社會工程學從理論上來講是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。那么，什么算是社會工程學呢?它并不能等同于一般的欺騙手法，社會工程學尤其復雜，即使自認為最警惕最小心的人，一樣可能會被高明的社會工程學手段損害利益。

引狼入室

李小姐是某個大公司的經理秘書，她工作的電腦上存儲著公司的許多重要業(yè)務資料，所以屬于公司重點保護的對象，安全部門設置了層層安全防護措施，可以說，要從外部攻破她的電腦那簡直是"Impossible Mission"。為了方便修改設置和查殺病毒，安全部門往往直接通過網絡服務終端對李小姐的電腦進行全面設置。也許是為了貪圖方便，維護員與李小姐的日常聯(lián)系是通過QQ進行的。

這天，李小姐剛打開QQ就收到維護員的消息："小李，我忘記登錄密碼了，快告訴我，有個緊急的安全設置要做呢!"，因為和維護員很熟了，李小姐就把密碼發(fā)了過去。

然而第二天，竟然發(fā)生了令人意想不到的事情：一夜之間，公司的主要競爭對手掌握了公司的業(yè)務，在一些重要生意上以低于公司底價的競爭手段搶去了大客戶，令公司蒙受了損失!經過調查，才知道是公司的業(yè)務資料被對方拿到了，公司憤然起訴對手，同時也展開了內部調查，李小姐自然成了眾矢之的。

在一番仔細的調查之后，問題的焦點集中在那條"網絡維護員"發(fā)送過來的要求修改密碼的QQ消息上。維護員一再聲稱自己沒發(fā)過那樣的消息，但是電腦上的記錄卻明明白白地顯示著信息接收記錄。隨著警方的介入以及犯罪嫌疑人的招供，一宗典型的"社會工程學"欺騙案件浮出水面。

李小姐正是出于對"維護員"的信任，所以被對方欺騙了。因為那個在QQ上出現(xiàn)的維護員根本不是公司真正的維護員本人，而是對手盜取了維護員的QQ，再利用一個小小的信任關系，就輕易取得了登錄密碼，公司的業(yè)務資料自然落入對方手中。這能否算做入侵案件呢?首先，對方并沒有利用任何技術手段對公司的電腦進行掃描、漏洞滲透和攻擊;其次，密碼也是公司員工自己告知對方的，因此就出現(xiàn)了有趣的矛盾：對方是在未經授權的情況下登錄了受害者機器并盜取了具有經濟價值的資料，這已經是入侵行為，那么這個人就屬于入侵者;但是對方登錄內部網絡的密碼卻不是通過非法手段取得的，而是受害者方面告知的，那這個人又可以被稱為合法登錄者嗎?

最終還是警方有能耐，結案為：被告通過欺騙手段騙取受害者公司員工的登錄密碼，并在未經授權的情況下登錄受害者機器盜取業(yè)務資料，此案雖然未涉及網絡攻擊和入侵，但是被告利用社會工程學手段進行偷竊已經證據(jù)確鑿，仍然屬于非法入侵，此外還涉及詐騙。

最后，公司終于通過法律手段挽回了損失，但是"社會工程學"的可怕已經在每個人的心里留下了揮之不去的陰影。

【編輯推薦】

1. 網絡釣魚需要多方治理
2. 調查問卷也成網絡釣魚陷阱
3. 網絡釣魚 微博可能成為主要途徑
4. 實例解析淘寶網絡釣魚二重詐騙
5. 網絡釣魚又見新招 支付寶也不能保證安全