“我佛了,這都能被騙,這個人是鐵憨憨吧”小川在一條微博下面評論到。這條微博內容是近期一個電信詐騙案,受害人因貪圖小便宜而上當受騙。
讓小川沒想到的是,他也會成為電信詐騙的受害者。
這天小川接到一個電話,對方自稱是網警,接到舉報說小川在網絡上散播謠言,辱罵他人,並且羅列了他最近在網絡上的一系列言論。句句屬實,這讓小川一時慌了。接著“網警”又提供了一個派出所地址,讓他去自首,便把電話掛了。
小川憂心忡忡,猶豫要不要去自首,害怕真的要坐牢。過了幾天,“張警官”再次打電話過來,責問小川為何不去自首,並以抗拒從嚴威脅小川,還要上門抓人。小川心理防線徹底崩潰,對“張警官”苦苦哀求,尋求寬恕。
於是“張警官”詢問了小川的各種生活習慣、社交密碼以及收入,家庭情況後。對小川說不坐牢可以,但是需要一個月的考察期,並且要交五萬塊的保證金,小川通過考察後,再將保證金還給小川。此時的小川,還覺得很慶幸,能用錢解決的事情都好說,於是連忙把錢轉給了所謂的“國家安全賬戶”。
考察期結束,小川打不通“張警官”電話,拿不回保證金,才發現被騙了。
社會工程學
小川的遭遇看似一則普通的電信詐騙案,背後卻有一條龐大的產業鏈和理論作為支撐。在計算機科學中,把這種通過利用受害者心理弱點,如恐懼、信任、好奇心、同情心、貪婪等進行欺騙、盜取、控制等行為叫做社會工程學。社會工程學就像做菜,一名優秀的社工如同米其林大廚,對食材瞭如指掌,稍加偽裝,使用少量誘導,就能烹飪出一道美味的盤中餐。
社工學聖經《欺騙的藝術》
社會工程學簡稱“人肉”
騙子為什麼能夠得逞?因為他們擁有受害者大量的信息,易於取得信任。
比如上面小川的案例中,騙子對小川的姓名、電話、性格、言論甚至最近關注的事物,當前的狀態都瞭如指掌。山東的“徐玉玉案”及北京的“清華老師被騙千萬案”也是如此,騙子知道徐玉玉申請助學金的情況,騙子也知道大學老師進行過房產交易,所以能突破受害人第一道防線。那麼這些較為隱秘的信息是從何洩露的?
隨著信息大爆炸時代的到來,信息的主要載體——互聯網,成了社工人員收集信息的重要來源。社工人員的線上信息收集一般分為以下幾種:
1、搜索引擎:俗話說“谷歌用得好,擁有整個互聯網不是夢”。搜索引擎記錄的數據非常強大,通過特定的查詢方式,即使是一些你認為已經刪除的內容,都能再次被找到。
你的“黑歷史”Google”都幫你記著呢
2、社交媒體:這些年來互聯網改變了社交的定義,也改變了人類溝通與分享的方式。人們喜歡在雙微一抖等各種社交平臺上發自拍、位置、觀點、生活瑣事,在收穫點贊評論的同時,你的姓名、性別、照片、興趣、性格等信息也被記錄下來。
不經意間留下的信息
3、公開數據庫:社工人員獲取到目標一些關鍵信息如姓名、手機號、身份證號後可以通過一些公開數據庫檢索到更多價值信息,常見有企業信息公示系統、快遞查詢系統、交通信息系統、通訊信息系統、駕駛人信息系統等。
4、暗網數據庫:來自於之前洩露的個人信息,在黑市上被當做商品進行買賣。
除了通過互聯網進行線上收集外,社工人員線下的信息收集也不容小覷。像我們平時街頭常見的填問卷抽好禮,關注公眾號送盆栽,都可能成為社工攻擊的手段。
“領雞蛋”騙局,上當者多為賦閒在家的老人
