昨天看了一部德国电影： "Who Am I - Kein System ist sicher"。中文名叫《我是谁-没有绝对安全的系统》。

近几年黑客这个形象在银幕上频频出现，往往都是躲在家里，对着电脑，在键盘上噼里啪啦随便敲几个键，黑黑的屏幕上跑过一大堆绿莹莹的代码，分分钟黑进人家国防部安全系统。其实 Hacking 哪有这么容易，高安全级别的系统都是不对外联网的好不好，你躲在家里怎么可能黑人家呢。

《我是谁》显然在这方面做的好很多。里面的四个黑客可没有整天宅在家里，人家也是很辛苦的天天要跑来跑去的。为了黑德国的安全机构，他们去垃圾场里翻垃圾找信息，找到一张生日贺卡利用上面的名字发钓鱼电子邮件，夜闯大楼，躲过保安，删监控录像，找门禁密码，篡改打印机通讯协议。。。这更加像是特工的节奏。

这部电影真实的地方在于多次提到一个以往黑客电影从未涉及的概念：Social Engineering，即社会工程学。这才是顶尖黑客最可怕的武器。社会工程学利用人性的弱点，来进行黑客活动。简单的来讲，就是骗。极其猥琐，但是极其有效。靠的不是技术，而是对人性的洞察和利用。

举个栗子。前阵子好莱坞许多女星私密照泄露，黑客窃取了她们储存在 iCloud 里的照片。有人指责苹果的安全做的不好。其实就算苹果的安全做的好，要黑这些不懂电脑的女星也是很简单的。比如苹果电脑的邮件客户端会隐藏邮箱地址，只显示发信人名字，那么黑客就可以以尼古拉斯霍尔特的名字发邮件给詹妮弗劳伦斯。

大表姐不仔细看来信人，以为真是表姐夫，就点开了邮件。邮件里有一个链接，点开以后是一个伪造的苹果网站页面，要求输入苹果账号和密码，大表姐想也不想就输入账号密码，黑客就得手了。就这么简单的一次钓鱼，根本不需要什么高超的计算机水平。

如果这一招骗不了，那还可以通过苹果的安全问题来强行修改对方的账号密码。所谓的安全问题，就是当初你注册苹果账号的时候他们问你的几个哲学问题：

如果你喜欢在社交网络上秀恩爱，晒自己宠物，那么你的高中同学可以分分钟黑了你。那么我们又是怎么被从不认识的陌生人黑的呢？他们根本就不知道我们的个人信息呀。

记不记得那些很流行的网页小测试和微信小游戏小测试? 测一测你和另一半的缘分，测一测你上辈子是不是折翼的天使等等。你明知道这些都是骗人的，但就是忍不住要去玩。

就这些愚蠢的星座血型测试，你都会允许把微信微博账号授权给他们，让那些黑客获得权限访问你的通讯录等隐私信息。

你还傻乎乎的提供你的生日，手机号，喜欢的颜色，喜欢的水果，喜欢的动物，另一半的生日，和初恋相遇的日子，结婚的日子...... 而你的密码往往还简单到都是这些东西的排列组合。

你还甚至会提交自己的头像就为了做什么年龄测试或者搞笑p图，却不知道人家可以拿着你的头像去骗你的熟人。

这些信息都是你亲手奉上的，黑客从来就没有强行攻取，仅仅是挖了个坑，你就自己跳进去了。有些测试要想看到结果必须先分享到朋友圈，于是你就分享到朋友圈坑了更多朋友。