生活中的社会工程学攻击案例

社会工程学无处不在，在商业交易谈判和司法等领域都存在。其实在生活中，我们也常常在无意中使用，只是浑然不觉而已。例如,当遇到问题时，会知道应该寻找有决定权的人来解决，并让周遭的人帮助解决。这其实也是社会工程学。社会工程学是一把“双刃剑"，既有好的一方面,也有坏的一方面。
本节将介绍几种生活中常见的有关社会工程学攻击的案例，希望大家能够进一步地了解社会工程学,并提高警惕。

假设攻击者试图入侵某个公司的内部办公系统，但无法破解管理员的登录密码。可先利用一些手段获得管理员的手机号，再想办法得到管理员的登录密码即可。他们会按照下面的方法进行。

a.查询用户网络信息
攻击者可以使用社会工程学，详细地收集管理员在网上的各种信息，如管理员常用的邮箱。通常来说，经常在网络上活动的管理员，当他们注册一些论坛或博客站点等服务时，都会用到邮箱。因此，攻击者可以将这些邮箱地址作为关键字,在百度或Google等搜索引擎中搜索相关信息。从搜索结果中可以看到许多有用的信息，如管理员注册了哪些论坛。同样，可以用管理员的其他邮箱、QQ号等信息为关键字在网上进行搜索，也可以搜索到不少信息。另外，还可以在当下流行的“百度贴吧”和“新浪微博”等社交类型的网络上搜索更详细的信息，以获得用户的真实资料等信息。
b.获得手机号码
如果从网络中的搜索信息中可以直接得到目标的手机号码，他们会利用这个手机号码进行欺骗。如果只得到了目标者的出生日期、家庭住址或QQ号码，他们会将目标者的QQ号加为好友,再通过其他方法骗到目标者的手机号码即可。

利用社会工程学破解密码，就是有针对性地收集被破解人的相关信息，并对相关信息进行整理加工，达到快速高效地破解密码的目的。利用社会工程学破解密码非常简单，而且不需要其他的黑客工具便能办到,危害非常大。
例如,要破解某个人的账号与密码，就收集关于他的信息:姓名、生日、手机号、QQ号、家庭电话、学号、身份证号、家乡及其所在地的邮政编码和区号等。除此之外,还要收集他身边关系亲密人员的信息，如父母、女友的信息等等。将这些收集到的信息加上其他一些常用的字母、数字进行一定的排列组合组成一系列的密码，即密码字典。
建立好密码字典之后，即可使用特定的工具对这些密码进行测试，最终匹配到正确的密码。
提示：密码字典主要是配合解密软件使用的，密码字典里包括许多人们的习惯性设置的密码，这样可以提高解密软件的密码破解命中率，缩短解密时间。当然，如果一个人密码设置没有规律或者很复杂，没有包含在密码字典里，这个字典就没有用了，甚至会延长解密时间。

得到管理员的手机号码后，可以通过伪造能够自由出入目标内部的身份骗取系统口令。当然，这种做法可能有一定的运气成分，但生活中疏忽大意且防备心理不强的人非常多，社会工程学正是利用这一特点对目标进行攻击的。
提示：身份伪造是指攻击者利用各种手段隐藏真实身份，以一种目标新人的身份出现，从而达到获取情报的目的。
例如：在得到管理员的手机号码后，攻击者可以假装是管理员所在公司的一个新员工，然后利用得到的手机号给目标发信息，告诉他“我是你的新同事XXX，是新的销售经理助理，这是我的手机号码”。在寻找话题与管理员聊天，使其对自己说的话深信不疑。这样，即可顺利地从管理员口中获得系统口令了。