社會(huì)工程學(xué)從理論上來講是一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢(shì)。那么，什么算是社會(huì)工程學(xué)呢?它并不能等同于一般的欺騙手法，社會(huì)工程學(xué)尤其復(fù)雜，即使自認(rèn)為最警惕最小心的人，一樣可能會(huì)被高明的社會(huì)工程學(xué)手段損害利益。

引狼入室

李小姐是某個(gè)大公司的經(jīng)理秘書，她工作的電腦上存儲(chǔ)著公司的許多重要業(yè)務(wù)資料，所以屬于公司重點(diǎn)保護(hù)的對(duì)象，安全部門設(shè)置了層層安全防護(hù)措施，可以說，要從外部攻破她的電腦那簡(jiǎn)直是"Impossible Mission"。為了方便修改設(shè)置和查殺病毒，安全部門往往直接通過網(wǎng)絡(luò)服務(wù)終端對(duì)李小姐的電腦進(jìn)行全面設(shè)置。也許是為了貪圖方便，維護(hù)員與李小姐的日常聯(lián)系是通過QQ進(jìn)行的。

這天，李小姐剛打開QQ就收到維護(hù)員的消息："小李，我忘記登錄密碼了，快告訴我，有個(gè)緊急的安全設(shè)置要做呢!"，因?yàn)楹途S護(hù)員很熟了，李小姐就把密碼發(fā)了過去。

然而第二天，竟然發(fā)生了令人意想不到的事情：一夜之間，公司的主要競(jìng)爭(zhēng)對(duì)手掌握了公司的業(yè)務(wù)，在一些重要生意上以低于公司底價(jià)的競(jìng)爭(zhēng)手段搶去了大客戶，令公司蒙受了損失!經(jīng)過調(diào)查，才知道是公司的業(yè)務(wù)資料被對(duì)方拿到了，公司憤然起訴對(duì)手，同時(shí)也展開了內(nèi)部調(diào)查，李小姐自然成了眾矢之的。

在一番仔細(xì)的調(diào)查之后，問題的焦點(diǎn)集中在那條"網(wǎng)絡(luò)維護(hù)員"發(fā)送過來的要求修改密碼的QQ消息上。維護(hù)員一再聲稱自己沒發(fā)過那樣的消息，但是電腦上的記錄卻明明白白地顯示著信息接收記錄。隨著警方的介入以及犯罪嫌疑人的招供，一宗典型的"社會(huì)工程學(xué)"欺騙案件浮出水面。

李小姐正是出于對(duì)"維護(hù)員"的信任，所以被對(duì)方欺騙了。因?yàn)槟莻€(gè)在QQ上出現(xiàn)的維護(hù)員根本不是公司真正的維護(hù)員本人，而是對(duì)手盜取了維護(hù)員的QQ，再利用一個(gè)小小的信任關(guān)系，就輕易取得了登錄密碼，公司的業(yè)務(wù)資料自然落入對(duì)方手中。這能否算做入侵案件呢?首先，對(duì)方并沒有利用任何技術(shù)手段對(duì)公司的電腦進(jìn)行掃描、漏洞滲透和攻擊;其次，密碼也是公司員工自己告知對(duì)方的，因此就出現(xiàn)了有趣的矛盾：對(duì)方是在未經(jīng)授權(quán)的情況下登錄了受害者機(jī)器并盜取了具有經(jīng)濟(jì)價(jià)值的資料，這已經(jīng)是入侵行為，那么這個(gè)人就屬于入侵者;但是對(duì)方登錄內(nèi)部網(wǎng)絡(luò)的密碼卻不是通過非法手段取得的，而是受害者方面告知的，那這個(gè)人又可以被稱為合法登錄者嗎?

最終還是警方有能耐，結(jié)案為：被告通過欺騙手段騙取受害者公司員工的登錄密碼，并在未經(jīng)授權(quán)的情況下登錄受害者機(jī)器盜取業(yè)務(wù)資料，此案雖然未涉及網(wǎng)絡(luò)攻擊和入侵，但是被告利用社會(huì)工程學(xué)手段進(jìn)行偷竊已經(jīng)證據(jù)確鑿，仍然屬于非法入侵，此外還涉及詐騙。

最后，公司終于通過法律手段挽回了損失，但是"社會(huì)工程學(xué)"的可怕已經(jīng)在每個(gè)人的心里留下了揮之不去的陰影。

【編輯推薦】

1. 網(wǎng)絡(luò)釣魚需要多方治理
2. 調(diào)查問卷也成網(wǎng)絡(luò)釣魚陷阱
3. 網(wǎng)絡(luò)釣魚 微博可能成為主要途徑
4. 實(shí)例解析淘寶網(wǎng)絡(luò)釣魚二重詐騙
5. 網(wǎng)絡(luò)釣魚又見新招 支付寶也不能保證安全