編者按：所謂社工庫，就是黑產(chǎn)的地下數據庫，其廣博的深度，恐怕不比任何“大數據公司”差。黑客們盜取的數據，都留存在社工庫中，供黑客們查詢(xún)。通過(guò)這個(gè)地下數據庫可查詢(xún)到身份證號、銀行卡號、常用密碼、家庭住址，甚至開(kāi)房記錄等眾多維度數據，而這些數據被反復清洗、榨取價(jià)值，“直到渣渣都不剩下”。本文節選了汪德嘉博士《身份危機》一書(shū)里黑色產(chǎn)業(yè)中的“社工庫”，告訴大家社工庫的存在有著(zhù)怎樣的危害？它是怎么讓你“一步到位”的？

2014年，一家名為“我就是社工庫”的網(wǎng)站，可以通過(guò)輸入QQ號查看該號主人大量的隱私內容。這一附有數張網(wǎng)站截圖的消息，立刻在微博中被轉發(fā)了近2000次。網(wǎng)站被群眾舉報后，當晚已無(wú)法打開(kāi)。這家網(wǎng)站只是網(wǎng)絡(luò )中眾多社工庫的一個(gè)。

1、社工庫是什么

社工是社會(huì )工程學(xué)的縮寫(xiě)，社會(huì )工程學(xué)是一種通過(guò)對受害者心理弱點(diǎn)、本能反應、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段；是一種黑客攻擊方法，利用欺騙等手段騙取對方信任，獲取機密情報；是一種利用人性脆弱點(diǎn)、貪婪等等的心理表現進(jìn)行攻擊，是防不勝防的。所有社會(huì )工程學(xué)攻擊都建立在使人決斷產(chǎn)生認知偏差的基礎上，熟練的社會(huì )工程師都是擅長(cháng)進(jìn)行信息收集的身體力行者。

有一本書(shū)很出名，估計很多讀者都有聽(tīng)說(shuō)過(guò)，叫做《欺騙的藝術(shù)》，其實(shí)社會(huì )工程學(xué)就是米特尼克在這本書(shū)中提出的，不過(guò)其初始目的是讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò )安全，提高警惕，防止沒(méi)必要的個(gè)人損失，但是現在真正的應用似乎不是這樣的。

聽(tīng)起來(lái)似乎跟人肉搜索好像一個(gè)概念，其實(shí)不能把人肉搜索跟社工對等，準確的說(shuō)，人肉搜索可以算作社工的一種應用。

了解了社工，社工庫也就好理解了，字面意思就是社工數據庫。從上面的社工介紹大家明白了社工在信息收集方面的作用，這些信息中可能有個(gè)人信息有密碼等等，那么，那么與其每次需要社工的時(shí)候再去搜集信息，當有某個(gè)網(wǎng)站或者某個(gè)應用等之類(lèi)的數據庫或者相關(guān)一些數據泄漏出來(lái)或者其他方式可以獲得，那么為什么不提前收集起來(lái)，然后在需要的時(shí)候再來(lái)查詢(xún)呢？這樣不是更省事省時(shí)？

其實(shí)社工庫看似簡(jiǎn)單，當數據量足夠大的時(shí)候，就容易查到自己想查的信息，但是其實(shí)也有許多的問(wèn)題，比如不同的數據庫如何處理后入庫，不同數據之間如何關(guān)聯(lián)，這么大量的數據如何做到快速的搜索……其實(shí)還是涉及到挺多問(wèn)題，當然這些就是數據庫處理方面的問(wèn)題了。

就社工庫來(lái)說(shuō)，應該很多組織及個(gè)人手里都有一個(gè)社工庫，可能來(lái)源主要都是那些泄漏出來(lái)的數據庫，比如之前的酒店登記數據，以前天涯、CSDN數據泄露等等。至于不同的社工庫量都有多少？?jì)热荻际鞘裁?，這個(gè)不盡相同。對于很多社工庫來(lái)說(shuō)，存儲達到T，數據量達到億級別都是小菜一碟。而內容方面，賬號密碼、郵箱地址、個(gè)人信息等等，也看大家自己的處理方式，這個(gè)就不一定了。

再看看網(wǎng)上那些社工庫，其實(shí)就是作了處理，對外提供了搜索服務(wù)。一個(gè)社工庫，威力有多大，就看數據庫的數量和質(zhì)量了，理論上達到了一定的量，很多的東西都是可以查的出來(lái)的，特別是那些基本所有網(wǎng)站都一個(gè)密碼的，只要一個(gè)社工庫的收集的其中一個(gè)數據庫有他的賬號密碼，那么查出來(lái)的密碼就可以直接登陸該用戶(hù)的其他賬號了，所以安全方面的防范如設置不同密碼，定期更換密碼等極為重要。

2、社工庫的危害

“查一下社工庫，哪怕你什么代碼都不會(huì )編寫(xiě)，也不是黑客，但是卻能得到本來(lái)十分隱秘的別人的信息資料?！睒I(yè)內人士這樣形容著(zhù)社工庫的危害。

