第2章 什么是社会工程
“启蒙不是对光明的想象,而是对黑暗的觉知。”
——卡尔·古斯塔夫
我将社会工程定义为能够影响人们的一种特殊行为,受其影响,人们会去采取某种可能(也可能不是)对其自身最为有利的行动。正如第1章所述,我曾经受雇在不使用暴力的情况下潜入库房。为了完成这项工作,我采用了社会工程的方法。比如通过寻找托辞和模拟身份的方式,从三到四个不同方面施加影响。我的意图是测试公司的安保状况,以及员工是否能够依照相关规范行事。在进出口、摄像机位,以及可能会招致罪犯日后破门而入的其他地方,我也拍了照片。典型的一种情境如下。
我驾车来到库房,按响了前门的对讲机按钮:“你好!我是废弃物处理公司的保罗,来检查一下你们垃圾压缩机的编号。”
门嗡的一声慢慢打开,我进入库房内部,看到一个从地面到天花板都是金属的陷阱式结构。一个保安探出头来说道:“请稍等,巡视员会过来陪您进行工作。”
几分钟后,巡视员罗伊出来接待我。那个看起来不祥的陷阱式结构让我的头嗡嗡作响,之后我被带到了保安的办公桌前。他向我索要身份证件。我看看他,又看看这个陷阱式结构,说道:“我把钱包落在车里了,但我有公司的身份证件,这样可以吗?”保安复印了我的身份证件,并给了我一个徽章。之后,罗伊带我来到了压缩机旁。
看了几秒钟之后,我说:“你们真走运,编号不在名单上。”
罗伊问:“什么意思?”
“发动机不错,压缩机现在处于最佳状态。”
在往回走的路上,我忽然大叫道:“该死!我把手机落在压缩机上了,我得回去取一下。”
几分钟后,我在办公室见到了罗伊。我们握了握手,我将访客证件还给他,之后离开了大楼。
这次经历收获颇多,除了证明该公司确实需要更有效地执行安保政策之外,我还轻松地用手机拍下了很多关于大楼重要位置(安保摄像机位置、出入口位置以及重要货物存储地点)的照片。
社会工程并不总是涉及诡计和欺骗。相反,它更多地与我们每天的社交方式有关,比如我们如何交流和谈话,以及如何让对方了解我们的观点。
在我的第一本书《社会工程:安全体系中的人性漏洞》中,我分析了成为社会工程大师所需要的身体素质、心理素质和个人素质。我并非想重复那本书的内容,而是想在这里就一名社会工程师会用到的技能和方法做一个概述。
请牢记,对于一名社会工程师来说,成为目标对象中的“一员”至关重要。“一员”可以是工作场所、信仰、衣着、音乐——任何能将人们聚集在一起的事物。你若能利用以下概述的技能,那么你就能成为目标对象中的“一员”。一旦成功,收集信息和获得访问权限对你来说就会简单许多。
2.1 收集信息
信息对于社会工程师的意义就如血液之于身体。社会工程师掌握的信息越多,他得到的媒介(或者说渗入的方法)就越多。他对目标对象了解得越多,对目标对象的优劣势也就能了解得更清楚。
关于采集信息的方法,既可以通过互联网收集信息,比如谷歌和Maltego(互联网情报聚合工具);也可以亲自采集,比如拍照、定位以及诱导。
如今,互联网的力量让信息采集变得更简单,这也意味着社会工程师能够获得更多的数据。了解如何分类和储存这些信息至关重要。我对目标对象进行了一个名为DAP(详细行动计划)的实践。其中包括针对目标对象发现的信息,观察到的态度或行动以及这些信息是如何收集到的。之后将我想使用的媒介与这些信息相互关联,使其成为针对每个目标对象的行动计划。
社会工程师及慈善家约翰尼·朗曾是一名道德黑客,他开发了早期的谷歌黑客数据库。这个搜索器可以在谷歌上运行并找到形形色色的信息。在过去的几年里,Offensive Security公司的人们接管了这个项目。现在的网址是www.exploitdb.com。
除了上述工具外,还有如Maltego的工具。它允许你收集他人、网站或者公司的数据,并能将这些数据以图解的方式进行标示,以方便阅读和使用。更多信息详见www.pateva.com。
近期我发现谷歌地图和必应地图也非常好用。当我们将地点放大到足够大时,就能在这两个网站上看到这个地点的“街景”。如果在接近某个建筑物或者地点前,你已经了解到它的布局、防护措施、摄像机位置等,就会大大节省现场考察的时间。
