开盒，离我们到底有多远？

写这篇文章的契机，是刷到了凡三岁老师的一篇关于社工的游戏推荐：从开盒美少女到精彩反转，现实永远比虚拟更魔幻

当前世界上的头号黑客—凯文·米特尼克，曾经在他出版的《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。确实如此，很多企业、学校、公司在信息安全方面投入大量的资金，但最终导致数据泄露的原因，往往却是发生在人本身上。

同样，获得一个人的账号信息或者身份信息也是很容易的，大家平时是不是经常遇到下面这些情况，新车手续还没办齐全，推销保险的就来了；新房钥匙刚拿到手，装修公司的电话就到了；在网上买好机票不到一个小时，就有航班延误、航班取消的诈骗电话如期而至；刚注册好公司，百度推广的电话一个接一个；甚至一个知道你各种信息的“警察”打电话来，说你涉嫌洗钱了……各种各样的推销广告、不胜其烦的骚扰电话和层出不穷的诈骗方式，让人防不胜防。

他们往往不仅知道你的手机号，还知道你的名字，学习，公司等个人信息，如果有遇到这些情况，那么很抱歉，你的信息已经被泄露了。

在国外某些加密聊天软件中，大家也许接触过大大小小的社工库，上面记录着大家的照片，社交帐号，银行卡号。

个人信息泄露源头中，有电信公司人员，也有快递公司、银行、医院、学校、工商局等部门工作人员；更有正规或不正规的公司，收集了大量的用户信息，比如目前绝大多数的互联网公司注册帐号都需要手机号，还有银行“内鬼”，每条个人信息被提交给银行后，要经过支行、分行、信用卡中心等多个环节，经手人员众多。

而对于一些“新鲜的信息”，通常以一条两毛，或者一毛的价格卖给有需要的客户，所谓“新鲜信息”是手机用户的信息首次被获取到，还不曾被骚扰。

而这些信息，落入到黑客手里就是如获至宝。只要多获得一个用户的数据，那么进入某相关内网的可能性就多了一分；即使不选择进入内网，这些数据放在暗网上，可都是诈骗团伙等犯罪组织眼里的香饽饽，也是能卖一个不错的价格。

除了社工库，我来演示一下社会工程学常用的分析方法(此案例来自于网络)，这里有一张图片，大家看一下，能联想到什么呢？或者能通过这张图片能分析出拍摄者的信息吗？

如果大家觉得信息不够的话，那么再来一点，给大家再加一段对话如何？

怎么样？结果如何？大家能想到这位拍摄者的家庭地址的具体位置吗？

首先观察这张实景图，有比较明显的两个特征：1.冬天穿着较厚的羽绒服，说明是拍摄地点是秦岭淮河线以北；2.远处有比较明显的塔楼，而根据灯光来看，这座塔楼是周围的主要建筑。那么我们可以大胆推测一下是 西安——大雁塔：

主人公家距离大雁塔一共有七站地铁，其中要进行中转。 同时是从始发站出发的，距离下一站有一公里多，距离始发站800多米。那么让我们来看下西安市地铁，根据我们得到的信息，距离大雁塔站7站的始发站有两个，分别是2号线的韦曲南和3号线的鱼化寨。但是主角在地铁过程中要进行中转，所以我们可以锁定主角是从韦曲南站出发的。“走着去下一站不就6站了”可知家在“航天城”和“韦曲南”两站点附近。并且家距韦曲南800多米，距航天城1000多米。

那么我们就能采用画圆取交点的方法，搜索附近小区。其中检测到兰乔国际城符合要求（距离韦曲南站点930米，距离航天城站点1.4km。）

这便是一个照片信息提取与利用的经典案例。试想一下，如果日常生活中，有人利用大家在朋友圈、微博等社交媒体发布的照片，进行图像分析，在监视你的一举一动，会是多么可怕的一件事情。

此外，社工还包括钓鱼攻击，攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用card号、银行card账户、身份ID号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用card公司等可信的品牌，骗取用户的私人信息。所以大家常遇到的盗号大部分也属于社会工程学攻击。

那么该如何防范社会工程学攻击呢？

最为重要的一点，便是自身要加强个人信息安全保护意识，不要轻易将个人信息提供给无关人员；

其次，在网站填写个人注册信息，注意网站是否有用户隐私保护制度。如果没有，谨慎填写。即使有隐私制度，如果没有特殊需要，最好只填写最少必须信息；

第三，陌生人的问卷调查，对方要求留下姓名、电话、职业、工作单位等信息，这些情况最好谨慎填写；

第四，在手机维修点，一定要监督工作人员删除送修手机内的电话号码、邮件等个人信息（你也不想变成冠希哥吧）；

第五，个人的电子邮箱、网络支付及银行卡等密码要有差异；增加密码难度，在这里并不建议密码中含有生日这种易于获取的信息（凡三岁老师文章也提到了）；

第六，妥善处置快递单、车票、购物小票等包含个人信息的单据，切勿随意丢弃（这个以前是社工库重灾区，不过现在基本都采取马赛克了）。