我的书签
添加书签
移除书签10.2、启示
正在说服力研究的社会心理学家,Brad Sagarin博士,是这样描述社交工程师的杀手锏的:“社交工程师并没有什么魔力。社交工程师巧妙地利用我们每个人每天都在使用的一些说服技巧。因为我们在日常生活中也会扮演各种社会角色,试图与他人建立信任关系,呼吁彼此相互负责。然而,与我们大多数人不同的是社交工程师是利用一种具有操纵性,欺骗性和不道德的方式来达到彻底毁灭对手的效果。”
我们请Sagarin博士为我们总结了社交工程师最常用的技巧中所隐含的心理原则。好几次,他都采用了Mitnick/Simori早期所着的《欺骗的艺术》(Wiley Publishing,Inc.,2002)中的故事来解释和说明这些特殊的技巧。
每一项原则都是以非正式和非科学的阐释以及案例开始的。
10.2.1、角色的陷阱
社交工程师将会表现他们所伪装的角色的一些行动特征。当我们只看到一个角色的部分特征时,多部分人都趋向于自动为其填补这一角色的剩余特征——当我们见到一位穿着像执行官的人,我们会理所当然地认为他机智、专注并且值得信任。
事例:当Whurley走进天空之眼时,他穿得很像执行官。而且他用权威的语气给房间里的人下达命令,因此,他成功地伪装成了赌场经理或是执行官的形象。
在实际案例中,社交工程师往往先伪装出角色的部分外部特征,然后攻击目标会主动替他们添加角色的其余特征,可能的伪装角色包括IT工程师、顾客、新雇员,以及其他能让他人易于顺从的角色。常见的外部特征包括提到攻击目标老板或同事的名字,使用公司和行业的专有名词以及行话。对于现在攻击来说,外部特征还包括攻击者服装、首饰(公司饰针,运动手表、名贵钢笔、学校戒指——刻有校名、校徽、毕业年份,并有学校代表颜色的戒指,每一届毕业生都会买来做纪念,译者注)、打扮(发型)。这些特征都会增加社交工程师的说服力,因为当我们接受某人的角色时(认为他是个执行官、顾客或是雇员),我们往往会给角色附加一些其他特征。(执行官富有而强势,软件开发员虽技术过硬但缺乏社交能力,雇员同事值得信任。)在人们做出诸如此类的推断之前,到底需要多少信息呢?并不多。
10.2.2、信任度
建立信任感是社交工程师进行攻击的第一步,也是一切后续行动的奠基石。
事例:Whuriey建议Richard,一位公司IT高层和自己共进午餐,是因为他很清楚这样,他会更加容易地得到所有那些看到他们一起进餐的雇员们的信任。
Sagarin博士提到了The Art of Deception中社交工程师建立信任感所使用的三种方式。第一种方式:说些表面上侵害自己利益的话。例如:在The Art of Deception第8章的故事“一个简单的电话”中,攻击者告诉攻击目标:“现在,快去输入口令,不过别告诉我。你不能把口令告诉任何人,包括技术开发人员。”这样的语气会让对方产生信任感。
第二种方式:攻击者警告攻击目标将会有攻击目标不知道的意外情况发生。例如:在The Art of Deception第5章的故事“网络中断”中,攻击者说网络连接可能会中断,然后故意动手脚使网络中断,这样就使攻击目标对攻击者倍加信任。
这种预言式的技巧还常常和第三种方式交叉使用,第三种方式是:攻击者帮助攻击目标解决难题。在“网络中断”中,攻击者就用了这一招。他先预言网络会中断,而后又动手脚使其中断,接着再重新连接好,并对攻击目标说自己“修好了网络”,这样攻击目标不仅会信任他,还会对他充满感激之情。
10.2.3、迫使攻击目标进入角色(反转角色)
社会工程师使用技巧操纵攻击目标使之进入角色,例如行为强势迫使攻击目标服从。
