深度 | 电信诈骗的凶手找到了@社会工程学
导语
“我佛了,这都能被骗,这个人是铁憨憨吧”小川在一条微博下面评论到。这条微博内容是近期一个电信诈骗案,受害人因贪图小便宜而上当受骗。
让小川没想到的是,他也会成为电信诈骗的受害者。
这天小川接到一个电话,对方自称是网警,接到举报说小川在网络上散播谣言,辱骂他人,并且罗列了他最近在网络上的一系列言论。句句属实,这让小川一时慌了。接着“网警”又提供了一个派出所地址,让他去自首,便把电话挂了。
小川忧心忡忡,犹豫要不要去自首,害怕真的要坐牢。过了几天,“张警官”再次打电话过来,责问小川为何不去自首,并以抗拒从严威胁小川,还要上门抓人。小川心理防线彻底崩溃,对“张警官”苦苦哀求,寻求宽恕。
于是“张警官”询问了小川的各种生活习惯、社交密码以及收入,家庭情况后。对小川说不坐牢可以,但是需要一个月的考察期,并且要交五万块的保证金,小川通过考察后,再将保证金还给小川。此时的小川,还觉得很庆幸,能用钱解决的事情都好说,于是连忙把钱转给了所谓的“国家安全账户”。
考察期结束,小川打不通“张警官”电话,拿不回保证金,才发现被骗了。
社会工程学
小川的遭遇看似一则普通的电信诈骗案,背后却有一条庞大的产业链和理论作为支撑。在计算机科学中,把这种通过利用受害者心理弱点,如恐惧、信任、好奇心、同情心、贪婪等进行欺骗、盗取、控制等行为叫做社会工程学。社会工程学就像做菜,一名优秀的社工如同米其林大厨,对食材了如指掌,稍加伪装,使用少量诱导,就能烹饪出一道美味的盘中餐。
社工学圣经《欺骗的艺术》
信息了如指掌
图 1骗子专家的“专项培训课”
骗子为什么能够得逞?因为他们拥有受害者大量的信息,易于取得信任。
比如上面小川的案例中,骗子对小川的姓名、电话、性格、言论甚至最近关注的事物,当前的状态都了如指掌。山东的“徐玉玉案”及北京的“清华老师被骗千万案”也是如此,骗子知道徐玉玉申请助学金的情况,骗子也知道大学老师进行过房产交易,所以能突破受害人第一道防线。那么这些较为隐秘的信息是从何泄露的?
随着信息大爆炸时代的到来,信息的主要载体——互联网,成了社工人员收集信息的重要来源。社工人员的线上信息收集一般分为以下几种:
1、搜索引擎:俗话说“谷歌用得好,拥有整个互联网不是梦”。搜索引擎记录的数据非常强大,通过特定的查询方式,即使是一些你认为已经删除的内容,都能再次被找到。
你的“黑历史”谷歌都记得
2、社交媒体:这些年来互联网改变了社交的定义,也改变了人类沟通与分享的方式。人们喜欢在双微一抖等各种社交平台上发自拍、位置、观点、生活琐事,在收获点赞评论的同时,你的姓名、性别、照片、兴趣、性格等信息也被记录下来。
不经意间留下了很多信息
3、公开数据库:社工人员获取到目标一些关键信息如姓名、手机号、身份证号后可以通过一些公开数据库检索到更多价值信息,常见有企业信息公示系统、快递查询系统、交通信息系统、通讯信息系统、驾驶人信息系统等。
4、暗网数据库:来自于之前泄露的个人信息,在黑市上被当做商品进行买卖。
(图片来源网络)
除了通过互联网进行线上收集外,社工人员线下的信息收集也不容小觑。像我们平时街头常见的填问卷抽好礼,关注公众号送盆栽,都可能成为社工攻击的手段。
“领鸡蛋”骗局,上当者多为老人
对于企业来说,由于内部的数据库很少暴露在外网,为了盗取这些数据,社工人员往往会借助一些工具和手段进行特定的信息收集。比如与内部人员勾结、钓鱼、潜入企业内部等。
