社交工程学有非常多的用法,其结果完全取决于目标。其中就包括当权者和间谍机构对公民施加的操纵和控制。
👉 “如果您已成为目标”,您就必须随时留意这些迹象,以准确判断当权者的真实目的。否则,您可能会越陷越深,很快失去反击的能力。
而另一方面,在出现下面部分迹象时,您可能更加难以动员人们反抗。
那么这些威胁迹象都包括什么?它分为外部和内部两部分。
—— 外部威胁 ——
1、稀缺的力量
稀缺性指的是,人们被告知,他们最想要的东西非常有限和稀罕,要想获得它,就必须遵循某种态度和行为。
但是,他们往往不会明确指出所谓的 “正当态度和行为” 究竟是什么,而是向表现出让当权者满意的行为的人展示奖赏。
有些时候心理捷径是有益的,可以使人们能够更有效地应对生活的复杂性。但是,稀缺性的恐吓却具有严重的误导性。
而且,这个作用是双向促进的。当有人得到了别人没有得到的东西~~ 比如特殊权限、食物、水,等等,就会使他们感到自己 “特殊”,“独特”,“崇高”,并将这些人置于捍卫暴政的位置上。他们害怕失去这份特权。
害怕失去是一种依恋。依恋导致懦弱和奴性。
一个例子是南非政府,他们夺走了人们生命所必需的东西,并使它 “稀缺” 且仅供支持政府的人可用 —— 这是一种恶意的但非常有效的操纵策略。
更糟糕的是,稀缺性创造了使稀缺性永存的心态。
穷人保持贫穷,孤独者保持孤独,忙碌者保持忙碌 …… 稀缺性创造了一种使稀缺性永存的心态。
如果所有这些看起来都很惨淡,那么另一种观点就出现了:穷人之所以贫穷,是因为他们缺乏技能;孤独者之所以孤独,因为它们令人讨厌;忙碌的人之所以忙碌是因为他们缺乏组织生活的能力 ……
用这种替代的观点,稀缺变成了深层的个人问题的结果,很难改变。而相反,稀缺性心态是因果关系的结果,更容易接受补救措施。
👉稀缺性本身就是环境条件的结果,而不是个人特质,这种条件通常可以加以管理从而改变它。但为什么人们却忘记了如何去改变?
稀缺性削弱人的勇气,使决策过程变得复杂,因为通常只有短暂的机会窗口可以选择稀缺的东西。所以你的全部注意力都会被吸收在那个窗口上。
这对所有人来说都是如此,不论智商如何,当看到眼前的供应开始减少时,人们就必定会感到特别有必要采取行动。经历过疫情抢购的人们应该很容易理解这点。
每种情况和稀缺性都是不同的,经常并不是厕纸和大米这么明显,当权者甚至可以人为制造出稀缺 —— 塑造公众的价值观。比如中国的户籍制度,强行将某些城市定义为高档并限制迁居。
不论如何,请随时记得,当你感知到稀缺的紧迫感时,试图去寻找它的成因,并想办法抵抗不公正的稀缺。而非跟随欲望。越多的人认同稀缺的 “合理性”,它就越容易加速深化,将所有人都拉入深渊。
2、惧怕权威
许多人在一个被视为权威的人物面前会感到焦虑,不是他们对那个人感到焦虑,而是对恐吓他们的人所代表的地位和权力。
于是,攻击者很擅长扮演着执法人员或公司高级官员之类的权威人物角色,以从受害者那里提取敏感信息。
这是一种长盛不衰的社交工程手段。还记得那个电影吗?《Der Hauptmann》那不是虚构的。在这里看到介绍 《人性的懦弱:社交工程攻击和行为操纵的便捷入口》。
👉 恐惧和服从并不是攻击者 “植入” 的,而是来自人们根深蒂固的对权威的下意识反应。攻击者所做的只是 **启发** 了你内心的冲动。
启发在社交工程攻击方面的应用非常广泛《5种有效的社交工程启发术》
学习这些知识可以帮助您理解操纵者的手段,并随时控制自己的行为。
3、提供帮助的渴望
“帮助” 这个词可能会存在歧义,因为这里所指的帮助并无关善良和爱心,准确说是在追求一种自我炫耀的满足感,“你看我知道这件事/我能做到***”。
攻击者的做法就是刺激目标人的这种满足感的欲望。
越是不怎么懂的人越希望彰显出自己懂一些东西,越是权力低微的人越渴望表现出自己的权力。攻击者很了解这点,这就是为什么他们以看门人、清洁人员为目标,以获得进入重要设施的权限,或者套出敏感的致命信息。
这在互联网上也一样。
当你显得自己 “无所不知” 时,任何人都不会告诉你他们知道什么。相反,如果你让自己看起来像个白痴 …… 几乎所有人都会努力 “纠正” 你的错误、试图教导你什么才是真实的信息。