事例:Whurley在和Lenore交谈时,就成功地让自己扮演了弱势角色(刚和女友分手,初来乍到,没有工作),目的是为了令Lenore进入帮助者的角色。
迫使攻击目标进入帮助者的角色,是社会工程师最常使用的一招。一旦某人迸入了这种帮助者的角色,他就很难从这个角色中脱身。
机敏的社交工程师会试图令攻击目标进入他们最乐于扮演的角色并会控制谈话内容,使得他们一步步进入角色。Whurley发现Lenore和Megan都乐于助人,于是就成功地让她们进入了帮助者的角色。人们喜欢接受具有主动性的角色,那会让他们感觉良好。
10.2.4、偏离系统式思维
社会心理学家认为人们在处理收到的信息时有两种模式,一为系统式思维,一为启发式思维。
事例:当一位经理需要处理好与自己暴躁的妻子的困难局面的时候,Whurley利用了他此时心烦意乱的情感状态,不失时机地提出了获取授权雇员胸牌的请求。
Sagarin博士解释:“当我们在系统式思维状态下,我们对请求做出判断前会认真理性地思考。然而,一旦我们处在启发式思维状态下,我们就会草率地做出决定。比如,我们会先考虑是谁在发出请求,而不是发出了什么请求,然后再做出决定。当事情至关重要时,我们会尽量釆取系统式思维,但是一旦时间紧迫,心有旁骛或者心态不稳,我们就会不自觉地开始启发式思维。“我们总会认为自己通常都很理智,是根据事实做出判断的。心理学家Gregory Neidert曾说:“90%到95%的时间里,人类的大脑都处于闲置状态。”社交工程师正是利用了这一点,他们用一系列的手段让攻击目标偏离系统式思维,因为他们知道当人们开始启发式思维时,心理防卫会减弱,于是就会减少质疑,少问问题,然后达到攻击的目的。
社交工程师要设法使攻击目标处于启发式思维状态,并使其一直处于那种状态。其中一个技巧就是在工作日快结束的最后5分钟里给攻击目标打电话。这时攻击目标急于下班,即便是遇上了往往在平日里会引起质疑的请求,此时他们也会答应的。
10.2.5、顺从冲动
社交工程师往往通过不断的请求,使攻击目标逐渐形成顺从冲动。一般,他们会从一些对攻击目标来说轻而易举而又无关紧要的请求开始。
亊例:Sagarin博士引用了The Art of Deception中第1章的故事“CreditChex”,攻击者向银行职员咨询问题,他把核心问题,即关于银行客户ID号(该ID号可以在电话修改业务时作为口令使用)的问题,放在了许多无关紧要的问题的中间。攻击目标觉得既然一开始问的问题似乎都很无关紧要,便逐渐形成了思维定势,以为核心问题也同样无关紧要了。
电视剧编剧及制作人Richard Levinson将这个技巧写进了剧本。Peter Falk扮演的着名角色Columbo就成功运用了该技巧。看到这个侦探快要走了,嫌犯开始放松警惕并沉溺于刚才愚弄了侦探的喜悦中,这时Columbo问了最后一个问题,一个一直等到最后才问的关键问题。社交工程师常常应用这个“还有一个问题”的技巧。
10.2.6、乐于助人
心理学家列举了许多人们在帮助别人之后能够得到的益处。帮助他人能让我们感觉自己很有能力,让我们自我感觉良好,摆脱掉坏心情。然而,社交工程师常常利用人们乐于助人的倾向来完成工作。
亊例:当Whurley出现在赌场入口时,赌场保安很快就轻信了他所编造的要邀请“甜心”共进午餐的故事,不仅这样,他还借钱给他,给他如何与约会女人的建议,也直接让Whurley走进了赌场,尽管Whurley根本没有出示员工ID胸牌。
Sagarin博士评论道:“社交工程师常常把那些不知道自己给出信息有多重要的人定为攻击目标,因为那些人以为自己只是作了举手之劳而已,对自己并没有什么损害。(对于那个电话线另一头的可怜懒汉来说,一次迅速的数据库查询能需要多大的工作量呢?)”
