不得不防的“社會工程學(xué)詐騙”

不得不防的“社會工程學(xué)詐騙”

社會工程學(xué)詐騙，這個冷僻的詞常見于安全防御領(lǐng)域，人們對它知之甚少。但是這兩年頻發(fā)的電信詐騙又都是運用的社會工程學(xué)技巧。那么，什么是社會工程學(xué)詐騙？它在我們的生活中究竟是一種怎樣的存在？

核心是抓住“人類硬件漏洞”

按照社會工程學(xué)提出者、美國著名黑客凱文·米特尼克的說法，社會工程學(xué)是一種操縱相關(guān)人員泄露出機(jī)密信息的“藝術(shù)”，社會工程學(xué)詐騙就是利用這一“藝術(shù)”進(jìn)行的。

什么意思呢？在以往的網(wǎng)絡(luò)信息安全中，詐騙者把注意力更多放在編碼的不斷升級和對系統(tǒng)漏洞的不斷攻擊上，道高一尺，魔高一丈，比拼的是攻守雙方誰的技術(shù)更高階。但是社會工程學(xué)詐騙不是這樣，它反過來關(guān)心人本身。人非天使，總會存在認(rèn)知偏差，這些偏差就是“人類硬件漏洞”。

所以相比而言，社會工程學(xué)詐騙更有針對性，首先重視的就是對個人信息進(jìn)行收集。這些信息從何而來？有的是受害人自己主動泄露的，比如在社交平臺上公開的個人信息。有的則是被人惡意售賣的，比如詐騙者從電話公司、房地產(chǎn)公司購買到的個人信息。還有的方式則非常隱蔽，不是直接從你本人這邊獲取信息，而是從跟你有關(guān)系的親戚朋友那兒間接獲得。

舉個例子，在去年轟動全國的徐玉玉案中，犯罪嫌疑人先是通過攻擊“山東省2016年高考網(wǎng)上報名系統(tǒng)”獲取包括徐玉玉在內(nèi)的考生信息，然后又搜索“高考數(shù)據(jù)群”、“學(xué)生資料數(shù)據(jù)”等聊天群，以每條0.5元的價格購買了1800條2016年高中畢業(yè)生資料。由此看來，詐騙分子對信息的收集程度令人咋舌。

“領(lǐng)導(dǎo)”的權(quán)威往往讓下屬服從，導(dǎo)致容易受騙

利用迷信和恐懼權(quán)威的弱點進(jìn)行詐騙

社會工程學(xué)詐騙說到底就是在收集信息的基礎(chǔ)之上，利用人性的弱點進(jìn)行詐騙。人性弱點首當(dāng)其沖就是貪婪，什么中獎、促銷等等都是打的貪圖便宜的算盤。

除了貪婪外，還有利用受害人對權(quán)威的隱性服從心理進(jìn)行詐騙。典型的就是冒充單位領(lǐng)導(dǎo)要求“明天來我辦公室一趟”，其詐騙套路是：首先詐騙分子會冒充你的領(lǐng)導(dǎo)給你打電話或發(fā)短信，叫你明天來辦公室一趟。當(dāng)你反問他是誰時，他會直接斥責(zé)你。然后“領(lǐng)導(dǎo)”會以上面來了“高級領(lǐng)導(dǎo)”為由要你幫他準(zhǔn)備現(xiàn)金紅包，最后又以現(xiàn)金不方便為由要你直接轉(zhuǎn)賬給他。

那些上當(dāng)受騙的人之所以中招，原因就在于對權(quán)威的隱性服從：領(lǐng)導(dǎo)掌握著你的“生殺大權(quán)”，寧可信其有，不可信其無吧。

還有一類詐騙案利用的是親人之間的關(guān)愛之情，最常見的就是父母對孩子。例如，之前上海一位媽媽就記下了自己險些被詐騙的驚悚30分鐘。事件的起因是她早上突然接到自稱是自己兒子學(xué)校教務(wù)處的電話，被告知自己的兒子暈倒了已經(jīng)被送往醫(yī)院，現(xiàn)在需要動手術(shù)。在她趕往醫(yī)院的過程中，“老師”的詐騙電話不斷打來，一會兒要求家長授權(quán)他手術(shù)簽字，一會兒又說自己身上錢不夠，讓家長直接把錢打到“綠色通道”。幸好這位媽媽及時反應(yīng)過來，打電話向?qū)W校老師求證，確認(rèn)自己的孩子在學(xué)校安然無恙，最終才免遭上當(dāng)。

除了上面說到的案例外，夾雜羞愧、擔(dān)心、恐懼的心理也影響著當(dāng)事人。例如，很多地方都出現(xiàn)過用公務(wù)員PS的艷照進(jìn)行詐騙的案例，這些公務(wù)員“中招”或者出于擔(dān)心，或是不愿意聲張，有苦自己吞。

社交網(wǎng)絡(luò)的普及提供了“神助攻”

而除了人性弱點外，社交網(wǎng)絡(luò)的普及也給社會工程學(xué)詐騙提供了“神助攻”。

在社交網(wǎng)絡(luò)中，經(jīng)常出現(xiàn)的詐騙案例就是有人在群里發(fā)了一個假的二維碼或者疑似紅包鏈接，群里的人問都不問就去掃描，結(jié)果發(fā)現(xiàn)上當(dāng)受騙。在這個過程中，社交網(wǎng)絡(luò)放大了兩種心理：一個是貪圖便宜，受騙的人以為真的是一個紅包，順手就點了；另外一個則是安全心理，社交網(wǎng)絡(luò)給人營造出一個熟悉空間的假象，讓人產(chǎn)生“都是認(rèn)識的人，不會被坑”的錯覺，即使被坑也不會造成多大的損失。但其實社交網(wǎng)絡(luò)給人營造的熟悉感和信任感未必真實，反而有可能帶來危險。

此外，用戶對社交平臺的信任還有可能被“社會工程師”濫用。例如，之前非常流行的“順便清理一下你的好友名單，看看誰是僵尸粉”活動就很容易讓人誤以為這是社交平臺的官方行為，所以大家都在積極轉(zhuǎn)發(fā)使用。但其實這只是第三方的行為，除了惡意營銷外，當(dāng)你點開這個鏈接后，你的個人信息很可能就遭到泄露了。

如何應(yīng)對社會工程學(xué)詐騙

那么，我們究竟該如何應(yīng)對社會工程學(xué)詐騙呢？

首先最重要的一點就是去了解和熟悉社會工程學(xué)詐騙，千萬不要覺得這個詞冷僻生硬就拒絕了解，甚至以為它不會出現(xiàn)在自己的生活中。知己知彼，才能有所應(yīng)對。

其次，要對自己的基礎(chǔ)信息保持足夠的警惕，例如自己賬號密碼的設(shè)置不要太過簡單，也盡量不要和自己的家人朋友相關(guān)，很多人的信息就是通過其他人間接攻破的。

更為重要的是，要破除舊觀念舊思想的束縛，比如權(quán)威服從。在東亞儒家文化圈中，對領(lǐng)導(dǎo)和長官的迷信勝過尊重，所以當(dāng)那些社交騙子打著權(quán)威部門或者上級領(lǐng)導(dǎo)的旗號時，一些中下級的職員很容易乖乖就范。

（人民網(wǎng)、中國青年網(wǎng)等）