然而,对于社会工程师来说,收集信息的经验法则就是“所有的信息都是有用的”。即便是很少的信息也可能对全局的成功起到很大的作用。
2.2 托辞
我们在使用托辞的时候会将自己扮演成相应的人,并做出相应的事。这个过程从某种程度来说像是体验派表演方法。我们会变成自己佯装的人。穿着、身份证件、肢体语言以及知识都可以让托辞变得可信。
在本章最初举的那个例子中,我的托辞是自己是“废弃物处理公司的员工”。为了成功实行托辞,我还需要做一些计划。我得确保自己的着装能让目标对象相信我就是我所说的那个人。正如我在第1章谈到“着装认知”时所说的,我要借助自己的着装成为我所说的那个角色,并传递出正确的信息。
我的身份证件很逼真。我的肢体语言需要暗示一个“蓝领”身份,而不是高管身份。我还需要了解一些相关知识让自己的托辞更完善。我需要知道垃圾压缩机的相关内容,编号的位置,我要找的是什么,以及任何我的“工作”需要的工具。
同样地,托辞不一定总是亲力亲为。在我教授的“五日课程”中,每晚我会让学生出去收集一些公共场所的人们的信息。这样是为了让他们能够通过使用这些技能去和他人建立和谐和信任的关系,进而快速完成信息的分享。在一堂特殊的课上,我让一组学生在他们的酒店房间集合,佯装呼叫中心进行信息收集。
为了完成这个托辞,他们下载了一个叫作“繁荣办公室”的应用程序。这个程序能够播放办公室音效作为背景音乐。其中一个人的手机用来播放这个声音,其他人的手机用来通话。对于电话另一边的人们,这个托辞是成功的,因为他们听到了“呼叫中心”的声音。
无论是亲历而为,还是通过电话或者邮件,社会工程师的托辞需要包含着装、语言、措辞、声音以及沟通方式所涉及的每一方面,要向目标对象证明自己就是自己所说的那个人。
2.3 诱导
诱导的艺术在于并不直接询问对方问题,而是通过平常的对话获得信息。诱导需要你与目标对象(见2.4节)就他的生活、家庭和工作进行交谈。你与他建立融洽的关系,让他喜欢你,对你敞开心扉,并提供你所需要的细节信息。这是一个简单的例子,但却是社会工程中最重要的方面之一。
在本书的最后,我将用大量的篇幅论述非语言交流对诱导的影响。非语言交流能助你成为一名诱导的高手。
2.4 密切关系
我的好友、作家罗宾·迪克尔在他的书《那不是“我”的一切》(It's Not All About “Me”)中对建立密切关系的技能进行了定义和论述。他能迅速教会任何人以最佳的方式获得他人的认可,并营造信任的氛围。这种信任感会让他们彼此交谈并说出可能很有价值的信息。这种信任也可能让某些人采取行动,比如点击一个恶意的链接,或者对社会工程师放行。
密切关系是指当某人敞开心扉,愿意信任你并分享他们的生活信息时,你所感受到的亲近感或者信任感。罗宾将建立密切关系的方式分解为以下10项。接下来让我们快速浏览一下。
❑ 人为时间限制:让别人知道你不会“打扰”他们很长时间。
❑ 匹配的非语言行为:确保你的非语言行为和你说的话是匹配的,否则会令人生疑。
❑ 放慢语速:慢点说话就不会表现出紧张的情绪。
❑ 打同情牌:使用有力的语言,如“您能帮帮我吗”。
❑ 自我抑制:暂时延迟自我意识而去认可他人是正确的,即便他们不是正确的。
❑ 包容:用温暖和真诚包容他人,以及他人的知识和技能。
❑ 询问“怎么样”“什么时候”“为什么”:询问能够引出更多回应的开放性问题。
❑ 让步条件:可以稍稍释放一些信息让对方感觉舒适,进而分享他们的信息。
❑ 互惠互利:予人玫瑰,手有余香。
❑ 调控预期:不要贪心,事情不妙时要进行调整。
以上10项内容非常有效,做为一名高效社会工程师,必须掌握这些技能。
2.5 影响/操纵
我认为所谓“影响”就是让别人做我们想让他做的事,也就是说,要让目标对象自愿认为你想让他们做的事也一直是他们所想的。
关于这个主题,罗伯特·西奥迪尼博士是最伟大的思想家之一。他终身致力于影响力及其影响方式的研究。罗伯特·西奥迪尼从以下8个方面对影响力进行了定义。
❑ 互惠互利:会让人在感到受了恩惠后主动泄密。
❑ 义务:会影响人们基于感情而去做某些事,无论是否是因为社会规范的原因而要去表示感激,还是感到我们亏欠别人什么。
❑ 让步:允许别人问你一些小问题。做出让步并回答一些基本的问题会让目标对象回答更重要的问题。
