喂!注意!你要被“社工”了!!1 min read

啥是“社工”(社会工程学)?

这里所说的“社工”不是“社会工作者”(唉,又一个被污名化的词语),而是“社会工程学”。准确的说,是被:

  • “社工人”(不法分子比如诈骗犯、变态、敲诈勒索犯)
  • 利用“社会工程学”(主要一些搜集信息的或黑客或明面上的手段)
  • 进行侵害(简称为“被社工”)

最常见的例子就是“人肉搜索”和“盗号”。

其定义请见维基条目

计算机科学社会工程学指的是通过与他人的合法交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。[1]这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系,这一行为一般是被认作侵犯隐私权的。

历史上,社会工程学属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。

进一步了解可以看看这个 B 站视频

一张国内社工路线图(对照反思)

图源忘记了,侵删。

以下还不涉及任何黑客手段,就是说,如果未造成法益侵害,行为人都可能不会被定罪,即使有 15 年通过的刑法修正案(九)里的网络安全新规

除此之外的常见黑客手段有:利用各种防卫不严的网站泄露的数据(个人信息、密码等)制作“社工数据库”,简称“社工库”,进行信息查询等。比如你现在谷歌“社工库”,出来的第一个链接里就有:

两个正例,但如果为坏人所用呢?

除此之外,在程序员云集(这个群体好歹还有一定安全意识和防范能力)的 v2ex 论坛(以及知乎)上也可以看到很多发现社工可怕的讨论:

如何防御

举个例子:

“在线时间”会暴露哪些信息?

即使不参照其它因素,仅仅观察某个网络身份的“在线时间”,就已经可以收集到对应自然人的信息。如果这个网络身份的活动非常频繁并且维持足够长的时间,收集到的信息就会很丰富,足以刻画出其背后那个自然人的详细特征。比如时区,这个是最容易想到的。如果某人上线很频繁或者在线活动的时间很长,那么就可以观察出此人的作息规律(人总是要睡觉的);通过作息规律就可以猜测出大致的时区范围(±2)。

说实在话,太难了。这也是互联网的最大问题之一——隐私。除了不要招惹到变态,不要涉足违法之事,有一些原则也可以遵守以尽量降低被社工的可能性:

  1. 最核心的身份信息,比如:身份证号、卡号、手机号(现在有多少验证码),千万、千万别乱填(有必要“实名认证”吗?),填之前也得至少看看有无 https 加密;
  2. 在信息安全上,不要信任任何人,比如政府机构、学校以及无良/无防范能力的小公司等;
  3. 能少给你的信息就别给,特别是“桥梁性”信息(比如各种社交媒体号码),这可是社工人眼里的“宝库”,也是继续爆破的方向(见“一个国内社工路线图”一节);
  4. 减少帐号数量(比如在小网站上可以用第三方大公司账号登陆),减少信息惯性(一样的密码、用户名、头像、签名、兴趣倾向),减少被“连续爆破”的可能;
    1. 这个也要辩证地看,“中心化”的问题(比如关键节点如果被突破就满盘皆输)一样存在;
    2. 密码多这个老大难问题可以用 Chrome “建议使用的密码”功能生成的随机强密码配合其密码同步存储来解决,前提是你 Chrome / Google 帐号很安全且易于访问。
  5. 注意文字外的多媒体信息,如:照片(含有地理位置的 EXIF,故不要“上传原图”)、视频、声音;
  6. 多积累一些网络安全知识,选一些公选课、看一些博客、讲座等,多向朋友请教;
  7. 上网时保持一颗平常心,主要是不冲动和不虚荣。

建议:现在就检查一下你最核心的银行 APP 帐号、支付宝、QQ、微信、微博这些,把所有隐私相关的设置设到最严格,至少,至少,在危害到你人身之前,树立起最后一道防火墙。

除了上述的网络账号,你也可以对照检查一下以下常见信息的保护:

信息量很高
身份证号
手机号
手机 IMEI 串号
网卡 MAC 地址
邮箱地址
家庭住址

信息量中等
工作单位
毕业学校
生日(包含“年月日”)
籍贯(精确到区县)

信息量很低
性别
星座
年龄
籍贯(精确到省份)

另外,大公司其实是破坏隐私最多的,不过“树大招风”,他们在有收集隐私的便利同时,好歹也受到法律的约束比如欧盟的《通用数据保护条例》。对于那些社工人,我国法律也在不断完善。搜索引擎上以“社工库”字样随便一搜可以发现对于这个的讨论以及15、16年间留下的链接大多已经失效/不再提供服务,如这个不再提供服务的社工库

2020.5.28 更新:由民法典总则编及各分编整合而成的《中华人民共和国民法典(草案)》,已由全国人大常委会予以审议,将于2020年的全国人大会议中进行表决。

最后:请多指教

在这个领域,我就是个学计科的菜鸡。知道列表有很多学网安的专业人士。请在评论区多多指教。先谢谢啦!