在網(wǎng)上搜索“手持身份證”關(guān)鍵詞，就能有一堆照片。如果你的這種照片被壞人得到了，他們都會(huì )用來(lái)干些什么呢？

他們可能會(huì )用你的手持身份證照片開(kāi)網(wǎng)店賣(mài)假貨，出了事之后馬上跑路，更嚴重點(diǎn)的，他們會(huì )用你的信息借網(wǎng)貸，一些不太正規的應急借貸認證非常寬松，壞人用你的身份借了錢(qián)就消失不見(jiàn)了，這筆錢(qián)可能就要你這個(gè)冤大頭去還了。

也許你想著(zhù)自己沒(méi)拍攝上傳過(guò)類(lèi)似照片，就可以放心了。然而這只是冰山一角，在這個(gè)互聯(lián)網(wǎng)時(shí)代，想接近你，了解你的個(gè)人隱私，真的很容易……比如說(shuō)，網(wǎng)上有一種身份證查詢(xún)工具，可以通過(guò)身份證號查出你的戶(hù)籍年齡之類(lèi)的信息。

這個(gè)還不算什么，因為身份證號是有規律的，知道了規律就很容易分析出來(lái)，比較簡(jiǎn)單。

如果想獲取一個(gè)人更多的生活信息和個(gè)人隱私，手機號和郵箱之類(lèi)的是首選。

比如有些網(wǎng)站可以查出你用手機號或者郵箱注冊過(guò)什么網(wǎng)站。其實(shí)這也不是特別難，當你注冊某平臺賬號時(shí)，如果輸入一個(gè)已經(jīng)注冊過(guò)的賬號，網(wǎng)站會(huì )提醒已經(jīng)注冊過(guò)。所以這類(lèi)網(wǎng)站就利用爬蟲(chóng)腳本（按照一定規則自動(dòng)抓取網(wǎng)絡(luò )信息的腳本）遍歷各大網(wǎng)站，通過(guò)網(wǎng)站回執的結果判定你輸入的手機號都注冊過(guò)什么。

現在 QQ 、微博 、微信 、人人等社交網(wǎng)站都有“ 通訊錄好友 ”，“ 可能認識的人 ”這類(lèi)功能，只要在自己的手機通訊錄存上這個(gè)號碼，就能通過(guò) “ 通訊錄好友 ”功能來(lái)添加他了！關(guān)注了他的微博，就可以看他過(guò)去的微博找到他的照片，了解他的年齡，工作，所在地等等，還能默默窺探他的動(dòng)向。如果想的話(huà)，甚至可以關(guān)注經(jīng)常和他互動(dòng)的人（這種人很可能是他的朋友），從他身邊的人身上來(lái)進(jìn)一步了解他的生活環(huán)境和一些其他信息。甚至可以假裝偶遇加他的QQ 或者微信跟他聊天，直接從他嘴里“ 套話(huà) ”。

知道了QQ郵箱賬號之類(lèi)的信息，通過(guò)社工庫網(wǎng)站可以查詢(xún)曾用（沒(méi)準也是現用呢）密碼。如果這個(gè)密碼現在還能用，那事情可就變得很可怕了。因為除了可以查看他曾經(jīng)的郵件來(lái)了解他，還可以通過(guò)郵箱賬號查詢(xún)曾經(jīng)注冊過(guò)的網(wǎng)站，然后再利用通過(guò)郵箱的密碼找回機制獲得登錄這個(gè)郵箱主人其他網(wǎng)站賬號的權利。通過(guò)登錄這些網(wǎng)站，就可以短時(shí)間內獲得賬號主人的大量信息，這個(gè)人就變成了一個(gè)透明人。

當然還有更厲害的社工庫可以讓你 “ 一步到位 ”。一次搜索，搞定所有！姓名、住址、身份證、手機等等應有盡有。搜索結果里還有來(lái)源這個(gè)選項，數據有很多來(lái)源，比如 “ 淘寶買(mǎi)家 ”，“ 7K7K ”，“ 天涯 ”，“ CSDN ” 等等……

由于社工庫里的信息往往涉及用戶(hù)隱私，所以社工庫網(wǎng)站往往是非法的。很多網(wǎng)站經(jīng)常被舉報或者查封，過(guò)段時(shí)間又會(huì )換一個(gè)網(wǎng)址重新出現。一些社工庫網(wǎng)站的服務(wù)器還設置在境外，以躲避公安機關(guān)的調查。

3、社工庫的案例

Leakedsource.com是一個(gè)著(zhù)名的社工庫網(wǎng)站（見(jiàn)圖2-8），被稱(chēng)作數據泄露界的谷歌。用戶(hù)可以在該網(wǎng)站找到很多嚴重數據泄漏事件中泄漏出來(lái)的數據，其中還包括很多熱門(mén)網(wǎng)站（例如LinkedIn和Myspace等）的數十億用戶(hù)賬號以及相應的登錄密碼。但是在2017年年初，多家新聞媒體報道稱(chēng)執法部門(mén)已經(jīng)成功拿下Leakedsource的服務(wù)器。