❑ 不足:当人们确信问题中的事项或信息很难获得,数量不多,或者可能永远消失,那么该信息就变得稀有,变得更有价值。
❑ 权威:利用了我们天生的听从指挥,尤其是那些地位高的人的指挥的本性。
❑ 坚持和承诺:如果目标对象开始进入一种状态后,就会涉及对该状态的坚持和承诺。当她想保持自己的反应的一致性时,就会有一种自己要继续给出一致的答案的感觉。
❑ 爱好:人们喜欢那些喜欢他们的人。如果我们的目标对象感到自己受欢迎,那么作为回报,他们也会喜欢我们并向我们提供我们需要的信息。
❑ 社会认同:如果别人都这样做,那么这样做就是正确的。这个原则就是利用了人们的从众心理。
学习掌握、理解和使用上述8项原则,就能使你成为一名社会工程大师。操纵与影响力差别不大。尽管精确地区分二者是很重要的,但是事实上,当我们分析操纵行为的时候,就会发现操纵行为和影响力非常相似。影响力是让人们做我们想让他们去做的事。操纵行为是让人们去做他们本不想做的事。
事实上,当你想影响他人的时候,通常就是想尽量让他们觉得因为见到你而感觉更好;而当你操纵他人时,你就不再关注他们的感觉了。不管客体有何感受,得到你想要的东西就是你的目标。
作为一名社会工程师,我尽量不施加操纵行为,因为这会让我的客户感到不适,还会破坏我们的关系,让我的客户心扉紧闭。相反地,我常常努力影响客户,因为这样能让他们拥有一个开放的心态接受建议、培训和改变。
有一个很好的例证,就是我的一个好友告诉我,操纵行为就好比让我们的孩子接受他们所需的肌肉注射。药物会让他们感觉好起来,但是肌肉注射会有些痛。作为一名专业的社会工程师,无论我是怎样获得信息的,都会让对方“有些痛”,而我的目的则是利用客户能接受而且疼痛最小的方式来增强其安全感。
2.6 框架
就像一个房子的框架是它的基础结构一样,一个人的框架就是她的情绪、心理以及个人和家庭史。是什么促使她以她的方式去思考、行动和谈话?这些动机就是一个人的框架。
一个人的人生经历会改变她看待周围世界的角度以及她对各种事情的反应。如果社会工程师能够了解到一个人的框架,那么他就能在他自己的框架和目标对象的框架间架起一座桥梁。
最简单的方式就是找到双方的共同点,之后建立亲密关系。这样做能够更容易地建立起彼此框架的桥梁。一旦该桥梁建立,目标对象和社会工程师就成了彼此队伍的“一员”。这样从目标对象那里收集信息就变得更容易了。
2.7 非语言交流
第1章详细描述了何为非语言交流(nonverbal communication,也被称作nonverbals)。正如我在自己的第一本书中所说的那样,非语言交流从根本意义上改变了我们对社会工程的看法。将非语言交流同之前描述的其他方面结合起来,任何人都能成为充满魅力的社会工程师。
非语言交流占据了我们交流的大部分。我们所说的话或肯定或否定,都是由我们怎么说以及我们说话的时候看起来怎样决定的。社会工程师若能察觉、分析并解读微表情、宏表情、微妙的微表情、会话信号以及肢体语言,就能理解目标对象的情感组成。
如果在接触目标对象之前能够预先了解其情绪状态,我们就能转变接触方法、开场白以及提问的方式,以及谈话类型。
我的第一本书对于非语言交流只做了肤浅的研究,仅仅介绍了基本的面部表情。在保罗·艾克曼博士的帮助下,我在本书中深入地阐述了面部、手部、肢体、腿、躯干和情绪的关系。本书会向你介绍这些部位是如何帮助我们洞悉目标对象情绪的。
首先我们需要讨论非语言交流是如何在不同类型的社会工程中发挥作用的。
2.8 社会工程的三种基础形式
社会工程有三种攻击形式。了解这三种形式的差别很重要。因为非语言交流在这几种形式中都能发挥作用。接下来就让我们来了解一下这三种形式:网络钓鱼
、电话诱导以及身份模拟。
2.8.1 成为网钓客
社会工程中使用最广泛的形式就是网络钓鱼。也就是群发或者有针对性地发送包含恶意文件、链接或者指令的邮件。如果用户点击、打开这些邮件,或者按照这些指令去做,就会造成破坏、资料丢失,以及很多其他损失。