對於企業來說,由於內部的數據庫很少暴露在外網,為了盜取這些數據,社工人員往往會藉助一些工具和手段進行特定的信息收集。比如與內部人員勾結、釣魚、潛入企業內部等。
著名黑客兼社工人員Christopher在《社會工程:安全體系中的人性漏洞》中提到一個實驗,他將一些信封放在了公司洗手間、走廊等公共區域,上面貼了私人的標籤,信封裡面是一個帶有病毒的U盤。結果是百分之八十的人會因為好奇心將U盤插入電腦,導致內部隱私文件洩露。
大部分人顯然還沒意識到信息保護的重要性,知道信息重要性的社工甚至連垃圾桶都不放過,想不到聰明狡詐的社工也會幹這種事吧。事實上,垃圾桶裡經常能找到一些關鍵信息,比如快遞單、發票、會議筆記、工資條等,這些我們平時不假思索扔掉的垃圾卻是社工眼中的無價之寶。
偽裝
微博上最近很流行一個話題叫#網戀奔現車禍現場#,各沙雕網友Po出自己的奇葩網戀經歷,用熱評的話總結一下就是“你喜歡的樣子我都可以P”。內容太過真實,讓人忍俊不禁。得益於互聯網的高速發展,偽裝變得異常容易,小川可以在網上隨心所欲的扮演任何人,同時騙子也能假扮成公檢法實行詐騙勒索。
偽造的證件
社工的偽裝不僅存在於互聯網,在現實領域中也有廣泛應用。有的偽裝成維修工輕輕鬆鬆進入辦公室竊取資料、有的偽裝成總裁助理一通電話就能拿到企業通訊錄、有的偽裝成安全顧問大搖大擺走進機房植入病毒,更有甚者偽裝成求職者進入公司收集資料。
社工人員成功的偽裝離不開兩點:
一是對於角色的研究,如果社工人員要扮演一名維修工人,需要了解他們的穿著,攜帶工具,工作內容等。但如果要偽裝成一個安全顧問,卻需要長期的知識積累,這並不是看一兩本書就能做到的。一旦社工人員的言談舉止與身份不匹配,就難以讓目標信服。
第二點是充分的信息收集,對目標的性格、興趣、需求瞭解越清楚,溝通就會越自然,越容易獲得目標信任,從而進行下一步行動。
誘導
網上流傳一個說法“你和某人聊天感覺很舒服,不一定是因為你們合得來,也可能是對方情商比較高”。社會工程人員就屬於這類“高情商人群”,他們能在看似平常的對話中讓你吐露心聲或做出某些動作,在社會工程學中將這種“高情商”行為稱為誘導。
《無敵破壞王2》中的“彈窗仔”
《無敵破壞王2》中有個很有意思的場景,主角拉爾夫初入互聯網世界,處處碰到向他介紹“快速生財”方式的推銷員,還有的牌子上寫著“酷辣家庭主婦想要和你約會”(換在我國可能是“性感荷官在線發牌”)。
這些是網絡彈窗廣告的擬人化寫照,來往的人群(流量)通常對他們不屑一顧,不時還會有保安(瀏覽器彈窗攔截工具)把他們拖走。看過的朋友想必都會心一笑,確實這些垃圾彈窗太煩了,有些懸浮彈窗還會跟著頁面一起滑動,嚴重影響了我們的瀏覽體驗。彈窗內容千篇一律,關閉按鈕卻設計的五花八門,稍不注意就點進廣告頁面。
值得慶幸的是,隨著層出不窮的信息洩露報道、詐騙報道,人們早已提高了警覺性,很少相信這些誘導廣告的“一面之詞”。但另一方面,社會工程人員的誘導技巧也隨之升級,趨於精準化、持續化和隱蔽化,讓人防不勝防。
在小川的案例中,騙子也使用了一些常見誘導技巧實現詐騙。
