比骗术更高明的艺术:社会工程学

在网络信息安全日益严重的今天,提到诈骗,可能很多人都习以为常,生活中或多或少都有遇到。但大家可知道,其实诈骗手段也有专属学科的,名字就叫:社会工程学

其在上世纪60年代作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。

经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学和网络社会工程学,而诈骗就是利用了社会工程学中比较低层面的内容。

社会工程学与诈骗的区别

社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,是网络黑客的一种手段,近年来已成迅速上升甚至滥用的趋势。

它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样可能会被高明的社会工程学手段损害利益。

诈骗人员相对更在意的是受害者的钱财等物质资源,并且个人水平较低;而社会工程学更加系统,目的明确,有强大的耐心,自身能力要求很高,要熟悉社会学、心理学、行为学、数据分析、数据收集等等。

在商业行为中,社会工程师可以做很多的事情,比如参与恶意竞争,恶意公关,竞争对手抹黑,攻击竞争对手,煽动网民等等,可以说诈骗能力只是社会工程师的最基本技能。下面给大家介绍一下社会工程学中最基础的8种欺骗技巧。

社会工程学常用的8种技巧

1. 十度分隔法

利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他是:

● 自己一位同事。

● 可信赖的专家(比如执法或者审核人员)。

但如果他的目标是要从某人处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接联系这个人。黑客在受害者所在组织中开始接触的人可能会与他所瞄准的目标或人隔着十层之远。

犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息,常用的技巧就是伪装友好或权威。

2. 学会说行话

每个行业都有自己的缩写术语。而社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感。

假如我跟你讲话,用你熟悉的话语来讲,你当然就会信任我。要是我还能用你经常在使用的缩写词汇和术语的话,那你就会放松警惕,更愿意向我透露更多的我想要的信息。

3. 借用目标的“等待音乐”

成功的欺骗需要的是时间、坚持不懈和耐心。攻击常常是缓慢而讲究方法地进行的。这不仅需要收集目标对象的各种情况,还要收集其他的“社交线索”以建立信任感,黑客甚至可能会哄骗你以为他是你即将入职公司里的同事。

一种成功的技巧是记录某家公司所播放的“等待音乐”,也就是接电话的人尚未接通时播放的等待乐曲,让人以为这个电话就是公司的官方电话。

4. 伪装电话号码

犯罪分子常常会利用电话号码软件伪装自己的来电号码,也就是在目标被叫者的来电显示屏上显示一个和主叫号码不一样的号码。 

犯罪分子可能是从某个公寓给你打的电话,但是显示在你的电话上的来电号码却可能会让你觉得好像是来自一家大公司或是大银行。于是,你就有可能轻而易举的上当,把一些私人信息,比如密码口令等告诉对方。

5. 利用坏消息

只要报纸上刊登什么坏消息,一些人就会利用其来发送垃圾邮件、网络钓鱼或其它类型的邮件。

有大量的网络钓鱼攻击是和银行有关的,钓鱼邮件会告诉你说:“你的存款银行已被其他的银行收购了。请你点击此处以确保能够在自己资金损失之前修改你的信息。” 这是诱骗你泄露自己的信息,以便犯罪者能够进入你的账户窃取钱财,或者倒卖储户的信息。

6. 利用常用网站的信任感

很多人对一些自己常用的网站十分信任。而犯罪者瞄上了这类站点 ,就使很多人受到攻击。比如用户们会收到一封邮件称;“本站发现您的账户有异常登录行为,如您本人没有操作,请立即点击此处修改自己的密码。”只要你点进去,就会被链接到钓鱼网站上去,泄露自己的账户信息。

7. 错误输入捕获法

犯罪分子常常会利用人们在输入网址时的错误来作案,比如当你输入一个网址时,常常会敲错一两个字母,结果转眼间你就会被链接到其他网站上去,产生了意想不到的结果。

坏分子们早就研究透了各种常见的拼写错误,而他们的网站地址就常常使用这些可能拼错的字母来做域名。好点的只会被连接到一些广告网站上去,而严重的可能会伪装成和目标网站一模一样的网站,没发现直接登录的话,你的账户就到别人的手里去了。

8. 利用FUD操纵股市 

这种手法相对更高端,利用一些产品的安全漏洞,甚至整个企业的一些漏洞,都会被用来影响股市。根据Avert的最新研究报告,例如微软产品的一些关键性漏洞就会对其股价产生影响,每一次有重要的漏洞信息被公布,微软的股价就会出现反复的波动。

有一个例子表明,曾有人故意传播斯蒂夫·乔布斯的死讯,结果导致苹果的股价大跌。这是一个利用了FUD(三要素:恐惧、不确定、怀疑),从而对股价产生作用的明显事例。


最后,社会工程学的目标和其他黑客手段基本相同。都是为了获得目标未授权的访问权限或路径,是对重要信息的欺骗,网络入侵,工业情报盗取,身份盗取,或仅仅是扰乱系统或网络。常见的目标包括电话公司和应答服务机构,著名的大公司和金融组织,军事和政府机构以及医院。 

一个社会工程学专家说过:“电脑有防火墙保护,而人类才是最大的安全漏洞。”所以大家在日常生活中,要谨防信息泄露,保护好自己的信息安全。