在写这一章时,我碰巧从新闻中看到这样一则网络钓鱼的实例。可口可乐公司的一名经理接到了一封让他打开总裁关于公司节能的邮件,并声称公司正在积极推进这个事情。该邮件及其附件都是非法的。当他打开文件时,会运行其中一个程序,使得黑客能够远程访问他的计算机。此举最终殃及整个网络,且数月都未被发现。
钓鱼邮件是普遍存在的。有组织声称每300封邮件中就有1封邮件是钓鱼邮件。这个数量甚至还不能完全包括有针对性攻击的钓鱼邮件。当社会工程师将某人锁定为目标时,他就会进行钓鱼式攻击——向目标发送包含其个人喜恶的非常个性化邮件。他也可能使用被称为“捕鲸”的方式,就是将定向钓鱼邮件发送给更引人注目的目标,如大银行的首席执行官。
无论采用何种方式,社会工程师都会在邮件中利用收件人恐惧、好奇或畏惧的心理促使收件人做出并不符合他们最佳利益的行为。
让我们看一封钓鱼邮件,并分析为什么这是一个有效的战术。最近钓鱼邮件在Facebook上传播得最为广泛。Facebook拥有十亿多用户,自然也是钓鱼邮件的目标。请看图2-1。
图2-1 伪装Facebook发邮件是最流行的钓鱼攻击方式之一
我们需要注意这类钓鱼邮件有着一些关键特征。首先,它们是可以收发的,看起来和真的Facebook邮件一样,有着一样的设计和颜色,看起来简单恰当。此外,标题栏也是从真正的Facebook邮件中窃取的。如果满足以下各项内容,那么这封邮件就是虚假的。
❑ 发件地址不是Facebook。有时社会工程师会用facbook.com、faceboook.com或者Facebook.co发送邮件,而人们往往会忽视这些小的变动。
❑ 问候语很简单,只是说“你好”。而通常情况下问候语应该包含姓名或用户名。
❑ 通常被人们忽视的最大线索是链接。当我们把鼠标滑到链接处时,我们看到的网页不是Facebook,而是社会工程师的网站。
❑ 这封特定的邮件相当智能。无论是链接、按钮还是退订链接都会将目标导向恶意网站。
另外一个严重的恶意网络钓鱼的例子是伪造PayPal邮件,如图2-2所示。
图2-2 PayPal经常受到钓鱼攻击
因为这些邮件的攻击对象是我们的钱包(或者我们相信是这么回事),所以会影响到我们的生活。由于担心有人趁虚而入偷走我们的钱,我们会在点击链接后,迅速登录账号进行核实,可这恰恰正中了攻击者的下怀。虚假网站、登录系统以及设置演示可以获取我们的登录凭证。当攻击者获得这些凭证后,他会登录,然后就会做出让我们惊恐的事——偷走我们的钱。
在网络钓鱼中运用非语言交流
起初,你可能很难想象在书面语中是如何使用非语言交流的。然而,考虑到框架能够支撑起人们的精神和心理之“家”,情况就不同了。社会工程师需要通过改变框架,使目标对象在社会工程师的框架内去思考、感受,并给出相应的反应。这个过程叫作框架桥接。一个人在他和另外一个人的框架间“搭桥”,进而让另外的人能够在“桥”的中间和他相见,或者通过“搭桥”使得双方找到共同的兴趣点。
框架的主要规则之一就是我们所有的话都能激活这个框架。我们的大脑是通过情境进行思考的,所以我们会在脑海形成所说话的场景。那些场景创建了情绪反应。正是这些反应让目标对象可能做出不符合他们最佳利益的行为。
一名蓄意攻击的社会工程师会触发目标对象的一系列情绪。比如通过邮件让目标对象执行操作。大多数时间里,蓄意攻击的社会工程师会利用恐惧(损失、盗窃等)或悲伤(与同情以及“帮帮我”的恳求联系在一起)的情绪诱导目标对象做出该社会工程师需要的反应。
类似于“请于24小时内完成,否则您的账户会被暂停”的陈述会诱发恐惧的反应。因为想到你的账户在未经你许可的情况下被他人使用的可能性,你会出于恐惧做出相应的反应。这个反应是由言语引发的,那些言语在你的脑海中形成了一幅画面,进而激发了你的情绪反应。
此外,表情符号在文本、电子邮件和即时消息中的使用越来越多。奥黛丽·尼尔森博士是The Gender Communication Handbook: Conquering Conversational Collisions Between Men and Women一书的作者。在这本书中,她谈到了表情符号在书面沟通中的使用。她将表情符号定义为“非语言的、书面形式的情绪指示符”。
以下哪种表达能让读者觉得友好?
❑ 哇!看来你没有想清楚!
