当下,很多有意无意的事件都会涉及社会工程学这个新兴学科,例如:被开盲盒、诈骗等。其中的手段与社会工程学中整理的手段部分相匹配,因此为了防范以上事件,系统整理学习了社会工程学内容,其次,也能给小说、游戏设计提供更有逻辑的思路。——读《社会工程-安全体系中的人性漏洞[美]克里斯托弗·海德纳吉》
书籍名称:《社会工程-安全体系中的人性漏洞[美]克里斯托弗·海德纳吉》中国工信出版集团 人民邮电出版社
社会工程的目的是让人不假思索的做出决定。你思考的越多,就越有可能发现自己正被人操控,而这自然是攻击者不想看到的。
社会工程利用的正是人民的性别偏见、种族偏见、年龄和现状偏见(以及不同偏见的组合)。
社会工程概述:
任意一种能影响到某人采取可能符合或不符合其最大利益行动的行为,称为社会工程。
当我们感觉到被对方信任时,催产素就会被释放进我们的血液,大脑不仅会在你信任别人的时候释放催产素,在你感觉到被对方信任的时也会如此。
我们的大脑释放的另一种化学物质叫作多巴胺,是大脑产生的一种神经递质,会在人感到愉快、幸福和收到鼓舞的时刻释放出来。
利用好催产素和多巴胺,你就拥有了社会工程专用武器。1
催产素:催产素有刺激乳腺分泌乳汁,在分娩过程中促进子宫平滑肌的收缩,促进母爱的作用。此外,它还能减少人体内肾上腺酮等压力激素的水平,以降低血压。它并非女人的专利,男女均可分泌。
多巴胺:一种神经递质,普遍认为多巴胺是使人快乐的物质,但目前的药理学研究认为多巴胺其实是在增强动机强度。更为通俗的表达为,多巴胺表示对某个结果的欲望或厌恶,推动人去实现它,或是避免它实现。
社会工程可分解为以下四个攻击向量:
1、短信诈骗(SMiShing)利用短信的诈骗手段,直到目前依旧有类似攻击。
2、电信诈骗(Voice phishing)语音钓鱼,利用虚拟号码的语音共计。
3、网络诈骗
任何互联网平台都有可能出现的攻击。
4、冒充
冒充专业人员的攻击。
每一起社会攻击都能被划分到以上四种类型中,并且可能会采用“组合攻击”的手段,即恶意的社会工程人员在一次攻击里运用多个向量来达到目的。
社会工程金字塔
OSINT/收集信息→设计伪装→规划攻击→发起攻击→汇报
OSINT/收集信息:又称开源情报,利用公开的信息进行记录,保存和分类;
设计伪装:根据OSINT阶段收集信息的梳理,合理设计身份伪装,需要明确哪些信息支撑和工具;
规划攻击:计划好三个what(计划是什么?目标是什么?目标想要什么?)、when(发起攻击的最佳时机)、who(需要何人随时待命提供支持和辅助);
发起攻击:将内容列成大纲,遵循对应计划,又能有自由发挥空间;
汇报:对于攻击事件的整理和复盘。
我们看到的是否一样(OSINT/收集信息)
OSINT意为开源情报2,是社会工程的命脉,情报是每次行动的出发点和支撑点。
OSINT问题示例:
公司:
该公司如何使用互联网
该公司如何使用社交媒体
关于员工可以在互联网上发布什么样的信息,该公司是否有相关政策规定
该公司有多少供应闪
该公司如何收款
该公司如何付款
该公司是否设立客服中心
该公司的总部、客服中心或其他分公司位于何处
该公司是否允许自带设备办公
该公司的办公地点有一处还是多处
该公司是否有可用的组织结构图
个人:
此人拥有什么社交媒体账户
此人有什么兴趣爱好
此人一般去何处旅游度假
此人最喜欢 哪家饭店
此人的教育程度如何、学过那些专业
此人的职业是什么(包括是否在家办公,是否为自由职业,向谁汇报工作)
是否有任何提及此人的网站(比如公开的新闻、演讲、论坛、或者某俱乐部会员)
此人是否拥有房产?
此人的家庭成员姓名。