“社會(huì)工程學(xué)”這個(gè)概念可能讓廣大的互聯(lián)網(wǎng)用戶匪夷所思，“社會(huì)工程學(xué)”和黑客有什么關(guān)系呢？莫非是黑客們都棄暗投明轉(zhuǎn)去做工程了？其實(shí)所謂"黑客社會(huì)工程學(xué)"，是著名黑客Kevin Mitnick在上世紀(jì)90年代所提出的并使其流行的，不過這個(gè)簡(jiǎn)單的概念本身(引誘某人去做某事，或者泄露敏感信息)卻早有年頭了。專家們認(rèn)為，如今的黑客仍在繼續(xù)采用黑客社會(huì)工程學(xué)的新老伎倆盜竊密碼、安裝惡意軟件或者攫取利益。

此處所列的是一些最流行的利用電話、email和網(wǎng)絡(luò)的社會(huì)工程學(xué)攻擊伎倆。

1. 十度分隔法

利用電話進(jìn)行欺詐的一位社會(huì)工程學(xué)黑客的首要任務(wù)，就是要讓他的攻擊對(duì)象相信，他要么是1)一位同事，要么是2)一位可信賴的專家(比如執(zhí)法人員或者審核人員)。但如果他的目標(biāo)是要從員工X處獲取信息的話，那么他的第一個(gè)電話或者第一封郵件并不會(huì)直接打給或發(fā)給X。

在社會(huì)心理學(xué)中，六度分隔的古老游戲是由很多分隔層的。紐約市警察局的一位老資格探員Sal Lifrieri，如今正定期舉辦一個(gè)叫做"防范性運(yùn)營(yíng)"的企業(yè)培訓(xùn)課程，教授如何識(shí)別黑客穿透某個(gè)組織的社會(huì)工程學(xué)攻擊手段。他說，黑客在一個(gè)組織中開始接觸的人可能會(huì)與他所瞄準(zhǔn)的目標(biāo)或人隔著十層之遠(yuǎn)。

"我講課時(shí)不斷地在告誡人們，多少得具備一些放人之心，因?yàn)槟悴恢�道某人到底想從你這兒獲得什么，"Lifrieri說。滲透進(jìn)入組織的起點(diǎn)"可能是前臺(tái)或門衛(wèi)。所以企業(yè)必須培訓(xùn)員工彼此相識(shí)。而作為犯罪起點(diǎn)的秘書或者前臺(tái)距離犯罪分子真正想接近的目標(biāo)有可能隔著十層之遠(yuǎn)。"

Lifrieri說，犯罪分子所用的方法很簡(jiǎn)單，就是奉承某個(gè)組織里更多可以接近的人，以便從職務(wù)更高的人那里獲得他們所需的信息。

"他們常用的技巧就是偽裝友好，"Lifrieri說。"其言辭有曰：‘我很想跟您認(rèn)識(shí)一下。我很想知道在您的生活中哪些東西是最有用的。'然后他們很快就會(huì)從你那里獲得很多你原本根本不會(huì)透露的信息。"

2. 學(xué)會(huì)說行話

每個(gè)行業(yè)都有自己的縮寫術(shù)語(yǔ)。而社會(huì)工程學(xué)黑客就會(huì)研究你所在行業(yè)的術(shù)語(yǔ)，以便能夠在與你接觸時(shí)賣弄這些術(shù)語(yǔ)，以博得好感。

"這其實(shí)就是一種環(huán)境提示，"Lifrieri說，"假如我跟你講話，用你熟悉的話語(yǔ)來講，你當(dāng)然就會(huì)信任我。要是我還能用你經(jīng)常在使用的縮寫詞匯和術(shù)語(yǔ)的話，那你就會(huì)更愿意向我透露更多的我想要的信息。"

3. 借用目標(biāo)企業(yè)的"等待音樂"

Lifrieri說，成功的騙子需要的是時(shí)間、堅(jiān)持不懈和耐心。攻擊常常是緩慢而講究方法地進(jìn)行的。這不僅需要收集目標(biāo)對(duì)象的各種軼事，還要收集其他的"社交線索"以建立信任感，他甚至可能會(huì)哄騙得你以為他是你還未到這家企業(yè)之前的一位同事。

另外一種成功的技巧是記錄某家公司所播放的"等待音樂"，也就是接電話的人尚未接通時(shí)播放的等待樂曲。

"犯罪分子會(huì)有意撥通電話，錄下你的等待音樂，然后加以利用。比如當(dāng)他打給某個(gè)目標(biāo)對(duì)象時(shí)，他會(huì)跟你談上一分鐘然后說：‘抱歉，我的另一部電話響了，請(qǐng)別掛斷，'這時(shí)，受害人就會(huì)聽到很熟悉的公司定制的等待音樂，然后會(huì)想：‘哦。此人肯定就在本公司工作。這是我們的音樂。'這不過是又一種心理暗示而已。"

4. 電話號(hào)碼欺詐

但最分子常常會(huì)利用電話號(hào)碼欺詐術(shù)，也就是在目標(biāo)被叫者的來電顯示屏上顯示一個(gè)和主叫號(hào)碼不一樣的號(hào)碼。

"犯罪分子可能是從某個(gè)公寓給你打的電話，但是顯示在你的電話上的來電號(hào)碼卻可能會(huì)讓你覺得好像是來自同一家公司的號(hào)碼，"Lifrieri說。

于是，你就有可能輕而易舉地上當(dāng)，把一些私人信息，比如口令等告訴對(duì)方。而且，犯罪分子還不容易被發(fā)現(xiàn)，因?yàn)槿绻�你回�(fù)苓^去，可能撥的是企業(yè)自己的一個(gè)號(hào)碼。