刚刚洗好澡，无聊躺在床上看电视，无意中调到江苏卫视，正在播放一期叫做 <终极设防>的节目，听听挺有趣的··就继续看下去了··发现还是自己感兴趣的话题···那就是网络安全··大概情节就是利用一款键盘记录器记录用户的网上银行的用户名和密码，而这里的键盘记录器是物理上的，而不是一个小程序，直接就是一个安装在键盘内部的小设备，类似于安装在电话里的窃听器一样，发现还挺有意思的，以前貌似没听说过。仔细看了下江苏卫视的测试小组的测试方法和流程，没想到里面还包含了社会工程学呢？原来电视台里也是有很多黑客滴。他们的具体测试流程如下：

1、踩点。首先由一MM 乔装成某公司的应聘人员，向公司的一清洁工打听了该公司发工资的日期以及银行卡的相关信息。
2、选定测试目标。主要是识别被测试目标键盘的类型以及型号，主要用来后期更换键盘用。
3、第二天一早，在其公司员工到来之前用安装了窃听设备的新键盘替换原有的键盘。
4、用员工桌上的座机拨打自己的手机，主要用户获取电话号码。
5、测试人员家假装银行的业务代表打电话给用户，告知用户获得了银行的 10 万积分，让用户告知银行卡号和密码或者自己登陆银行网站进行查询。
6、一般用户都会有警惕的心态，都不会轻易告知密码，所以都会选择自己去银行网站查询，而此时恰恰就上当了，当上银行网站查询，并输入账号和密码后，键盘记录器就可以将键盘上的输入的字符记录下来，并发送到远程的计算机上，从而获得用户的账号和密码。

从以上案例来看，我有几点疑问：

1、为什么要更换新的键盘？如果到市场上去买同型号的键盘，换上去后，被别人看到自己的键盘被换成新的，肯定会起疑心，就自然会警惕。完全可以直接在原有的键盘上安装即可。
2、测试人员是怎么进入公司的？一般的公司都有相应的门禁系统，如果不是公司的员工，一般不可能在无人的情况下进入公司的。（跟随公司的人一起混进去的除外，如果是和员工一起混进去的话，也就没法安装键盘监听设备了）
3、测试人员打电话竟然不是用座机，而是用手机。这是一个致命的错误，没有哪家银行的客户代表打电话给客户时是用手机，而不是用座机的。如果被窃听者有警惕心理的话，就很容易识别了。
4、那键盘记录设备哪买的？我也要买··顺便问下，哈哈···有没有可以安装在笔记本里面的？因为现在很多人都是用本本上网的。