❑ 哇!看来你没有想清楚!☺
❑ 哇!看来你没有想清楚!☺
因为使用了笑脸符号,所以第3句的表达内容变成了调侃而不是批评。针对目标对象的情绪可以影响到其对消息的反应。表情符号通常不会在诱发恐惧的邮件中出现,但是会在那些装作是由朋友(比如Facebook好友)发来的钓鱼邮件中出现;或者,也可能出现在伪装成由潜在恋爱对象发送的邮件中,如来自知名交友网站的邮件。在这些情况下,表情符号用来彰显发件人的开心、友好和开朗。
2.8.2 比恶意软件更危险的电话诱导
电话诱导是社会工程领域最常用的第二种工具。在过去的18到24个月中,黑客活动分子对大公司的攻击多采用电话诱导的方式。例如,黑客组织UG-NAZI对一个基于Web的发票公司发起了攻击。UG-NAZI对该公司的数据库管理程序进行了大量的信息采集。之后致电该公司的技术支持公司申请重置密码。因为UG-NAZI掌握了数据库管理程序的全部信息,所以他们能够回答密保问题并重置密码。
结果UG-NAZI下载了成千兆的客户信用卡号,之后为了好玩又删除了服务器。这只是近期众多新闻中的一个而已。
为什么电话攻击的数量与日俱增呢?首先,来电显示欺诈既经济又容易。欺诈号码可以与你真正打出的号码并不一致,也就是说社会工程师可以伪造任何他想伪装的电话号码。他可以让接电话的人认为自己接到的就是技术支持公司、供应商甚至美国总统的电话。来电显示欺诈能够迅速营造出信任的氛围,因为电话号码“证明”了呼叫者身份的真实性。
其次,打电话很容易。社会工程师不必亲临现场,甚至不需要在同一个国家,就能利用电话进行信息采集。在进行一些练习之后,他就能制造出令人信服的故事情节,并与目标对象建立起适度的信任关系。
在一次工作中,我们使用了三重攻击。首先,向目标公司的员工发送了钓鱼邮件,说是可以免费领取iPhone 5手机(当时苹果公司的最新款手机),条件是需要这些员工使用他们的域登录凭证填写一个表格。最终,数以百计的员工填写了该表格。
其次,我们打电话给这些员工并告诉他们成为了钓鱼邮件的受害者。在我的托辞中,我是技术支持公司的“保罗”。我告诉这些员工,说他们的电脑被安装了跟踪器,所以我需要他们运行一个可执行文件卸除这个跟踪器。这个可执行文件并非清理工具,而是一个可以远程操控他们电脑的恶意软件。在我打出电话的当天,有98%的人在没有问我任何问题的情况下按照要求执行了操作。我只是简单地告诉这些人,我是技术支持公司的工作人员,我们需要继续完成之前的工作。
在20世纪60年代,心理学家斯坦利·米尔格拉姆曾通过一个实验来测试人们对于权威的敏感性——甚至当那些权威违背了他们的道德判断时。当参与实验的一部分志愿者回答错误时,另一部分志愿者就被要求对这些人施行电击。随着被电击者痛苦的增加,实验旁观者自身的不适感也在不断增加。然而,“研究者”在接到指示后对大家说:“实验仍需继续,请大家配合。”
第二重攻击过程与这个著名的服从实验很像,我一直在强调“我们必须清理系统”“如果不这么做,网络就会出更大的问题”。在说这些话时,我充满了自信和权威性。
对于渗透测试来说,需要论证的点已经得到了答案。当时电脑已经下载了恶意软件,所以我的团队和我想再做一个测试。我以按照要求运行了执行文件的公司员工的身份给技术支持公司打了电话,告诉技术公司我的VPN(虚拟专网)的证书被删除了,我需要进行恢复。获得这个证书的信息可以让我进入网络中最重要的部分。
我们的通话是这样的。
“您好,我是技术公司的西尔维娅。请问有什么可以帮您的?”
我仿冒了公司员工的电话号码,说道:“你好,我是詹姆斯。我刚刚在我的电脑上下载了一些不该下载的东西。在运行杀毒软件后,我的VPN证书也被删除了。请问能再给我发一下证书吗?”“当然可以。请告诉我您的全名。”“詹姆斯·史密斯,可以叫我吉姆。”“吉姆?史密斯?”“是的。”“你难道没有听出我的声音吗?我是西尔维娅啊。”
我不得不快速思考,因为我不知道他们两个人是什么样的关系。可能一句话就暴露了我的身份。“对不起,西尔维娅。我太紧张了。我点击了钓鱼邮件,让我的电脑下载了讨厌的软件。我努力清理电脑的时候,那个软件把我的电脑搞得一团糟。我现在头昏脑胀。我想应该是感冒了,嗓子有点不舒服。除此之外,我还弄丢了我的VPN证书。原谅我吧。能帮帮我吗?”