著名黑客兼社工人员Christopher在《社会工程:安全体系中的人性漏洞》中提到一个实验,他将一些信封放在了公司洗手间、走廊等公共区域,上面贴了私人的标签,信封里面是一个带有病毒的U盘。结果是百分之八十的人会因为好奇心将U盘插入电脑,导致内部隐私文件泄露。
大部分人显然还没意识到信息保护的重要性,知道信息重要性的社工甚至连垃圾桶都不放过,想不到聪明狡诈的社工也会干这种事吧。事实上,垃圾桶里经常能找到一些关键信息,比如快递单、发票、会议笔记、工资条等,这些我们平时不假思索扔掉的垃圾却是社工眼中的无价之宝。
伪装
微博上最近很流行一个话题叫#网恋奔现车祸现场#,各沙雕网友Po出自己的奇葩网恋经历,用热评的话总结一下就是“你喜欢的样子我都可以P”。内容太过真实,让人忍俊不禁。得益于互联网的高速发展,伪装变得异常容易,小川可以在网上随心所欲的扮演任何人,同时骗子也能假扮成公检法实行诈骗勒索。
骗子各种伪造证件
社工的伪装不仅存在于互联网,在现实领域中也有广泛应用。有的伪装成维修工轻轻松松进入办公室窃取资料、有的伪装成总裁助理一通电话就能拿到企业通讯录、有的伪装成安全顾问大摇大摆走进机房植入病毒,更有甚者伪装成求职者进入公司收集资料。
社工人员成功的伪装离不开两点:
一是对于角色的研究,如果社工人员要扮演一名维修工人,需要了解他们的穿着,携带工具,工作内容等。但如果要伪装成一个安全顾问,却需要长期的知识积累,这并不是看一两本书就能做到的。一旦社工人员的言谈举止与身份不匹配,就难以让目标信服。
第二点是充分的信息收集,对目标的性格、兴趣、需求了解越清楚,沟通就会越自然,越容易获得目标信任,从而进行下一步行动。
诱导
网上流传一个说法“你和某人聊天感觉很舒服,不一定是因为你们合得来,也可能是对方情商比较高”。社会工程人员就属于这类“高情商人群”,他们能在看似平常的对话中让你吐露心声或做出某些动作,在社会工程学中将这种“高情商”行为称为诱导。
《无敌破坏王2》中的“弹窗仔”
《无敌破坏王2》中有个很有意思的场景,主角拉尔夫初入互联网世界,处处碰到向他介绍“快速生财”方式的推销员,还有的牌子上写着“酷辣家庭主妇想要和你约会”(换在我国可能是“性感荷官在线发牌”)。
这些是网络弹窗广告的拟人化写照,来往的人群(流量)通常对他们不屑一顾,不时还会有保安(浏览器弹窗拦截工具)把他们拖走。看过的朋友想必都会心一笑,确实这些垃圾弹窗太烦了,有些悬浮弹窗还会跟着页面一起滑动,严重影响了我们的浏览体验。弹窗内容千篇一律,关闭按钮却设计的五花八门,稍不注意就点进广告页面。
值得庆幸的是,随着层出不穷的信息泄露报道、诈骗报道,人们早已提高了警觉性,很少相信这些诱导广告的“一面之词”。但另一方面,社会工程人员的诱导技巧也随之升级,趋于精准化、持续化和隐蔽化,让人防不胜防。
在小川的案例中,骗子也使用了一些常见诱导技巧实现诈骗。
第一个技巧是铺垫,铺垫通过植入信息或观点影响目标的后续反应。如果骗子一上来就让小川转账,势必会引起小川的警觉。而“网警”的恐吓和预留的自首时间为“公安”出场做好了铺垫。等“公安”打来电话,小川最后一丝侥幸心理也消失殆尽。
第二个技巧是标注情感,骗子知道小川当前阶段心理状况和需求,通过“抓人”“配合”“考察”等字眼放大了小川的情绪,并加以利用。
第三个技巧是主动提供信息,后面“公安”扮演着一个好人的角色,在于他不断向小川提供信息和解决办法,这让小川觉得抓到了救命稻草,顺理成章对“公安”言听计从,心生感激。通过这些极为隐蔽的诱导技巧,也将小川一步步引上了受骗的道路。
