城市个人安全防护系列6-简析防范社工攻击

社会工程学是个很广的学科范畴，研究内容包括心理、语言、人性等，此门技术是把双刃剑：用好它能救助社会弱势群体，安抚和谐共处；反之它也能骗人于无形之中。如今它常被人用来实施不法勾当，诸如网络诈骗。我们不妨从攻击者角度来设想一下，作为一位社会工程师可能会从哪些角度来实施诈骗，再从中分析出对策。

社工策划攻击如同下象棋，预先想到对方可能会提出什么样的问题，从而把合适的答案准备好。一项最常用的技巧就是使受骗者产生信任感，这是欺骗的关键，其核心为快速取得对方信任，通常开始互动20秒内即让受骗者认为社工是他所声称的某某。根据诈骗对象主要分两种：一为冒充公司内部人员套取员工个人或职务信息，其最终目的是套取公司机密或财务；二是冒充送货员、执法人员等，骗取广大平民百姓钱财。

先来看社工攻击公司员工的情景。社工通常伪装得比受害者职位高，当请求来自权威人士时，下属职工一般有顺从倾向，不会怀疑领导层，钓鱼邮件就是如此，它以公司高管、运维、财务的名头，让受害者点击XX，XX非明显的链接，有时为二维码，当前业务还不熟悉的新员工尤其容易相信并点击。钓鱼邮件应对方式：邮件发件人信息利用黑客技术很容易伪造，无论发件人显示是谁都不可信任，观察发件时间，如果时间是深更半夜或明知无人上班的周末，则可直接忽略，邮件中凡需要点击的链接私下和部门主管沟通核实，尤其是链接中含有密码输入或含有个人信息登陆时。

当工作遇到困难，诸如遇到电脑方面的故障，社工以免费帮忙的名义取得信任，使得求助者心存感激，受帮助后如拒绝回赠会有内疚感，因此受助者很容易对社工看似“合理”的要求快速配合回应。例如某个程序打开出问题，社工以维护的名义修复，顺带安装个木马软件后台运行，神不知鬼不觉电脑上的机密都泄露出去。有些社工会设计出一种情形，让受骗者在遇到问题时主动联系社工求助，前一次到公司维护后，在公司内必然会用到的设备诸如交换机、传真机上故意残留点问题，以便下次再来公司做二次维护，类似水坑攻击。维护类应对方式：设备还在质保期内的一定找设备官方售后来维护，过期则尽量使用公司内部人员维护，当公司内无人会维护必须请外人来时，找个相对懂行的在一旁时刻盯着。

社工攻击初始阶段会使他的请求看上去合情合理，像受害者工作里碰到的请求一样，不会使受害人觉得该请求奇怪陌生。诸如帮忙留个口信记录、打印一份文件、确定一个号码等。尤其当社工来电说出某些你熟悉的同事或上司名，对方听起来很了解内部就断定他是可信任之人，从而满足他们的“合理请求”，例如某公司产品经理A出差到杭州分公司，某社工B通过关注A发社交圈得知这一信息时，伪装成分公司的同事，利用杭州的手机号码打电话给总部，B报上A的名字，借口A现在正在开会或忙得不可开交，而B正在帮A维护崩溃的电脑，重配VPN时A忘了密码，需要总部人员重置一下，接线人员熟知A，也知道他正好出差到杭州分公司，于是满足了对方的重置请求，这样B顺理成章地利用A的身份打开进入公司的大门。以这类受信任人的名号来伪装实施欺骗的社工，事先往往从公司网站、企查查、第三方平台、社工库等查询到一系列人名手机号之类的信息，在实施攻击前已将其整合作为打消受害者疑虑最有效的武器。防范社工攻击并不仅仅是企业信息安全工程师的责任，而是事关每一位员工包括清洁工、门卫、前台接待、盆栽养护员，凡是能进入公司的人都有机会接触到敏感信息，流动性大常换人的岗位更易成为被攻击的目标，社工人员有时甚至直接伪装成流动性大岗位的新员工来套内部信息。应对这类攻击首先需将信息分类，透漏敏感信息前养成再三确认对方身份的习惯。核实请求分三步：进行请求的这个人是他所声称的那个人吗？这个人需要知道这些吗？他有没有被授权进行这种请求？有条件的公司聘请第三方安全工程师假扮社工对内进行模拟演练。