👉 攻击者要做的就是给目标人一种 “你比我智高一筹” 的优越感,在这种感觉的熏陶下,目标人就会非常愿意吐露更多重要的敏感信息。
这种手段屡试不爽。尤其是通过社交媒体这种激发表现欲的媒介 —— 你只需要稍微装傻,就可以轻松获得很多人隐秘的知识和重要信息。
👌总之:请随时留意您说出的每一句话,使用 *对抗性思考方式* —— 即:考虑如果恶意者听到/看到了你所说的,他们可以用此信息来做什么。
4、习以为常
我们所有人都遇到过某些工作,这些工作仅要求我们执行一组指定的活动,仅此而已。
这会使每天重复执行相同任务的人感到无聊,并且随着时间的流逝,这种无聊感会促使你在满足目标的同时以最小的努力来完成任务。
这就导致了一种很随意的态度,并且容易受到攻击。这些攻击者将此类人作为目标,知道他们可以轻松获得攻击者所需的信息。
👉习以为常感会冲淡人的态势感知力,甚至其中一些人开始向 “身边人” 倾诉自己的无聊,以获得心理层面的呼应。但是他们忘了,对他们自己来说 “习以为常” 的东西,对外人来说经常是稀奇和新鲜的。听者会传播这些信息,从而被攻击者捕获。
👌 如果您是组织中的负责人,请尽可能安排您的队友在不同时间段内做不同的工作,并同时制定严格合理的安全标准,以避免恶意者借助无聊情绪来渗透你的组织。
如果您是工作者,请随时提醒自己保持警觉,主动转移一下自己的侧重,做一些其他的事;让好奇心保持在足够的高度上。好奇心是敏锐的驱动力。
5、自我
如果你怀疑地球是平的,我就会努力 “为你证实” 为什么地球就是平的。这样一来你就会特别喜欢我,因此不会意识到我这在对你做什么。
这也是一种特别常见的攻击方法。包括在信息战心理操纵中都会使用这点。
举个例子。我制作一个博客/公众号/频道,我对目标受众群体做出了充分的调查 —— 我知道他们信任什么和不信什么、他们的主要观点和认知,然后我就会借助这个平台不断强调和重复目标受众群体的基本认识;这种情况下我会迅速拉拢所有人,甚至更多人。因为我的陈述 “证实” 了他们的想法。
👉不论这个想法有多么荒谬。这就是社交媒体营销所采取的方法 —— 不断重复每个人都知道的常识,排斥一切新的完全不同的信息的输入。增粉大法。
在本文的主题上,增粉并不是目标,操纵才是。在心理战术中,当我能成功博取目标受众的信任时,我将开始渗透我想要你相信的主张。这种情况下人们已经对我操作的 博客/公众号/频道 具有足够信任,来自这里的任何信息都更加容易被赋予同等的信任。当然,这需要微妙地逐步地进行,而不是一次性灌输,让人们跌眼镜是不会成功的。
再一次,这种手段在那种旨在促进表现欲的媒介上使用会特别高效,比如社交媒体。👉在这里,大多数人仅仅是希望证实自己的判断,从而获得更强大的自信,而不是学习新的不同的东西。
我们一直被告知,保持自信,以避免恶意的误导。在很多时候它是好事,但也有一些情况下,比如上述这类操作。自信会导致更容易受到攻击。
攻击者会想办法促进目标人的自信、让目标人对自己的感觉的真实性更加有把握 —— 从而消除了对正在发生的安全漏洞的逻辑意识。
结果是,被黑客入侵的人在提供攻击者所要求的内容时不会感到任何伤害。
此类攻击之所以能成功的原因就是,攻击者拉低自己的位置,扮演受害人的听众,他们帮助受害人构建偏执的自信。
自我不会消失,但它是否会使您变得脆弱,取决于您如何处理它的具体情况。
👌最简单的检测在于,问自己这个问题:您觉得自己比别人更优越(或更卑劣)吗?如果是,那么您的自我处于控制之中。根据背景信息选择:“不是现在、不是这里、不是对这个”…… 或者做一些反情报思考。
上面这本书可以在这里下载:https://t.me/iyouport/7008
6、对胜利的兴奋和对失败的恐惧
这两者是一回事。
如果你被告知很容易可以赚到钱、甚至只有一段很短的时间内有效,这就很容易被激发冲动去做出傻事。
👉出于兴奋,安全意识被关闭了,链接被点击,下载了恶意软件,该恶意软件使攻击者可以远程访问你的设备,你的钱、数据、等等一切都被拿走了。
Easy money 的确存在,但可惜不是给您的。而是攻击者。
这种手段听起来太容易避免了,“我不贪心不就行了吗?” 不一定。它会与上述各种手段结合使用 —— 比如,在疫情最危险的时刻,攻击者声称现在你可以从这里买到合规的平价口罩,也就是利用稀缺性,想想看,有多少人会上当?
