社交工程学－－黑客中的黑客 - IT第七感 - 倪爽

你一定看过这样的电影：几个大汉穿着电话公司的制服，坦然地到达某某大厦，说“贵公司有人打电话，说你们的电话系统有问题，我们要去机房检查一下！”－－哦，原来是来修电话的啊～当然大汉就进入了机房、当然大汉的工具箱里塞满了军火、当然大汉非但没修电话还摧毁了很多东西……

这就是“社交工程学”，在黑客理论中，指利用人性弱点、利用人际交往上的漏洞来非法获取资料的行为。

广义“黑客”（包括Hacker、Cracker等）的最基本任务，就是突破限制、进入未经授权的系统。进入未授权系统的最普通做法，是利用软件漏洞、恶意放置木马等等，更有人利用高速网络和傻瓜软件进行蛮力破解，这些办法虽然有效，但往往存在技术障碍或者时间上的困难。基于最基本的生活常识：越简单的东西越不容易出错，而越复杂的事物越可能出现漏洞，世界上最复杂的莫过于人和人的思想，所以最复杂的人最容易出现漏洞并且被利用－－这就是“社交工程学”被专业黑客奉为神明的主要原因。

“黑客”仰慕“社交工程学”的另一个重要原因，实际上来自于“黑客”人群本身的漏洞：一般而言，“黑客”大多是独立的、略孤僻的、熟悉技术而不熟悉人情世故的，特别是在“黑客”被媒体极大地夸大之后，“黑客”人群的年龄越来越小－－这些涉世未深甚至刻意反抗主流社会的年轻人，对电脑技术有着深入了解，但对人的思维和行为知之甚少，也难怪“社交工程学”被他们看作高深而复杂的高端科学。

事物的相生相克是很有意思的，这点也体现在“社交工程学”中。以打麻将为例：越是牌技高超的人，越不容易抓到好牌；而花和小鸡都分不清的新手，往往摸到浑然天成的好牌－－同理，人性的复杂恰好留给了最需要了解人性弱点的“黑客”们。悲观一点说，主流社会对“社交工程学”的天然抵抗力，也许是解决“社交工程学”危害最好而唯一的办法，如果一个“黑客”恰好熟悉人性、人情，那就几乎不可阻挡了－－比如大名鼎鼎的凯文·米特尼克。

也许你会说：米特尼克那个年代的人比较淳朴，现在的人越来越难欺骗了。其实这个观点完全错误，随着网络、电信业和媒体行业的发展，人与人的交流方式已趋于多样化，这些交流方式的变更，为日后“社交工程学”的泛滥打下了伏笔－－举个最简单的例子：如果你收到一封[email protected]的E-Mail，自称是网易大客户部的员工，并且很快有一广东口音的男子用一个020开头的电话与你直接交流－－你怎么知道他是网易大客户部的工作人员，亦或广州某四流皮包公司刚招聘的小业务员？浙江省随便一个小印刷厂，都可以制作精美绝伦的三层激光防伪标签，更何况一封不需要验证的电子邮件。

OK，既然所有的证据都指向“社交工程学”日趋严重的危害，那么一个普通的商业机构应该如何防止它呢？有关“社交工程学”，可以写一本专著，这里只能简单描述一种最常见的办法－－和所有的犯罪一样，黑客行为及其受害者，都被一些动机所驱动，最常见的动机就是利益（或者说白一点：贪婪）－－不偷鸡的人不会蚀米，不贪图小便宜的人当然很难被“社交工程学”击中。解决“社交工程学”危害的最实际办法，那就是初步了解它的存在、并且刻意避免那些太理想的诱惑－－既然那你不相信手机短消息里说的“海关罚没商品”，那么你也不必相信陌生人在网络和电话里免费送给你的美味“馅饼”。