社会工程学巧骗网易相册密码

今天同学的一个朋友发短让我帮他破解一个网易相册的密码,至于其他的原因出于保密就不说了,一般来说这个东西除了社会工程学,技术手段几乎无效。

我向他要来对方的 QQ 号码和相册地址,在网上搜索半天都未找到相关信息。因为网易博客“关于”栏里填了很多真实信息,我先利用了“密码找回”功能加上对方在关于里写的资料去试着找回密码,没有成功。他的目的是看到相册的内容,密码暂时没找出来,所以就用“骗”了。

首先我确认了对方是个年龄不算很大,网龄以及网络方面的知识很少,那么非常适合。我换了一个不常用的 QQ 号码,然后将用户名改为“网易博客客服”,并且加对方为好友,很快通过验证,我首先自我介绍以后,告诉对方我联系他的目的。我找以“因为四川汶川大地震,国家为了避免网上散播谣言,需要对每个用户的博客进行检查,由于你相册加了密码,我们需要查看里面的内容”。当然这个是很弱智的骗法,我是根据他而网龄不大,对网络不熟悉才这样问的。对方问我能不能把密码清除,让我进去看。我们的目的就是看对方相册的内容,自然也就同意,而对方清除所有相册分类的密码后,把我们需要看的重要的那个相册分类删除了,并说任何人包括我们(指客服)也不能看,为了不引起怀疑,我用 VB 画了一个“操作记录程序”的界面,内容大概为“用户名 在 2008 年 5 月 21 日删除了相册分类”。我估计对方可能在我们检查完后会重新上传,而说需要出去半小时,我逞这个机会,制作了一个假的网易页面,命名为“网易博客违法检测安全登记中心”,正好手里有个 ASP 空间,将写好的 ASP 程序上传上去。如图:

1.jpg