“瞧你说的,吉姆。我这就恢复证书。”
几秒钟后,我拿到了通关的“钥匙”。为什么一切可以进行得这么顺利呢?因为我的电话号码、名字和理由都是正确的。这一切都毋庸置疑。
在电话诱导中使用非语言交流
微笑会让你听起来很开心。根据Scharlemann、Eckel、Kacelnik和Wilson(2001)的研究,微笑会让我们给予并收获更多的信任。实际上,即使我们看不到微笑,也能感觉到它。在他们的论文“The Value of a Smile: Game Theory with a Human Face”中,他们是这样说的:“微笑能够提升陌生人间的信任度。尽管照片中的人是同样的人,但是受试者更愿意相信那些展露笑容的人。”
除了微笑外,身体姿势、手势、声调、音量、语速和音高都会影响电话另一边的人对我们以及我们所说的事情的感受。这些因素都是能够提升我们对目标对象影响力的非语言交流方式。
当我在第二重攻击中将自己伪装成技术支持代表时,我的声调要显得专业而不是紧张。即便目标对象看不到我的脸,但是他(她)能“听”到我的笑容。这个笑容有助于建立信任感。我的姿态也要让人感到权威。
当我在第三重阶段假扮员工给技术支持公司打电话时,为了让我的说辞更可信,我的脸要表现出恐惧,音量、音高和语速都要更低、更慢。我的非语言行为必须要传递出这种信息:“对不起,我搞砸了,请帮帮我。”我通过改变面部表情来让情绪和身份匹配,进而让自己的托辞更为可信。
甚至连我们的坐姿和着装也能影响到电话另一边的听者对我们语气的感知。在social-engineer.org第34期简讯(http:www.social-engineer.org/newsletter/Social-Engineer.Org%20Newsletter20Vol.%2003%20Iss.%2034.html)中,我谈到了研究人员亚当·加林斯基进行的关于着装认知的实验。这个研究揭示了我们对于着装的感知会影响我们如何处理被要求去做的任务和工作。
这个实验进一步证明了着装、非语言行为等会影响目标对象对我们语气的感知。正如前面所说的,由于心理原因,同样的衣服会因为受试者表现的不同而拥有另外的含义。因此,我了解到自己在工作中的穿着能够(也将会)对我的行事方式造成影响。
2.8.3 我不是你想象的那种社会工程师
在电话和网络问世之前,人们是需要亲自实施诈骗诡计的。从把埃菲尔铁塔卖了数次的维克多·卢斯蒂格到街头骗子,面对面行骗自古以来就是社会工程中常用的伎俩。
近年来,在一个又一个的故事中,犯罪分子都在用着假冒的方法哄骗人们去做自己本不该做的事。比如,在美国,一个男人说服他的一些兄弟去抢银行。在实施抢劫前,这个男人假扮自己是联邦便衣探员兼顾客进入该银行。当他的朋友开始抢劫时,他制止了他们的犯罪行为,挽救了整个局面。他对罪犯实施了“逮捕”,并拿走了所有的钱当作证据。当他带着犯罪分子和装着现金的袋子离开银行时,银行的员工认为银行恢复了安全。但是事后并没有警察到达现场进行跟进。
为什么这样的攻击能够得逞呢?因为身份模拟能够和信任联系在一起。当某人带着徽章,穿着合适的制服,做出的行为也和他所说的身份一致时,我们的大脑就会对下列问题给出不言而喻的答案。
❑ 这个人是谁?
❑ 支撑他言论的证据是什么?
❑ 我安全吗?