大型灾难期间是攻击最频发的阶段,因为这样的阶段存在广泛的天然的恐慌情绪,这份情绪是让人们失去理智的重要因素,导致很容易受到攻击。
解决方案其实很简单,正如我们在 “社交工程” 栏目中多次强调的:在做出任何重要决策之前,停3分钟,思考一下,或者仅仅是转移一下自己的注意力到别的地方,稍后再回来重新考虑这一决策。蜥蜴脑能掌控的仅仅是这几分钟。时间就可以摆脱它的控制。
7、知识不足
花点时间思考就能避免攻击吗?是的,很多情况下的确如此;但是,也有些情况下,并非这么简单。
👉 如果您对当前状况的知识不足,不论花多少时间思考,都有可能做出错误的决定。
这就是为什么恶意者总是倾向于降低目标人的知识含量 —— 你知道的越少,就越容易接受操纵。包括独裁者,都会致力于保持民众的无知。
⚠️ 无知分为两种,一种是被动的无知,就如上述这样,被故意的信息封锁和瞒骗所侵害;还有一种是为主动的无知,即 不愿意接受那些与自己的固有想法相悖的新知识。
其实后一种比前一种更可怕,也更常见。最简单的例子,每个人都可以查找一下自己曾经买过的书,它们中大多数肯定具有某种共性,很可能围绕着同一种意识形态/思考方式/专业/等等。这是因为人们会下意识地寻求书籍和类似 “正规信源” 来证实和强调自己的固有想法(是的,再一次,使用的是 “5 自我” 中的逻辑)。
这就会造成主动的知识不足。举个例子,如果一个人的固有认知是认为武装起义是唯一可行的方案,那么此人就会拒绝大多数技术技巧方面的知识,而专注于武器相关的知识。但是,您知道,每一种反抗 — 包括武装起义 — 其成功与否的关键都在于技术和技巧,而且蛮力。缺乏策略会令您迅速陷入困境,不论您是否 “有枪”。
👌多学习些不同的东西并没有坏处,尤其是对于有事业理想追求的人来说,实现您的理想所需要的知识肯定不止一两种。
以轻松的方式收集(并传播)知识。尽力而为。
—— 外部威胁 ——
1、肩膀冲浪
这种攻击方式我们介绍过,见《现实生活中遍地都是可利用的信息:社交工程学侦查实践》。
肩膀冲浪是一种很常见的攻击形式,尤其是在每个人都专注于自己的手机的时代 —— 攻击者使用观察技术来获取信息,同时他们正在执行涉及令敏感信息可见的某些操作。
👉而且可以使用双筒望远镜或其他视觉增强设备在近距离和远距离执行此操作。
避免方法见 列表-1 “反侦查” 中的介绍。尤其是需要注意,不要在公共场合从事任何重要工作,包括登陆自己的真实网络账户。
👌当您在咖啡馆里准备选一个座位时,请首先注意自己的背后和四周,是否有其他位置可以看到您的电子设备屏幕;当您在公交车/地铁上时尤其需要注意,不要打开手机,更不要执行任何输入密码的操作,哪怕只是登陆社交媒体。排队购物时更是如此,因为您不可能指责站在您后面的人。
2、垃圾箱潜水
这应该无需赘述了。如今大多数人都明白,在丢掉垃圾之前应该检查一下,那里面是否存在对潜在恶意者有利的东西。我们发现中国网店上出售遮盖物流包裹上的标签的工具(那个东西没必要买,一只打火机就可以做到同样的事),至少显示市场已经对隐私安全有所关注。这是好事。
👉 但对于垃圾箱潜水的威胁性来说,并没有那么简单。关键在于,受害者 *自己* 认为哪些东西才是致命的。这可不容易判断。
再次引用上述 “内部威胁” 中的 “习以为常” 原理,当事人对于自己熟知的东西往往会放松警惕,尤其是与其个人利益相关性不大而是与其所在组织利益密切相关的东西。比如建筑物施工图、考勤表、其他人的购物回执等等。
