第7章 假冒的站点和危险的附件
天下没有免费的午餐,然而我们大部分人因为贪小便宜,想急于得到免费品,以至于注意力被分散,无暇关注对方提供的是什么东西,可能“绵里藏针”。
这一章主要讲的是钓鱼邮件,利用人们总是期望免费得到某些东西的心理来实施,让我注意到一个我之前没接触到的概念就是7.2来自朋友的消息,如果收到了与自己关系密切的人发来的邮件,也要考虑打开附件是否安全,提到了有一种病毒作用是:首先进入了某个人的电脑,然后把自己发送给此人邮箱地址簿的每个人。于是所有人都会从自己认识并信任的人那里收到一封邮件,附有带病毒的附件。
第8章 利用同情心、内疚感和胁迫手段
经验丰富的社交工程师善于设计一种局面来激发起人们的情绪,如恐惧、激动或内疚。为达到目的,他们利用心理触发器——一种自动机制,使人们不对现有信息做深入分析就向对方做出回应。
8.1 对摄影棚的一次造访
故事讲的是一个想到摄影棚去逛但没有合法身法的人,他看了两天报纸的娱乐栏目,记下来几个不同摄影棚的制作人的名字,并从最大的一个入手。他拨打总机,要求转到这位制作人的办公室,接电话的是秘书,他自称是Brain Glassman的工作组下做动画开发(Brain Glassman也应该是报纸上看到的摄影棚的制作人名称),说约了一个作家讨论他的作品但是不知道怎么放他进来,找到这个秘书帮忙的理由在我看来有点别扭,“不愿意打扰Brain工作室的人”,不过也仍是有点借鉴之处。“当一个新员工求助时,很多人——特别是那些也还在入门级的人——就会记起自己刚来时遭遇麻烦的感受,因而会主动伸手相助。”
8.2 “立即行动”
关键是了解目标公司的内部运作情况,非法分子很容易利用这些知识跟合法员工拉上关系。
8.3 “老总要的”
一种很常用而且极其有效的胁迫方式是——因为简单所以非常普遍——利用权势来影响人的行为。
仅仅是CEO办公室助理的名字就可能很值钱。私人侦探甚至猎头经常使用这种手段。他们给总机打电话要求接CEO办公室。当秘书或CEO的助理接电话时,他们会说自己有一份文件或包裹要寄给CEO,或者说如果他们发送一份电子邮件附件,她能否打印出来?或者,他们会问,传真号是多少?顺便问一下,你叫什么名字?
然后他们打电话给下一个人,说:“老总办公室的Jeannie要我打电话给你,说你能在某某事情上帮我。”
这种技术被称为姓名攻势,攻击者利用这种技术,让目标认为自己跟有权势的人有关系,从而很快跟目标建立起联系。目标更有可能帮助那些跟自己认识同一个人的人。
当对方在公司中的职位很低时,这种用权势人物来吓唬人的测却又起走小。搬出大人物的名字,不仅可以克服通常的不情愿或怀疑心理,而且常常可以使人急于讨好:当你知道自己要帮助的人是一个重要人物,你就会变得格外乐于助人。
8.4 社会保险管理局都知道你的哪些信息
关键:1、从职位低的职员入手(服务员、客服)成功接入与该服务员对话 2、知道所使用的术语 3、谎称来自监察长办公室(权势) 4、谦卑的语气,“可怜可怜我,我需要帮助”
相关的术语没准可以在网上找到,一些操作手册已经流传于互联网,甚至在对应部门的官网。
8.5 仅仅一个电话
攻击者的一个最主要的障碍是如何使自己的要求听起来合乎情理——必须是受害者的日常工作中经常发生的,而且不能使受害者太为难。就像生活中的很多其他事情一样,使一个请求听起来合乎逻辑在今天可能是一个挑战,但是到了明天,事情可能会变得容易。
例子现在大概是要很电脑白痴且很听话的人才可以实施,而且也稍微较繁琐一点,诓骗对方改成一个自己也知道的系统密码登入,不过话也不能说绝对。在最初输入那里应该要攻击者说出键盘输入的字符才算合理。
“基于心理学原理来触发受害者的自动反应,并利用‘当人们认为打电话的人是自己的盟友时心理上会快速接纳对方’的习惯。”
第9章 逆向行骗
9.1善意说服别的艺术
想要完成这次行骗获取所需信息,关键还是要知道别人工作中的或者公司内部的行话,要获取一个当日安全代码。
用一个从一个貌似无关紧要的人(Angela)入手,知道了这个人的名字,聊天,知道什么时候Angela不在服务时间段,再等Angela不在时,从Angela的同事(Louis)入手,假装认识Angela,Angela有任务安排给“我”,需要“我”给Angela传真一份资料,Louis说了传真号码给“我”,但是“我”需要Louis说出代码,验证此号码的安全性,不是一个恶意的号码。
一个从外面打来的电话,一般人也不会提供这个重要的代码,所以Louis一开始拒绝
但是利用某些重要的技巧,在Louis不愿意告诉“我”代码时实施,可以扳回场面:
1.唤起同情心:我有病预约了医生待会要去看病;
2.施加压力:“我”有一大堆事情要做,忙不完就不可以去看病;
3.蓄意操纵(甩锅):让Louis留言告诉Angela是Louis不愿意告诉“我”代码,导致无法完成Angela的委托,没有及时完成Angela的任务(如果不是Louis不合作,“我”早就把代码发过去了)。
用类似发音的字或词混淆,比如B、C、E,假装搞错说错了,进而获取更多信息。
接下来“我”利用所用的代码去假装银行客服需要顾客的账户签名卡从而完成任务获取所需信息,
就算电话对方要求你提供你没得到的代码,用不到获取的B、C、E的对应的代码,也可以利用潜在的信任(同一个公司的背景),不要对同事太苛刻,将所需的代码转换为自己能提供的代码:
“我的电脑别人在用,但我刚用过B和E,我还记得这两个代码,你可以问我任意一个”
乍一看似乎很扯,其实确实如果一个人打给我这么说,语气到位的话,我也不会说要挂断电话去找Angela核实,其实可能也有一种侥幸心理在里面,电话对方的人这么说感觉不帮忙说不过去,给一个代码验证一下而已,他能干什么?
9.2 让警察受骗上当
这一节现在看起来可借鉴的地方不太多,这个弱密码撞得我蛋疼,转接号码的用处可能可以用在URL跳转漏洞中,前提是该网站高度被人信赖?其次是与技术员的通话,假装自己是一个更高层的技术支持中心,需要对软件升级,需要知道交换机的拨入号码,现在看起来主要应该是类比于后台网址,知道默认的用户名,破解密码,登入进去改控制权,留后门之类的。