10.2.7、归因
归因是指人们解释自己或他人行为的方法。社交工程师的任务之一就是让攻击目标将技能、信任、信誉、友善等特征归因给社交工程师自己。
亊例:Sagarin博士引用了The Art of Deception第10章的故事“急于升职”,攻击者先瞎转了一会儿后,然后才请求进入会议室,这就让人们对他的怀疑减轻了不少,因为人们相信私自闯入者不敢在很可能被逮住的地方停留很久。
社交工程师也许会走向门厅接待员,在柜台上放上5美元纸币,然后说:“我在地上捡到的,是不是谁掉在地上的?”接待员可能因此就会将诚实和值得信任的特质归因给他。
如果我们看到一位男士为老妇人开门,我们会认为他很有礼貌,但是如果他是为一位妙龄女郎开门,那么我们就会对他产生完全不同的归因。
10.2.8、喜好
社交工程师也常利用人们通常会对自己喜欢的人所提出的请求有求必应这一点来进行攻击。
亊例:Whuriey之所以能从Lenore那儿得到有用信息,部分要归功于他的“冷阅读”。他观察她的反应,不断地调整自己的话语来迎合她,让她觉得他们有共同的品味和爱好(“我也是!”),她对他的好感也使她愿意分享更多的信息。
人们喜欢那些和自己相像的人,比如彼此有相似的职业兴趣、教育背景和个人爱好。社交工程师会研究攻击目标的各种背景,然后佯装和他们有共同的喜好:航海、网球、古董飞机、收集老式机枪等等。社交工程师也通过赞美和恭维达到目的。相貌姣好的社交工程师还可以利用自己的美貌。
另一个技巧是不断讲出攻击目标熟悉和喜爱的人的名字。攻击者通过这种手段试图融入攻击目标的组织群体。黑客也会利用赞美和恭维来唤醒攻击目标的自负,有时候他们甚至会直接将刚刚获得奖励的人员定为攻击目标。唤醒攻击目标的自负会使原本很普通的他们变为非常乐于助人的帮助者。
10.2.9、恐惧
社交工程师偶尔会令攻击目标相信将要发生意外,但若按照他的建议去做,就能避免可能迫在眉睫的损失。这时,恐惧变成了社交工程师的武器。
事例:在The Art of Deception第章的“紧急补丁”中,社交工程师警告攻击目标如果在公司数椐库服务器上不安装他提供的紧急补丁,他们将会去失一些重要数据。这种恐惧让攻击目标对社交工程师的“解决方案”毫无戒备。
利用职位的攻击经常要借助于恐惧。伪装成执行官的社交工程师常会给秘书或是低层职员下达“紧急”指令,并且暗示:如果不釆取行动,他就会有麻烦,甚至会被解雇。
10.2.10、抗拒
抗拒是指:我们在失去选择的权利或自由时所作出的一种消极反应。当我们忍受着抗拒带来的剧痛时,我们就失去了洞察力,因为我们对找回丢失的东西毫无兴致。
事例:The Art of Deception中有两个故事阐述了抗拒的力量。其中之一是关于对信息失去访问权限的威胁,另一个是关于失去对计算机资源的访问权限。
利用抵抗的典型攻击是这样的:攻击者通知攻击目标,其将会在接下来的一段时间内无法访问自己计算机文件,而这段时间又正好是攻击目标无法承受的,“你下面的两周将无法访问文件,但我们会尽力让你快点恢复权限。”攻击目标会气得跳起来,于是攻击者对他说如果有用户名和口令,他就能帮他尽快恢复权限。攻击目标为了避免损失,通常会放松警惕而愉快答应。
另一种利用方式是迫使攻击目标追逐某物,也就是说,让攻击目标陷入会丢失登录信息或信用卡信息的站点。你会如何处理一封通知你前1000名进入某特定站点的用户可以仅支付200美元就能得到一部全新Apple iPod?你会不会登录那个站点并注册买一台?当你注册电子邮箱时,你会不会设置一个你在别处也同样使用的相同口令呢?
