所謂社工庫，就是黑產的地下數據庫，其廣博的深度，恐怕不比任何“大數據公司”差。黑客們盜取的數據，都留存在社工庫中，供黑客們查詢。通過這個地下數據庫可查詢到身份證號、銀行卡號、常用密碼、家庭住址，甚至開房記錄等眾多維度數據，而這些數據被反復清洗、榨取價值，“直到渣渣都不剩下”。本文節選了汪德嘉博士《身份危機》一書里黑色產業中的“社工庫”，告訴大家社工庫的存在有著怎樣的危害？它是怎么讓你“一步到位”的？

　　2014年，一家名為“我就是社工庫”的網站，可以通過輸入QQ號查看該號主人大量的隱私內容。這一附有數張網站截圖的消息，立刻在微博中被轉發了近2000次。網站被群眾舉報后，當晚已無法打開。這家網站只是網絡中眾多社工庫的一個。

　　1、社工庫是什么

　　社工是社會工程學的縮寫，社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段；是一種黑客攻擊方法，利用欺騙等手段騙取對方信任，獲取機密情報；是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊，是防不勝防的。所有社會工程學攻擊都建立在使人決斷產生認知偏差的基礎上，熟練的社會工程師都是擅長進行信息收集的身體力行者。

　　有一本書很出名，估計很多讀者都有聽說過，叫做《欺騙的藝術》，其實社會工程學就是米特尼克在這本書中提出的，不過其初始目的是讓全球的網民們能夠懂得網絡安全，提高警惕，防止沒必要的個人損失，但是現在真正的應用似乎不是這樣的。

　　聽起來似乎跟人肉搜索好像一個概念，其實不能把人肉搜索跟社工對等，準確的說，人肉搜索可以算作社工的一種應用。

　　了解了社工，社工庫也就好理解了，字面意思就是社工數據庫。從上面的社工介紹大家明白了社工在信息收集方面的作用，這些信息中可能有個人信息有密碼等等，那么，那么與其每次需要社工的時候再去搜集信息，當有某個網站或者某個應用等之類的數據庫或者相關一些數據泄漏出來或者其他方式可以獲得，那么為什么不提前收集起來，然后在需要的時候再來查詢呢？這樣不是更省事省時？

　　其實社工庫看似簡單，當數據量足夠大的時候，就容易查到自己想查的信息，但是其實也有許多的問題，比如不同的數據庫如何處理后入庫，不同數據之間如何關聯，這么大量的數據如何做到快速的搜索……其實還是涉及到挺多問題，當然這些就是數據庫處理方面的問題了。

　　就社工庫來說，應該很多組織及個人手里都有一個社工庫，可能來源主要都是那些泄漏出來的數據庫，比如之前的酒店登記數據，以前天涯、CSDN數據泄露等等。至于不同的社工庫量都有多少？內容都是什么，這個不盡相同。對于很多社工庫來說，存儲達到T，數據量達到億級別都是小菜一碟。而內容方面，賬號密碼、郵箱地址、個人信息等等，也看大家自己的處理方式，這個就不一定了。

　　再看看網上那些社工庫，其實就是作了處理，對外提供了搜索服務。一個社工庫，威力有多大，就看數據庫的數量和質量了，理論上達到了一定的量，很多的東西都是可以查的出來的，特別是那些基本所有網站都一個密碼的，只要一個社工庫的收集的其中一個數據庫有他的帳號密碼，那么查出來的密碼就可以直接登陸該用戶的其他帳號了，所以安全方面的防范如設置不同密碼，定期更換密碼等極為重要。

　　2、社工庫的危害

　　“查一下社工庫，哪怕你什么代碼都不會編寫，也不是黑客，但是卻能得到本來十分隱秘的別人的信息資料?！睒I內人士這樣形容著社工庫的危害。

　　在網上搜索“手持身份證”關鍵詞，就能有一堆照片。如果你的這種照片被壞人得到了，他們都會用來干些什么呢？

　　他們可能會用你的手持身份證照片開網店賣假貨，出了事之后馬上跑路，更嚴重點的，他們會用你的信息借網貸，一些不太正規的應急借貸認證非常寬松，壞人用你的身份借了錢就消失不見了，這筆錢可能就要你這個冤大頭去還了。

　　也許你想著自己沒拍攝上傳過類似照片，就可以放心了。然而這只是冰山一角，在這個互聯網時代，想接近你，了解你的個人隱私，真的很容易……比如說，網上有一種身份證查詢工具，可以通過身份證號查出你的戶籍年齡之類的信息。

　　這個還不算什么，因為身份證號是有規律的，知道了規律就很容易分析出來，比較簡單。

　　如果想獲取一個人更多的生活信息和個人隱私，手機號和郵箱之類的是首選。

　　比如有些網站可以查出你用手機號或者郵箱注冊過什么網站。其實這也不是特別難，當你注冊某平臺賬號時，如果輸入一個已經注冊過的賬號，網站會提醒已經注冊過。所以這類網站就利用爬蟲腳本（按照一定規則自動抓取網絡信息的腳本）遍歷各大網站，通過網站回執的結果判定你輸入的手機號都注冊過什么。

