今日話題:社會工程學詐騙大起底
導語
又是一年315。今天關注一個相對冷僻的詞:社會工程學詐騙。説冷僻是因為這個詞常見於安全防禦領域,普羅大眾對它知之甚少。但是這兩年頻發的電信詐騙又都是運用的社會工程學技巧。到底什麼是社會工程學詐騙?是時候讓這個詞進入大眾視野了。…[詳細]
要點速讀
1
社會工程學詐騙的核心是人,通過各種渠道和手段獲取個人信息,抓住人性的弱點,佈下詐騙之網,等受害者入彀。
2
社交網絡形成的社交鏈放大了用户的心理弱點,導致他們很容易上當受騙。
3
應該主動了解社會工程學詐騙,知己知彼,破除舊思想的束縛。技術也要彌補漏洞,不斷升級。
社會工程學詐騙的核心是抓住“人類硬件漏洞”,收集個人信息,佈下詐騙之網
社會工程這四個字,乍一看和社會工作相近,但意思卻差了十萬八千里。
按照社會工程學提出者、美國著名黑客凱文・米特尼克的説法,社會工程學是一種操縱相關人員泄露出機密信息的“藝術”,社會工程學詐騙就是利用這一“藝術”進行的。
什麼意思呢?在以往的網絡信息安全中,詐騙者把注意力更多放在編碼的不斷升級和對系統漏洞的不斷攻擊上,道高一尺,魔高一丈,比拼的是攻守雙方誰的技術更高階。但是社會工程學詐騙不是這樣,它反過來關心人本身。人非天使,總會存在認知偏差,這些偏差就是“人類硬件漏洞”。在整個安全防禦系統裏,存在一個“木桶理論”,人就是其中最短的那一塊。
所以相比而言社會工程學詐騙更有針對性,首先重視的就是對個人信息進行收集。
社會工程學詐騙首先會在茫茫的比特海尋找信息
這些信息從何而來?有的是受害人自己主動泄露的,比如在社交平台上公開的個人信息。有的則是被人惡意售賣的,比如詐騙者從電話公司、房地產公司購買到的個人信息。還有的方式則非常隱蔽,不是直接從你本人這邊獲取信息,而是從跟你有關係的親戚朋友那兒間接獲得。詐騙者通過收集到的信息能夠畫出近乎完整的詐騙潛在對象“畫像”。
舉個例子,在去年轟動全國的徐玉玉案中,犯罪嫌疑人先是通過攻擊“山東省2016年高考網上報名系統”獲取包括徐玉玉在內的考生信息,然後又搜索“高考數據羣”“學生資料數據”等聊天羣,以每條0.5元的價格購買了1800條2016年高中畢業生資料。由此看來,詐騙分子對信息的收集程度令人咋舌,這也是最後導致徐玉玉上當受騙甚至釀成悲劇的重要一環。
然後配套心理戰,利用迷信和恐懼權威的弱點進行詐騙
社會工程學詐騙説到底就是在收集信息的基礎之上,利用人性的弱點進行詐騙。人性弱點首當其衝就是貪婪,什麼中獎、促銷等等都是打的貪圖便宜的算盤。這是詐騙的初階版本,數量最多也最常見,一般人都能感受到,不再贅述。除了貪婪外,還有利用受害人對權威的隱性服從心理進行詐騙。
典型的就是冒充單位領導要求“明天來我辦公室一趟”,其詐騙套路是:首先詐騙分子會冒充你的領導給你打電話或發短信,叫你明天來辦公室一趟。當你反問他是誰時,他會直接斥責你。然後“領導”會以上面來了“高級領導”為由要你幫他準備現金紅包,最後又以現金不方便為由要你直接轉賬給他。其實整個詐騙過程存在很多漏洞,只要多個心眼,仔細想一下就可以避免入坑。那些上當受騙的人最後還是中招的原因就在於對權威的隱性服從:領導掌握着你的“生殺大權”,寧可信其有吧。
“領導”的權威讓下屬服從
