人类是充满弱点的生物体,他们中即产生攻击者也产生被攻击者,两者都一样有弱点。攻击成功意味着被攻击者的弱点处于暴露状态。对弱点的利用就是社交工程学的主要课题。
请不要误会,社交工程学事实上的应用是非常广泛的,小到如普通的交往、谈恋爱、找工作、谋求加薪晋级,大到追求正义的反抗、深度调查性新闻、以揭露阴暗为目的的卧底……当然,还有致命的破坏性的攻击行为,针对任何有利的目标。
它是工具也是武器,就像砖头,能用来盖房也能用来打得别人头破血流。本博客就不介绍社交工程学在恋爱方面的用途了,而是专注于其最具毁灭性的利用,因为,我们的强大对手正在利用这一工具作为武器,以期随时能击倒我们。我们保护自己的方法将需要建立在知己知彼的基础上,就好像,如果你想防止被骇客摧毁,那就需要让自己像一个专业骇客那样去思考。
我们不想用“网络安全”这样的词了,这个词已经被当权者污染并借此来实施有利于他们的一切歪招,目的是随时打击我们。我们需要自己的*安全*,以破败他们的阴谋暗算,反攻回去。
人性弱点通常是网络防御战略中最薄弱的环节,即使你采取了我们推荐的所有基于技术本身的安全措施、对任何网络威胁保持警惕,你也很可能没有意识到,在社交媒体上一点点放松警惕的小疏忽都有可能带来不可想像的危险,不仅会暴露你自己,还会将你的家人、朋友和公司,全部暴露给攻击者。
就如我们在上一篇文章中所演示的那样,一场看似普通的旅行,其结果很可能是致命的。攻击者不会仅仅玩键盘侠,在网上跟踪你的一切,他们的实际目标是现实生活中的你 — — 通过你糟糕的毫无防备社交媒体设置和表达,攻击者可以构建完美的操纵和迫害模型。请注意:他们不只有谋求钱财美色的流氓,还有那些一直在千方百计寻求你的弱点以便可以把你扔进监狱的政权。你需要知道该如何防御这些潜在的威胁。
如何才能发现自己被操纵了?
专业的操纵“艺术”要求其步骤如此小、如此微妙,几乎不可见。话虽如此,但成功的操作确实有一些“关键”的东西在里面,这些恰恰有助于我们确定它何时会发生,比如下面这样:
- 攻击者可能会看起来非常迷人和友好。他们可能与您非常相似,就像您久违的老朋友那样,你会感觉到一种相见恨晚的快感……还记得我们在“劝导术”系列中介绍的关于骗子的特点吗?嗯,就是那样。但是要知道,并不是说一些看起来很讨厌的家伙、无厘头的挑衅者就不会是有目的的社交工程师,尤其是在网上,这要根据情况具体分析。但警惕那些以大众情人般的姿势接近你的家伙是的确必要的。
- 攻击过程中他们会试图孤立目标对象。他们需要确保你不会和其他人一起讨论他们灌输给你的谎言。实现这一目标的一种有效方法就是:让攻击者在你身上构建一种<我们对他们>的心态。例如,让你相信你为之工作的公司是邪恶的,或者你的同事和朋友都是为了陷害你才存在于你身边的。这样,由于恐惧你就更有可能把这些谎言保密起来,也就不会得到旁观者清的揭穿了。
- 小心,任何让您感到情绪激动或恐慌的电子邮件或电话 — — 这是一种经典的攻击技术。通过让你感到焦虑、恐慌、愤怒等等,攻击者可以操纵你冲动地行动,而不会在逻辑上思考。这和你的智商没关系,而是人性弱点,无法控制刺激性情绪。你越是匆忙或担心,你就越有可能犯错!民粹主义政客的宣传大喇叭利用的也是民众这种心理弱点。
延伸阅读:《为什么说“我也是”这句话有些时候是非常危险的,关于“虚假帮派骗术”》
我们将在下一篇独立的文章中详细介绍关于套话的技术,展示对人性弱点的充分利用。肯定有你想不到的东西。还是要说“感谢”社交网络,正是它,激发了几乎所有现实中潜在的人性弱点,你将能看到,这个时代的人是何等的容易被操纵。
