干货 | 客观认识社会工程学
社会工程学的许多知识揭示了人们的思考和行为方式存在严重的漏洞。保护你的资料、个人信息和身份信息,同时理解“黑客”的思维方式以及方法,可能会对你更为有利。
希望你能够在生活和工作中运用以下的内容,如果你负责公司和客户的安全,更应这样做。同时,也有助于你保护自身的安全。
一、社会工程并非总是消极的
希望社会工程留给你的印象不是消极的。不仅是黑客、骗子在使用社会工程策略,医生、心理医师、社会工作者、父母、孩子、老板、员工……每个人都会或多或少地运用社会工程策略。说服就是日常社交生活中经常使用的策略。
要知道社会工程并不总是可怕、黑暗和邪恶的,这对了解社会工程技能的使用方式大有帮助。了解、实践并精通这些技能后,你就能轻松辨别它们是如何被用来攻击他人的了。
你可以在黑暗角落以外的地方分析这些技能。你可以阅读心理学、说服和销售方面的书籍,了解这些技能在该领域是如何被运用的。
二、收集与组织信息的重要性
信息收集的重要性再怎么反复强调也不为过。每一个社会工程项目的质量、专业性以及成功正是取决于信息收集的水平。网络是浩瀚无边的信息源。公司会将财务记录、员工的姓名和职位、联系信息、公司的照片、安全规章、合同、厂商和供应商的名字、人们的个人资料等都发布到网上。员工和普通人也会将私人的照片、地址、购买的东西、租约、合同以及喜欢的食物、团队和音乐等信息放到网上。
掌握了大量的信息之后,社会工程人员可以从中挑选出想要使用的那些,并决定使用什么攻击方式去对付目标。接下来,根据收集到的信息,社会工程人员能设计出针对目标最有效的故事情节和伪装。没有信息收集工作,社会工程活动很可能以失败告终。
举例来说,如果一个专业的审计人员有一项期限为3周的工作,他应该在信息收集上花去一半的时间。不过,专业的审计人员经常采用使用过的伪装去吸引和接近目标。不要养成这个习惯,在信息收集上多花些时间吧。
与信息收集同样重要的是信息的存储与分类,也许可以使用信息收集中提到的方法。不但要学会高效地收集信息,还要知道如何存储信息,这对在实战中高效使用信息大有裨益。不能只是简单地把信息存储在一个文档中,要将它们归类并做上标记,这样信息使用起来会更加方便,特别是在电话攻击的时候。
请牢记,社会工程人员表现的好坏取决于他所获得的信息。曾见过许多社会工程活动最后都功亏一篑,就是因为信息收集得不当或不全。也见过许多并不是很出色的说服者或不够有魅力的人,最终因为收集了确切的信息而力挽狂澜。
信息是社会工程的关键。
三、谨慎用词
没能投入使用的信息毫无价值。你可以收集所有的信息,然后进行组织和分类,但是你也需要高效地利用它们,为此第一步就是组织你将使用的语句。
诱导和铺垫是两种非常重要的技巧,希望您多练习使用。使用心锚、关键词和话语为目标灌输感情和想法,使他听你的话。铺垫是一种威力强大的技巧,短时间内并不容易掌握,但是熟能生巧。铺垫的好处是你可以随时随地练习,比如在家、在工作中针对孩子、父母和客户进行练习。
不要认为练习就是要求别人做其不愿意做的事情。要用铺垫来激发别人对某个建议或想法抱有更加开放的态度,而不要恶意地使用它。孩子总是这么做,例如你的女儿说:“爸爸,我爱你……”过了几秒又说道:“我能要那个新玩具吗?”这就是个铺垫的例子,将“目标”置于一种乐意接受的情感状态下。
一旦掌握了铺垫技巧,或者精于使用铺垫,就可以在你的诱导中加以使用。记住,没有人喜欢被审问的感觉。诱导不是模仿警察审问,它应该是流畅地交流,在不知不觉中完成对目标和主题的信息收集。
学习日常交谈中提问的方法和步骤,不仅能增强社会工程技能,也能提高交流水平。人们喜欢他人关注其生活和工作。将这一技能用于好的方面,可以强化你的社会工程能力。
有一个好朋友,她能让人们告诉她任何事,这是非常不寻常的。完全陌生的人也会这样,在谈话的最后他们还会奇怪:“我真不知道为什么会和你说这些事……”她并不是一个社会工程人员,也不做安全方面的工作,但她是个优秀的诱导者。
