来自 话题 2017-03-15 10:39 的文章

社会工程学诈骗大起底

社会工程学诈骗的核心是抓住“人类硬件漏洞”,收集个人信息,布下诈骗之网

社会工程这四个字,乍一看和社会工作相近,但意思却差了十万八千里。

按照社会工程学提出者、美国著名黑客凯文·米特尼克的说法,社会工程学是一种操纵相关人员泄露出机密信息的“艺术”,社会工程学诈骗就是利用这一“艺术”进行的。

什么意思呢?在以往的网络信息安全中,诈骗者把注意力更多放在编码的不断升级和对系统漏洞的不断攻击上,道高一尺,魔高一丈,比拼的是攻守双方谁的技术更高阶。但是社会工程学诈骗不是这样,它反过来关心人本身。人非天使,总会存在认知偏差,这些偏差就是“人类硬件漏洞”。在整个安全防御系统里,存在一个“木桶理论”,人就是其中最短的那一块。

所以相比而言社会工程学诈骗更有针对性,首先重视的就是对个人信息进行收集。

社会工程学诈骗首先会在茫茫的比特海寻找信息社会工程学诈骗首先会在茫茫的比特海寻找信息

这些信息从何而来?有的是受害人自己主动泄露的,比如在社交平台上公开的个人信息。有的则是被人恶意售卖的,比如诈骗者从电话公司、房地产公司购买到的个人信息。还有的方式则非常隐蔽,不是直接从你本人这边获取信息,而是从跟你有关系的亲戚朋友那儿间接获得。诈骗者通过收集到的信息能够画出近乎完整的诈骗潜在对象“画像”。

举个例子,在去年轰动全国的徐玉玉案中,犯罪嫌疑人先是通过攻击“山东省2016年高考网上报名系统”获取包括徐玉玉在内的考生信息,然后又搜索“高考数据群”“学生资料数据”等聊天群,以每条0.5元的价格购买了1800条2016年高中毕业生资料。由此看来,诈骗分子对信息的收集程度令人咋舌,这也是最后导致徐玉玉上当受骗甚至酿成悲剧的重要一环。

然后配套心理战,利用迷信和恐惧权威的弱点进行诈骗

社会工程学诈骗说到底就是在收集信息的基础之上,利用人性的弱点进行诈骗。人性弱点首当其冲就是贪婪,什么中奖、促销等等都是打的贪图便宜的算盘。这是诈骗的初阶版本,数量最多也最常见,一般人都能感受到,不再赘述。除了贪婪外,还有利用受害人对权威的隐性服从心理进行诈骗。

典型的就是冒充单位领导要求“明天来我办公室一趟”,其诈骗套路是:首先诈骗分子会冒充你的领导给你打电话或发短信,叫你明天来办公室一趟。当你反问他是谁时,他会直接斥责你。然后“领导”会以上面来了“高级领导”为由要你帮他准备现金红包,最后又以现金不方便为由要你直接转账给他。其实整个诈骗过程存在很多漏洞,只要多个心眼,仔细想一下就可以避免入坑。那些上当受骗的人最后还是中招的原因就在于对权威的隐性服从:领导掌握着你的“生杀大权”,宁可信其有吧。

“领导”的权威让下属服从“领导”的权威让下属服从

还有一类诈骗案利用的是亲人之间的关爱之情,最常见的就是父母对孩子。例如,之前上海一位妈妈就记下了自己险些被诈骗的惊悚30分钟。事件的起因是她早上突然接到自称是自己儿子学校教务处的电话,被告知自己的儿子晕倒了已经被送往医院,现在需要动手术。在她赶往医院的过程中,“老师”的诈骗电话不断打来,一会儿要求家长授权他手术签字,一会儿又说自己身上钱不够,让家长直接把钱打到“绿色通道”。幸好这位妈妈及时反应过来,打电话向学校老师求证,确认自己的孩子在学校安然无恙,最终才免遭上当。事后想想,整个过程也存在很多不合理的地方,但是没有经验的父母在紧急情况下很容易失去警觉和判断,一切都以孩子暂时的安全为重,因而也特别容易中招。

除了上面说到的案例外,夹杂羞愧、担心、恐惧的心理影响着当事人,例如,很多地方都出现过公务员被PS的艳照进行诈骗的案例,这些公务员的“中招”或者出于担心,或者源于恐惧,或者只是不愿意声张,有苦自己吞。

总而言之,人是信息安全链条里最脆弱的一环,人性的种种弱点最后都变成“社会工程师”诈骗工具箱里的不同工具。

不仅如此,社交网络的普及也给社会工程学诈骗提供了“神助攻”

在社交网络中,经常出现的诈骗案例就是有人在群里发了一个假的二维码或者疑似红包链接,群里的人不疑有他去扫描,结果发现上当受骗。在这个过程中,社交网络放大了两种心理:一个是贪图便宜,受骗的人以为真的是一个红包,顺手就点了;另外一个则是安全心理,社交网络给人营造出一个熟悉空间的假象,让人产生“都是认识的人,不会被坑”的错觉,即使被坑也不会造成多大的损失。但其实社交网络给人营造的熟悉感和信任感未必真实,反而有可能带来危险。

此外,用户对社交平台的信任还有可能被“社会工程师”滥用。例如,之前非常流行的“顺便清理一下你的好友名单,看看谁是僵尸粉”活动就很容易让人误以为这是社交平台的官方行为,再加上这个活动的目的是为了帮助用户清除僵尸好友,正好暗含了用户的心理需求(对方已经不关注我了,我为何还要傻傻地关注他),所以大家都在积极转发使用。但其实这只是第三方的行为,除了恶意营销外,当你点开这个链接后,你的个人信息很可能就遭到泄露了。

应对社会工程学诈骗,需要系统弥补漏洞不断升级,也要求个人提高警惕,破除旧思想束缚

有人很悲观:人不可能变成天使,面对抓住人性弱点的社会工程学诈骗,只能坐以待毙,听天由命。确实,即便自诩再聪明的人,也有犯糊涂的时候。面对社会工程学诈骗,我们还是可以有所应对。

首先最重要的一点就是去了解和熟悉社会工程学诈骗,千万不要觉得这个词冷僻生硬就拒绝了解,甚至以为它不会出现在自己的生活中。知己知彼,才能有所应对。其次,要对自己的基础信息保持足够的警惕,例如自己账号密码的设置不要太过简单,也尽量不要和自己的家人朋友相关,很多人的信息就是通过其他人间接攻破的。

小贴士:账号密码避免过于简单,也不要和家人相关小贴士:账号密码避免过于简单,也不要和家人相关

更为重要的是,要破除旧观念旧思想的束缚,比如权威服从。在东亚儒家文化圈中,对领导和长官的迷信胜过尊重,所以当那些社交骗子打着权威部门或者上级领导的旗号时,一些中下级的职员很容易乖乖就范。

当然,人性的不足更需要技术来弥补,具体到社交平台,可以从数据模型上找到突破,比如对账号进行监控,它在收钱时是否是一个新号,在此之前有没有稳定的社交关系,如果该账号有很好的历史,也有相应稳定的好友和好友关系,那么它才值得被信任。

 

社会工程学诈骗不应该只是一个冷冰冰的学术词汇,被束之高阁,或在小圈子里进行讨论,更应该走入普罗大众,让大家理解、接受并内化,从而加以警惕。