社工庫一般是儲存非法所得的個人資訊（一般也包括敏感資訊）的資料庫。通常會基於資料庫做出一些介面，來提供資訊查閱（收費或免費）服務。其實呢，大家（非安全人士）能比較容易接觸到的社工庫，一般都是一些比較落後的只能拿來檢測資訊洩露的社工庫。

大家好，這裡是約翰異聞錄。

我是作者老John。

今天就帶大家瞭解一下社工庫這個小東西～我們知道，我們的各種資料資訊，很多就大大咧咧的放在網際網路上了。比如註冊一些小網站，什麼手機號噢姓名身份證號噢就直接填上了；除此之外，一些經常做賬號交易的同學，可能最重要的手持身份證照片都在網上傳來傳去。這些敏感資訊其實都是可能被洩露滴。

起源：資訊是怎麼洩露出去的？

我們的資訊是怎麼洩露出去的呢？主要是三點原因：

儲存了你資訊的網站被攻擊脫庫：很多攻擊者透過滲透小型不安全網站（或者一些挖到過高危洞的SNS站），拿到資料庫中的資料。當然，如果資料做過合理滴加密的話，風險會更小一些。這些資料被整理出來，就變成了網路黑市中的搶手資源。

內鬼：一部分公司的員工或者一些機構的惡意人員，會在內部竊取資料或者留門，把使用者資訊流出去。

網站的業務邏輯漏洞導致資訊可以用合理合法的方法暴露出去。這種比較常見，我給大家舉個例子：“把想要調查的人的手機號新增到通訊錄裡，然後在各大APP裡新增通訊錄好友，就能暴露出該手機號的各種社交賬號”

噫，好危險…

這些資料經過清洗，統一格式封裝入庫，以便之後能順藤摸瓜的找到網際網路中的某個人的資訊。

這就是社工庫。

看了這個社工庫的製作過程，我們應該很容易推理出：以資訊獲取難易程度、資訊的新鮮度和資訊本身的價值，可以把社工庫分出個三六九等來～

比如以一個國家個人深層資訊、公安資訊為主的資訊社工庫。其對於壞蛋們來說簡直是奇珍異寶，簡直是蟹黃堡的秘方。這類的社工庫一般秘密存在，在壞蛋們之間閉環傳播，只對內部壞蛋賦能，對外部同行都不肯透露一個字，又怎能面向普通人呢？就像其他回答說的那樣，如果真有人說自己有多牛逼的社工庫還宣稱只要50，那他八成是想騙錢去肯德基瘋狂星期四。

普通的關聯性社工庫。這種比較常見，一般是“手機號對映SNS賬號體系”或者“核心SNS賬號對映手機號”。如果這人網上衝浪有夠隨意的，qq聊天第一步就是跟別人透露自己的個人資訊，那這種人，還有可能找到“SNS賬號對映身份證號、銀行卡號”的資訊。

還有最常見的，單一對映社工庫，就是我們常說的“康康自己今天資訊洩露了沒”的那種庫。一般是非常非常古老的資料，可能也不盈利，也沒人維護。良心的話練個廣告都沒有。如果在這種地方測試出自己資訊沒被洩露，可別真信了，這種地方也就圖一樂，真要辨別資訊洩露，就看看自己手機的垃圾簡訊攔截，如果他空空如錢包，那你才能真滴高枕無憂呢（當然，最好在高枕無憂之前，把錢包先填滿…）。

商業化：社工庫黑產們的恰飯與思考

相信大部分朋友曾接觸過的社工庫，都是web型別。但隨著世界風雲變化時光日月如梭，web3把每一個網際網路人推到一夜暴富的風口浪尖。黑產桑也不例外，他們開始選擇那些能繞開web2時代監管束縛的工具與平臺，識圖過安穩的舒心恰爛錢的日子。

很多人就盯上了一些偽web3平臺。然後，黑產桑利用平臺開放的api，編寫出了一個個活靈活現的社工庫機器人。

——這種機器人編寫簡單，不需要考慮UI，只需要伺服器與介面與簡單合理的運維。

使用者只需要選擇機器人暴露出的一些方法，就能使用社工庫。當然啦，得給錢～

可是呢，這出現了一些問題。

使用者的支付意願不強，支付流程邏輯不夠嚴密：能上網找到社工庫的，可都是衝浪高手，懂得科學與魔法的人中龍鳳。你讓他們為了好奇心大方掏錢？he tui，我看你像錢。就算迫不得已想用錢買服務，我也怕你是騙子啊。你是誰家的小誰啊我這麼信你？你怎麼證明你不是騙子？

產品使用場景單一：使用者只有在想使用“社工庫”這個工具，用完就走了。你可能風風火火的折騰一番，結果使用者連個掌聲都沒留下。

產品本身的特殊性導致只能選擇冷啟動：怎麼，你一個黑產還想打廣告？還想在哪裡寫刷牆廣告？ 你頂多在一些偏門偏角的地方拿小號水軍宣傳宣傳，還得小心盡職盡責的管理員把你賬號封了。你唯一能做的，就是和“澳門賭場”們搶點廣告位。

這些問題，困擾了社工庫黑產們，也困擾了大部分網路黑產們。但老John發現，天無絕人之路，老天爺餓不死瞎家巧，凡是殺不死黑產滴，都只會讓黑產們更加強大。他們經過痛苦摸索痛定思痛痛風結石之後，決定運用網際網路思維來——增加場景、豐富商業生態，由表及裡的改造自己的社工庫商業模式。

增加場景：嘿，小哥。你不上網衝浪嘛，來來來，加入我們“社工庫粉絲群”，裡面有聊幣的有吹牛13的，還有一邊聊幣一邊吹牛13的，還有各種資源只有你想不到沒有我們做不到，快來來來……什麼？你不進？你進來我給你免費社工庫機器人兒的使用次數…

豐富商業生態：你不不願意付錢嘛。沒關係，你來我們群，拉十個人我就讓你免費用，成不？拉群就行，你不用花一分錢。拉進來，給他們引流，引到“澳門xx群”去，噢或者給引到咱們剛弄的“羊毛群”。啊對，就是那種，10瓶冰露打完折只要你10塊那種。想加內部群不，xx元，加的話給你頂級的內鬼社工庫噢……

由表及裡的支付環節改造：支付問題不是黑產桑們頭疼的嘛？他們拍了很久的腦袋，做了一個背叛祖宗的決定——他們要做黑產界的支x寶。他們利用虛擬貨幣，用影片、遠端等方式教人購買使用虛擬貨幣，以實現端到端的支付同路，完成邏輯閉環…

好傢伙，整的大工程噢。這心思都放上班上面，績效咋不也得翻幾番…

亡羊補牢：怎麼避免資訊洩露？

我想，這才是大家最關心的問題。我認為，想避免自己太多的資料被搞到社工庫上面，關鍵就是要降低自己網上的資訊密度。要做到如下幾點：

儘量使用固定登入方法，例如微信登入

不用的賬號及時登出，雖然用處不大，但聊勝於無。

不在公開的地方透露自己的手機號、身份證號，甚至是qq號。

關注相關的熱搜，比如學習通事件等，及時修改密碼或進行登出

非必要SNS賬號，在洩露後可以選擇登出重新註冊（要換個手機號）。

Last but not least，相信國家，相信反詐APP。

關注約翰異聞錄，

帶你剖析商業模式背後的灰色邏輯。