我们不怕黑 [我们是如何被“黑”的]

电脑操作系统存在漏洞，用户可以主动进行修补，例如安装补丁，但是网站的系统出现漏洞，用户则无计可施。网络犯罪分子可以利用这些漏洞尝试入侵网站，或者对用户发起攻击。如果该网站没有妥善处理用户的个人数据或者用户没有足够的安全意识，那么攻击者将可以轻松地获得用户的个人资料，并利用这些个人资料实施进一步的犯罪，例如假冒用户的身份对其他用户实施诈骗，借助社会工程学（socialengineering，另译社交工程学）技巧从用户本人或者好友那里获得更多重要的信息。目前，类似的攻击在互联网上非常普遍，特别是在社交网站上更为猖獗，因为社交网站上用户之间的关系比较亲密，相互之间信任度很高，假冒用户的身份实施诈骗时更容易得手，并且社交网站通常包含大量的第三方应用，甚至允许个人将自己开发的应用上传到网站上，这样攻击者更容易找到入侵方法和机会。

下面，我们将介绍攻击者是如何攻击社交网站、盗取用户的个人资料以及如何利用社会工程学技巧骗取用户信息和从中获利的。对于类似的攻击，我们必须学习相关的知识，了解了攻击者的行为才能够保护自己，避免成为被害人。

社交网站：五花八门的攻击手段

社会工程学是一门有着悠久历史的欺骗艺术，其历史可以追溯到很久以前（参考本文“社会工程学的发展”部分的内容）。早在七八十年代，黑客已经经常利用社会工程学技巧，诱骗公司雇员披露内部信息。黑客只需要利用一些简单的公司信息，例如公司的组织结构关系，即可从公司雇员那里套出重要信息。以往，为获取足够的信息以实施社会工程学攻击，黑客需要从公司的公开信息或者垃圾桶中寻找资料。而谷歌搜索引擎和facebook之类的社交网站的出现，为黑客提供了更方便的途径来收集资料。他们除了可以轻松地收集到用户的电子邮件地址、电话号码、政治观点、互联网接入服务提供商等信息之外，还可以利用这些信息，通过互联网站点的密码提示、取回密码等功能，对用户的互联网账户进行破解。