我叫王伟，王大锤的锤，伟哥的哥。我是一名程序员。

我叫王伟，王大锤的锤，伟哥的哥。我是一名程序员。

愚人节过了，我依旧没有向隔壁公司的HR小丽表白。

本来已经在GitHub上找到了一个相对不那么土的网页代码，准备部署到自己租的服务器上。在4月1号那天把链接发给她。

但是她好像也关注了何老师的公众号！

何老师的公众号虽然有时候有点水。但该干的时候还是挺干的！

那么，她肯定不会点开陌生的链接。甚至当我把那个链接发给她的时候她还有可能怀疑我的号是冒充我本人的骗财骗色的假号！

到时候她把我拉黑了怎么办！

于是我放弃了这个想法！

我叫王伟，我是个程序员。我做梦也没想到，一个写公众号的假程序员会成为我爱情道路上的绊脚石。

吃完午饭，给小丽发条信息吧。

“吃饭了没有呀？”

“吃了”

“吃了什么菜呀？”

“就平常那些呗”

“好吧”

我叫王伟，我是个java后端工程师。我发誓我一定要学机器学习，用无数个爱情电影的对话训练一个聊天模型。这样我就不会让对话在这里终结了！

就当我以为对话要终结的时候，小丽让对话又继续了下去。

“对了，想请教你一个问题”

“嗯，什么问题？”

“U盘插进电脑不显示，说无法识别，这是什么情况呀？”

“不会吧？你插电脑屁股后面试试！”

“”

“可能会有这种情况，前面USB接口电压不足，读不出来”

“好吧，我试试”

一分钟后。。。

“插后面也没用！”

“不会吧？那你插别人的电脑试试。”

“好”

又过了两分钟。。。

“插我同事的电脑也是无法识别！”

“是不是U盘太老了？”我问她。

“不是啊！新的，我今天刚收到的！”

“新买的U盘还这样！联系客服退了吧”

“不是买的，送的”

“送的？”

“就今天，刚收到个快递，京东给我寄的。一张300块钱的礼品卡，还送了我个U盘。这300块钱可以用来买U盘里面列表里的东西。”

“真的假的，我看看”

小丽拍了张图发了过来。

我点开了图片，点了下查看原图。仔细观察了一下。

答谢老用户送礼品卡？还送U盘？但是U盘不显示是怎么回事？

“糟糕！”我心里一颤。

我叫王伟。我意识到，小丽可能被坑了。而我，还助攻了一把。

“赶紧把U盘拔了！！把网线拔了！！！我过来看一下”

“拔网线？？”

“这个U盘有问题！你赶紧拔了！还有网线，也拔了！还有你自己那台电脑，网线也拔了”

“嗯！”

小丽看我一脸严肃的表情，她似乎也察觉到了问题不简单。

“很严重吗？”她问我。

“有可能！我看一下电脑”

我打开了任务管理器，查看有没有异常的进程。顺便打开了杀毒软件，看能不能找到异常文件。

我叫王伟，我只是个写增删改查的。既然B已经装了，那就只能装到底了。

“把U盘给我看看！”

我接过“U盘”，瞅了一圈。

这时候右手偷偷摸进自己的口袋拿出钥匙，想要趁它不注意把它撬开。

我叫王伟，我可能想多了。它比我想象中的硬！

找电工借了套工具，花了九牛二虎之力。终于把它打开了。

这个“HW-374”引起了我的注意。虽然不知道它是个啥，但是心里面有个声音在说“问他吧，他可能知道！”

于是我听从了心里面的声音！

。

。

。

。

还真的被我找到了。

这个网站后缀是.tw。这是个湾湾的购物网站。372新台币折合人民币大约80多块。

看一下产品介绍。

总结一下，这个设备利用杀毒软件访问不到U盘的固件区的漏洞将恶意代码放在固件区。而整个usb设备是模拟成键盘的，我们的PC默认对键盘是信任的，然后自动输入指令，让感染的电脑下载木马。于是这台电脑就在对方的监控下了。

至于在这么短的时间内，有没有信息泄露，不得而知了。现在能做的是不要让更多的信息泄露。把网线拔了就是最有效的办法！

我告诉小丽，让她把有用的资料都拷到移动硬盘里。如果杀毒软件找不到恶意文件，那就只有重装系统了。还有：

不清楚来源的U盘请不要随意插到自己的电脑里！

不清楚来源的U盘请不要随意插到自己的电脑里！

不清楚来源的U盘请不要随意插到自己的电脑里！

我叫王伟，由于我的助攻，导致本来只有小丽一台电脑感染变成小美的电脑也感染了。

我心里充满了罪恶感，以至于她们说我帮她们避免了更大的损失想要请我吃饭我爽快的答应了。

黑客集团总是喜欢通过各种漏洞进行攻击，但是由于各大软件服务商的技术升级，基于软件层面的漏洞总是不够有效的。

所以他们更喜欢通过社会工程学进行攻击，也就是我们偶尔听到的“社工”。攻击成功率往往极高。

世界第一黑客凯文·米特尼克在《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。

你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。

虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。

本故事由真实案例改编。

由一家名叫Trustwave的安全公司发布的一个真实案例。他们的一位客户收到了一个包裹，显示是百思买（Best Buy）给到其忠实客户的50美元礼品卡。

经过专家们的分析并发布这个案例的文章后，多方面的确认，这次的攻击是某网络犯罪组织 FIN7 APT 针对企业发动的新一轮攻击。

他们给目标企业的人力资源、信息技术、执行管理等部门的员工寄送包裹，里面包括“礼品卡”、“USB”设备。当员工将USB设备插入计算机时，会注入命令以下载并执行以GRIFFON跟踪的JavaScript后门。

具体细节请参考：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

Trustwave

-- END --