掌握铺垫和诱导技能也能提高斟酌言语的能力。这些技能能让你以更加智慧、不那么冒昧的方式寻找和收集信息。
四、巧妙伪装
记住,好的伪装并不是纯粹的说谎和编故事,而是在短时间内变身成为所伪装的角色。你的一切,包括想法、动作、说话方式和动机,都应该体现所伪装角色的特征。如果你做得足够好,就会取得目标的信任。
另一点要牢记的是,伪装并不只是运用在社会工程中,在生活中也会用到。想象一下这个场景:你刚刚和配偶发生了一番争吵,上班时你不想让任何人知道家里发生了不愉快,所以当同事跟你打招呼说“嘿,哥们儿,今天好吗?”时,你的回答会是“很好”。
这与事实正好相反,但你怎样做才能使之变得可信呢?对人微笑,通过手势和肢体语言传达出自信。如果你非常紧张自己的隐私,不想与同事分享太多,你甚至会编造出一个“欢乐的故事”,证明你的生活有多么美好。
这只是一种情况,可以说人们一直在运用伪装。任何时候,只要你试图向人们展示与事实不符的表象,你“编造的故事”就是一种伪装。当然,大多数人不善于此,常常露出破绽,但是在生活和工作中注意这些情况,能为分析伪装打下基础。
分析这些情景能帮助你找出伪装中需要提高的地方,有助于你掌握这项非常有用的技能。
五、练习解读表情
可以用几周的时间来谈论微表情。这个话题让人着迷,觉得人类有一种内置的机制,可以暴露内心最深处、最黑暗的感觉,而且大部分人都控制不了它。我们的情绪会引起某些肌肉的收缩,从而呈现持续时间为几毫秒的表情,这只是造物主惊人的创造。但是学习注意、读懂并利用这些表情来操纵他人才真正是一门惊人的学问。
练习《社会工程心理学》中讨论的再现微表情的方法。练习的过程中,要注意微表情让你产生的情绪。练习这些表情能帮你读懂其他人的表情。
在练习的过程中,不仅要重视解读他人的微表情,也要注意控制自己的微表情,防止他人读懂你内心的想法。请牢记,解读他人的表情是一种不错的技能,但是掌握自己的微表情、肢体语言和语调是一种更厉害的技能,此技能可以提高你在安全实践和个人社交方面的水平。掌握这些技能后,你就能渐渐体会如何运用《社会工程心理学》中的主要概念之一——人类思维缓冲区溢出。从一个更高的层面来看,人类思维的工作方式很像软件,它也像软件那样可以被模糊测试、检测和颠覆。
六、操纵与影响
操纵和影响是社会交往的两个重要方面,会对你接触的人产生巨大的影响。出于这个原因,在使用影响和说服中的信息时需要特别注意。学会怎样说服和操纵他人对社会工程活动的成败至关重要。每天,人们都在尝试操纵和说服他人去采取某些行动,其中某些不好的行为会给他人造成金钱损失,甚至是个人自由和身份信息的丧失。
将那些场景作为教学工具。分析营销人员、心理学家、律师、教师甚至是同事操纵你的方法。从中挑出你能学习的几点,为你所用。
记住,说服并不总是消极的,它不一定意味着让人们去做他们不愿意做的事情。说服也有积极的影响,很多时候积极的说服更难办到。如果你掌握了这些技巧,并用之来帮助人们维护安全,那当遇到其他人使用消极说服策略时,你可能一眼就会识别出来。
七、警惕恶意策略
充分了解攻击者会使用什么样的策略可以让你免于入侵之害。专业的审计人员可以使用这些策略培训客户如何发现可能的攻击迹象。请保持警惕,谨慎找出这些策略的应用实例。
例如,“坏人”使用的一种策略就是乱中取胜、浑水摸鱼。当飞机撞上世贸大厦时、当海地遭遇地震袭击时、当亚洲碰上海啸灾难时,很多人因此而丧生,其他人的生活、心灵和感情则遭到了沉重的打击。在这些人们脆弱无助的时候,坏家伙们就会出现并发起攻击。
举个例子,狮子会在一群猎物中制造混乱,然后选择一个受害者。它会朝地面咆哮,而不是向着猎物或者天空,为什么呢?这是因为巨大而令人恐惧的咆哮声会在地面产生混响,猎物们会很迷茫,不知道狮子究竟是从哪个方向来的。结果有些猎物会向左逃窜,有些则会向右,惊慌之中丢下那些年幼、年迈、体弱和未发育成熟的群成员。
