什么是社交工程陷阱?

10.22.2020  - 作者  在 安全性

骇客和社会工程是两种不同但却相关的诈骗模式。

骇客是指某人在未经授权的情形下登入电脑网路或取得资源,无论他们实际上是如何进行此行为;而社交工程则是指某人使用一些手段以取得他们不应该拥有的登入资讯。

依照此广泛的定义,社交工程与诈骗和间谍的手法一样古老,但是人们通常是在取得某种电脑系统登入资讯的情形下才会谈论到社交工程。

“社交工程” 一词是由骇客 Kevin Mitnuck 所创建的,他因其骇客攻击而声名大噪,他描述了他用来行骗、胁迫、甜言蜜语,或是其它操纵手法以取得他想要的资讯的技术。

谁是社交工程师?

这就要看您想为其定义的广泛程度,任何人都可能成为真正的社交工程师,但是从术语更具体的意义上来说,社交工程师被分为三大类:

政府角色

  • 情报人员
    在这种情况下,社交工程师希望能够获得对其政府有价值的资讯。
  • 执法人员
    执法人员也可能会使用社交工程师的技术来进行调查,或者以较不道德的行为进行调查,以恐吓或骚扰的方式攻击目标,像是一些实行压迫性政权的国家。
  • 网路战士
    在 2016 年的选举中,网路战已成为公众意识的重要一环,然而,网路战也会利用社会工程去直接攻击其它的国家,像是美国暗中地将 Stuxnet 武器安装在逻辑控制器周围以破坏伊朗的浓缩武器级铀的离心机,Stuxnet 是一种工业控制机器的先进蠕虫。

企业角色

  • 安全专业人员
    渗透测试者是公司僱用的人员,以测试其网路和系统的安全性。他们可能会使用社交工程来尝试获取访问权限。
  • 资讯经纪人
    资讯经纪人是专门贩售资讯的公司。资讯经纪人有时后会使用社交工程以取得目标的资讯。
  • 猎头人员
    猎头人员是由公司僱用来为其招募特定人材的人员。他们可能会使用社交工程以取得更多关于潜在招募的资讯,像是伪装成目标认识的某个人,并要求他们进行相关测试以确认他们是否拥有该公司寻求的技能。
  • 公司间谍活动
    公司也可能僱用一些演员来收集有关其竞争对手的情报。

犯罪

  • 身份小偷
    有时后身份小偷会试图偷取您的身份以便进入您的银行帐户,但出于多种原因,他们也可能是想冒用您的线上身份。
  • 心怀不满的员工
    一位心怀不满的员工可能是一位危险的潜在社交工程师,因为他们可能非常熟悉您所执行的所有安全程序,也可能很清楚如何透过经验共享的方式或是对同事的了解而让现有员工放鬆警戒。
  • 诈骗人员
    诈骗人员会依靠社交工程来操弄您的生活。

社交工程的动机是什么?

人类的动机似乎很複杂,但是您不必成为心裡学家就可以了解到,社交工程通常归结为一些基本动机。儘管部份的动机可能取决于上述的特定角色,但是社交工程师仍可能会因为以下几种原因而对诈欺民众而感到有兴趣 :

  1. 金钱
    社交工程师可能是为了金钱才踏上这条路。当然,这是一个非常熟悉的动机,而且它是大部分网路钓鱼和其它诈骗的核心目标。通常都是为了从您那边骗走一些钱财。
  2. 政治
    除了使用骇客技术的 “骇客主义者” ,其中可能包含社交工程陷阱,以与他们有政治分歧的个人、公司、政府,或是非营利组织为目标之外,政府特工也经常会使用社交工程去追踪政治对手,无论是在国内还是国外。
  3. 娱乐
    一些最好的社交工程师通常至少有一部份的目标是出自于一种快感,因为他们可以把某些人耍的团团转。而这种动机也跟下方几种原因有关:
  4. 自我
    当然也可以说您还从中得到了一些大胆的成就。
  5. 报復
    又或者这与执行一个大的骇客任务无关,而是属于比较个人的因素,像是前雇员针对把他们解僱的雇主。
  6. 社会归属感
    每个人都希望自己能够属于某个群体,然后在那个群体裡面可以成为对他人有影响立的人。一个社交工程师可能会对打动他们所属或想要成为的群体而感到有兴趣。

社交工程是如何运作呢?

无论社交工程师是谁,也不论他们的动机为何,社交工程都可以归结为能够说服某人提供您不应该拥有资讯或访问权限。

通常来说,社交工程仰赖某种策略来卸下某人的心房。一般来讲,社交工程师会透过使用某种叫做 “假托技术” 的方式来操作。

举个例子,社会工程师会透过假冒某人打电话到银行以骗取其银行帐户资讯。

它还可能是佯装成送货员,或者冒充同事(尤其对大型组织来说是很常见的问题),甚至是老闆以进入工作场所。

“假托技术” 的研究和计划越多,其成功的可能性就越大。

社交工程师如何获取讯息?

