论钓鱼我是专业的（社会工程学）

 社会工程学在上世纪60年代左右作为正式的学科出现在大众眼前，广义的社会工程学的定义：建立理论并通过利用自然的社会的和制度上的途径来逐步解决各种复杂的社会问题，经过多年的发展，逐渐产生了分支学科-----其中就包括我们要讲的网络社会工程学

我读过世界最顶级的黑客凯文米特尼克写的《反欺骗的艺术》，并将社会工程学当做一种艺术对待，社会工程学不是黑客利用社工库（数据）盗取你的东西完成黑产，社会工程学不是诈骗，不是数据，是一种艺术，利用人的人性习惯缺陷等等进行一次达到自己目的的完美艺术。

我国本土发行的一本书---《黑客心理学》中把人比作一台台的热血电脑，我觉得这是很好的比喻，对一个人进行社会工程学，就像隔壁汤姆叔叔渗透安妮表姐的电脑一样，先收集信息分析信息，进行攻击，抛出错误的信息，提出问题，诱导出答案，完成渗透！

信息收集就如同对电脑渗透一样收集他的端口，系统版本，使用的数据库版本，还有可能存在漏洞可以攻击的方向，只不过在社会工程学中，他们是----通过收集姓名可以得出他可能会使用的密码的几位数，收集他的出生年月日可以得到年龄，年龄可以给我们什么信息---从年龄可以得到那个年龄他在干什么，从而下一步是从学校还是公司还是房贷公司还是保险公司还是什么之类的查起，当然我们也可以从年龄中得到一些有用的数字，一些人喜欢名字加上出生当做密码，之后我们将对密码做讲解。收集他毕业的学校我们可以得到什么，我们可以得到他所处的环境及其和附近人的关系（当我们毫无头绪的时候，可以从他身边的人下手，比如从和他有矛盾的人或者关系好的，或者从所处环境进行分析进行攻击方案）下面是我们找到的一个生活中常见的：

w：喂，某某某，麻烦你到楼下取一下你的快递？
n：什么快递啊，哪个寄的？
w:什么什么寄的挂号信，好像是信用卡。
n：我不在那里，地址是不是错了啊
w:那你的地址在哪里嘛，那今天拿不到了哦，哎呀下次写准确写嘛。
n:不是那个大厦，在某某大厦21楼某号
w：等一下，慢点我记一下，下午给你送过去
（分析：警惕寄错的快递，没有必要留真实电话的地方不要留真实电话，未知的平台或者来电需要记下分析）

从他工作的地点我们可以得到一些他人对他的评价从而进行性格分析--性格分析（性格缺陷/性格特点），比如有些人非常极端，有些人非常懦弱，有些人非常容易冲动，这些东西反而成为了我们利用性格缺陷/特点进行攻击的一个好的目标，比如---抛出错误的信息（不暴露自己的任何信息）--对方确定信息或确定部分信息，并对信息提出否定（提出否定路径）---选择最佳路径----抛出剩下我们已知信息，制造填空题---被渗透对象回答问题或者进入圈套---完成渗透

多了性格这个可以利用的资源，我们可以更加完善的加以利用，如情景一：对方性格暴躁，我们可以---（就快递分析）：
w：喂，您好，你的快递在我们这里快超过2天要退回了，请问你什么时候拿，不然被踩坏不包赔的（注意语气）
n：什么快递，你是猪吗，我什么时候买过东西
w：什么语气啊，要不是看这个东西好像很重要的，好像是什么卡办的，信用卡好像
n:啊，那你还不送过来，在这浪费我时间吗
w：不是应该你来拿吗，都2天了，某某大楼某楼，你再不拿我就丢了
n:你是不是猪，东西都可以给我送错，是某某某大楼某某楼，赶紧给我送过来
总结（对性格有点暴躁有点极端有点急性子的人要进行言语刺激，利益刺激，以上只是一个简单的例子）
情景二：对方贪图便宜和方便
w：请问你是不是有个快递在某某大楼未签收，好像是贵重物品
n：短暂思考（我没有买东西啊，很贵重，应该是个大家伙或者是好东西，白嫖一个也不错好像）是的，我是有个东西似乎到了，不过不在某某大楼呀
w：这样啊，你现在地址在哪，我们可以安排人给你送过去，是某某楼某某号吗（根据已知对象居住地，提出错误信息）
n：不是某某号，是某号，谢谢啦
对于贪便宜图方便的人，我们要以一些利益诱惑他，然后抛一些正确的地址，然后提出错误问题，这样他只会更加相信

根据一个人姓名和出生可以猜出一些简单的密码，我们可利用进行攻击得到---他的购物信息（或者收集他快递未撕的邮单）---购物信息可以得到什么---购物习惯可以得到人的习惯和性格，及其最近的购物消息进行攻击。朋友圈热闹也很不错，可以得到许多---分享生活的人的信息---比如随手拍的风景或者建筑物就可以暴露他的居住地或者工作学习地，从而进行身份伪造进行攻击，从朋友圈发的内容可以猜出他的性格--比如一个常发网易云朋友圈的人，我们得到他不成熟的思想和空虚寂寞，还有他渴望被人关心被人关注的想法，然后我们就可以对他进行攻击，一个经常发朋友圈炫耀或者一些生活图，我们可以得到他经济条件和居住地还有车或房品牌地址进行信息调查，这种人一般渴望关注他的生活。

接下来我们分析下密码---常见格式：1234567890      0987654321   姓名缩写加出生   姓名全拼加特殊字符  键盘字母的顺序
一些特殊意义的东西   111111     2222222  test1  password  iloveyou  123123
哈蒙德补充说：“大多数人更喜欢使用弱密码，而不是试图记住冗长而复杂的密码。这通常也意味着他们对所有帐户使用相同的密码。如果其中一个‘被攻陷’的话，所有其他帐户都会受到损害。”

这也是为什么有社工库还有撞库事件的原因所在了，一些人图方便和记住，使用弱口令或者一个密码多个使用，为防止这个发生，建议下个密码管理工具，网上有。

撞库的原理---用扑通话解释就是---黑客利用一些手段或者从网站数据库得到的账户密码或者其它强行扯到另外一个网站强行登录匹配，而有些一个密码多个使用就深受其害，此次就到这里了，下期等有时间吧。