挖掘玛丽社交媒体行为中的社会工程学攻击

克里斯汀·索伦森 //

让我们来谈谈玛丽。

玛丽·沃森是个二十多岁的女孩，刚从米德敦大学获得时尚营销学士学位。玛丽正在寻找她的第一份"正经工作"。大家都警告她，她在Facebook上的鲁莽行为可能会毁掉她在时尚行业找到新工作的机会。她回想起自己被标记的派对照片、分享的The Lonely Island YouTube视频，以及她发布的关于裙子颜色和Kony 2012等争议性话题。她现在很担心。

不过玛丽很聪明。她将Facebook的隐私设置从"公开"改为"仅好友"，这样只有她的联系人才能查看她的个人资料。她还将Facebook上的名字从"玛丽·沃森"改为"玛丽·简"，以为用中间名代替姓氏很聪明。“未来的雇主现在找不到我的Facebook了，“她自言自语道。玛丽成功在漫威时尚公司找到了一份工作。

两年后，新婚的玛丽·帕克仍在漫威时尚公司工作。公司决定聘请黑山信息安全公司提供服务。BHIS的实习生哈罗德·奥斯本（简称哈利）被分配到这个项目。哈利用女孩般的声音给漫威时尚公司的IT部门打电话，冒充玛丽。IT部门的人接听了电话。 “漫威时尚，弗莱什·汤普森。” “嗨，“哈利的声音提高了一个八度。“我是玛丽·帕克，我忘记系统密码了。我真笨。” “抱歉，帕克女士，但我不能直接告诉您。我需要您提供一些信息才能操作。” “当然。你需要什么信息，弗莱什？“哈利调情道。 “您的生日和您母亲的娘家姓。”

哈利挂断电话。是时候做一些搜索了。

最容易的一站是Facebook。哈利搜索名字"玛丽·帕克”。然而，没有返回任何个人资料。哈利转向LinkedIn。他访问漫威时尚公司的资料，找到员工名单，并搜索"玛丽·帕克”。出现了一个有着丰富棕色头发和深榛色眼睛的女性照片的个人资料。他现在有了这个名字对应的面孔。 哈利回到Facebook，再次搜索名字"玛丽·帕克”。仍然没有结果。他转而使用Google搜索她的名字。

返回的第二个链接是The Knot网站，上面有一年前"彼得·本杰明·帕克和玛丽·简·沃森"的婚礼页面。 “完美！“哈利心想。他回到Facebook，现在搜索"玛丽·简”。出现的第一个个人资料就是他正在寻找的棕色头发的玛丽。然而，玛丽多年前很聪明，她的个人资料上能看到的内容不多。哈利点击她的照片时感到沮丧。他停在一张照片上，上面有玛德琳·加菲尔德·沃森的评论：“我的女儿太美了！！！1！” 玛德琳·加菲尔德·沃森一定是玛丽的母亲。她母亲的娘家姓是加菲尔德。哈利很兴奋，但他仍然需要出生日期。

哈利回到Google，再次搜索"玛丽·简·沃森”。第一个链接是玛丽旧的Twitter账户@maryjane2009*。哈利滚动浏览多年的推文，对每个标签都感到尴尬。最后，他停在2012年的一条帖子：

那是她的21岁生日。她的出生日期是1991年6月19日。

哈利再次用女孩般的声音给漫威时尚公司的IT部门打电话，并提供新的信息。 哈利得到了玛丽的密码。玛丽并不像她想象的那么聪明。

玛丽的故事是虚构的（而且BHIS没有叫哈利的人……或者有吗？），但像最好的虚构故事一样，它并非假设。这种社会工程学和研究在实际的网络钓鱼尝试中会发生。你可以避免成为这种困境的目标。首先限制你在社交媒体网络上发布的内容，始终意识到一旦上线，它就永远在线。你还可以通过删除不再使用的账户和网站来降低风险。哈利通过The Knot找到了玛丽的中间名（玛丽的婚礼发生在两年前哈利找到它的时候）。玛丽还有一个公开的Twitter账户，她在上面随意散布个人细节。如果她将账户设置从"公开"改为"受保护”，哈利就无法找到她的生日。至于她母亲的娘家姓，那是玛丽无法控制的，除非她删除整个Facebook账户或取消与母亲的好友关系（她母亲可能不太高兴）。使用社交媒体存在风险，对我们大多数人来说，与远方朋友和家人保持联系的好处远远大于风险，但重要的是要意识到风险仍然存在。通过保持警惕、限制访问权限并将非常个人的细节保持离线状态来降低风险。这让我们在BHIS的工作变得更加困难，而这让我们感到高兴！

*讽刺/不讽刺的是，Twitter账户@maryjane2009是一个真实的、已失效的账户，充满了我们收集到的信息：她的生日是13号，她是意大利人，不是来自美国，而且她超过25岁。啊……