拯救人性的 Bug
您是否知道每天都有1000个犯罪分子在线瞄准你?虽然勒索软件攻击和数据安全漏洞往往成为大多数新闻的头条,但是,对于所有人来说,最常见的漏洞就是人类自己。
社交工程学欺诈利用了人性的弱点,使人们无法察觉到自己正在被心理操控。
社交工程学欺诈诱使您在手机上提供个人详细信息、在不知不觉中转移资产;利用您的员工/亲朋好友,并鼓励他们透露您最致命的私密相信;你的祖母也许正在被骗子诱使着付出一生的储蓄 ……
社交工程欺诈是骗子的头号必备技能。它利用了人类的紧迫感、心理脆弱性、损失厌恶冲动和对细节缺乏关注等各种人性弱点。
有缺陷的代码和软件漏洞都不难修补,但是,社交工程欺诈是非常难以预防的,因为人性弱点无法修补。即使是最精明的人也可能被欺骗。就像 Podesta 那样的人,曾为奥巴马政府撰写过关于网络安全的报告,但是他自己也遭受了损失惨重的钓鱼攻击。
你可能觉得自己很精明,我也这么觉得,但是我们都是人类,是人类就有天然的弱点,当我们情绪波动时这些弱点就会暴露出来,而社交工程的手段很大程度上就是激发我们的情绪波动。
目前已经有越来越多的政府当局利用社交工程伎俩,针对政治异议、反对派活动家和政敌。IYP以前的文章曾经多次介绍过这一问题。
我们该如何保护自己的财产和人身安全?
最简单的说法就是:研究历史。
社交工程骗局通常遵循特定的行为模式。无论是传销骗子还是试图访问您的计算机的政府特工,社交工程欺诈都有很长的历史,您可以从中学习到丰富的经验和教训。
伟大的埃菲尔铁塔诈骗
出生于匈牙利居住在美国的著名骗子维克多·卢斯蒂格(Victor Lustig)以卖掉埃菲尔铁塔(Eiffel Tower)的重大骗局而闻名。这么荒唐的事他是怎么做到的?根据美国特勤局特工 James Johnson 的回忆录,Lustig 于1925年夏天抵达巴黎,并立即开始筹备他最大的骗局。
首先他伪造了一份证书来证明自己的可信性,证书还弄上了法国政府的官方印章。然后,他将自己安排在一个富丽堂皇的酒店里,让自己看起来就像政府内部的官员。随后 Lustig 向废弃金属行业的领导人发出了邀请,邀请他们参加会议。
他告诉他们铁塔维护费用高昂,法国政府不想再继续修护,决定要拆除埃菲尔铁塔,7000吨钢材卖给他们,让他们分别报个价。
他向商人们保证,“卖掉这些材料能赚一大笔钱”之类的鬼话,然后故意神秘地告诉他们:政府不想让公众知道这件事。因为一旦民众听说心爱的埃菲尔铁塔要被拆除,定会引发轩然大波,故而必须保密。Lustig 以他高雅的举止和语言很快赢得了收购商的信任。
没有哪位宾客对他有所质疑。Lustig 更是懂得阿谀奉承之道,他解释,政府选择邀请了他们,是出于对他们声望的敬仰等等。说得让收购商们对此深信不疑。之后 Lustig 还邀请他们坐上敞篷小轿车去参观埃菲尔铁塔。
Lustig 向营业窗的工作人员展示了假的政府工作证,以便带着收购商们越过等待登塔的长长的队伍。这是至关重要的一刻,工作人员没有发现不妥并向他示意,让他和他的收购商队通过。
Lustig 故意让他们感觉铁塔的状况已经非常差,政府把它卖掉,是不可避免的。为了拿到这笔大单,他们争先恐后向这位“大人物”行贿。等到他们发现这是场骗局时,Lustig 早已不知去向。
擅自买卖国有财产是个不小的罪名,而且受骗的大商人们又碍于面子,所以他们既没有报警,也没有向报界披露。Lustig 在躲避了一段时间后,发现此事没有见诸报端,就重新潜回巴黎,如法炮制,居然把埃菲尔铁塔又卖了一次。可是这次对方报了警。Lustig 再次金蝉脱壳,逃到了美国。
这位国际著名骗子 Victor Lustig 有同样著名的“十诫”,我们在曾经的社交工程攻防演示中都有介绍,大致就是下面这样:
永远耐心地倾听对方诉说
永远生气勃勃
让对方先表明政治倾向,然后附和
让对方先表明宗教立场,然后附和
轻微地暗示性话题,但不要发挥,除非对方表现出强烈的兴趣
不要谈论任何疾病,除非对方特别关注
不要打听对方的私人情况,因为最终他自己会说
永远不要自吹自擂,自然明确地显示你的分量
永远衣冠整洁
永远不要喝醉
庞氏骗局
「庞兹骗局」称谓源自美国一名意大利移民查尔斯·庞兹(Charles Ponzi),他于1919年开始策划一个阴谋,成立一空壳公司骗人向这个事实上子虚乌有的企业投资,许诺投资者将在三个月内得到 40% 的利润回报,然后庞兹把新投资者的钱作为快速盈利付给最初投资的人,以诱使更多的人上当。由于前期投资的人回报丰厚,Ponzi 成功地在七个月内吸引了三万名投资者,这场阴谋持续了一年之久才被戳破。
