社会工程学

小莫童鞋还在初中的时候，玩过这些社会工程学，盗号啊，黑网站啊……但是基本上都不会删别人数据什么的，纯粹的玩一玩，现在想想真单纯。

那时候就想当个牛逼的黑客，于是在编程的路上，一去不复返……

社会工程学，简称社工，是一种比较普遍的盗取他人信息的攻击行为。

通过人肉，冒充等方式，一点一点的获取你的个人信息，最终达到攻击者目的的过程。

以前的遭遇

最近啊，碰到几次冒用用户的名义来重置密码，盗取用户信息。除了第一次（用户本人及时告知，没有造成用户的数据损失），之后再也没有“上过当”了。

攻击者一般想通过这样的方式来黑用户的网站，甚至通过这些信息，骗钱用户友人的钱财。

攻击者一般会来跟我们咨询：

我的账户忘记了，能帮我重置下密码吗？

这个是问的最多的。

可是为什么攻击者会知道用户的这个邮箱在比特熊存在的呢？

这算是我们的一个失误：

有时候用户也不知道自己的邮箱账户是哪一个（我也有时候会忘记啊），于是我们的提示会告诉他：邮箱不存在，就会提示“账户不存在”，密码错误 提示“账户或密码错误”。所以我们改了这一点，不管是怎么样，都提示“账户或密码错误”了。

其实初衷是希望用户少点麻烦！

今天的钓鱼者

今天就碰到一个社工的攻击者，说自己的账户xxx@qq.com 忘了密码了，能不能帮他重置下密码，因为他的账户卖给别人了。

对于这种情况，我假设该用户是真的卖了qq号，并且咨询者通过了下面的验证，我是可以帮他修改账户的。

如何验证：

1. 如果咨询者没有在比特熊有过消费（这种账户一般也没人偷），我会要求用户重新注册账户
2. 如果咨询者有过消费，我会要求用户提供曾经充值过的支付宝
3. 如果咨询者知道他的支付宝，我会给他的支付宝转一定金额的钱，然后要求用户登录这个支付宝账户，告诉我们转的钱的金额。如果属实，就能确认这个账号是属于该咨询者的
4. 如果咨询者无法告诉我们支付宝，或者无法告诉我们转的金额，那么我就会认为这个人是钓鱼的了

一般支付宝的账户验证是非常严格，异地登录的话，都会要求使用手机验证，才能登录，所以支付宝肯定是用户手上的，被偷的概率比较低）

经过这么一个比较复杂的流程下来，基本上我们不会给攻击者盗取用户资料的机会了。

这个是今天的一个攻击者跟我们的部分记录。咱对用户的账户负责吧？！

最后那句，当时夸咱吧。

 

最后说一句

互联网时代啊，其实个人信息都暴露在网络上的，想要真的隐私，已经几乎不可能了。