我们身边,存在着大量的社会工程库,或称「社工库」,通过交叉比对特征分析,很快能定位到一个具体而又活生生的人,由此引发的后果可以改变他或她接下来的生活。在这非对称的条件下,受害者往往连施害者是谁都不清楚。社会工程调查都能让私人侦探事半功倍,被调查人还浑然不觉,调查成本大幅减低,想想这意味着什么?
真正通过技术漏洞进入系统的并不占多数,很多人的被扒往往是通过个人信息泄漏所带来的交叉比对获得的。开房记录只是庞大社工库的一角,地下黑市交易的也不在少数,完全有理由相信再谨慎的人,或完全不接触互联网的人,或多或少都有一定的个人历史信息存留在「社工库」中。我们可以通过构建新的网络身份混淆比对和追踪。大量被撞库和还未被撞库的人只是因为使用同一密码。除了使用 1Password 或 Enpass 之类的随机生成密码,最好还是对所有国内网站随机生成不同的用户名且不被联想。若注册没有 HTTPS 的网站,不仅要随机用户名密码,最好使用 Guerrila Mail 之类的一次性注册邮箱。
再进一步,服务器还会记录你的登录 IP,操作系统,浏览器版本,登录时间,调用 Cookie。一旦某网站被拖库,或者他人用现成「社工库」比对,就算随机用户名密码和一次性邮箱可还是会有痕迹。因此,我们需要用 Tor 来混淆比对。Tor 自动屏蔽网站上的统计脚本,禁用 cookies,显示 IP 是每次不同的出口地址,使用 Tor 能基本上能做到匿名。
Video Reference:
- Cybercrimes with Ben Hammersley (2014) Available on Netflix U.S.
- 黑客军团 第一季 Mr. Robot Season 1 (2015) 故弄玄虚的叙事风格