如果您认为您是高手 大可不必看此文 此文写给那些整天做梦要当HACKER高手的菜菜们~~ 前几天一位朋友给我一EBAY的网页,说是让我看看,由于之前在上面开过店,我登陆之后进入了他给我的连接,是个QQ号的交易店铺,没什么特别的,但是对我很特别,因为他卖的号码中有19860311,我的生日,呵呵~心动ING~不过一看标价,180!!!囊中羞涩啊~想点别的吧~ 网页上留了一个店家自己的站点,点开是个QQ交易站,一堆广告,一堆TX官方站上弄的图~做的挺漂亮~(看来管理员没少费工夫),网站上有个注册的地方,而且标明注册就有机会得8位号码,虽然自己知道这里可能会有猫腻,不过为了俺的生日号 注册个~~~点击注册~~~添申请表~~ 以下为申请表要求的内容: 帐号: 密码: 确认密码: 密码保护问题1: 答案: 确认答案: 密码保护问题2: 答案: 确认答案: 真实姓名 个人邮箱: 联系电话: 手机:: 联系QQ: (只有添写真实QQ 核实后才可兑奖) 身份证号: (发个类似的站 详情看下这个帖子:http://bbs.hackbase.com/viewthre ... amp;extra=page%3D1) 到此下面我就基本没记了 一堆~~细心些的人应该看的出来,这个格式和一个东西很象~~~QQ号码的申诉表!!!!~可能你会说,现在的网站的注册申请都是这样~~(包括基地~嘎嘎)问题就是出在这里,这个站点是做什么的??卖Q的~~Q是哪来的??我就不信都是申请到的!!!有人可能会说我以小人之心度君子之腹,或许是吧~但是你不得不承认这是一个隐患~这个隐患一旦被人利用~~~~ 呵呵,由此引出我的标题提到的内容,社会工程学.因为我是Q区斑竹,就拿偷Q的发展来说,最早的方法应该是键盘记录~~而且一般都是网吧的网管利用工作便利搞的,然后就是专门的盗Q木马,再然后就是现在的结合所谓的社会工程学的盗Q~~现在已经不是那个只要你懂得技术就可以的时代了,你的技术永远是为你想达到的目的服务的~说白了,什么键盘记录 什么木马 无非只是你的工具~而你要达到目的,光有工具远远不够用,更多的是要脑子~ 以下为引163上的一段关于社会工程学的话: (原文地址:http://tech.163.com/05/0329/14/1G14ONH500091589.html) QUOTE: 什么是社会工程学? 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 看的有点迷糊,在网络安全层面上可以简单理解社会工程学为:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。 以下两个例子方便大家理解: 1,现在的偷Q~更多的利用不是木马~而是申诉~怎么讲?当对方拿到和你相同的关于你的QQ号码的资料的时候,他可以通过申诉来拿到号码的密码,之后因为申诉过后的密码保护需要重新申请来完成对你的QQ号码的完整控制~~说白了,方法就是:他让TX觉得他就是这个QQ号码的真正的主人! 2,电话公司在搞促销,只要限定一定时间的使用和约就可以一分钱获得一部最新的手机,注意,前提是一定要签订一定使用期限的移动电话网络使用和约。有位仁兄就想了,怎么能不去花钱签订电话线路使用和约而可以以一分钱拿到这个手机呢。于是他就打了一个电话给这间电话公司属下的一间分店,我们叫它位A店。他和职员对话如下: 职员:这里是电话公司A分店,有什么能帮你 仁兄:你好,我叫仁兄,我之前去过你们的店,我想申请一个手机服务,你们以为姓李的店员(当然是猜的)介绍了一个不错服务给我。我当时没有拿定注意,现在我决定申请那个服务了,哦~~~,那个店员叫李~~~,我不记得了,你知道吗??? 店员:~~~,我们店了有两个姓李的,你说男的还是女的??? 仁兄:对,是男的,他说他叫李~~,不好意思,我忘记了名字,你能告诉我吗?? 店员:叫李XX 仁兄:对,就叫李XX,我马上就去你们店里办理相关服务开通的手续。再见 店员:再见。 之后,这位仁兄又打电话给了令一间分店,分店B 仁兄:你好,请问是分店B吗 职员:是,请问有什么可以帮你 仁兄:我是分店A的李XX,我这里有一个顾客刚刚和我们签订了那个一分钱手机换购合约,但是之后我才发现店里那个手机的型号已经没有存货了,你们店里还有吗??? 职员:有的 仁兄:好级了,我已经和他签订了线路使用和约,我现在叫他去你那里,你用一分钱把手机卖给他就可以了。 职员:好的,你叫他来吧。 半小时候,这位仁兄出现在了分店B里,用一分钱换购走了手机。 现在明白了吗???只要证明自己是可以被相信的,欺骗是很容易的。 社会工程学与网络安全之所以联系如此紧密,完全是因为其对象是网络安全中最为薄弱的一个环节,人!技术层面的东西做的再牢靠,也是需要人来管理,而人的管理过程又有很多的规律可循.之前有篇帖子说什么几十年后黑客会消失,因为届时的安全技术会怎么怎么高明~怎么怎么稳定~~那都是所谓的科学家们的憧憬罢了,只要有人的参与,那系统就存在不安定因素~打个简单的比方,很多人知道,关于QQ密码的安全的问题,问问自己,自己的QQ密码安全不安全?你身边的朋友可不可能猜的出来?没错,是猜~~而前提是他和你足够熟悉,这就是社会工程学~ 社会工程学的核心在于人的思维方式,还是拿密码来说,最简单的123456,admin,生日,电话,这些东西应该仍然是很多人密码的首选~~你可能会说别人关注我做什么?是~别人可能现在不关注你,那是因为你的东西没有利用价值,但当你的东西有利用价值或者你身边的人的东西有的时候,这些信息都会成为绝对的不安全因素~看过很多教程,关于入侵啊,破解啊,漏洞啊~什么的,很多都是应用了这其中的道理,在工具,技术都用不到的情况下~~~永远不要忘了你还有"猜"这么一招~而猜的依据就是信息的搜集了~~就拿入侵来说,如果入侵你的学校的站点,你就有很多东西可以利用,比如学校校长的名字 手机 生日 学校的全名 简写,等等等等~~呵呵,我们学院的后台管理员ID和密码就是院长的姓名和手机号~~如此简单~~怎么得到这些资料?呵呵~不用我多说了吧~ 在你佩服那些所谓的高手们的技术的同时,你也不能忽视这一部分的内容,运气和技术是同样重要的,运气更多的时候并非是老天给的,而是你自己争取的~~之前记得看过小叼的一篇文章,其他内容不记得了,只记得其中一句话, 世界上没有菜鸟 只有你菜的思维~菜的思考方式~ 我的理解 所谓的高手 不一定比你知道的多 技术有你好 但一定想的比你多~~准备比你充分~ 呵呵 到此打住了,以上所写只是个人的一些感想 皮毛而已 希望给那些刚刚进入这个网络世界的菜菜们一点启发