今天之所以找這本書來看披摄,主要是因為了解到社工組織(社會工程學(xué))這個曾經(jīng)牛逼的存在。很好奇端圈,他們是怎樣運行的。
看了很多介紹和信息仓蛆,得到一些輪廓。
社會工程學(xué)圈子里會有一個數(shù)據(jù)庫挎春,在這個庫里看疙,成千上萬的個人數(shù)據(jù)(比如豆拨,你的qq號,密碼能庆,電話號碼辽装,身份證號碼等)被搜集。只要社工的人搜索一個名字相味,隱私信息立即彈出拾积,這使得欺詐變得方便可行。
如果你的信息在數(shù)據(jù)庫里沒有丰涉,還可以通過社工測試成功的各種方法找到你的信息拓巧,實在不行,就去貓撲花錢人肉一死。
社工獲取隱私信息的方式有很多肛度,只要你上過網(wǎng),那么你必定會留下蛛絲馬跡投慈。通過搜索引擎承耿,社交工具。比如伪煤,如果我只有一個人的電話加袋,但我不知道這個人的名字,那么我會通過給這個人轉(zhuǎn)賬的方式來確定他姓名的最后一個字抱既,(如果他用這個號碼注冊支付寶或是微信的話)职烧。
類似這樣的方法,在社工的寶典里面有成千上萬防泵,而且隨時在更新蚀之,和增加。利用各種軟件捷泞、網(wǎng)站的bug足删,利用人的愛占小便宜等等心理來釣取你的信息。
今天看的這本書锁右,相對于上面說的要高逼格很多失受。
這本書是一個黑客寫的,叫凱文·米特尼克骡湖,wiki上說他是社會工程學(xué)的大師和開山鼻祖贱纠。
他在10幾歲的時候就利用公交系統(tǒng)的漏洞峻厚,使用社會工程學(xué)的談話技巧响蕴,自己制作公交票。
由于好奇心旺盛惠桃,越玩越大浦夷,甚至侵入美國政府網(wǎng)站辖试,最后被抓,然后悔悟劈狐,立志通過自己的經(jīng)歷和技術(shù)幫助個人罐孝、企業(yè)和政府進行安全維護。
在《反欺騙的藝術(shù)》這本書中肥缔,他主要介紹了社工們使用各種談話和獲取信息的技巧莲兢,通過打電話的方式,侵入企業(yè)內(nèi)部续膳,獲取企業(yè)的私密信息改艇。
他寫這本書的目的也在于:
即使當(dāng)年他從事社交工程活動期間,他的動機也從來不是發(fā)財致富或者損害別人坟岔。這并不是說沒有人利用社交工程來從事危險的破壞活動谒兄,并且給社會帶來真正的危害。實際上社付,這正是他寫作這本書的原因:提醒你警惕這些罪犯承疲。
說了這么多,什么是社工呢鸥咖?
從事欺騙活動的人可以分為兩類燕鸽。那些詐騙他人錢財?shù)氖堑谝活悾赐ǔKf的“騙子”啼辣。另一些人則使用欺騙性的绵咱、煽動性的或者富有說服力的手段來對付商業(yè)機構(gòu),通常的目標(biāo)是為了獲取它們的信息熙兔,這些人屬于另一類悲伶,即“社交工程師”。
社交工程師利用各種假借的身份住涉,利用你的信任麸锉、你好心助人的騙錢電話另一端愿望、你的同情心以及人類易輕信的弱點來使人們相信社交工程師所假冒的身份舆声,或者被社交工程師所操縱花沉。因此,社交工程師能夠利用這些人來得到想要的信息媳握,此過程中可能用到技術(shù)手段碱屁,也可能根本不用技術(shù)手段。
令我影響最深刻的是蛾找,作者提出技術(shù)娩脾、防護手段這些方法在安全問題上都不是最關(guān)鍵的,人的因素是安全過程中最薄弱打毛、最關(guān)鍵的環(huán)節(jié)柿赊。
因為技術(shù)俩功、和防護手段這些東西很僵硬,突破了就突破了碰声。而人很靈活诡蜓,同時也很容易受騙,一個人只要受到一些社工的訓(xùn)練和具備一些心理學(xué)的相關(guān)知識胰挑,就可以通過利用敵人來突破技術(shù)的防線蔓罚。因而,作者認為:
