我们不怕黑 [我们是如何被“黑”的]

　　电脑操作系统存在漏洞，用户可以主动进行修补，例如安装补丁，但是网站的系统出现漏洞，用户则无计可施。网络犯罪分子可以利用这些漏洞尝试入侵网站，或者对用户发起攻击。如果该网站没有妥善处理用户的个人数据或者用户没有足够的安全意识，那么攻击者将可以轻松地获得用户的个人资料，并利用这些个人资料实施进一步的犯罪，例如假冒用户的身份对其他用户实施**，借助社会工程学（Social Engineering，另译社交工程学）技巧从用户本人或者好友那里获得更多重要的信息。目前，类似的攻击在互联网上非常普遍，特别是在社交网站上更为猖獗，因为社交网站上用户之间的关系比较亲密，相互之间信任度很高，假冒用户的身份实施**时更容易得手，并且社交网站通常包含大量的第三方应用，甚至允许个人将自己开发的应用上传到网站上，这样攻击者更容易找到入侵方法和机会。
　　下面，我们将介绍攻击者是如何攻击社交网站、盗取用户的个人资料以及如何利用社会工程学技巧骗取用户信息和从中获利的。对于类似的攻击，我们必须学习相关的知识，了解了攻击者的行为才能够保护自己，避免成为被害人。
　　社交网站：五花八门的攻击手段
　　社会工程学是一门有着悠久历史的欺骗艺术，其历史可以追溯到很久以前（参考本文“社会工程学的发展”部分的内容）。早在七八十年代，黑客已经经常利用社会工程学技巧，诱骗公司雇员披露内部信息。黑客只需要利用一些简单的公司信息，例如公司的组织结构关系，即可从公司雇员那里套出重要信息。以往，为获取足够的信息以实施社会工程学攻击，黑客需要从公司的公开信息或者垃圾桶中寻找资料。而谷歌搜索引擎和Facebook之类的社交网站的出现，为黑客提供了更方便的途径来收集资料。他们除了可以轻松地收集到用户的电子邮件地址、电话号码、政治观点、互联网接入服务提供商等信息之外，还可以利用这些信息，通过互联网站点的密码提示、取回密码等功能，对用户的互联网账户进行破解。
　　一项相关的研究显示，即使是一向以严谨著称的德国人，仍旧有超过71%的用户会发布和上传自己的个人信息到Facebook上。这些个人信息是实施社会工程学攻击的良好素材，也是垃圾邮件发送者最感兴趣的内容，这些用户的个人信息在地下交易市场将以几美分或几美元的价格被出售，价格的高低取决于用户的背景。一般来说，富裕的西方国家的用户资料，价格要高于发展中国家的。由于攻击者盗取和出售的是几百甚至成千上万用户的资料，所以这成了一个非常有利可图的生意。与此同时，网络犯罪分子和团体甚至还提供定制服务，在一些活跃的论坛上我们可以找到提供这些业务的代理商，他们提供针对特定目标用户的信息收集和账户破解业务。
　　在社交网站中，各种小游戏之类的小型应用软件有着神奇的吸引力，利用它们网络犯罪分子可以轻松地访问和直接控制一部分用户的账户，这不仅能够盗取到这些用户的个人资料，甚至还可以盗取这些用户好友的个人资料。除了作为好友本身能够查看更多的个人信息以外，必要时只要假冒用户的身份给好友发送消息，推荐一个含有恶意代码的应用程序，或者实施其他的社会工程学攻击，都不难获得满意的结果。
　　根据社交网站以往发生的安全事件，我们可以发现，基本上用户对于来自社交网站的应用程序都是不设防的，尤其是当好友向自己推荐某个应用的时候。然而，这些应用大部分来自第三方的开发商，大部分社交网站的应用平台又缺乏足够的监管，所以出现漏洞也是难免的，对于不了解相关技术的用户，即使是非常谨慎地处理第三方应用访问个人信息的请求，但仍然很容易成为黑客攻击的受害者。
　　在应用平台没能很好地监管第三方应用的情况下，即使用户在第三方应用尝试访问个人资料时谨慎地选择了拒绝，包含恶意代码的应用仍然可以采取其他方式继续进行攻击，例如将用户带到一个外观与某个社交网站登录页面完全相同的钓鱼网站上，如果用户误以为这是真的网站，那么攻击者就可能成功地通过钓鱼攻击获取用户的账号和密码。
　　账户破解：破门而入
　　更简单和直接的攻击是破解用户的密码，目前，不断刷新速度上限的高性能CPU和GPU使这种暴力破解方式已经不需要耗费太多的时间，而且许多用户使用的密码都过于简单，常用的词汇（例如“Password”）、典型的数字组合（例如“123456”）或很短的字符串（例如“QWERTY”）通常都会出现在密码破解字典的第一部分，暴力破解类似的密码完全没有难度。
　　除了对社交网站实施特定的攻击以外，攻击者也使用一些传统的方法，例如记录用户的键盘操作记录就是非常有效的攻击武器。其次，窃取其他网站用户名和密码的Firefox插件Firesheep、Android智能手机上的Web会话劫持工具FaceNiff和DroidSheep也都是攻击者常用的工具。使用这些工具，通过公共的免费无线网络接入点，就可以轻松地捕获接入无线网络用户所输入的用户名和密码。这种攻击方式对于登录Facebook等大型网站的用户威胁不大，因为在登录时网站通常会要求使用加密的Web传输方式。但是在智能手机上，特别是在运行Android操作系统的智能手机上登录这些网站时，使用未经加密的验证方式，攻击者可以在用户毫不知情的情况下轻松将登录名和密码盗走。
　　由于用户的安全意识薄弱且网站与通讯设备的设计存在缺陷，攻击者实在有太多的方法和工具可以获得用户的网络账户，互联网站点上的账户不安全几乎已经是人所共知的事实。以至于互联网上甚至还出现了类似“wellmug.com”这样公开提供账户破解服务的网站，用户可以指定破解某个社交网站或Gmail的账户，略过一会儿网站会提示已经成功破解，并从用户的账户中划走200美元。当然，这只是一出闹剧，是另一种社会工程学的攻击案例。
　　数字黄金：电子邮件地址和密码
　　对于攻击者来说，用户的电子邮件地址和密码是最有价值的，获得了用户的电子邮件地址和密码，不仅仅意味着可以访问和控制用户的电子邮箱，更为重要的是，可以打开通向该用户其他网站账户的大门，特别是这其中还包括谷歌、亚马逊、PayPal等在线支付和消费站点的账户，因为大部分网站都支持通过电子邮件取回或重置账户密码。