Charles Ponzi 在1903年移民到美国,从事过各种工作,包括油漆工等粗工。他曾于加拿大因伪造文书罪入狱,在美国亚特兰大因人口贩卖而服刑。Ponzi 发现最快速赚钱的方法就是金融工具,于是从1919年起,Ponzi 隐瞒了自己的过去,并抵达麻州波士顿,设计了一个投资计划向当地人兜售。
投资计划为投资某样商品便可获得高额回报,但 Ponzi 刻意将计划化简为繁,让一般人难以摸清。
1919年,第一次世界大战刚结束,世界经济体系混乱,Ponzi 便趁混乱放出消息。他宣称购买欧洲的某种邮政票券,再转卖回美国便可以赚钱。
国家之间由于政策和汇率等等因素,很多经济行为一般人难以得知实况。然而 Ponzi 宣称,所有的投资在45天之内都可以获得50%的回报,且他给最初的一批「投资者」于规定时间内拿到了承诺的回报,于是后面的「投资者」大量跟进。
在一年左右的时间里,差不多有四万多名波士顿市民变成庞氏的投资者,而且大部分是怀抱发财梦想的穷人,Ponzi 共收到约1500万美元的小额投资,平均每人「投资」几百美元,当时的Ponzi 被一些不明就里的美国人称为与哥伦布和马可尼(在当时被认为是无线电的发明者,但现在普遍认为是尼古拉·特斯拉发明的无线电)齐名的最伟大的三个意大利人之一。
Ponzi 买下有20个房间的别墅,买了100多套昂贵的西装,并配上专门的皮鞋,拥有数十根镶黄金的拐杖,还给他的情人购买了无数昂贵的首饰,连烟斗都镶嵌着钻石。当某个金融专家揭露庞氏的投资骗术时,Ponzi 还在报纸上发表文章反驳。
庞氏骗局的运作模式为参与者要先付一笔钱作为入会代价,这与一般的证券基金会社的会员并无区别,但在 Ponzi 骗局中,所赚的钱是来自其他新加入的参加者,而非公司本身透过业务所赚的钱,即所谓“拆东墙补西墙”。
投资者通过不断吸引新的投资者加入付钱,以支付上线投资者的投资与利润,初期通常在短时间内获得回报以利于推行,再逐渐拉长还款时间。
随着更多人加入,资金流入不足支出,当现金总量庞大时尚不足以崩溃,甚至也可以正常投资事业来持续运作,但直到骗局泡沫爆破时,最下线的大量投资者便会蒙受金钱损失。
银行工作
我们在关于<伪装>的演示中介绍过这个案子。Stanley Mark Rifkin 是加利福尼亚银行的计算机顾问。当地最大的银行里有一个电汇室,允许通过每日更改的授权码将钱从一个银行转移到另一个银行。
Rifkin 利用他作为顾问的职位,以检查故障为借口进入电汇室。他趁机记住了贴在墙上的授权码,他离开房间后打电话给银行,冒充该银行国际部门的员工。他要求将1000万美元转入离岸账户。
这是美国历史上最大的银行抢劫案。您可以通过上面链接看到完全的故事,以及我们对这一案件中关于身份伪装的分析 — — 此案之所以成功其中最强大的部分就是社交工程学的伪装。
当今的社交工程
今天的社交工程欺诈者已经完全采用了高科技现代化手段。商业电子邮件妥协(BEC)诈骗是他们最喜欢的骗取中小企业来之不易的现金的方法之一。根据诺顿的数据,平均每天有400家企业受到 BEC 诈骗的打击。
在 BEC 骗局中,诈骗者伪装成公司的首席执行官或医学博士,并要求紧急转移资金。通常情况下,电子邮件将附带一个无害的主题行,并将从一个伪造的地址发送给目标,该地址与真实地址之间可能只有一个字母的差异。
这封钓鱼邮件看似合法,但必需经过仔细调查才能了解它真正的目的。 2016年,奥地利航空航天公司 FACC 就遭到了 BEC 骗局,损失高达 4700 万美元。该公司迅速解雇了授权该交易的 CFO。
当然,也许所有社交工程骗局中最常见的是网络钓鱼骗局。攻击者模仿公司的品牌,以创建网站并发送看似来自合法来源的令人信服的电子邮件。这些电子邮件诈骗通常会欺骗用户点击链接,然后通过在狡猾的地方安装恶意软件,攻击者可以访问甚至完全控制目标的计算机。
让您的软件和安全程序保持最新是保护您免受恶意软件和社交工程攻击的第一步。对员工和组织成员进行安全教育也至关重要,尤其是渗透测试,将能够更好地发现你所处的团队是否存在安全漏洞。
应制定网络安全计划,以降低企业和组织面临的风险,并指出如果他们认为自己会遭到攻击可以采取哪些措施预先保护。
— — 我们将在后面的文章中详细介绍如何防御,并演示更多的常见攻击形式
因为这一问题真的非常重要。社交工程伎俩正在被越来越多的政府当局用来打击异议人士、活动家和记者,详见一个简要的报道《大规模网络钓鱼、监视和在线攻击成为活动家不得不面对的危险》在中国,所有关心政治的人都应该非常注意。这就是为什么我们持续强调这件事。
以下是一个不完整列表,关于社交工程攻防技术知识 — — 请注意是“攻防”,而不是简单的防御,或者说,最好的防御是进攻……
反抗需要很多技巧,从在线到线下,从数字技术到心理学和社会学,掌握得越多您的行动就会越顺利和安全。最后,还是那句话:重在练习。