论社会工程学与人肉搜索间的关系

社会工程学是由世界著名hacker米特尼克提出的,目的最初是警示人们注重网络安全,提高警惕,防止造成不必要的损失。但随着时间的发展,社会工程学的性质已经变了味了。hacker们对社会工程学的定义是:通过对受害者的心理弱点、本能反应、好奇心、贪婪等本能反应进行伤害、欺骗等手段达到自己的目的,使人们顺从自己的意愿或满足自己的愿望。如今网络中的人肉搜索便是社会工程学的一个重要体现。
人肉搜索最早出自于猫扑网,是互联网中众多参与者通过搜索引擎和其他平台对相关数据的收集、挖掘和分析获取信息的过程,这也正是社会工程学的研究领域。那么人肉搜索与传统互联网搜索的最大区别体现在哪?很显然,是有了人的参与,基于人工方式对互联网搜索引擎所提供的信息逐个查辨真伪并进行收集。可以理解为:利用搜索引擎(电脑)来寻找收集信息,同时利用人的思维方式(人脑)来甄别、判断信息的真伪并提纯。将网络世界和现实世界的所有信息集合起来,基本符合了社会工程学的概念。
在实际操作过程中,被人肉的那个人是不可能主动公开个人隐私的,那么“社工大佬”们是如何破除层层障碍直接得到目标的个人信息呢?显然是来源于互联网上相关数据的收集、挖掘与分析,这个获取信息的过程,便是社会工程学的研究领域。
社会工程学究竟是什么?关于此类学科,目前还没有一个合理的解释,定义十分广泛。我个人理解为是心理学、社会学、计算机科学及电子科学以及其他诸多学科的实际应用,同时也是每个hacker的必修课,主要研究的领域是通过任何自己喜欢的方式达到自己的目的,而这期间必须有人的参与。从该角度来看,人肉搜索正是有人参与其中,拥有获取目标个人信息的能力,有了这种能力,得到“被人肉者”的个人信息便成为了一种可能。可以毫不夸张的说,每一个优秀的社会工程学大师都毫不逊色于一名优秀的私家侦探。而社会工程指的正是人的思维和心理,技术在此并不重要,重要的是思路,它也应该是一种解决问题的思想,需要各方面的多项技术配合才能充分体现出其价值。
提到社工,就不得不谈一下社工库。现在百度搜索“社工库”,总能看到一些关于社工库泄露个人隐私等骇人听闻的报道。社工库便是一个包含巨大数据量的网络查询平台,我也见识过朋友曾创立的“守**社工库”,查询系统极其完整,可以说在当时是全国最强大的社工库,其数据量多到你无法想象。可能你会想:我操!我已经不知道在网上暴露过多少隐私了,然后下定决心不在任何网络平台填写真实的个人信息了,但尽管如此,也无法避免“人肉搜索”的魔爪伸向你的隐私。因为你的上网IP、曾用过的历史密码等,早就已经在人家的数据库里了。


最厉害的hacker,入侵的是人心。人类才是系统中最大的漏洞。著名hacker米特尼克曾在《欺骗的艺术》中提到,运用社会工程学入侵并获取信息,不需要你拥有多么高超的电脑技术,相反,更多的还是需要你对人性和人与人之间的关系了解的足够透彻,巧妙运用人类的弱点潜入防护安全严密的网络系统。而国内的社会工程学通常和人肉搜索联系起来,但实际上人肉搜索并不等于社会工程学,人肉搜索只是社会工程学当中的一个典型体现。而电影《我是谁:没有绝对安全的系统》当中的内容,正是深刻揭示了社会工程学的本质和实际运用。

最后奉上著名社会工程学电影《我是谁:没有绝对安全的系统》:

https://pan.baidu.com/s/11bxl5h-jOnP_tlV1KeM7UQ