第一個技巧是鋪墊,鋪墊通過植入信息或觀點影響目標的後續反應。如果騙子一上來就讓小川轉賬,勢必會引起小川的警覺。而“網警”的恐嚇和預留的自首時間為“公安”出場做好了鋪墊。等“公安”打來電話,小川最後一絲僥倖心理也消失殆盡。
第二個技巧是標註情感,騙子知道小川當前階段心理狀況和需求,通過“抓人”“配合”“考察”等字眼放大了小川的情緒,並加以利用。
第三個技巧是主動提供信息,後面“公安”扮演著一個好人的角色,在於他不斷向小川提供信息和解決辦法,這讓小川覺得抓到了救命稻草,順理成章對“公安”言聽計從,心生感激。通過這些極為隱蔽的誘導技巧,也將小川一步步引上了受騙的道路。
人性貪婪,則誘之以利;人性虛榮,則誘之以名;人性懶惰,則誘之以閒;人性好色,則誘之以性;社工人員也深諳孫子所說的“不戰而屈人之兵”。
盤中餐
除了詐騙,通過社會工程學獲得的資源應用廣泛,大多都直指利益,以下列舉了一些常見的變現模式。
1、 社工庫查詢系統:搭建個人信息查詢系統提供收費的查詢服務,是最常見的變現方式。之前南方都市報有篇報道,記者花七百元就買到了同事的行蹤,包括乘機、開房、上網吧等11項記錄,這些數據大多都源自社工庫。
2、 暗網售賣:一些企業會購買目標人群的社工庫用於數據分析,進行推廣營銷。這也是為什麼我們手機時常收到廣告短信,有些還正好是最近需要的。
3、 敲詐勒索:一些敏感信息(如個人的開房記錄、私密照片;企業的財務報表,客戶資料等)一旦曝光將給個人、家庭、企業、社會帶來惡劣的影響。受害者為了息事寧人,往往要支付一筆不菲的費用。
4、 網絡詐騙:目前的詐騙形式已從最初的電信詐騙過渡到基於大數據的精準詐騙,騙子通過社工庫和社工手段瞭解被騙者的姓名、性別、家庭住址、職業、愛好乃至最近關注的事物、當前的狀態,進而實施詐騙,小川受騙案即是如此。
5、 賬號盜取:根據2018網民個人隱私調查報告“幾個密碼通用於大多數賬號的中國網民佔比達到50.8%。對自己擁有的所有賬號都採取同一套密碼的人佔14.9%。在信息洩露時,接近六成人選擇僅修改洩露平臺的密碼。”想一下你的密碼裡有沒有包含某個名字的全拼或縮寫、重要意義的日期、手機號碼、喜歡事物名稱以及一些弱口令(123456)。基於社工庫的密碼生成字典只需輸入相關的個人信息,就能針對不同的性格人群生成多種組合,說不定就有你正在使用的密碼。這些通過社工字典破解的賬號可以進行售賣、賬戶內資產轉移、去其他平臺撞庫等。
結語
本文淺談了狹義社會工程學,但從廣義上來說,小孩使用社會工程學從大人那裡得到想要的東西,老師使用社會工程學與學生互動,心理學家使用社會工程學幫助病人改變,談判專家使用社會工程學制止罪犯,都是社會工程學的應用,只因目的不同而產生“善惡“的結果。
最後本來想談談如何避免“被社工”,但人性的漏洞千差萬別。對於個人來說,有人從小就貪小便宜,也有人天生好奇心強。別人的受騙經歷在小川看來嗤之以鼻,但人無完人,小川的“聰明”也成為了他的弱點。
對於企業來說,大部分數據洩露都是因內部人員造成的,前期花費上百萬部署的防火牆、IPS、WAF等安全設備此時形同虛設,這些內部人員發起的攻擊往往比機器更為致命。
文末彩蛋
關注小編並私信,小編將為您送上社會工程學聖經《欺騙的藝術》。
閱讀更多 網安 的文章