還有一類詐騙案利用的是親人之間的關愛之情,最常見的就是父母對孩子。例如,之前上海一位媽媽就記下了自己險些被詐騙的驚悚30分鐘。事件的起因是她早上突然接到自稱是自己兒子學校教務處的電話,被告知自己的兒子暈倒了已經被送往醫院,現在需要動手術。在她趕往醫院的過程中,“老師”的詐騙電話不斷打來,一會兒要求家長授權他手術簽字,一會兒又説自己身上錢不夠,讓家長直接把錢打到“綠色通道”。幸好這位媽媽及時反應過來,打電話向學校老師求證,確認自己的孩子在學校安然無恙,最終才免遭上當。事後想想,整個過程也存在很多不合理的地方,但是沒有經驗的父母在緊急情況下很容易失去警覺和判斷,一切都以孩子暫時的安全為重,因而也特別容易中招。
除了上面説到的案例外,夾雜羞愧、擔心、恐懼的心理影響着當事人,例如,很多地方都出現過公務員被PS的豔照進行詐騙的案例,這些公務員的“中招”或者出於擔心,或者源於恐懼,或者只是不願意聲張,有苦自己吞。
總而言之,人是信息安全鏈條裏最脆弱的一環,人性的種種弱點最後都變成“社會工程師”詐騙工具箱裏的不同工具。
不僅如此,社交網絡的普及也給社會工程學詐騙提供了“神助攻”
在社交網絡中,經常出現的詐騙案例就是有人在羣裏發了一個假的二維碼或者疑似紅包鏈接,羣裏的人不疑有他去掃描,結果發現上當受騙。在這個過程中,社交網絡放大了兩種心理:一個是貪圖便宜,受騙的人以為真的是一個紅包,順手就點了;另外一個則是安全心理,社交網絡給人營造出一個熟悉空間的假象,讓人產生“都是認識的人,不會被坑”的錯覺,即使被坑也不會造成多大的損失。但其實社交網絡給人營造的熟悉感和信任感未必真實,反而有可能帶來危險。
此外,用户對社交平台的信任還有可能被“社會工程師”濫用。例如,之前非常流行的“順便清理一下你的好友名單,看看誰是殭屍粉”活動就很容易讓人誤以為這是社交平台的官方行為,再加上這個活動的目的是為了幫助用户清除殭屍好友,正好暗含了用户的心理需求(對方已經不關注我了,我為何還要傻傻地關注他),所以大家都在積極轉發使用。但其實這只是第三方的行為,除了惡意營銷外,當你點開這個鏈接後,你的個人信息很可能就遭到泄露了。
應對社會工程學詐騙,需要系統彌補漏洞不斷升級,也要求個人提高警惕,破除舊思想束縛
有人很悲觀:人不可能變成天使,面對抓住人性弱點的社會工程學詐騙,只能坐以待斃,聽天由命。確實,即便自詡再聰明的人,也有犯糊塗的時候。面對社會工程學詐騙,我們還是可以有所應對。
首先最重要的一點就是去了解和熟悉社會工程學詐騙,千萬不要覺得這個詞冷僻生硬就拒絕瞭解,甚至以為它不會出現在自己的生活中。知己知彼,才能有所應對。其次,要對自己的基礎信息保持足夠的警惕,例如自己賬號密碼的設置不要太過簡單,也儘量不要和自己的家人朋友相關,很多人的信息就是通過其他人間接攻破的。
小貼士:賬號密碼避免過於簡單,也不要和家人相關
更為重要的是,要破除舊觀念舊思想的束縛,比如權威服從。在東亞儒家文化圈中,對領導和長官的迷信勝過尊重,所以當那些社交騙子打着權威部門或者上級領導的旗號時,一些中下級的職員很容易乖乖就範。
當然,人性的不足更需要技術來彌補,具體到社交平台,可以從數據模型上找到突破,比如對賬號進行監控,它在收錢時是否是一個新號,在此之前有沒有穩定的社交關係,如果該賬號有很好的歷史,也有相應穩定的好友和好友關係,那麼它才值得被信任。
結語
社會工程學詐騙不應該只是一個冷冰冰的學術詞彙,被束之高閣,或在小圈子裏進行討論,更應該走入普羅大眾,讓大家理解、接受並內化,從而加以警惕。