社工嘛，社工一般指社会工作，但此社工非彼社工。我提到的是“社会工程学”

这个在网络也是一种毒瘤的存在。相信大家上网冲浪的时候吧也是遇见甚至接触过的。

今天小羊就来跟大家聊聊（揭秘）这个社工啊。

那么什么是社工？他包含什么？

首先来看百度对于社工库的含义：

社工库（Social Engineering Database）是黑客与大数据方式进行结合的一种产物，黑客们将泄漏的用户数据整合分析，然后集中归档的一个地方。社工库是用各大网站用户的资料数据库搭建的数据库查询平台，“人肉搜索”有时候就会靠查询社工库信息来进行。

“社工”的意思是社会工程，在黑客圈指一种黑客攻击以获取情报和信息的方法。网上的“人肉搜索”就是对社会工程的一种应用。

（原文：https://baike.baidu.com/item/%E7%A4%BE%E5%B7%A5%E5%BA%93/1896113?fr=aladdin）

该百科包含：

数据来源

产生危害

防御方式

法律惩罚

一般现在大家大多可以见到某群里发了某某的手机号，或者有人拿着你的某一不使用或正在使用的手机号对你进行违法行为

这就是16e/8e

16e/8e数据都是早期泄露的数据，所包含的数据都是老数据，有可能出现的手机号你已经不用几年了

ps：16e数据并不足，只比8e多一点

以下介绍大多来源自百度百科

什么是社工

社会工程学是黑客米特尼克在《反欺骗的艺术》中所提出的，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

最初的表现方式为，以人的因素攻击信息安全链中，最薄弱的环节，通过欺骗的手段，入侵被骗者的计算机系统的一种攻击方式。

后来延伸到真实社会当中之后，社工通常以交谈的方式套取用户的秘密，从而收集信息对被害人进行渗透。

社工可怕吗

社会工程学有多可怕？精通社工的人，可能会利用一个手机号，一个名字，一个单位，一个住址，就可以对相关人进行欺骗。

举个例子，某公司想挖走竞争对手的员工，假装蛋糕店搞活动，只要填写手机号和姓名就可以免费得到一块蛋糕，顺利的话可以拿到公司所有人的联系方式。

再举个例子，你有个暗恋的人，通过社工可以轻而易举地知道他/她的详细情况。

社工能做的事儿有很多，但千万要注意合法合规！

社工方法

社工主要获取相关人的具体信息，基本包含：

真实名字/网络昵称

出生日期

身份证号

籍贯

手机号

QQ/微博/论坛/网易云等账号

就读的小学/中学/大学

学号

对方的朋友圈子

共同好友的资料

各类照片等等

那么该如何拿到以上具体信息呢？大概有以下几个方法（不完全）：

1、直接索取

直接索取就是直接问目标人员各类信息，也就是俗称的“搭讪”。

“你好，同学，可以加个微信吗？”

“同学，我有个朋友想认识一下你，但他有点害羞，所以让我帮他要一下你联系方式，你看可以不？”

如果对方直接给你微信号了，那就不用费那心思去伪装了。而且有了对方的微信号，那么他的手机号、微博、QQ等个人信息也都告诉你了。

2、个人伪装

最直接的就是“猜猜我是谁”。

早些年，流行过一个诈骗手段，主要表现就是“猜猜我是谁”，然后根据受骗人的回答伪装成这个人来进行诈骗。

个人伪装和“猜猜我是谁”有异曲同工之妙，主要看的是演技。

“你好，我是来面试的，XXXXXX”

“你好，我是修下水道的，XXXXX”

通过伪装，对方的个人信息就尽在手中了（现实生活中也有利用社工进行诈骗的案例，但近年来也有许多网安人利用社工来进行网安攻防。）

另一个老把戏是“钓鱼攻击”，大多是伪装成银行、学习、公司或政府机构等可信服务提供者，美剧里最爱伪装成FBI。

3、发送邮件

这可是一个经典手段了，和我们现在还会收到的垃圾、诈骗邮件不一样，社工的邮件制作更要精细。

这种方式一般是伪装成熟人发来的邮件，正因如此，对方更容易得手。所以邮件的是一对一的。如果对方点击链接，你就可以轻松进入他的地址簿和个人信息。

4、环境渗透

对特定的环境进行渗透，也是社工常用的手段之一，它可以不和对方打交道就可以获得对方的姓名、生日、手机号、邮箱等。

5、暴力恐吓

这种方式和伪装有些相似，都是需要借助一定的身份去进行，不同的是暴力恐吓往往以木马、病毒、漏洞等敏感内容，散步安全警告，系统风险等信息，使得对方主动“投网”。

除此之外，社工还有很多手段和方式，对人、对计算机都有着不同的方式。

下期带你了解查档

注：本文内容仅供交流学习，禁止用于非法用途，否则后果自负。！！