引子
试想这个画面:
又是一个“元气满满”的周一,你揉着惺忪的眼睛,走到公司门口,在兜里摸了半天工卡,然后放到读卡器上解锁了门禁。你缓缓推开门,走了进去,正准备放手的时候,后面跑过来一位漂亮可人的女性,她双手提满了大包小包,嘴上喊着“请等一下”。你觉得这个人好像没见过,脑海中闪过一丝迟疑,但是对方看起来纯良无害又疲累不堪。此刻,你心头涌起的保护欲与同情心让你握紧了门把手,把快要关上的门拉开,让她冲了进来……
你心想,公司这么大,这可能是平时没怎么见过的同事;或者是今天周一,有新同事入职。几个想法在脑海中绕了几个弯后,你已经走到了工位上。于是你不再想这件事,打开电脑,开始一天的搬砖。可你没想到,第二天,传来公司资料失窃的消息……
帮人开门原本是出于礼节的行为,在当今社会很常见。但在特定场合中,这种行为很可能带来灾难。有些别有用心的人会利用这种礼貌行为,扮成需要帮助的弱者,博取同情,从而顺利进入原本没有权限进入的地方,最后制造破坏。这就是“社会工程学”的一种通俗表现。
世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到:“人为因素才是安全的软肋”。而社会工程学正是利用了人的恐惧、好奇等一系列心理,或者利用人们常见弱点,通过多种方式套取个人信息或者实施诈骗。网络钓鱼就是常见的社会工程学攻击之一。
社会工程学攻击的成功几率一直很高,哪怕如今人们已经提升了对网络诈骗的防范意识,但由于多种情绪或心理因素的影响,还是免不了上当。尤其是当社会工程学遇到了当今人们几乎离不开的微信,碰撞出的各种新骗术更是防不胜防。
社会工程学攻击常常利用的心理
除了上文已经提到的同情心之外,还有很多心理会被攻击者利用,展开社会工程学攻击。
粗心
在便于分享的网络环境中,不论是邮件还是微信或者 QQ 的对话框都能发布各种链接。处于信息轰炸的时代,也许每个人每天都会通过短信、微信或者 QQ 等各种途径打开链接,或者无意中点开陌生邮件的附件。在点击之前,他们甚至都没来得及细看。
利用粗心实施的社会工程学攻击包括:
注册近似域名 (Typosquatting)
同形攻击
黑帽 SEO / SEO投毒
点击劫持
尾随或捎带确认攻击
窃听
这一类中最常见的就是最近闹得沸沸扬扬的“拼夕夕”的手段。拼多多上市以后,其平台销售山寨产品的行为遭到很多人的批判。也有人因为粗心或者不了解而上当。
山寨引发的“识字”之殇
一不留神点击链接中了病毒很可怕,一不留神就买了假货也很糟心。在微信聊天或者微信朋友圈中,有些链接模仿大牌购物页面,用户一不留神点击进去之后,会被获取个人信息,甚至会被骗走财物。
好奇心
利用这种心理的社会工程学攻击往往伪装成偶然发送邮件或压缩包或链接,命名有与个人相关的近期旅游照也有与商品推广相关的新折扣信息等。有些人看到这些内容,往往会出于好奇而点击,最终中招。
利用好奇心实施的社会工程学攻击包括:
社交网站中的恶意软件活动(“热门视频”诈骗,明星丑闻等)
其他欺骗你的独家内容(与事故或灾难相关的视频或图片等)
社交媒体诈骗:“查一查谁访问了你的个人资料”、“测一测你今年运势如何”等;
USB攻击
邮寄 CD 攻击
新闻劫
在微信朋友圈,我们经常能看到各种测试,不论是测试运势还是上传照片变装,一旦扫码或者点击链接测试之后,你就把个人信息拱手让人了。
前不久,外媒有报道称美国认为中国黑客通过“邮寄 CD”这种古老但难以应对的方式进行攻击,用于刺探情报。虽然最终没有确切证据,相关报道很可能是诬陷。但这也说明,类似的方法在以前的确会奏效。
恐惧心理
在“基于心理学的社会工程学”研究论文中,作者 Charles E. Lively, Jr. 认为,利用人类的恐惧心理实施社会工程学攻击的方式是最激进的,因为这种方式会向目标受害者施加压力,让他们感到焦虑不安、忧心忡忡以及担惊受怕。
一旦攻击成功,受害者就会对攻击者言听计从,轻易交出自己的财物、知识产权或其他隐私信息。如果受害者是高级管理者或手握关键信息,那么被这种方法攻击之后造成的后果胡更严重。这种方式往往会设置一个截止期限,其典型代表是勒索。不论是利用病毒、木马锁定设备施加威胁还是利用受害者不愿披露的隐私进行威胁,都属于这一类。
利用恐惧心理实施的社会工程学攻击包括:
