不得不防的“社會工程學(xué)詐騙”
社會工程學(xué)詐騙,這個冷僻的詞常見于安全防御領(lǐng)域,人們對它知之甚少。但是這兩年頻發(fā)的電信詐騙又都是運用的社會工程學(xué)技巧。那么,什么是社會工程學(xué)詐騙?它在我們的生活中究竟是一種怎樣的存在?
按照社會工程學(xué)提出者、美國著名黑客凱文·米特尼克的說法,社會工程學(xué)是一種操縱相關(guān)人員泄露出機(jī)密信息的“藝術(shù)”,社會工程學(xué)詐騙就是利用這一“藝術(shù)”進(jìn)行的。
什么意思呢?在以往的網(wǎng)絡(luò)信息安全中,詐騙者把注意力更多放在編碼的不斷升級和對系統(tǒng)漏洞的不斷攻擊上,道高一尺,魔高一丈,比拼的是攻守雙方誰的技術(shù)更高階。但是社會工程學(xué)詐騙不是這樣,它反過來關(guān)心人本身。人非天使,總會存在認(rèn)知偏差,這些偏差就是“人類硬件漏洞”。
所以相比而言,社會工程學(xué)詐騙更有針對性,首先重視的就是對個人信息進(jìn)行收集。這些信息從何而來?有的是受害人自己主動泄露的,比如在社交平臺上公開的個人信息。有的則是被人惡意售賣的,比如詐騙者從電話公司、房地產(chǎn)公司購買到的個人信息。還有的方式則非常隱蔽,不是直接從你本人這邊獲取信息,而是從跟你有關(guān)系的親戚朋友那兒間接獲得。
舉個例子,在去年轟動全國的徐玉玉案中,犯罪嫌疑人先是通過攻擊“山東省2016年高考網(wǎng)上報名系統(tǒng)”獲取包括徐玉玉在內(nèi)的考生信息,然后又搜索“高考數(shù)據(jù)群”、“學(xué)生資料數(shù)據(jù)”等聊天群,以每條0.5元的價格購買了1800條2016年高中畢業(yè)生資料。由此看來,詐騙分子對信息的收集程度令人咋舌。
“領(lǐng)導(dǎo)”的權(quán)威往往讓下屬服從,導(dǎo)致容易受騙
社會工程學(xué)詐騙說到底就是在收集信息的基礎(chǔ)之上,利用人性的弱點進(jìn)行詐騙。人性弱點首當(dāng)其沖就是貪婪,什么中獎、促銷等等都是打的貪圖便宜的算盤。
除了貪婪外,還有利用受害人對權(quán)威的隱性服從心理進(jìn)行詐騙。典型的就是冒充單位領(lǐng)導(dǎo)要求“明天來我辦公室一趟”,其詐騙套路是:首先詐騙分子會冒充你的領(lǐng)導(dǎo)給你打電話或發(fā)短信,叫你明天來辦公室一趟。當(dāng)你反問他是誰時,他會直接斥責(zé)你。然后“領(lǐng)導(dǎo)”會以上面來了“高級領(lǐng)導(dǎo)”為由要你幫他準(zhǔn)備現(xiàn)金紅包,最后又以現(xiàn)金不方便為由要你直接轉(zhuǎn)賬給他。
那些上當(dāng)受騙的人之所以中招,原因就在于對權(quán)威的隱性服從:領(lǐng)導(dǎo)掌握著你的“生殺大權(quán)”,寧可信其有,不可信其無吧。
還有一類詐騙案利用的是親人之間的關(guān)愛之情,最常見的就是父母對孩子。例如,之前上海一位媽媽就記下了自己險些被詐騙的驚悚30分鐘。事件的起因是她早上突然接到自稱是自己兒子學(xué)校教務(wù)處的電話,被告知自己的兒子暈倒了已經(jīng)被送往醫(yī)院,現(xiàn)在需要動手術(shù)。在她趕往醫(yī)院的過程中,“老師”的詐騙電話不斷打來,一會兒要求家長授權(quán)他手術(shù)簽字,一會兒又說自己身上錢不夠,讓家長直接把錢打到“綠色通道”。幸好這位媽媽及時反應(yīng)過來,打電話向?qū)W校老師求證,確認(rèn)自己的孩子在學(xué)校安然無恙,最終才免遭上當(dāng)。
除了上面說到的案例外,夾雜羞愧、擔(dān)心、恐懼的心理也影響著當(dāng)事人。例如,很多地方都出現(xiàn)過用公務(wù)員PS的艷照進(jìn)行詐騙的案例,這些公務(wù)員“中招”或者出于擔(dān)心,或是不愿意聲張,有苦自己吞。
而除了人性弱點外,社交網(wǎng)絡(luò)的普及也給社會工程學(xué)詐騙提供了“神助攻”。
在社交網(wǎng)絡(luò)中,經(jīng)常出現(xiàn)的詐騙案例就是有人在群里發(fā)了一個假的二維碼或者疑似紅包鏈接,群里的人問都不問就去掃描,結(jié)果發(fā)現(xiàn)上當(dāng)受騙。在這個過程中,社交網(wǎng)絡(luò)放大了兩種心理:一個是貪圖便宜,受騙的人以為真的是一個紅包,順手就點了;另外一個則是安全心理,社交網(wǎng)絡(luò)給人營造出一個熟悉空間的假象,讓人產(chǎn)生“都是認(rèn)識的人,不會被坑”的錯覺,即使被坑也不會造成多大的損失。但其實社交網(wǎng)絡(luò)給人營造的熟悉感和信任感未必真實,反而有可能帶來危險。
此外,用戶對社交平臺的信任還有可能被“社會工程師”濫用。例如,之前非常流行的“順便清理一下你的好友名單,看看誰是僵尸粉”活動就很容易讓人誤以為這是社交平臺的官方行為,所以大家都在積極轉(zhuǎn)發(fā)使用。但其實這只是第三方的行為,除了惡意營銷外,當(dāng)你點開這個鏈接后,你的個人信息很可能就遭到泄露了。
那么,我們究竟該如何應(yīng)對社會工程學(xué)詐騙呢?
首先最重要的一點就是去了解和熟悉社會工程學(xué)詐騙,千萬不要覺得這個詞冷僻生硬就拒絕了解,甚至以為它不會出現(xiàn)在自己的生活中。知己知彼,才能有所應(yīng)對。
其次,要對自己的基礎(chǔ)信息保持足夠的警惕,例如自己賬號密碼的設(shè)置不要太過簡單,也盡量不要和自己的家人朋友相關(guān),很多人的信息就是通過其他人間接攻破的。
更為重要的是,要破除舊觀念舊思想的束縛,比如權(quán)威服從。在東亞儒家文化圈中,對領(lǐng)導(dǎo)和長官的迷信勝過尊重,所以當(dāng)那些社交騙子打著權(quán)威部門或者上級領(lǐng)導(dǎo)的旗號時,一些中下級的職員很容易乖乖就范。
(人民網(wǎng)、中國青年網(wǎng)等)