人性贪婪,则诱之以利;人性虚荣,则诱之以名;人性懒惰,则诱之以闲;人性好色,则诱之以性;社工人员也深谙孙子所说的“不战而屈人之兵”。
盘中餐
除了诈骗,通过社会工程学获得的资源应用广泛,大多都直指利益,以下列举了一些常见的变现模式。
1、 社工库查询系统:搭建个人信息查询系统提供收费的查询服务,是最常见的变现方式。之前南方都市报有篇报道,记者花七百元就买到了同事的行踪,包括乘机、开房、上网吧等11项记录,这些数据大多都源自社工库。
2、 暗网售卖:一些企业会购买目标人群的社工库用于数据分析,进行推广营销。这也是为什么我们手机时常收到广告短信,有些还正好是最近需要的。
琳琅满目的信息市场
3、 敲诈勒索:一些敏感信息(如个人的开房记录、私密照片;企业的财务报表,客户资料等)一旦曝光将给个人、家庭、企业、社会带来恶劣的影响。受害者为了息事宁人,往往要支付一笔不菲的费用。
开房信息成夫妻关系的“隐藏炸弹”
4、 网络诈骗:目前的诈骗形式已从最初的电信诈骗过渡到基于大数据的精准诈骗,骗子通过社工库和社工手段了解被骗者的姓名、性别、家庭住址、职业、爱好乃至最近关注的事物、当前的状态,进而实施诈骗,小川受骗案即是如此。
5、 账号盗取:根据2018网民个人隐私调查报告“几个密码通用于大多数账号的中国网民占比达到50.8%。对自己拥有的所有账号都采取同一套密码的人占14.9%。在信息泄露时,接近六成人选择仅修改泄露平台的密码。”想一下你的密码里有没有包含某个名字的全拼或缩写、重要意义的日期、手机号码、喜欢事物名称以及一些弱口令(123456)。基于社工库的密码生成字典只需输入相关的个人信息,就能针对不同的性格人群生成多种组合,说不定就有你正在使用的密码。这些通过社工字典破解的账号可以进行售卖、账户内资产转移、去其他平台撞库等。
结语
“社会”与“工程学”的组合很容易让人误会这是一门科学性的艺术学科,不幸的是,这种人际交流的手段非常有效,而且效率极高,以致于被很多不法分子利用。现在一提到社会工程学大家都深恶痛绝,社工攻击也成了企业安全最大威胁之一。
本文浅谈了狭义社会工程学,但从广义上来说,小孩使用社会工程学从大人那里得到想要的东西,老师使用社会工程学与学生互动,心理学家使用社会工程学帮助病人改变,谈判专家使用社会工程学制止罪犯,都是社会工程学的应用,只因目的不同而产生“善恶“的结果。
最后本来想谈谈如何避免“被社工”,但人性的漏洞千差万别。对于个人来说,有人从小就贪小便宜,也有人天生好奇心强。别人的受骗经历在小川看来嗤之以鼻,但人无完人,小川的“聪明”也成为了他的弱点。
对于企业来说,大部分数据泄露都是因内部人员造成的,前期花费上百万部署的防火墙、IPS、WAF等安全设备此时形同虚设,这些内部人员发起的攻击往往比机器更为致命。不过说起人和机器,就不得不提到极验验证。极验12年全球首创行为式验证技术,率先利用生物特征与人工智能进行人机识别,已为超过26W家网站和APP提供交互服务。19年即将到来,极验将继续扮演互联网交互领域的一道大门,用多年沉淀的数据和技术抵御恶意攻击保护企业资产,在保障平台安全的同时提升用户体验,安全体验两开花,希望大家多多关注。
最后,物以类聚,人以群分,接触更优秀的人也可以让你成为同样的人,欢迎关注官方公号:灰产圈
灰产圈:培养你的发散性思维 解密互联网骗局、实战揭秘互联网灰产案例、网赚偏门项目解析、分享网络营销引流方案。深挖内幕、曝光各类套路。