商业邮件钓鱼/针对 CEO 或 CFO 的欺诈
勒索/敲诈(色情敲诈或勒索软件等)
骚扰电话欺诈
恶意软件(如虚假色情视频播放器等)
网络电话诈骗(Voice Fishing)
伪装成软件补丁的恶意软件
在微信等社交平台中,最常见的是发布各种色情小视频链接,点击之后要么直接被病毒或木马入侵;要么只播放几秒,随后要求受害者付费,施行诈骗。还有一种情况是诈骗分子伪装成官方,宣称用户的支付账户遭冻结,要求用户立刻点击链接解冻。有些用户对此不注意或者年纪较大不太懂相关规则,就容易上当。
漏洞百出的“官方声明”,还是能骗到一部分人
贪欲
人类天生有各种欲望,不论是美食美景还是偷懒图方便,不论是为了获得认可还是为了占小便宜,每个人都有软肋。有人想找真爱,有人想挣钱,有人也许只是想要个新手机,这些人都容易遭遇针对性的社会工程学攻击。
利用贪欲实施的社会工程学攻击包括:
Catfishing /浪漫欺诈(LGBTQ社区的成员也无法幸免)
某些网络钓鱼活动
用金钱或手机等财物诈骗
彩票和赌博相关的骗局
2018 年 8 月初,甘肃警方破获了一起“微信卖茶叶”的特大新型网络诈骗案。犯罪嫌疑人通过多种途径添加受害者的微信,之后伪装成漂亮有爱心的女性,骗取受害者的信任和感情,然后通过卖茶叶的套路骗取受害者的财物。
此外,2018 年上半年,微信上还风靡一种“砍价零元购”的活动,声称多人砍价就能 0 元获取 iPhone 或者高档化妆品等。很多人转发或砍价之后,并没有收到预设的产品,或者中了病毒或者被获取微信号和支付卡信息,最终成了人工分流工具,甚至损失财产。
这类“0元购”最容易迷惑中老年微信用户。类似的还有“抢红包”、“免费抢流量”等活动。这些活动虽然不全是假的,但大多数情况下,都不怀好意。
同情心
每当自然灾害发生时,总有不怀好意者利用人们的同情心,在网上发起虚假捐款活动。如果人们在此类网站输入支付信息转账或捐款,那么转出去的前就打了水漂,甚至还会被套取身份信息和银行卡信息,最终造成更大损失。
利用同情心实施的社会工程学攻击包括:
假孤儿院(在柬埔寨盛行)
灾难欺诈:慈善募捐、承包商和供应商欺诈、伪造、价格欺诈和财产保险欺诈
癌症欺诈
具体的社会工程攻击,就像这一次
利用众筹网站的诈骗
此类案例在微信朋友圈或其他社交媒体渠道最常见的就是“水滴筹”、“轻松筹”等。由于审核机制不严格,很多人通过网上代开病例或证明等渠道,谎称自己或家人患重病急需用钱,进行诈骗。在某度搜索“XX筹骗局”能搜到很多相关案例。
小结
总体来说,当社会工程学应用到微信里,最多的还是各种链接诱骗。虽然 5 月底微信朋友圈外链分享做了一些限制,例如规范特殊识别码和口令类信息传播、规范视听内容传播等,但受影响的主要是淘宝等电商。而且这些限制对于诡计多端的骗子而言,根本不奏效。
微信上的社工虽然不一定会立刻造成损失,但是当你亲手输入的姓名、生日、手机号、身份证号、银行卡号以及你朋友圈的自拍照都落入他人之手后,就难逃被黑产利用的命运。获取信息只是黑产的第一步,信息买卖、广告营销、诈骗会接踵而至。甚至不知不觉中,你就背上了高额贷款。而这正是犯罪分子实施社会工程学攻击的终极目标。
针对社交媒体的社会工程学欺诈总是让人防不胜防,提高安全意识是最基础也是最有效的方法。具体来说,可以注意以下几点来防范:
收到运营商或服务提供商发来的消息时,最好直接拨打官方电话确认;
填写调查问卷或玩游戏时,如果要求社交媒体帐户登录或者要求访问相关的信息,要提高警惕;哪怕知名的品牌也可能存在伪造的软件或页面,所以无论何时都不能掉以轻心;
收到不常用联系人发来的链接,例如“砍价”或者领红包的链接,最好不要打开,对方可能被盗号,或者可能已经打开链接中招而传播给更多人;
向亲朋好友宣传正规科普文章,提升自己和周围朋友的安全意识;
当然,社会工程学的可怕之处还在于,就算你不用微信不上网,他们还能通过物理接触的方式来套路你。就像,我们开头讲的那个故事一样……
参考来源:
2. https://mp.weixin.qq.com/s/IXkWm_H-kHzmMvZYII8lrA
3. http://www.freebuf.com/company-information/173441.html
*本文插图均源自网络
*作者 AdlerI,转载请注明来自 FreeBuf.COM