Question

本节将介绍一种已经在流行的攻击趋势：针对SNS社区的攻击。这里说的SNS是一种比较泛的概念，指那些用户参与度高的Web 2.0社区型网站，如人人网、微博、轻博客等。

攻击的各种技巧就是本书前面介绍的内容，加上社会工程学元素，SNS里的攻击很难被察觉，比如：当出现一个伪造的功能时，还以为是新增加的功能，被攻击者就会毫不犹豫地去尝试。SNS里的攻击围绕着信任关系进行，其特点是：人们往往信任自己熟悉的人，信任程度的高低一般取决于熟悉的程度与目标本身的信誉。

所以这里的攻击就比较有意思了，如果被攻击者警惕性高，那么直接攻击成功的概率往往较小，如果第一步先攻击目标的好友（总会存在一些警惕性很低的好友），当获取权限后，再以这个好友的身份进行攻击，成功率就大多了。如果这是在人人网的SNS中，获取某个好友的权限时，目标的很多隐私信息就都可以被正常查看了，比如个人丰富的资料、文章、相册、互动等。

如果借助“邪恶双胞胎”攻击，那么单纯运用社会工程学可能就能成功。什么是“邪恶双胞胎”攻击？这里看一个攻击案例就可知道了，如图10-5暴露的隐私信息与好友关系。

图10-5　暴露的隐私信息与好友关系

图10-5中，这个目标女生在人人网有一个关系圈子，几乎都是自己同校的同学，隐私设置很严密，同时，她在QQ朋友里也有一个很活跃的关系圈子，大部分都是自己的同学、好友、亲人等，我们的攻击目标是：查看这个女生在人人网的各种日志与相册。

我们在她的QQ朋友里发现几个不属于她在人人网关系圈内的同学，我们选择了其中一个认为可信的同学（称同学A，女生），运用社工元素获取了同学A的各种资料，大概知道了同学A的一些性格习惯，然后在人人网上注册了一个伪造账号，这个账号填写的各种信息让人一看就会认为是同学A，相册里甚至放上了同学A的几张照片，还写了两篇假设的文章，个人状态改写为“没控制住，开通人人网了，大家加我^_^”，然后开始添加同学A周边的各位同学（有大量的交集在目标女生的关系圈子中），这个过程是为了让这个伪造的账号看起来更真实，随后开始添加目标女生为好友，晚上通过了好友添加申请，顺利查看到了她的各种日志与相册。

攻击完成

在这个攻击中，在人人网中伪造的同学A的账号就是一个“邪恶双胞胎”，看起来是一个人，但却不是。这种攻击很可怕，最好的防御是：不要暴露过多的隐私信息在互联网上，同时保持一颗警惕的心：正在和你交谈的是那个人吗？