这与恶意社会工程人员的手法大同小异。他们以“咆哮”的方式引起或增加混乱。他们利用那些帮助寻找在灾难中逝去亲人的网站,或者声称自己在灾难中失去了家人和朋友。当情感被迷惑时,“目标”就不能识破攻击了。
毫无经验和技术不成熟的受害者首先会给出少量信息,攻击者会据此找到攻击入口。接下来攻击者会发动进一步的攻击,而这些攻击会更加邪恶和残酷。
请留意这些情况,保护你的客户和自己不成为他们的受害者。同样,将这些情况作为课程来学习,分析其中所使用的方法,观察它们是否奏效。如此一来可锻炼你的能力,提高对潜在威胁的警惕性。
不幸的是,狮子与社会工程人员的差异(除了明显的差异外)是社会工程人员从来不会大声嘶吼,他不会在那里大喊:“我要捕猎,你们快跑!”恶意的社会工程人员总是悄无声息地,每年将成千上万的人引入他们部署的精妙的攻击圈套中。
八、利用你的恐惧
你需要恐惧,因为适当的恐惧能拯救你的生命,至少可以保护你的身份信息和公司。
积极地利用恐惧,切忌生气和消沉。制定一个改变自我的计划,然后培训自己、家人和员工,学会观察、提防和防御这些攻击。下决心一定不能让自己或公司受到攻击,然后尽量做到这一点。
安全之本在于教育。人性攻击是一门艺术,而社会工程是科学、艺术和技能的综合体。
每年入侵事件给企业造成数百万美元的损失,其中绝大多数的入侵事件都来自社会工程攻击。然而,一种普遍的现象是,当我们希望在渗透测试服务中加入社会工程审计时,他们却拒绝了。
为什么?
企业通常害怕改变。在专业实践中,无数次地听到聪明且成功的老板这样说道:“我们不需要社会工程审计,我们的员工不会落入那些圈套的。”然后,在渗透测试中我们会通过打电话(已被准许)套取信息,之后当我们在报告中披露这些信息时,他们会对套取信息竟然如此简单惊叹不已。
在各种企业中,各级员工的安全意识并没有太大的不同。当渗透测试之后,我们和公司说起我们组织的一个安全意识培训项目时,许多人告诉我们,公司从未对呼叫中心和技术支持部门的员工做过正式、认真的培训。而这些部门常常是社会工程攻击的首选目标。
这正是所说的问题的关键所在。通过培训建立安全意识并非是一句口号,它必须成为一项使命。只有公司以及公司的员工将安全当做自己的事情来认真对待,这个问题才能真正得到解决。带着严肃态度学习、渴望窥探社会黑暗角落的人,一定能够提高技能,从而使其家庭、自身和公司更加安全。
当“狮子咆哮”时,请成为那个带领大家逃亡的人吧。做一个知道如何应对和防御攻击的榜样。
只要花费足够的时间和努力,可以对任何人进行社会工程。千真万确,事实就是那么恐怖。但是这并不意味着没有希望,它意味着你的工作就是让恶意社会工程变得极为困难且耗时,这样大多数黑客就会放弃,转去摘取那些“低挂的果实”或追逐被落下的猎物。这听起来很冷酷。如果大家因此作出巨大的改变,将十分欣慰,因为这样公司才会做到真正安全。然而,那就不是我们所处的世界了。
此番言论提出了一个非常严肃的问题。如果真的没有希望做得彻底安全,公司、员工、家庭以及我们每个人要如何来防护这个巨大的漏洞呢?只有公司开始意识到自己很容易被社会工程攻击,他们才会进行个人教育,了解攻击方法和保持警惕,并不断提醒他人。只有这样,我们才有希望在攻击前做好防御准备,或者至少不会后知后觉。
九、结语
希望为你打开认识社会工程世界的一扇窗,希望它能帮助你留意潜在的恶意攻击,帮助你对潜在的灾难形成并保持适度的恐惧。
同时,也希望能帮助你保护你的公司、家庭、孩子、投资和生活。这些信息能让你体会到实现绝对安全和全面保护不是一件完全不可能的事。
坏人通常会得逞的原因在于他们付出了足够的时间和精力并且具有明确的动机。不要让生活妨碍安全。相反,也不要让过多的恐惧阻止你享受生活。
希望通过应用提到的原则,你能够提高自己读懂他人的能力,并能和周围的人进行更加有效的沟通。不要仅将它们运用在安全实践之中,要运用于生活的各个方面,这会改变你的生活。社会工程是一门真正的艺术。尽情享受它吧!
本文转载自微信公众号:计算机与网络安全