圖2-8 LeakedSource網(wǎng)站

 2015年底的最后幾天，LeakedSource團隊掌握并計劃公布多達1億被黑且尚未公開(kāi)的“中國大型網(wǎng)站”泄露數據，而僅僅經(jīng)過(guò)一年，LeakedSource積累的泄露數據就將近30億， LeakedSource原計劃2017年通過(guò)其數據引擎公布20到30家被黑網(wǎng)站多達1.05億條記錄。然而隨著(zhù)網(wǎng)站的關(guān)閉，這一計劃也失敗了。 LeakedSource的成立目的在于，盡可能多的提醒普通互聯(lián)網(wǎng)用戶(hù)其泄露的個(gè)人信息正面臨安全風(fēng)險，與此同時(shí)，對那些被黑的第三方網(wǎng)站形成壓力，迫使其承認黑客攻擊事件，對用戶(hù)負責。盡管這種過(guò)程和效應非常緩慢，不太明顯。

LeakedSource積累的泄露數據庫能讓用戶(hù)和組織了解其自身賬戶(hù)信息是否正處于被黑狀態(tài)，或哪些信息已完全被公開(kāi)泄露。最基本的一點(diǎn)是，至少能幫助提醒用戶(hù)哪些密碼需要修改。

LeakedSource的初衷是好的，然而從2015年10月份起，LeakedSource便開(kāi)始對外出售盜竊來(lái)的用戶(hù)賬號以及密碼，而這些憑證信息大多來(lái)源于某些嚴重的數據泄漏事件。在網(wǎng)站的搜索欄中輸入任何一個(gè)電子郵箱地址之后，網(wǎng)站便會(huì )顯示出與該郵箱地址對應的密碼信息。但是，用戶(hù)在查看密碼之前還需要為該服務(wù)付費。對于很多人來(lái)說(shuō)，LeakedSource似乎是一個(gè)可以滿(mǎn)足他們好奇心的地方，而對于某些新聞?dòng)浾邅?lái)說(shuō)，LeakedSource也是一個(gè)調查數據泄漏事件的好去處。其它數據泄露在線(xiàn)服務(wù)商在顯示出相應的賬號密碼之前，會(huì )先讓用戶(hù)證明自己的確可以訪(fǎng)問(wèn)該賬號或郵箱，但LeakedSource就不一樣了，因為它不會(huì )對用戶(hù)的合法身份進(jìn)行任何形式的驗證。

“有心人”利用LeakedSource查詢(xún)其他人的泄露信息，然后通過(guò)查詢(xún)出來(lái)的密碼信息對其他人的賬號進(jìn)行登錄嘗試，可以通過(guò)查詢(xún)出來(lái)的其他個(gè)人相關(guān)信息，實(shí)施進(jìn)一步的社會(huì )工程攻擊。在這種情況下，LeakedSource也確實(shí)為那些潛在的攻擊者創(chuàng )造了他人敏感信息的公開(kāi)獲取渠道。在一些安全社區甚至有人認為，LeakedSource是在從泄露數據事件中獲利，這種提供泄露數據查詢(xún)的做法可能會(huì )引發(fā)其它更糟糕的信息安全問(wèn)題。

此外網(wǎng)站不但銷(xiāo)售數據庫數據，還提供密碼破解服務(wù)。也就是說(shuō)，雖然你的密碼并沒(méi)有被明文泄露，但是該網(wǎng)站會(huì )把你的密碼破解出來(lái)。而LeakedSource匿名運營(yíng)這一點(diǎn)，也引人爭議，沒(méi)人知道誰(shuí)在運營(yíng)管理這些數據，又會(huì )如何利用這些數據。所以L(fǎng)eakedSource網(wǎng)站最終被有關(guān)部門(mén)關(guān)閉。

就如科技是把雙刃劍，社工庫也具有兩面性。如何合法利用社工庫，保護公民信息安全，是網(wǎng)絡(luò )安全界所要思考的問(wèn)題。

結束：

每個(gè)黑客的攻擊手法都不同，破解的方式也千奇百怪，沒(méi)有統一的作戰方式。盡管有護城河、城墻，但攻擊者，可以從正門(mén)攻，也可以從地下挖地道，甚至逮住一個(gè)老鼠洞，都能鉆進(jìn)來(lái)，防不勝防。電信網(wǎng)絡(luò )欺詐層出不窮，網(wǎng)絡(luò )黑產(chǎn)也已經(jīng)從過(guò)去的黑客攻擊模式轉化成為犯罪分子的斂財工具和商業(yè)競爭手段。從某種意義上來(lái)說(shuō)，企業(yè)也好、用戶(hù)也好在信息泄露事件中，都是受害者。