。
    技術(shù)五：偽裝成新人打入內(nèi)部
        如果希望非常確定地獲取公司信息，黑客還可以專門去應(yīng)聘，從而成為真正的自己人。這也是每個(gè)新員工應(yīng)聘都必須經(jīng)過徹底審查階段的原因之一。當(dāng)然，還是有些黑客可以瞞天過海，所以新員工的環(huán)境也應(yīng)有所限制，這聽起來有些嚴(yán)酷，但必須給新員工一段時(shí)間來證明，他們對(duì)寶貴的公司核心資產(chǎn)來說是值得信任的。即使如此，優(yōu)秀的黑客都通曉這套工作流程，在完全獲得信任后才展開攻擊。
        技術(shù)六：社會(huì)工程機(jī)器人（bot）
        PerimeterX的首席研究員Inbar Raz說：
        對(duì)于高度復(fù)雜、有害的社會(huì)工程活動(dòng)通常由惡意機(jī)器人負(fù)責(zé)，機(jī)器人通過感染具有惡意擴(kuò)展的Web瀏覽器，能夠劫持網(wǎng)絡(luò)對(duì)話，并使用保存在瀏覽器中的社交網(wǎng)絡(luò)憑證將受感染的郵件發(fā)送給朋友。
    Raz解釋稱，攻擊者使用這種手段來欺騙受害者的朋友點(diǎn)擊郵件中的下載鏈接并下載安裝惡意軟件，這樣可以使攻擊者成功構(gòu)建出包括他們電腦在內(nèi)的大型僵尸網(wǎng)絡(luò)。
        社會(huì)工程學(xué)是一門美麗的藝術(shù)還是欺騙的藝術(shù)，全在使用者的一念之間。
  
        安徽靈狐科技：主要專注于 Web 安全領(lǐng)域，在信息安全領(lǐng)域，我們擁有多位頂級(jí)安全專家組成的服務(wù)團(tuán)隊(duì)，長(zhǎng)期工作在網(wǎng)絡(luò)安全服務(wù)一線，有著銳利的滲透測(cè)試能力和豐富的網(wǎng)絡(luò)安全服務(wù)經(jīng)驗(yàn)，以及持續(xù)穩(wěn)健的網(wǎng)絡(luò)安全運(yùn)維風(fēng)格和敏捷高效的應(yīng)急響應(yīng)能力。 我們深耕于互聯(lián)網(wǎng)整合營(yíng)銷和網(wǎng)絡(luò)安全服務(wù)領(lǐng)域，為政府、教育、金融、醫(yī)療衛(wèi)生、游戲、金融、科技等關(guān)系國(guó)計(jì)民生的重點(diǎn)行業(yè)、重點(diǎn)客戶提供全方位的營(yíng)銷及網(wǎng)絡(luò)安全技術(shù)服務(wù)，同時(shí)積極為行業(yè)主管單位提供技術(shù)支撐服務(wù)。