1.3 社会工程概述
我在探讨社会工程时,通常会从其定义的阐述开始。虽然这个定义十几年来一直被我沿用着,但也有了些与时俱进的变化。
不过,在给出社会工程的定义之前,我需要预先声明非常重要的一点:社会工程并不是“政治正确”的。这个真相或许很多人难以接受,但事实确实如此:社会工程利用的正是人们的性别偏见、种族偏见、年龄偏见和现状偏见(以及不同偏见的组合)。
比如,假设你在进行渗透测试,需要潜入一个客户的大楼。为了能够轻松潜入,你需要一个伪装身份。你的团队中有各种类型的人。如果你觉得最适合这项任务的方式是伪装成清洁工,那么以下哪个人最适合该角色?
- 40岁的金发白人男性
- 43岁的亚洲女性
- 27岁的拉丁裔女性
如果你觉得最好是伪装成公司内部厨房的工作人员,那么以下哪个人最适合该角色?
- 40岁的金发白人男性
- 43岁的亚洲女性
- 27岁的拉丁裔女性
实际上,无论以上哪种类型的人,只要是娴熟的社会工程人员,就都能出色地完成任务。但谁来伪装最不会惹人怀疑呢?
请谨记,思考是社会工程的大敌。
有了这一点,我们再回到对社会工程的定义:
任意一种能影响某人采取可能符合或不符合其最大利益行动的行为,称为社会工程。
为什么我的定义如此普适和宽泛?因为我相信社会工程并非永远都是负面的。
今时不同往日,现在如果你说“我是黑客”,那人们可能会被吓得到处寻求庇护,还会顺手把路过的所有电子设备都断电。“黑客”的含义曾是“此人知晓某件事的原理”,他们不满足于基本知识,而是需要深入挖掘出一切事物的内在原理,在理解了其内在原理之后,他们便会想方设法绕开、加强、利用或改变它的最初用途。
在写本书第1版时,我想确保自己所定义的社会工程不会总让人联想起一个恐怖的骗子。能被坏人所使用的社会工程原理也完全可以用于行善,我这样认为,也希望人们能明白这一点。
我经常拿这件事来举例:如果你过来对我说“嘿,Chris,我想和你一起举行个公主茶话会——你围一条粉色围巾坐在这儿,我们边聊迪士尼公主,我边给你做个美甲”,我不但会笑话你,还会慢慢后退,伺机逃得远远的。不过,我不得不承认,类似这样的场景确实发生过。
为什么?因为女儿曾邀我参加公主茶话会。你可能会说:“这不能算,毕竟你爱她!”我承认,我对她的爱是让我答应她的重要因素,但是请你思考一下让我做出这种决定的心理学原则。换成其他人的话,我肯定会在纳秒之内就回绝这类要求,而现在为了回答一句“好”,必须绕开我的常规决策机制。
冷知识
由于纳秒是十亿分之一秒,而人类说话的平均速度是每分钟145个词,所以其实我基本上不会在纳秒之内“说”一个“不”字。换句话说,能每秒移动30万千米的光,1纳秒也就移动0.3米。
当理解了决定是如何产生的,你就能开始理解恶意攻击者是怎样借助情绪触点、心理学原则和社会工程学中的巧妙应用,来让你“采取不符合自身最大利益的行为”的了。
在《社会工程播客》第44集中出场的Paul Zak博士著有The Moral Molecule: How Trust Works一书。在那本书以及我们的播客中,他提到了自己所做的一项关于名为催产素的激素的研究。通过研究,他展示了这种激素与信任的紧密联系,也就是他所阐明的一个很重要的观点——当我们感觉到被对方信任时,催产素就会被释放进我们的血液。请理解至关重要的一点:你的大脑不仅会在你信任别人的时候释放催产素,在你感觉到被信任时也会如此。根据Zak博士的研究,这种现象会在你和对方面对面交流、电话交流、线上交流时,甚至你无法看到那个所谓“信任”你的人时发生。
《社会工程播客》的相关参考
详见《社会工程播客》第44集中我和Zak博士关于他毕生工作的谈话。
我们的大脑释放的另一种化学物质叫作多巴胺。这是大脑产生的一种神经递质,会在人感到愉快、幸福和受到鼓舞的时刻释放出来。利用好催产素和多巴胺,你就拥有了社会工程专用武器,就可以无往而不利。
多巴胺和催产素会在亲密的时刻从我们的大脑中释放出来,也可以在正常交谈时释放出来,而这种交谈就是社会工程的核心。
我相信,我们每天都会无数次地在无意识的情况下,对伴侣、老板、同事、牧师、治疗师、服务人员和其他每个遇到的人应用相同的原则。因此,了解社会工程以及与同伴交流的技巧,对当今的每一个人都是必要的。
如今的技术已经发展到能让我们轻松地用各种表情包和少量的字符(一般少于280个)来交流。因此,交流技巧的学习会变得愈加困难,更别说识别这些技巧是否被应用在自己身上了。更进一步说,在这个社交网络构造出的社会里,我们不介意跟别人说一些关于自己的事情,甚至乐于这么做。
如果从恶意者的视角,我会把社会工程分解为以下四个攻击向量。
短信诈骗(SMiShing):没错,确有其事。它代表“SMS3 phishing”,或通过手机短信诈骗。2016年美国富国银行(Wells Fargo)遭到入侵时,我收到过如图1-2所示的诈骗短信的攻击。
图1-2 受害者众多的一次短信诈骗
最恐怖的地方在于,我根本不用美国富国银行的服务,但还是受到了攻击。(不,我不会告诉你我用哪个银行的——你想得美。)
只需简单的一次点击,这些攻击就可以盗取机密或在移动设备上安装恶意软件,甚至有时候两者兼有。
电信诈骗:我已提到过这个概念,它指的是语音钓鱼(voice phishing)。自2016年以来,这种方式的攻击向量急剧增加。它简单、便宜,能为攻击者带来暴利。此外,定位国外打来的伪造号码并抓住攻击者几乎是不可能的。
- 网络诈骗:社会工程领域最常被提起的话题就是网络诈骗。实际上,本书的技术编辑Michele和我在一本叫《社会工程:防范钓鱼欺诈(卷3)》的书里谈到了这个话题(没错,我又毫不含蓄地插播自己另一本书的广告了)。目前来看,网络诈骗是四个主流攻击向量中最为危险的。
- 冒充:我知道,应该给这种攻击采用“某某诈骗”的命名形式,但是不行,我最多是把它放在最后,因为它与其他几种攻击不同。然而,把它排在最后绝不意味着我们无须像对其他攻击向量一样担忧。在过去的12个月里,我们搜集了数百起骇人听闻的冒充雇员、警察和联邦探员的犯罪事件。2017年4月就有一名男子冒充警察被抓,此人买卖儿童色情制品,并通过冒充警察来牟利。
3Short Messaging Service,即短信服务。——译者注
你所接触到的每一起社会工程攻击都能被划分到以上四种类型中。最近出现了一种所谓的“组合攻击”(combo attack),即恶意的社会工程人员在一次攻击里运用多个向量来达到其目的。
在分析这些攻击时,我领会到了一些模式,这些模式不仅能识别出攻击中使用的工具类型和步骤,还能帮安全专家更加明确地定义攻击的执行过程,从而用来教育和保护他人。我称其为社会工程金字塔。