對于黑客Nixxer來說，僅需一個家庭住址就可以毀掉你的人生。

Nixxer是澳大利亞技術最高超的社會工程師之一，在網絡上從不使用自己的真實姓名。在上個月墨爾本的Unrestcon安全會議上，他展示了如何利用一個開源的情報工具，加上一些收集個人信息的經驗和技巧，入侵Facebook上防護最嚴密的賬戶，最終進入個人的銀行賬戶。

著手準備

在黑客常分享信息的網站Pastebin上，Nixxer用“dox”作為關鍵詞隨機搜索了一個家庭住址，但相關信息并沒有給出個人名字，所以無法確認這個地址是否真實存在。但很快，通過谷歌和微軟的在線地圖，Nixxer不只找到了房主的細節信息還發現了前房主的信息，并通過在公共數據庫的查對，他還知道了房子的市場價格和現任房主的年收入水平，約為12萬美元。

在線地圖顯示一輛車停在房子旁邊的車道上。雖然車牌模糊，但黑客足以獲釋它的制造商、型號，和車牌的所屬州。“從它的顏色、形狀，以及字母和數字的個數來推斷，它是堪薩斯州的。”

房子后院的一塊不錯的活動場地，則表明家里有孩子。房子后方的足球場也是很有用的信息。“有一所地方學校，一個地方橄欖球隊，都可以用來構造釣魚攻擊。”

收緊套索

在線身份認證服務是隱私權利保護者的眼中釘，data.com就是這樣一個深受社會工程師們喜愛的網站。它允許用戶交換個人信息，并鼓勵從業者上傳通訊錄，以訪問同樣數量的其他人上傳到網站服務器中的信息。

該網站的隱私泄露影響很嚴重，因為你無法知道自己的信息是否會被別人傳到網站上，并可能被任何人分享。除了data.com，另一個數據收集平臺wayin曾聲稱，已經擁有14分之1美國人的數據，而他們的目標是7分之一。

Nixxer利用這類網找到了現房主和前房主的姓名，再通過姓名獲悉了現任房主以前的住址、個人和工作郵件，還有出生日期。“這些網站到處都是，你只需要付差不多一美元就可以訪問任何你想要的信息，這太可怕了！”

Facebook對于那些看重個人隱私的人來說堪稱毒藥，即便使用化名，Nixxer也不會使用這種社交網站。他最有理由不上Facebook，因為他開發過一款搞定Facebook非默認隱私控制的工具。

這款工具是Nixxer在給政府部門干活的時候開發的，它可以通過偽造個人用戶資料，捕獲目標用戶的相關和熟人鏈接，即便目標用戶設置了最高級別的隱私保護。而且，這些偽造的個人用戶無需被目標用戶加為好友。

通過這個工具，Nixxer在Facebook和Linkedin上得到了“受害人”的兄弟姐妹、父母，甚至是表兄妹的身份，還得到了一堆照片和可以印證之前發現的信息。Nixxer從信息中了解到，“受害人”的兄弟姐妹和孩子都在他們的家族企業工作，受害人則是企業的主管。

“

Facebook是一張非常龐大的人際網，可以用來鎖定目標對象的活動軌跡。

Nixxer開始關注受害人的業務，并獲取了足以打開或關閉受害人銀行賬戶的信息。“我可以對他的銀行賬戶為所欲為。”

下一步是滲透這家家族企業的業務網站。該網站的系統平臺是Linux的一個實例，而且沒打補丁！Nixxer很快拿到了網站服務器的root權限，掌握了這個網站之后，他可以隨心所欲地發動各種攻擊了。

如何避免

想避免上面發生的類似遭遇，Nixxer表示，切斷黑客攻擊鏈的第一步就是不使用Facebook這類的社交網站。

“沒有任何理由，把你在哪兒長大的，兄弟姐妹是誰，或是昨天在哪里買的衣服等等這些事情寫下來。”

當然，即便停用公開的社交網站，也不能完全阻止全球日益龐大且技巧嫻熟的社工黑客大軍獲取足夠的信息，并毀掉受害者的人生。

Nixxer建議，用戶可以使用偽造在線個人資料的工具，并使用具備攔截廣告、腳本等安全功能的瀏覽工具。