当上述所有问题都有了答案,目标对象的心就安定下来了。这就是身份模拟的力量。在我讲过的关于库房的那个故事中,我不需要说出什么细节,因为我的制服说明了一切。我只需要回答剩下的问题——“你想做什么”和“你为什么会在这里”。
一旦这些问题得到回答,我的托辞就会完成其余的工作。除了外貌上的假扮外,面对面的社会工程攻击还涉及大量的对于其他形式的攻击造成困难的阻碍。比如,许多防火墙和其他技术能够拦截类似PDF和EXE格式的附件,阻止收件箱收取和运行这些附件。然而,如果这些附件是存储在优盘中的,那么它们就能被安装到电脑上。这样被拦截的可能性就会小很多。
我多次将标有“机密”“员工福利”和“保密相册”字样的电子钥匙、DVD故意留在工作场所,以刺激目标对象的好奇心。当他插入优盘或者DVD时,其电脑就会被盗用。
声名狼藉的蠕虫病毒攻击以及最近对荷兰帝斯曼化工的未遂攻击都表明优盘的重头角色。对恶意软件的好奇心是很危险的。
在身份模拟过程中使用非语言交流
身份模拟过程中会使用非语言交流,这一点不言而喻,但是对其的理解仍至关重要。在身份模拟攻击方式中,人际互动是很私人的,因此非语言交流对目标对象的影响是最大的。
当我们害怕被识破的时候会感到紧张或者恐惧,这是很正常的。如果我们的托辞是权威人士,那么紧张和恐惧会摧毁“我就是我说的这个人”的非语言关联。
在本书第8章我们会讨论更多的相关细节。如果社会工程师表现出愤怒、悲伤和恐惧的神情,那么这些情绪同样会反应在目标对象的大脑中。
对社会工程师来说,了解非语言交流能够对目标对象造成什么样的影响是极其重要的。这样就可以在识别非语言符号的情况下控制自己所扮演的角色。比如,一旦我们知道双手插兜是示弱的表现,那么我们就会在需要表现顺从的时候使用这个姿势,也会在需要表现权威的时候避免使用这个姿势。
在进行身份模拟的过程中,有时社会工程师可以仅依赖非语言交流。这在“尾随”实施过程中很适用。所谓“尾随”就是指没有权限进入某处的人通过跟随该处的员工进入某处。比如,可以通过以下方式完成“尾随”。
❑ 员工吸烟区:这类区域通常在办公楼后,普遍缺乏适当的安防措施。这样员工就能够自由进出。社会工程师可以成为吸烟者中的“一员”,然后尝试尾随这些吸烟者。
❑ 扛着大箱子或大物件:我已经记不清我有多少次是因为自己扛了大箱子而径直进入办公大楼的了。当我走近大门时,总有那么一个看上去乐于助人又善良的员工因为看到我步履维艰的样子,就让我进入了大楼。如果是个身材娇小、充满魅力的女性拎着一个很重的箱子,那么大家都会争着为她打开大门。
❑ 假徽章:另外一种能够成功地提升信任感的方式是假徽章。社会工程师制作一个看起来很真实但其实不能帮助他进入办公大楼的徽章。当他几次刷卡都不成功的时候,乐于助人的员工看到后都会对他放行。
这些只是身份模拟中不包含太多言语或者根本没有什么言语的几种情况。这些情况对社会工程师的非语言交流技能是个很大的考验。每个人都有一个内在的雷达,如果感到有什么不妥,这个雷达就会发声。这种不妥的感觉通常建立在他人的非语言交流行为带给我们的感觉基础上。这就使得社会工程师控制和利用这些表现来表达正确“感觉”的能力显得尤其重要。
2.9 使用社会工程技能
社会工程技能也不总是用在消极方面。这些技能也可以用在积极方面。对此,我将进行简单论述,而这正是本书剩余部分将要讨论的内容。再次强调一下,我把社会工程行为定义为能够影响人们采取行动的任何行为,而且这些行动可能符合也可能不符合他们的最佳利益。
2.9.1 积极方面
积极的社会工程很好理解。假设一个小孩子想让父母给自己买东西。她走到妈妈面前,说:“妈妈,我可以买个芭比娃娃吗?”
妈妈说:“我不知道,问你爸爸。”
这个小女孩走到坐在沙发上的爸爸跟前,依偎在爸爸身旁,说道:“妈妈说如果你同意的话就给我买一个新的芭比娃娃。爸爸,求求你了。”
爸爸看着小女孩美丽的大眼睛,说道:“当然可以,我的小宝贝。”
刚刚发生了什么?在不知道心理学、非语言交流和沟通建模的情况下,这个小姑娘却运用了上述所有技能。
就我的经验来讲,对妈妈的第一次请求往往发生在孩子做了一件值得表扬的事情或者与妈妈很亲密的某个时刻后。在这个时刻,信任和爱的荷尔蒙在血液中迅速聚集。但是真正的社会工程却发生在和爸爸的交流中。
首先是触摸的力量。当小女孩依偎在爸爸身旁,靠近爸爸时,这就建立起一个感情纽带。之后,由“妈妈已经同意了”做开场,这是运用了社会认同。这一切结合起来构成了无法阻挡的力量。最后,小女孩达成所愿。
另外,一些更严重的情况可能包含修复或者治疗。社会工程师需要教人们重新构建和思考自己的信仰体系。一旦人们重新思考自己的信仰,他们就可能走上不同的道路。其实,可以通过影响力使人们停止消极思考、滥用酒精或毒品以及终止虐待倾向。
社会工程可以用来影响人们去做对自己有益的事。可以帮助人们重新构建思考方式,创造一种成长的氛围,还可以帮助人们改掉积习已久的坏习惯。
当我的一个孩子还小的时候,他拒绝吃早餐。我把这看作一种“高压攻势”。他只是希望自己能够控制自己生活中的这个环节,与反抗以及做个坏孩子并无关联。了解到他这么做只是想自己做出选择并且拥有选择的权力,所以有一天我起床后没有准备什么早点,而是对他说:“我知道你对上学前要吃早点这件事很烦恼,那么今天就由你做主。你想吃麦片还是鸡蛋?”