接下来分析我们更为熟知的诈骗攻击情景，它大体上分两种：广撒网式诈骗与定向诈骗。

广撒网诈骗社工往往在一开始并不知道受害者任何信息，类似电话销售，打电话之前甚至都不知道对方是男是女，他们在互动初期常套对方更多话来获取信息，例如他们打电话给你却不先开口，等你“喂”过后再开口“先生、女士”。撒网式诈骗方法简单，无固定对象，邮寄包裹、平台退费、拼单等，或利用当前热门的健康码、核酸等，几乎人人都遇到过，由于当代反诈骗宣传到位，凡有防范意识的人很容易识破这类诈骗，这种诈骗成功率往往很低，但架不住人多基数大，总有涉世未深的人上当，仍有利可图因而始终难以灭绝。其应对方式主要是在分不清对方来头时有个底线，不做任何汇款、扫码、下载、共享等操作，任其怎么说都不透漏个人关键信息。

社工实施定向诈骗前，会想方设法收集受害者更多信息，受害者有时为固定对象，更多时候是个人信息保护不严谨者。大部分人都希望自己成为社交圈的宠儿，而不愿成为无人理睬的边缘人，即便认为朋友并不是越多越好，但心理上仍希望越多人认识了解自己越好，哪怕平时不怎么联系。一位陌生人突然加你好友，并非为了推销某商品，而是完全不说话则需注意啦！也许对方是为了观察你的个人信息和社交圈透漏的信息，从中分析出习性、爱好、住址、周边关系等，当个人信息趋近完整时，就开始对受害者量身定制诈骗套路，假装有相同的爱好、信仰和观念来笼络，假装有受害者所需的物品但限时限量（如当前急需的药物），这部分类似电影《心理游戏》。翻找垃圾并不是收废品或侦探的专利，社工也常从垃圾箱中寻找个人信息，例如快递单上的姓名住址。对于这类翻垃圾者，最简单的应对方式是将快递单撕成多份，并且分多次扔，每次扔在不同地方的垃圾桶里。社工有时直接购买黑产信息进行拼接，风险为零且好处多多，只要我们的生活还与互联网相关，信息几乎不可能不外泄，卖东西的商家、平台、中介职员、网站数据库维护者等，能接触到大量个人信息的职业太多，不能全指望靠法律和道德来约束。我们假设个人信息已被泄漏，任何陌生人不管以法院、网购平台、社区等来头，找上来报上你名字、身份证号、甚至亲属关系等，都要考虑到对方不是所声称的人的可能，死守不泄露个人关键信息的底线，哪怕是民警找上门问隐私信息或做泄漏个人信息的操作，直接先一同去警局派出所再说。

这类定向诈骗最难防范的是借以熟人关系来建立信任感的诈骗。有时还借助瞬间催眠术，受害者当时处在催眠之中失去思考能力，事后往往能自我醒悟发现不对劲。这种瞬间催眠分四步：1心态与关系建立；2 强化集中，各种方式诱导；3 瞬间中断，施予震撼；4 立即承接深化。

例如多年前较猖獗的电话诈骗方式：

“我是您孩子老师（朋友），您孩子XX出车祸了，正在医院抢救！”（设置注意力焦点，受骗者产生巨大震惊并会想听接下来的话）

“我正在帮忙包扎、止血、准备各种急救用具等......”（思维引导，打电话者是帮忙者，属于孩子这方，逐步取得受骗者信任）

“现在手术急需XXX资金，请赶紧汇过来......”（取得整个交谈过程的支配权后承接深化，立即奔向目标，并予以“急”等理由，不给受骗者以逻辑思考真实性，让对方在催眠中听命得逞）

社工诈骗利用刺激情感触发自动机制，诸如畏惧（某某突发疾病）、兴奋（中大奖）、内疚（对方“帮忙”，亏欠对方）、愧疚（周围每个人都参与，你怎么还不从众合群）等，这也是为什么我们常常当局者迷、旁观者清的缘由。此时只要身旁有人，往往能识破这类骗局。

大部分资金诈骗（包括非法赌博、婚姻诈骗等）有个共性，一开始为了不引起受害者警觉，通常先让受害者获利，待受害者逐渐信任后，再加大额度诈骗，这个过程中关键点必然要让受害者尝到些甜头并产生信任感。应对方式极其简单：可能的话，不贪利求暴富，零信任所有陌生人。