面对可能的社交工程攻击,你需要在一片虚构中对事实做出清晰的排序
防御社交工程攻击要记住的第一件事就是,攻击者希望你随口说出或透露出一些东西。以钓鱼邮件为例,通常这将包含他们需要您点击的恶意链接或附件。因此,您收到的任何要求您点击链接或附件的*未经请求*的电子邮件都应该暂停一下,专注于考虑其真实性。
这在理论层面是伟大的; 然而,大多数网络钓鱼攻击都是以创造情感反应、而不是逻辑反应的方式,制作的。如果我能让你产生情绪化反应(愤怒、焦虑或兴奋),我就可以阻止你从逻辑层面上思考,并让你做出冲动的举动。它们还会呈现一种紧迫感,“中午时分提供将结束”或“下午3点前支付有效过期不候”……这是为了让你自发地而不是通过逻辑地做出反应。如果您收到的电子邮件或社交媒体消息让你产生了强烈的情绪,请立即停顿一下,先喝杯咖啡上个厕所,然后再回来。我保证你将以不同的方式看到它!
延伸阅读:《互联网上的人为什么如此容易被骗?》(请忽略假新闻的概念,这篇文章中呈现的互联网人的关键弱点,可以被利用来做任何事)
最常见的社交媒体错误操作是什么?
我从人们那里听到的一个常见论点是,他们并不认为自己在社交媒体上的公开张贴会成为什么威胁,因为“他们没有什么可隐瞒的”。哦不,出于多种原因,这是极其错误的想法。要知道,你可能还没有遭遇恶性攻击,那不过是因为幸运到了离谱的程度 — — 每次都赶上狼吃饱了,而且,你无法确保自己一直如此幸运下去:
- 首先,仅仅因为你没有可隐藏的丑闻或秘密并不意味着你对攻击者来说不值钱。我们与特定人员分享帖子和图片,这是我们的选择。如果不是我们想要的话,我们就不希望与每个人分享。于是你的分享、点赞等操作就是你的人格呈现,即便你一句评论都没有,我也能从中看出你的可被利用的弱点。这绝不是什么创意性玩意,扎克伯格一直以来很大程度上就是利用了你的分享点赞记录,赚了大钱;
- 其次,如果您的帐户没有锁定或设置为私密,您不可能知道是谁正在查看您的帖子,为什么他们正在看,以及他们将如何处理这些看到的信息;
- 常见的误解是,攻击者正在寻找一些肮脏的丑闻,以便索取你的贿赂。这确实发生过,但很少见。下面让我提供一种相比下很简单的、可以使用公开信息发起攻击的方式,请体验一下它的危险性。
想象一下,我是攻击者。我找到了一个潜在的目标,叫 Rebecca,她在社交媒体上发表了大量的文章。她的 Facebook 设置为私人的,所以我们看不到她的任何帖子。但是我们可以看到她有 900 多个朋友。这意味着,总的来说,她可能会接受她根本不认识的人作为“朋友”的添加申请。所以我将她添加为朋友将很容易获得接受。在大多数情况下,隐私设置基本形同虚设,作为“朋友”,我可以看到一切。在 Rebecca 的时间线上我很快就找到了一个目标帖子:
“今晚在曼彻斯特的美食汉堡厨房与女孩们一起聚会。这是我最喜欢的餐厅 — 我是一个忠诚的老顾客,我应该得到免费的饮料和优惠!“
看起来很无辜是吧?嗯。仅此一条,我就可以使用它在第二天向目标人发送恶意钓鱼邮件:
“亲爱的 Rebecca,感谢你昨晚光顾美食汉堡厨房。我们希望你和你的朋友在这个晚上过得非常愉快。由于您是如此忠实的客户,我们决定为您提供 50% 的下午餐优惠。请点击下面的链接拿到您的优惠券!“
评测一下,你觉得 Rebecca 点击该链接的机会是多少?很高,我可以保证。我们使用她的 Facebook 帖子中的特定信息使我们的陈述看起来非常合理。Rebecca 没有被发现任何脏兮兮的丑闻,这只是关于一个晚上和闺蜜聚会的帖子,就足以让她受到攻击。
