327
網絡安全的死敵:欺騙工程
無論我們購買了多少安全技術,我們的麵前依然橫亙著一道巨大的安全障礙:人。
作為研究分析師和谘詢公司行業顧問的安全從業者,或經驗豐富或技術純熟,花費無數時間評估安全技術,幫助企業確定什麼技術和產品能更好保護公司數據安全。然而,隻需一名惡意或粗心大意的人員,便可抵消所有技術性控製措施的效果。理想很豐滿,現實很骨感。真相往往殘酷到令人扼腕:人類作為我們最後一道防線的同時,也是我們最大的威脅。
為使人類起到最後一道防線的作用,我們需首先處理好兩個令人不安的真相:
所有人都是騙術大師
我們都很容易受騙
我們每個人,從童年很小的時候起,就在經受各種欺騙訓練。我們被教導:謊言讓生活更容易,讓社會環境更舒適。還記得家庭聚會前,爸爸媽媽告訴你,要表現得很享受這種氛圍嗎?就算被嚇到瑟瑟發抖也不能躲開怪叔叔的熊抱?再討厭芹菜也得給我愉快地吃下去?隨著我們漸漸長大,說謊的技術越發爐火純青——從學會巧妙地轉移“這牛仔褲是不是讓我屁屁看起來很大?”此類的問題,到嫻熟應對另一半問自己喜不喜歡她的新發型,到完美回答老板谘詢關於他/她新戰略的“誠懇意見”。
這些還僅僅是“善意謊言”類別裏的;我們都還沒觸及牽涉隱瞞、藏匿、欺詐、誤導、竊取、誘騙等等真正的彌天大謊。而且,善意和惡意謊言都認同的人大有人在。如果我們坦誠麵對自己,我們甚至會承認,我們每個人在一生之中總會被狠狠地騙上那麼幾次。
如果非要給個我們為什麼那麼容易受騙上當的主要原因,那必須得是我們的大腦就是那麼容易被騙。人類大腦的工作就是過濾並呈現現實。大腦接受大量輸入,然後確定哪些是重要的,這些輸入的影響是什麼,需要什麼響應。而且,我們的大腦會走捷徑,非常高效地搞定這些判斷。千百年來,魔術師、小偷、騙術大師、欺詐師等,學會了怎樣劫持這些心理捷徑,將之用於爭取己方有利地位。
操縱人類大腦的方法,可以用魔術、妙手空空術和催眠術方便快捷地加以展示。不過,即便不能利用上述方法從視覺上直觀演示,一些高層次理論和基本原則也是可以通過文字加以敘述的。
原則 1:誤導和注意力
人類大腦慣於不斷掃描並確定哪些東西需要“鎖定”。腦科學家將之稱為“注意力焦點”。魔術師和小偷,是利用我們注意力焦點漏洞的大師。他們會把你的注意力引向某個物體或地方,然後在注意力焦點邊緣部分或完全在焦點之外,進行他們的“髒活兒”。他們通常會用顯眼的大動作,來掩護暗處的小動作。
我們總覺得自己才是自身注意力的主人,但我們的注意力其實很容易被劫持。不幸的是,不僅僅是魔術師知道並利用這一點,罪犯和騙術大師也精通此道。今日,世界仍在努力恢複NotPetya造成的傷害。該惡意軟件最初被廣泛認為是其表麵上呈現出的那樣——勒索軟件。然而,其本質遠比表麵現象惡劣。這是一款偽裝成勒索軟件的數據清除器,極有可能是國家支持的網絡攻擊。
網絡安全世界中,另一個誤導的例子,是攻擊者對金融服務公司發起DDoS攻擊,以轉移對賬戶竊取攻擊的注意力。終端用戶和銀行的目光被DDoS攻擊的明顯效果吸引,賬戶竊取和欺詐交易活動就暫時被混淆,不引人注意。
原則 2:影響和關係
大腦思維劫持活動中起效的另一個基本原理,是影響和關係。催眠師、魔術師、扒手,還有罪犯和騙子,全都是撬動影響杠杆和建立信任關係的能手。街頭和舞台魔術師、催眠師、扒手,都會努力確保他們的參與者快速建立起一定的信任。這能使他們方便操縱目標對象站哪兒、做什麼、看哪裏等等。
羅伯特·恰爾蒂尼,亞利桑那州立大學心理學及營銷學的名譽教授,撰寫了《影響力:說服術的心理學分析》一書。該書被認為是影響力起效機製的權威書籍。恰爾蒂尼的影響力理論,基於6條關鍵原則:互惠、承諾及一致性、社會認同、權威、喜好、稀缺性。他最近還加上了第7條原則:統一性原則。該原則是關於共享認同的;也就是營銷大師賽斯·高汀所說的“部落”。我們越認同他人,越容易被他人影響。
恰爾蒂尼的書值得一看,還有很多在他研究基礎之上的衍生作品。然而,全世界的騙子和網絡釣魚者,在下餌時也會利用很多此類技巧。影響力戰術還是可以疊加的的,老練的網絡釣魚者會在一封郵件中采用多種影響力戰術,讓誘餌更加可口。例如,如果網絡釣魚者在一封釣魚郵件中使用了稀缺性/緊迫性、權威、社會認同和互惠多種戰術,就會比不用此類戰術或隻用一種戰術的郵件擁有更多火力。
原則 3:框架和情境
框架對演員、政客和營銷人員特別重要,對社會工程師和騙術大師而言,同樣十分關鍵。框架的概念,源自社會科學,基本上就是情境、世界觀,或者某人看待現實(或某特定場景)的方式。框架也可以是社會工程師或攻擊者用以大隱隱於市的途徑(服裝、角色演繹、隨機應變)。
在演示中使用的框架例子,通常是根據想擬的框架能以多種方式呈現特定效果的場景。舉個例子,如果握有內裝參與者選項的密封信封,那麼既可以預測的方式揭曉(如果想扮演巫師的角色),也可以展現如何影響參與者選擇某樣東西的能力(扮演精神導師或催眠大師的角色)。
簡單講,框架賦予我們翻譯或理解眼前信息或身處情況的上下文環境。事實上,有很多政治、宗教和營銷組織在專門搞清人們的各種框架,理解怎樣操作或擴展這些框架,以便人們對新的或差異性/難理解的想法持開放態度。框架是非常強大的力量,且它們通常不是基於事實的。當框架和事實相互衝突,事實會被推到一邊,而框架被人們緊緊擁抱。FrameWorks總裁蘇珊·貝爾斯的名言:“當事實不符合框架,事實被拒絕,而不是框架。”
鑒於所有事都在框架內運作,騙子、網絡釣魚者和其他令人討厭的家夥,就會學習怎樣按框架操作。他們會冒充備受尊敬的權威人士——比如在商業電郵詐騙(BEC)攻擊中。框架也會出現在語言使用、攻擊媒介選擇等等方麵。想要深入解析社會工程中的框架,可以看看Social-Engineer.org上《社會工程框架》中“影響他人”一節裏的“框架”條目。
結論
理解我們的大腦會被怎樣愚弄來針對我們自身,是學習對抗老練攻擊者的關鍵第一步。
我們需要讓自己慢下來,三思而後行。這麼做,可以讓我們擺脫以條件反射/自動的方式行事的情形,讓我們得以更邏輯性地處理事務。然後,我們就可以對人們的話語、收到的郵件、所處的情況背後隱藏的行動和潛在動機,反複深入分析,確定是不是有人正試圖劫持我們的大腦。
本文轉自d1net(轉載)
最後更新:2017-10-09 22:34:09