攻擊不難防范瞻颂,關(guān)鍵是每一個人都履行好自己的安全職責(zé)脚粟。
防范的關(guān)鍵不在于技術(shù),或者說還有比技術(shù)更重要的東西蘸朋,那就是——人核无。
通過培訓(xùn)的方式,可以增強人的防范意識藕坯,規(guī)范人的安全行為团南。
書名叫作《反欺騙的藝術(shù)》,作者是這樣解釋的:
一個流行的說法是炼彪,只有關(guān)掉的計算機才是真正安全的計算機吐根。這聽起來很有道理,但其實并不對:善騙者可以找到借口說服某人去辦公室把計算機打開辐马。想知道你機密信息的對手通過某種手段就能夠做到這一點拷橘,通常這樣的手段多種多樣。至于是否成功喜爷,則只是時間冗疮、耐心、個性和毅力的問題了檩帐。這正是欺騙藝術(shù)的所在术幔。
社工在獲取那些重要的信息時,往往會采取如下手段:
把重要的問題插進可以建立信任感的無關(guān)緊要的問題中
一個好的私人偵探還知道湃密,千萬不要在得到關(guān)鍵信息后馬上結(jié)束談話诅挑。多問兩三個問題,小聊一會兒泛源,然后再說拜拜拔妥。如果對方稍后想起你提過的問題,很可能是你最后提出的問題达箍,其它的通常會忘記没龙。
他懂得把關(guān)健信息藏在無關(guān)緊要的信息中,也知道在套出交易號之前用私人問題來測試對方的配合程度。
不要懷疑比你職位更高的人兜畸。等級努释,換句話說就是擁有特權(quán)碘梢,特權(quán)不會被等級低的人挑戰(zhàn)(質(zhì)疑咬摇,懷疑)。因為煞躬,社工往往會冒出比被攻擊者更高等級的身份來行騙肛鹏。
熟練的社會工程師非常擅長一個詭計:刺激情感,如畏懼恩沛、興奮或內(nèi)疚在扰。他們利用心理觸發(fā)——自動機制,引導(dǎo)人們未經(jīng)深入分析有用的信息就回應(yīng)請求雷客。我們想讓自己和他人都避免陷入困境芒珠,基于此論斷,攻擊者可以利用人們的同情心搅裙,讓他的目標(biāo)感到內(nèi)疚皱卓,或者像使用武器一樣脅迫受害者。
那么部逮,我們怎樣避免這些情況發(fā)生呢娜汁?
除了小心,小心兄朋,再謹(jǐn)慎之外掐禁。我們還需要
不要把任何個人、公司或組織內(nèi)部信息或是識別標(biāo)識告訴他人颅和,除非你聽出她或他的聲音是熟人傅事,并確認對方有這些信息的知情權(quán)。
在進行安全培訓(xùn)時峡扩,試一下這個方法:無論什么時候在接受一個陌生人詢問時享完,首先要禮貌的拒絕,直到確認對方身份有额。
一個確認對方的好辦法就是撥打公司通訊錄上的電話般又。
那建立信任的欺騙技術(shù)是社會工程學(xué)最有效的策略之一,你務(wù)必要考慮你是否真正認識與你談話的人巍佑。在一些不常見的情形下茴迁,對方很可能不是他自己聲稱的那個人。因此萤衰,我們必須學(xué)會觀察堕义、思考和提問。
使用雙因素認證:用兩種不同的驗證方式對身份進行確認。比如倦卖,一個人必須從某個可確認的地方打來電話并知道口令來確認自已的身份洒擦,然后工作人員從你的信息中選出某個條目(通常為社會保險號碼、出生日期或是母親的姓氏)來詢問你怕膛,如果你的答案正確熟嫩,這就是第二次的驗證――基于你應(yīng)該知道的信息。
最后褐捻,讓我們用20 世紀(jì)最受尊崇的科學(xué)家阿爾伯特·愛因斯坦的一句名言來結(jié)束這篇文章吧:
只有兩種東西是無限的掸茅,宇宙和人類的愚昧,我對于前者還不十分確定柠逞。
