狡猾的狐狸——社会工程师
2016-11-14 14:31:44
极小验


克雷洛夫寓言中乌鸦与狐狸的故事我们都应该听说过,年幼无知的我们觉得乌鸦真是很蠢,别人说两句好听的就上当受骗,要是我才不会呢。但是现实却恰恰相反,我们见过无数人上当受骗,不管是目不识丁的老者,还是饱览群书的教授,无论心智未开的孩童,亦或是机关算尽的“聪明人”都曾是网络诈骗的受害者。

人性的弱点,网络信息的泄露以及社会工程师们高超的表演技巧、聪明的头脑、心理分析能力让网络诈骗频频得手,那么诈骗过程中有哪些技巧,用了些什么样的方法,我们如何警惕呢?


首先,给大家介绍三个名词。

社会工程学(Social Engineering)
这个名词最早是在2002年由传奇黑客米特尼克(Kevin David Mitnick)在《欺骗的艺术》一书中提出,指利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。

说白一点就是研究人性的弱点,比如有些人喜欢贪小便宜,有些人比较善良(当然这不算人性弱点,但是也是很容易被坏人利用的一面),有些人贪婪,有些人虚荣等等。利用这些弱点可以设计相应的陷阱,让人不知不觉的就掉进去了。


社工库
在之前的一些文章中也是不止一次的谈到社工库,黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。网络上有很多已经泄露的数据,暴露在网络上面,有人就会将这些已经泄露的数据搜集起来,分析,整理,成为井井有条的数据库存储起来。然后日复一日的不断的丰富这个数据库,数据越多,可以分析的内容也就越多,信息也就越全面。我们常常说的大数据分析,维护社工库的人或许做得也是相当的好了。
QQ截图20160928113122.png-63.9kB

如上图,通过对你的个人信息的不断完善,你的所有数据基本上都全部掌握在社工库里面了,想到这里不禁想感叹一下,幸好我不是那种会引起注意的人,一没钱二没色的也没掌握啥重要信息。


社会工程师
社会工程师应该没有官方认可的,也就是米特尼克自己这么称自己的,我们就姑且认为聪明又善于欺骗的和心理学的黑客是社会工程师吧。不过,我想,那些给你打诈骗电话的人,绝对是称不上社会工程师的,顶多就是训练有素的骗子。

社会工程师常常利用人们的信任和疏忽获取一些看似无用的信息

我们常常会很奇怪,就算骗子盗取了我们的一些身份信息,并可能监控我们的生活行动,但是却偏偏知道我们最近做了什么,下面我们来看一个故事,看看狡猾的骗子是如何获取得我们的一些最近的信息的。


公司新入职了员工
“人力资源部,我是莎拉。”
“你好,莎拉,停车场,我是乔治。你知道你用来进入停车场和电梯的门禁卡吗?对,我们遇到了一个问题,需要重写最近十五天加入公司的所有新员工的磁卡。”
“所以你需要他们的名字?”
“还有他们的电话号码。”
“我可以查看我们的新员工列表,到时候打给你吧,你的电话号码是?”
“73……啊,我现在有点事情,半个小时候我再打给你怎么样?”
“哦,好吧。”
当他再打回去的时候,她说:
“哦,是的,只有两个,一个是安娜•莫托(Anna Myrtle),她是财政部的秘书,另一
个是新来的副总,安德伍德先生。”
“电话号码是?”
“好的,安德伍德先生的号码是6973,安娜•莫托的是2127。”
“嘿,你帮了我一个大忙,谢谢。”

看到上面的对话你是不是觉得不可思议,觉得怎么能够这么轻易的就将公司人员的信息透露出去了呢?但是仔细的想一想,将电话号码进行较好的伪装之后,以这样的工作的口吻是不容易引起怀疑的,而且对于莎拉来说,她好像并没有什么损失,还助人为乐。而且名字和电话号码也好像并不是什么特别重要的信息,就算给了别人,别人也得不到什么。


我们来分析一下,莎拉都泄露了一些什么信息。
姓名。
电话号码。
两个员工是新入职的。
职位信息。
根据这些信息骗纸准备好了另一个全套,我想大家都能够想得到了。
安娜接到电话:“你好,请问哪位?”
“安娜啊,昨天在公司见过面啊,听不出我的声音啦?”
“某某某~”
“对啊,记性挺好的,不错啊~~~我想让你帮我办一件事情啊。。。。。。”


虽然大家会觉得,这种我一眼就能够看穿,但是还是有很多涉世未深的小朋友们上当了啊。而且上面只是一个例子,社会工程师们可还有很多招儿呢。

上面的例子就是想告诉大家,骗子擅长于从一些看似无关紧要的信息入手,获得的信息多种多样,通过不同渠道获得不同的信息,进行组合行骗。所以我们在生活当中一定要多注意保护敏感信息,提高警惕性。

针对上述极小验提出以下几点建议
接到陌生电话,可以进行基本的问好,等对方首先表明身份。
如果是打听你自己的信息,那么对于敏感信息比如喜好,住址,姓名,工作等等都要提高警惕,不要轻易回答。
如果是遇到公司查询信息,要问清楚机构,名称,再拨打电话进行核实等等。
这篇文章就介绍到这里,接下来有机会极小验还会多收集一些骗纸的行骗特征,和大家一起探讨。

极验验证,作为抗击黑产的第一线,帮助企业保障网站和应用的账户安全是责无旁贷的。我们也希望能够通过我们的力量帮助我们的广大民众不受骗子欺诈。