　　現在QQ、微博、微信、人人等社交網站都有“通訊錄好友”，“可能認識的人”這類功能，只要在自己的手機通訊錄存上這個號碼，就能通過“通訊錄好友”功能來添加他了！關注了他的微博，就可以看他過去的微博找到他的照片，了解他的年齡，工作，所在地等等，還能默默窺探他的動向。如果想的話，甚至可以關注經常和他互動的人（這種人很可能是他的朋友），從他身邊的人身上來進一步了解他的生活環境和一些其他信息。甚至可以假裝偶遇加他的QQ或者微信跟他聊天，直接從他嘴里“套話”。

　　知道了QQ郵箱賬號之類的信息，通過社工庫網站可以查詢曾用（沒準也是現用呢）密碼。如果這個密碼現在還能用，那事情可就變得很可怕了。因為除了可以查看他曾經的郵件來了解他，還可以通過郵箱賬號查詢曾經注冊過的網站，然后再利用通過郵箱的密碼找回機制獲得登錄這個郵箱主人其他網站賬號的權利。通過登錄這些網站，就可以短時間內獲得賬號主人的大量信息，這個人就變成了一個透明人。

　　當然還有更厲害的社工庫可以讓你“一步到位”。一次搜索，搞定所有！姓名、住址、身份證、手機等等應有盡有。搜索結果里還有來源這個選項，數據有很多來源，比如“淘寶買家”，“7K7K”，“天涯”，“CSDN”等等……

　　由于社工庫里的信息往往涉及用戶隱私，所以社工庫網站往往是非法的。很多網站經常被舉報或者查封，過段時間又會換一個網址重新出現。一些社工庫網站的服務器還設置在境外，以躲避公安機關的調查。

　　3、社工庫的案例

　　Leakedsource.com是一個著名的社工庫網站（見下圖），被稱作數據泄露界的谷歌。用戶可以在該網站找到很多嚴重數據泄漏事件中泄漏出來的數據，其中還包括很多熱門網站（例如LinkedIn和Myspace等）的數十億用戶賬號以及相應的登錄密碼。但是在2017年年初，多家新聞媒體報道稱執法部門已經成功拿下Leakedsource的服務器。

　　2015年底的最后幾天，LeakedSource團隊掌握并計劃公布多達1億被黑且尚未公開的“中國大型網站”泄露數據，而僅僅經過一年，LeakedSource積累的泄露數據就將近30億，LeakedSource原計劃2017年通過其數據引擎公布20到30家被黑網站多達1.05億條記錄。然而隨著網站的關閉，這一計劃也失敗了。LeakedSource的成立目的在于，盡可能多的提醒普通互聯網用戶其泄露的個人信息正面臨安全風險，與此同時，對那些被黑的第三方網站形成壓力，迫使其承認黑客攻擊事件，對用戶負責。盡管這種過程和效應非常緩慢，不太明顯。

　　LeakedSource積累的泄露數據庫能讓用戶和組織了解其自身賬戶信息是否正處于被黑狀態，或哪些信息已完全被公開泄露。最基本的一點是，至少能幫助提醒用戶哪些密碼需要修改。

　　LeakedSource的初衷是好的，然而從2015年10月份起，LeakedSource便開始對外出售盜竊來的用戶賬號以及密碼，而這些憑證信息大多來源于某些嚴重的數據泄漏事件。在網站的搜索欄中輸入任何一個電子郵箱地址之后，網站便會顯示出與該郵箱地址對應的密碼信息。但是，用戶在查看密碼之前還需要為該服務付費。對于很多人來說，LeakedSource似乎是一個可以滿足他們好奇心的地方，而對于某些新聞記者來說，LeakedSource也是一個調查數據泄漏事件的好去處。其它數據泄露在線服務商在顯示出相應的賬號密碼之前，會先讓用戶證明自己的確可以訪問該賬號或郵箱，但LeakedSource就不一樣了，因為它不會對用戶的合法身份進行任何形式的驗證。

　　“有心人”利用LeakedSource查詢其他人的泄露信息，然后通過查詢出來的密碼信息對其他人的賬號進行登錄嘗試，可以通過查詢出來的其他個人相關信息，實施進一步的社會工程攻擊。在這種情況下，LeakedSource也確實為那些潛在的攻擊者創造了他人敏感信息的公開獲取渠道。在一些安全社區甚至有人認為，LeakedSource是在從泄露數據事件中獲利，這種提供泄露數據查詢的做法可能會引發其它更糟糕的信息安全問題。

　　此外網站不但銷售數據庫數據，還提供密碼破解服務。也就是說，雖然你的密碼并沒有被明文泄露，但是該網站會把你的密碼破解出來。而LeakedSource匿名運營這一點，也引人爭議，沒人知道誰在運營管理這些數據，又會如何利用這些數據。所以LeakedSource網站最終被有關部門關閉。

　　就如科技是把雙刃劍，社工庫也具有兩面性。如何合法利用社工庫，保護公民信息安全，是網絡安全界所要思考的問題。

　　結語

　　每個黑客的攻擊手法都不同，破解的方式也千奇百怪，沒有統一的作戰方式。盡管有護城河、城墻，但攻擊者，可以從正門攻，也可以從地下挖地道，甚至逮住一個老鼠洞，都能鉆進來，防不勝防。電信網絡欺詐層出不窮，網絡黑產也已經從過去的黑客攻擊模式轉化成為犯罪分子的斂財工具和商業競爭手段。從某種意義上來說，企業也好、用戶也好在信息泄露事件中，都是受害者。

責任編輯：韓希宇