学文网黑客组织对社会工程学的定义是:这是一门使人们顺从你的意愿、满足你的欲望的艺术与学问。
人肉搜索,是众多参与者对互联网上相关海量数据的收集、挖掘和分析获取信息的过程,而这正是社会工程学(soclaj Engmeering)的研究领域,这门学科的主要研究内容是如何通过“人”去实现既定目的。
“人肉搜索”和传统互联网搜索的最大区别在哪里?顾名思义,人的参与。
传统的搜索引擎,如谷歌、百度是指一个网站;而“人肉搜索”则是一个比喻,不是指的某个搜索网站、搜索软件,它的所指是一种搜索行为,即:众多的人参与进来的,即利用搜索引擎(以电脑为载体)引擎来寻找、提纯信息,也利用现实生活中的人际关系、人的思维方式(以人脑为载体)寻找、判断、甄别信息――相当于将电脑和人脑关联,组成强大的网络矩阵,将网络世界和现实世界的所有信息囊括其中。因其充分发挥了“人民战争”、“人海战术”的精髓而得名“人肉搜索”。
六度分隔是理论依据,社会工程学是操作指南
这样的做法,在理论上,是完全行得通的――早在1929年,匈牙利作家Frigyes Karinthy在其撰写的《万物皆不同(Everything 1s Different)》一书中就提出了一个基本理念:地球上的两个人之间要彼此建立联系,最多不超过六个中间人即可达成。随后,这成为社会学研究中的一个分支理论,称为六度分隔理论或小世界理论(Sjx Degrees of Separation)。
“六度分隔理论”只是从理论层面上保证“人肉搜索”从起点到终点发生链接关系的可能。但在实际的操作过程,“被人肉者”避之尚唯恐不及,更别提主动公开其个人隐私信息了。那热情洋溢的网友们是如何层层与目标取得联系的呢?从目前互联网上流传的诸多“人肉”成功案例来看,关键信息皆来源于众多参与者对互联网上海量相关数据的收集、挖掘和分析。这个获取信息的过程,便是社会工程学(socialEngmeenng)的研究领域。
什么是社会工程学呢?
关于这个学科,到目前为止还没有统一的解释。但作为一门起源于民间的新兴学科,社会工程学被广泛认为是社会学、人类学、心理学、计算机科学及电子科学等诸多学科的综合运用,它的主要研究内容是如何通过“人”去实现既定目的。
从社会工程学的角度来看,“人肉搜索”正是在心理层面激励了大量的人参与其间,这些人中总有人是生活在目标人物周围,或拥有获取目标人个人信息的渠道和能力,透过社会网络上的这部分人,让其主动或被动地泄露被“人肉者”的身份信息,就让被“人肉者”暴露在公众的视野中成为了可能。
黄杰敏的一段真实经历,将“人肉搜索”是如何根据一些有限的资料,及针对普通人心理特征来进行密码猜测,从而依靠网络资料掌握目标人真实信息的这个社会工程学的过程,展示得淋漓尽致。
2009年5月期间,他的朋友在网络交易时预先支付了货款,结果对方却玩起了人间蒸发。于是,为朋友挺身而出的黄杰敏发动了一场“人肉搜索”――通过对方留下的姓名、网店地址和***码这三个基本资料源,他们在互联网上搜索并确认了对方注册的社交网站页面和相册地址。在成功破解了对方的相册密码后,黄杰敏还掌握了对方的密码设置习惯,从而推测出对方的诸多互联网应用服务密码。最终,黄杰敏拿着对方的姓名、生日、所在地、***码、家庭电话、就读的高中、大学、朋友列表甚至对方的照片等资料,通过拨打电话找到了对方的父亲,并圆满地帮朋友讨回了货款。
看到这里,你也许会想:天啊!我不知道已经在网络上暴露多少个人隐私了,然后下决心不再在任何网络注册表单里填写真实的个人资料,但是,这就能完全避免“人肉搜索”的魔爪伸向你的隐私么?
最厉害的黑客,入侵是人心
曾在国内某信息安全研究单位从事社会工程学研究的胡毅明认为,人们想要获取的目标信息――不管是信用卡密码,还是个人身份信息――通常都是由社会中的“人”来创造的,这类信息不可能脱离“人”这个因素而***存在。通过网络从远程获取目标信息只是方法之一,直接接近目标信息周围的人,综合运用各种资源和手段来获取目标信息,不失为另一个更好的选择。
从某种意义上说,他对社会工程学的看法正好和黑客组织的观点不谋而合。黑客组织对社会工程学的定义是:这是一门使人们顺从你的意愿、满足你的欲望的艺术与学问。
这门艺术和学问的重要贡献者之一是凯文・米特尼克(Kevin Mitnick),这名被美国***府宣布禁止使用计算机,甚至包括手机、调制解调器和互联网的天才,被誉为“世界头号电脑黑客”,他于2002年出版的《欺骗的艺术》(The Art。I Deception)一书,被世人公认为社会工程学的经典。
在《欺骗的艺术》一书中,作者提出,运用社会工程学入侵获取信息,并不需要太多的电脑技术基础。相反,更多的是需要你对人性以及对社会体系中的人与人之间的关系了解得足够透彻。书中描述了许多利用人类轻信、健忘、胆小、贪便宜、逃避责任等弱点去潜入防护严密的安全网络系统的方法。
被收录在吉尼斯世界纪录中的“斯坦利・瑞夫金一案”,就完全展示获取信息的这种技巧和能力。1978年,瑞夫金利用美国保险太平洋银行电汇交易室数据备份维护员的身份,掌握了转账程序和银行职员拔出账款的步骤信息。11月的某一天,在以正常工作名义的掩护下,他利用交易员避免“健忘”而把密码写在小字条上的习惯,获取了当日交易密码信息。随后,他分别扮演两个不同角色,给不同的部门致电,通过交谈取得信任后,他获取了关键的账户信息,并成功转走了1020万美元。
斯坦利・瑞夫金用的就是欺骗的艺术,他没有使用武器,甚至无须计算机的协助。这种技巧和能力黑客们就将其称为――社会工程学。显然,这种完全不通过计算机网络就能收集到大量可用信息的社会工程学方式同样可以应用在‘‘人肉搜索”上。
一名优秀的社会工程学研究人员,需要深入社会各个阶层,了解不同人群的生活习惯、个体喜好、文化结构、思想倾向;了解当地的***治、文化、经济以及历史背景;对制度和规范类的东西有着异常敏锐的触觉,能凭借经验,从广泛的领域,海量的数据中挖掘、判断出可以利用的信息。
从目前互联网上流传的诸多“人肉”成功案例来看,优秀的“人肉猎手”也具备这样的能力。
转载请注明出处学文网 » 社会工程学:人肉搜索的操作指南