网络安全中的社会工程学

　　e时代的守株待兔

　　高中生小马平时喜欢用QQ聊天，绚丽的QQ秀及其众多的特色服务更令他爱不释手，但是很多特色服务是需要成为会员、并交纳费用才能买到的。小马虽然喜欢QQ，可是也知道精打细算，他是不会把钱随便扔在网络的虚拟世界中的。怎样才能既让自己的QQ生涯过得辉煌，又不需要花"冤枉"钱呢?小马很自然地把眼光投在一些"巧妙"获取Q币的方法上。

　　这天，一个好友通过QQ给小马发来一个链接，还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过?他根据网站的提示输入了QQ号码和密码完成注册，然后给QQ上的其他朋友们也发了这个网址。让他失望的是，他等了许久，自己的Q币依然没有动静。第二天，小马想登录QQ时，却发现怎么也登录不上去了——他的QQ密码被人修改了。

　　这是最近在网上闹得沸沸扬扬的QQ欺骗案件之一，连腾讯公司也不得不出面澄清："目前许多冒充我公司的网站，打着送Q币或赠送QQ号的旗号，要求用户在对话框输入QQ号码以及密码。这类网站地址多为有QQ字样，点击进入页面有仿制QQ公仔形象，页面正中有明显要求输入QQ号码、密码、验证码的对话框。目前这些网站多为骗取用户点击率而设置，但将来有可能发展为盗号的一种手段。"

　　由于QQ在中国网民中深入人心，越来越多的人打起了QQ的主意，如果说用木马盗取QQ密码是早期的手段，那么如今通过网站信息欺骗用户自己送上门的手法可谓登峰造极了。其实，这种类似的方法很早就出现过了，如果你时常泡一些比较大的论坛，就会有机会碰上诸如如下内容的帖子："为了方便快捷的管理，腾讯公司预留了几个管理专用号码作为充值号，此号是自动读取指令的，腾讯公司为了不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身。只要发送{Jerusalum/PLO号码}{Vesselin Bontchev密码}{FRALDMUZK Q币数量}，然后下线5分钟，等着收Q币吧。"——你是不是在搞笑?!改我密码还要5分钟啊?麻烦你快一点好不好!如果你真的对这条消息信以为真，并且发送了如上内容的信息，那么最终的结果是：你不仅不能得到意外的Q币，你的QQ号码、密码还非常可能被对方非法获取到。

　　此外，还有利用QQ中奖要求用户填写密码以待"验证"的伎俩……无论什么手法，最终结局都是一样的：用户的密码被人改掉。

　　如此"弱智"的骗局，只要稍微有点常识的人都很容易发现其中的破绽：腾讯公司如果给你颁奖，要你的QQ号码就足够了，还需要密码、验证码干吗?如果QQ密码需要修改，那也是你自己的事情，怎么会存在QQ密码需要由别人代劳的情况?

　　令人惊讶的是，面对如此低级的欺骗手段，却屡屡有人上当。究其原因，很多用户都是被"占小便宜"的心理给害了，天下没有免费的午餐，Q币作为QQ会员才能享受的付费功能之一，凭什么你就相信能够免费获取?这和到商场里买东西不付钱有什么分别?作俑者利用这种看似"非常有赚头"的低级欺骗手法，引得众人自愿撞死在他的树桩上，而且是来了一批又一批。

　　其实中国独有的"QQ尾巴病毒"也开始融入了社会工程学的雏形。很早以前，QQ尾巴的欺骗手法只是简单地随机发送一些莫名其妙的链接，而如今，QQ尾巴已经开始变得"智能"化，它会在某句话后加入"补充"或者与当前聊天内容相关的句子，比如对方QQ的昵称、上一次的谈话内容等等。信息接受者看到信息是和自己密切相关的，无形中就放松了警惕，于是下意识地就打开了暗藏玄机的网址。