这可不是全部,只是一点点,一点点。你经常能看到,一个家庭出门旅行回来就发现被盗了,你的孩子贴了一张自拍照就被暗网的儿童色情罪犯用作了广告,当然,就如我们先前在 #OSINT 揭露腐败的技术中所呈现的那样,富家子弟和政客的亲属也能因此栽得头破血流。
呈现一个操纵案例
请不要小看了自己,也许您真的觉得自己没有利用价值而放松警惕,事实上,您的价值不是您自己能掌握的,而是操纵者在掌握,您永远不可能知道对另一个人来说,你这个人意味着什么。它甚至有可能不是直接价值,而是一个很巧妙的跳板。
来,讲个故事。
我们的主人公是 Jessica,一个年轻的毕业生,刚刚在一家大型公司找到了她的第一份工作。该公司在网络安全方面投入了大量资金,并拥有一支技术娴熟的安全护盾团队。
Jessica 在社交媒体上花了很多时间。她在所有主要平台上都拥有不少朋友和粉丝。她贴出的照片是她的家人、宠物、生活方式和旅行。当然没什么特别的,就像你知道的那些人一样。看起来很平庸吗?不,绝不是。
有一天,另一个叫 Nina 的女孩在 Facebook 上向她发送了一个朋友请求。Jessica 接受了,两个女孩开始交谈。在接下来的几个月里,他们形成了牢固的友谊。他们相处得很好,Nina 喜欢与 Jessica 几乎完全相同的东西,事实上,她们的交流反映了彼此对几乎所有事物的看法。
Nina 对 Jessica 的工作表现出浓厚的兴趣。她说她渴望做类似的工作。 Jessica 热衷于分享关于她的工作和她正在进行的项目的各种细节。Nina 总是会去点赞。
有一天,Nina 问 Jessica 是否可以帮她一个忙。她告诉 Jessica,她接受了 Jessica 工作的那家公司的面试邀请,还没有应约。她让 Jessica 不要告诉任何人,因为她们是好朋友她应该保密。女孩子的小秘密,你知道的,充满了甜蜜的味道。因此, Jessica 同意保密,并且非常高兴能与她的新朋友在同一家公司工作。
Nina 说她也很兴奋,但“有一个问题。我非常渴望得到这份工作,你知道我一直在努力赚钱。我虽然是个弱者。我知道其他一些有本事的女孩,她们比我知道的东西要多得多。“
此时两个姑娘的关系已经很融洽了,不顾一切地想要看到朋友的 Jessica 说:“我会帮助你的!告诉我,你需要什么帮助,我们可以排练关于面试和工作的一切“。
Nina 回答说:“我已经做了一些研究,我想你肯定有一些客户对吧,对有些客户你很快就会展开工作。我没时间对它们进行全面研究了,你能不能给我一份客户名单和你正在使用的推销想法?这样我就可以根据目标量身定制我的想法了,他们就会爱我的!“
Jessica 同意帮助她的朋友。Nina 说她不想被取消入职的资格,所以 Jessica 应该让她的一位同事打印出这些信息,这样就无法追溯到她了。Nina 还告诉 Jessica 把打印件放在她的包里,然后在家进行扫描,再发送电子邮件给 Nina。Jessica 做到了这一点。对她来说这太容易了,还能帮朋友,何乐不为。她们很快就能成为同事了啊,对一个新入职的员工来说,在微妙的办公室政治风浪中是多么需要一个亲密伙伴呢。
那天之后,Jessica 再也没有从 Nina 那里听到任何事。这个“Nina”彻底消失了。我们发现“Nina”是假的。事实上,“她”来自受到攻击的公司的竞争对手。他们基本上把 Jessica 变成了恶意的内幕突破口,而完全没有被意识到!
