CNET和CBS新闻的高级制片人Dan Patterson和CBS调查记者Graham Kates与ibm X-Force红队的首席人物黑客“Snow”Carruthers讨论了黑客可以用来窃取你信息的方法。以下是经过编辑的采访记录。

这是四篇系列文章的第一部分。下载整部剧集:一名IBM社交工程师如何黑了两名CBS记者——然后揭露了她的钓鱼和欺骗攻击背后的技巧(免费PDF)。

Dan Patterson: Stephanie，你是一个社会工程师，你的头衔是IBM的首席人事黑客。这是最酷的工作头衔。在过去的三周里，你一直在进行黑客攻击和社会工程我的同事格雷厄姆·凯茨和我自己。你找到了这么多信息，以至于它生成了一份20页的报告。这是惊人和可怕的。

让我们从基础开始。当我们说社会工程时，你具体指的是什么?这种类型的黑客行为意味着什么?

斯蒂芬妮·卡拉瑟斯:社会工程就是说服人们去做一件事或者提供一些他们通常不会做的信息。而是走出去，看看你能从他们那里得到什么信息。具体来说，我们关注的是网络钓鱼，即发送带有恶意链接或附件的电子邮件。很多人没有意识到的是，如果他们点击链接或打开附件，就会有人访问他们的信息，甚至是他们的电脑。

Dan Patterson:好吧，网络钓鱼，一个大战术。你确实以多种能力使用计算机，但你并不依赖计算机来完成你的绝大部分工作。当你改造我们的时候，具体告诉我一些你使用的技术。

斯蒂芬妮·卡拉瑟斯:当我看着你们俩的时候，我做了所谓的开源情报收集，或者简称为OSIG。这就是你的在线调查阶段。在任何攻击者或像我这样的人开始一项活动之前，他们会花大部分时间做研究，看看他们能找到关于他们的目标或你们自己的什么信息。当他们这样做的时候，他们就能了解你，了解你的动机，你的兴趣是什么。他们可以利用所有的信息，然后策划他们的活动，无论是通过电话，电子邮件，甚至是亲自。

丹·帕特森:你发现的信息非常惊人。即使你熟悉InfoSec或者信息安全的世界，你也可能熟悉，“好吧，一个网络钓鱼可能会导致你进入我的电子邮件账户，”但是20页的信息。具体告诉我，你发现了什么?

斯蒂芬妮·卡拉瑟斯:至于你，我能找到地址。我能找到家人，他们的全名，生日，电话号码。我找到了你的四个电子邮件地址，它们都包含在13个不同的数据泄露中。

见:幕后操纵者如果你能谈论网络安全，就抓住我(免费PDF)(TechRepublic)

Dan Patterson:数据泄露，电子邮件地址，这些都可以。你还找到了我现在的通讯地址，我的街道地址，以及我以前的三个街道地址。对我来说，这似乎很亲密，但对于那些仍然有点怀疑的人来说，“好吧，你知道你所有的信息都在那里，”你找到我住的地方的能力有什么重要的?

Stephanie Carruthers:攻击者可以利用这些信息做一些事情。如果他们知道你住在哪里，他们知道你在旅行或度假，你的家很可能是空的。攻击者可以对您的地址进行的其他操作实际上是针对您本人的。我喜欢做的一件事就是克隆徽章，为了做到这一点，我必须离你很近，如果我知道你什么时候离开或下班回家，我就可以离你很近，拿到你的徽章证书。

格雷厄姆·凯兹:你发现了很多关于丹的事情。但你发现了我和我全家的很多事我的妻子，我的小女儿，她出生的时候，我的地址，我的手机号码。这是一个关于我的完全不同的信息世界。我很好奇这能给你带来什么。

斯蒂芬妮·卡拉瑟斯:有了你的手机号码，看到你有不同的账户，我知道你对食物感兴趣，你喜欢拍食物的照片。作为一个攻击者，我可以利用这些信息向您发送一条文本消息，但它可能包含一个恶意链接。就像丹一样，如果我知道你出城了，而我确实看到一个帖子，说你的家人要去度假，作为一个攻击者，我知道你的房子很可能是空的。