他做出了选择,觉得自己得到了授权。最终我们获得了双赢。我很开心,因为儿子吃饭了。儿子也很开心,因为他获得了选择的权力。这种社会工程是积极的,因为基本原则是双赢。在这个过程中,没有失败者,做出的改变让双方因为这个改变而感觉更好了。
2.9.2 消极方面
以上技能也可以为蓄意攻击的社会工程师所用。“积极”和“消极”的区别就在于意图的不同。就消极层面来说,社会工程师不愿帮助、改进或者让你的生活更美好,他只关心自己能得到什么。
1990年3月18日,波士顿加德纳博物馆的侧门被人敲响。敲门声过后,大门仍是紧闭的。但是在看到是两名身穿制服的警察时,保安打开了门,让他们进入了博物馆。最后却发现他们根本不是什么警察。这两人没有使用任何武器就让这两名保安“屈服”并把他们五花大绑。在不到90分钟的时间里,这两人就偷走了13件艺术品,总价值3~5亿美元。
这次抢劫运用了影响力和权威的原则。我们被教导要服从权威人物,尤其是警察。盗贼就是利用了这一点并偷走了价值逾3亿美元的艺术品。
在2003年的安特卫普钻石劫案中,里昂那多·诺塔巴托罗在办公楼里租了一个地方。这个大楼里住着很多钻石商人。他在这个地方住了3年,为的就是能够在这个过程中与他人建立信任和密切的关系。他和他的同伙假扮钻石商人闯入了有多重保护的金库,洗劫了价值超过1亿美元的宝石。有趣的是,他们之所以被捕是因为5人中有一人忘记烧毁装有本次作案证据的袋子。
诸如对HBGary Federal公司、太平洋生物网站和可口可乐公司的黑客攻击都是由一封钓鱼邮件开始的。其他的如“夜龙”和“蠕虫”攻击,则用到了电话和专用硬件。为了能够得逞,这些攻击都用到了或者集中使用了社会工程的技能。无论是针对公司的复杂攻击还是每天在路边以孙辈的名义骗老人家钱财的行为都用到了社会工程的技能。这两种欺诈行为都包括策划、收集信息以及大量的非语言交流。
2.9.3 丑陋的一面
当我们谈到这些技能的时候,还需要知道这些技能的应用有比“消极”方面更进一步的“丑陋”的一面。本书不会深入探讨这个方面,因为这并不是我的专长。最近我有机会采访前FBI特工兼心理学家玛丽·埃伦·奥图尔。在采访过程中我们探讨了精神变态者是如何使用社会工程技能的。她回想了一些工作时的案例以及她了解的涉及社会工程技能的案例。这些案例都有着灾难性的后果。以泰德·邦迪为例,他在20世纪70年代4年多的时间里恐吓女性,制造了30多起凶杀案。他利用社会工程的技能实施犯罪。他假扮警察,通过权威的力量实施攻击。他最有效的方式是扮演拄着拐杖或者打上石膏的伤者,然后通过恳求获得帮助和同情。受害者出于对他的同情而帮助他,然而不幸的是他们得到的回报多是死亡。
如前所述,我不想在这个部分做过多赘述。但是对它有所了解是很重要的。当我们进行分析的时候,就会发现所有的情况用到的技能组合几乎是相同的。无论是积极的、消极的,还是丑陋的一面,社会工程看上去都是一样的。但是它们有一个主要的差异,那就是意图的不同。
2.10 总结
首先,我需要重申社会工程行为的定义:任何能够影响到人们出于或者不出于自己的最佳利益行动的行为。无论是利用邮件、电话还是面对面沟通,其中的非语言交流不仅能提升我们的交流能力,还能保障我们的安全。
社会工程是我们交流的一部分,在我们的日常生活中无处不在。这真是既有趣又激动人心。社会工程让交流变成了一种有趣的学习过程。
在继续阅读之前,我想说的是这本书并不会对社会工程所涉及的全部内容进行讨论。我写这本书的目的是想帮助你——安全专家、教师、家长、总裁、临床医学家,帮助你们提升对于最常用的非语言行为的了解。
每一章都会介绍一个身体部位及其在非语言交流中的表现。下一章会研究我们身体中最“健谈”的部位:手。我们的手会有意或者无意地“说”些什么呢?如何解读手部的语言?如何用手影响他人的情绪呢?
第3章会对这些问题一一进行解答。