⚠️ 请重点关注上面故事中被突出编辑的黑体字,那是关键的细节。
我知道,这个故事也许会让你感觉不舒服。我们都想要朋友,尤其是在这个超个人主义的冷漠时代里,孤独是我们共有的伤疤。但是,鉴于这些文章的主题,我们有义务告诉你这类状况的存在,尤其是当你是一个组织的负责人,或者一家公司的领导,你应该知道如何在防止人性弱点的层面上培训你的下属,以免他们因为善良而令你和你的事业陷入困境。
我们尤其希望提醒民间组织和独立团队的负责人,你需要吸纳那些真的在乎和理解安全防御知识的盟友,如果你不希望自己的团队从内部被摧毁的话;即便你只是一个独立的个人,你想做一些有价值的事,也需要特别注意!请与熟悉安全知识的人交往,否则,他们有可能在不知不觉中就把你带入了危机境地。反过来,如果你只是想交往有能力的朋友,同样需要提升自己的能力,让自己在现实中变得更加可靠可信。
每个人都应该练习的安全规则有哪些?简要介绍 — —
- 永远不要在社交媒体应用上启用位置服务,不要在任何地方发送你的坐标,包括私密聊天中;
- 尽可能让你的所有社交媒体帐户都设置为私有。如果你希望拥有更多的公共帐户,请务必仔细审核内容!不要拿出任何个人的东西,你要在互联网上谈论自己!
- 隐藏你在 Facebook 上拥有的朋友的数量和姓名。这将使攻击变得更加困难;
- 如果你希望公开分享帖子,应该停下来思考,你是否乐意与全世界以及其中的所有好人和坏人分享这些内容。如果是,那就发布。如果不是,删掉它!
在线保护自己有什么好的经验法则?
我经常模仿社会工程师的策略,以查看公司和个人的弱点在哪里。如果你知道是哪些东西帮到了攻击者,那么你就知道应该如何做出改变。请记住那句流行语:“像骇客一样思考”。
以下是一些重要提示:
- 隐私设置:检查您的 Facebook 帐户是否已锁定。删除那些您实际上并不认识的人,并隐藏您拥有的朋友数量。检查一些历史帖子上的设置,你会惊讶地发现我能找到多少线索!
- 审核自己:在线搜索自己的名字或者常用 ID,看看你能找到什么。如果有任何过于个人的或您没有意识到而存在着的东西,请立刻将其删除。
- 帖子:小心你发布的照片中可以看到的内容!我最近发现可以通过扫描航空公司登机牌上的条形码,从中获取人们的出生日期;显示您年龄的贺卡和生日照片也可以告诉我您的出生日期;我可能会在一张位置不佳的自拍照上看到您的门牌号码;您的宠物项圈上的电话号码、或您在手机上使用的应用程序。不要只是检查照片是否讨人喜欢,看看镜头中还存在什么东西!
- 谈论:与朋友和家人分享有关安全的信息。截取网络钓鱼电子邮件的屏幕截图以警告其他人(不要将网络钓鱼电子邮件转发给其他人)。我们必需动员更多的人加入到这场防守战中来,才能让攻击者失去市场。
我们的读者中有不少技术高手,通过回复就可以看出,不论是攻心技术还是数字技术,这让我们感觉很兴奋。但与此同时,我们也看到了另一些读者过于轻敌的表态。轻敌是一种立场或被称为“士气”,但它绝不是策略。轻敌无法成为武器,正相反会让你陷入因疏忽而导致的弱点毕露。尤其是当你并没有完全娴熟于上述技术时,请切莫放松警惕。◾️