获取讯息通常是社交工程师的目标,但通常也能够建立所需的信任,以取得必要的敏感讯息的起点。

首先,线上通常都有许多可以免费取得的讯息供社交工程师使用。这些可能是无害的讯息,例如出生日期、电话号码、电子邮件,或是实体地址。

有了这些基本讯息,社交工程师就可能可以取得像是银行帐户这类的个人帐户的访问权限。

他们还可能在垃圾信件夹中潜水,收集需要的讯息。有时候,个人和公司可能会丢弃一些资讯,而这些被丢弃的讯息会透露社交工程师需要知道的讯息,因此,若您细读他们的垃圾信件就有可能会發现一些能够供社交工程师使用的关键讯息。

最后,情报人员有一种称为“诱因” 的方法。这是在没有询问的情形下取得资讯的艺术。一般来说,它是具有针对性,但可能是透过线上或是亲自所进行的一般对话去收集讯息。特别是当您拥有特别敏感的讯息的访问权限时,请务必小心您所提供给别人的资讯,即使是跟陌生人的一般閒聊。描述您的工作空间看似是件无害的事情,但实际上它可能会让别人有机会进入您的工作室。

社交工程是如何操弄民众呢?

社交工程中有几种操作形式。通常他们在进行这样的操作时会利用某种认知的偏见。下方为一些常见的技术:

  • 权威请求

如果您熟悉 Milgram 的实验 ,您会發现人们会因为将某人视为权威而较为听信他的话,他们可能会扮演成警务人员、经理,或者只是一个看起来是负责人的角色。

在社交工程的场景中,有些人会听从社交工程师的话,因为他们相信他们有着一定的权威。这种作法常被网路钓鱼者使用,而这些网路钓鱼者比 “尼日利亚王子” 的骗局还要高明。举例来说,他们可能会伪装成您的老闆写一封邮件给您,骗您说他正在跟客户开一场重要的会议,需要您帮他移转资金好让您们的客户开心。把他们自己假装成您的老闆,就是一种权威请求的作法。

  • “沉没成本”

“沉没成本” 这个谬论是一种信念,意思是一旦您对某件事情(无论是时间,金钱还是精力)投入了大量资源,即使该投资被证实是无益的,您应该会继续这样做,为的就是要 “证实它”。社交工程师可能会利用这种趋势来促使您採取行动,而您可能也会这么做,因为您前面已经花了那么多的力气。

  • 一致性

这个与前述的 “沉没成本” 的谬论相似,这两者都是利用人们从根本上想要保持一致的想法。您可能会以非常微妙的方式被它操纵。这种技术经常使用于刑事讯问中。 例如,与其要求嫌犯对他们所犯下的罪行交待地一清二楚,不如要求嫌犯描述较小的细节,像是事件所涉及的人,地点或事物等等。侦查员可以使用这些证词去引导嫌犯的行为,使其与先前的陈述保持一致。任何人都能够使用这种技术去取得其他人的资讯。

  • 互惠

“互惠” 是社会心理学中的一个术语,基本上可以归结为以一个积极行动来回应另一个积极行动。

在社交工程的背景下,它可能会有几种形式。经典的例子是夸奖别人。受到别人的称赞自然是件值得开心的事,它可能会让某人想要做些好事作为回报。然而这也是用于谈判和价格斡旋的情况。当某人从他本来的报价中做了一些让步后,另一个人就会觉得自己应该也要做些让步,因为他把第一个人先做出的让步作为一种 “礼物”。

  • 安全性或是错失恐惧症(FOMO)

社交工程师可能也会扮演一个让您感到害怕的角色。通常是营造一种有急迫性的情景,进而让您放下警戒心。

例如,“如果您现在就行动…” 或 “只剩下几个…” 等短句,促使人们在没有仔细检查的情形下就去点击电子邮件中的连结。

  • 社会证明

这是另一个社会心理学中的概念,但基本上它的效果就如同调酒师在夜晚开始时先将钱放入小费罐裡那样。这样一来,可以诱使客户放进更多小费,因为他们认为别人也给了小费。它创造了一种社会义务,去促使人们做出他们本来不想做的决定。

上述所有都是可以操弄别人的方法,正如上面提到的许多范例,它们并不总是在社交工程的背景下發生,或者它也不是恶意的。然而,因为它们丈着人们先天的偏见,从而引导人们落入洩漏个资的陷阱中。

如何保护您自己免受社交工程攻击呢?

唯一可以避免社交工程诈骗的方法就是小心。如果您是在敏感的地区工作,请勿与刚认识的人谈论细节。如果您提出问题或是接到客户的来电,请小心那可能不是当事人本人,他们可能会使用一些技术从您身上获取讯息。

不要变成别人的代罪羔羊。

如果您不是接听电话的人,但是是有决定权的人,请确保您的团队都已经受过相关的训练,以防止他们受到社交工程的诈骗。

最后,网路钓鱼攻击是最常见的社交工程。当您收到电子邮件询问您任何上述的敏感讯息时,请不要着急。仔细验证每一个请求。慢慢来,并且确认所有连结以及寄件者的连结。要求联繫您的人提供您相关证明。

如果您觉得您变成了受害者

⚠️ 立刻回报!

联繫任何可能需要监控您的帐户的人,例如您的银行或电信业者。如果敏感的工作讯息可能会被暴露,请与您的雇主联繫。更改所有密码,并在必要时向警察备案。

请不要害怕查证!例如,如果您的银行打电话给您,要求他提供您分机让您回拨电话。