在线的社会工程学

　　国际互连网是使用社会工程学来获取密码的乐园。这主要是因为许多用户都把自己所有账号的密码设置为同样的一个:Yahoo, Travelocity, Gap.com…………。所以一旦黑客拥有了其中的一个密码以后，他(或者是她)就获得了多个账号的使用权。黑客所常用的一种手段是通过在线表格进行社会工程学攻击。他可以发送某种彩票中奖的消息给用户然后要求用户输入姓名(以及电子邮件地址——这样他甚至可以获得用户在机构内部使用的帐户名)以及密码。这种表格不光可以以在线表格的方式发送，同样可以使用普通邮件进行发送。况且如果是使用普通信件这种方式的话这些表格看上去就会更加像是从合法的机构中发出的，欺骗的可能性也就更大了。

　　黑客在线获得信息的另一种方法是冒充为该网络的管理员通过电子邮件向用户索要密码。这种方法并不是十分有效，因为用户在线的时候对黑客的警觉性比不在线时要高，但是该方法仍然是值得考虑的。进一步来说，黑客也有可能放置弹出窗口并让它看起来像是整个网站的一部分，声称是用来解决某些问题，诱使用户重新输入账号与密码。这时用户一般会知道不应当通过明文来传输密码，但是即使如此管理员也应当定期的提醒用户防范这种类型的欺骗。如果想做到进一步的安全的话，系统管理员应当警告用户任何时候除非是与合法可信网络工作员工进行面对面交谈的情况下才能公开自己的密码。

　　电子邮件同样可以被用来作为更直截获取系统访问权限的手段。例如，从某位有信任关系的人发来的电子邮件附件中可能携带病毒，蠕虫或者是木马。一个很好的案例是VIGILANTe提到的对于AOL的攻击:“在这个案例中，黑客打电话给AOL的技术支持中心，并与技术支持人员进行了近一个小时的谈话。在谈话中黑客提到他有意低价出售他的汽车。那名技术支持人员对此很感兴趣，于是黑客就发送了一篇带有表明为“汽车照片”附件的电子邮件给他。但是实际上，那不是什么汽车的照片，邮件执行了一个后门程序让黑客可以透过AOL的防火墙建立连接。