对于攻击者来说这些东西中都包含大量的可用信息。
这就是为什么垃圾箱潜水经常能为情报收集带来最丰厚的回报,而且经久不衰。
人们经常会随手扔掉发票、通知、信件、CD、废弃的计算机、USB密钥以及其他东西,这些东西可以为真正的攻击者提供惊人的信息量 —— 不论是关于目标人的、还是目标项目的参与者、还是整个组织网络。
普通的碎纸机并没有用,更不用说简单地撕碎了。渴求情报的攻击者都具有非凡的耐心,也有足够的时间将碎纸重新拼接起来。
👌 请随时注意丢弃的东西,在哪里以及如何丢弃的问题。使用可以切成细碎的碎纸机会很好,当然,简单地焚烧都是可以的。丢弃电子设备之前请砸烂它们,越烂越好。
3、角色扮演
我们介绍过《角色扮演》,但那是为帮助行动者掩盖真实身份的防御措施。而本文中讲述的角色扮演是一种社交工程常规做法。
角色扮演是社会工程师的关键武器之一。它涉及通过使用在线聊天会话、电子邮件、电话、或您用于与其他人进行交互的任何其他途径,来说服、诱导、欺骗,以收集信息。
其中社交工程师有可能扮演咨询者或技术人员的角色、也可能是无助的可怜人、或其他任何可能的方式,具体取决于对目标人弱点的分析。在这种情况下诱使目标泄露机密信息。
👌 保持警惕的同时您也完全可以提供虚假的信息给对方。
随时记住意图是什么。意图是情报和反情报行动的关键要素。
4、特洛伊木马
这是犯罪分子和政府间谍使用的最主要方法之一,其中涉及诱骗受害者将恶意文件下载到他们的电子设备上,攻击不一定会立刻进行 —— 而是在其上创建后门,攻击者可以在日后随时使用它,从而可以完全访问受害者的设备。
斯诺登揭露的所有NSA黑客行动中,其中一项特别以其精巧和隐蔽性而引人注目。自2005年以来,美国国家安全局(NSA)及其合作间谍机构英国的 GCHQ 广泛使用了各种这类旁观者攻击骇客技术,以入侵高价值的、难以到达的系统,并植入恶意软件。
全部攻击手段分析《互联网霸主的时间线》
检测的重点是识别在浏览器尝试访问网页时发送到受害者的浏览器客户端的数据包中的异常。具体方法见这里。
5、钓鱼
网络钓鱼一般是指创建和使用虚假的网站和电子邮件地址的行为,这些网站和电子邮件的外观看起来非常像是来自知名的合法企业、金融机构和政府机构,以欺骗接收者泄露其真实个人信息。
将您的电子邮件客户端设置为接收纯文本电子邮件,而不是HTML格式。
仔细检查电子邮件中的任何网址。虚假地址可能只是一个字母不同或缺失。
更多方法参见下面:
6、网站、在线论坛和社交媒体上的开源信息
有关组织结构(正式和非正式)、电子邮件地址、电话号码的大量信息都可以在网站、论坛和社交媒体上公开获得。攻击者可以使用此信息来完善其方法,并瞄准最有可能成功的目标人、制定最有可能成功的策划。
开源情报的诸多演示已经足够证明这点:关于社交媒体有多可怕。根本性的也是最简单的解决方案就是,不要使用任何社交媒体和在线论坛。
但对于大多数组织和个人来说,这不现实。于是最好的做法是分身,尤其是在不同的社交媒体上采取不同的身份,避免将个人信息集中在一处。具体方法见:
7、逆向社交工程
逆向社交工程学攻击是指这样一种攻击,其中攻击者说服目标他或她有问题、或将来可能遇到特定问题,并且攻击者已准备好帮助解决该问题。
逆向社交工程涉及三个部分:
▶️ 破坏活动:攻击者获得对系统的简单访问权后,破坏了系统或使系统看上去受到破坏。当用户看到系统处于损坏状态时,他就会开始寻求帮助以解决问题。
▶️营销:为了确保用户准确地寻求攻击者的帮助,攻击者会给自己打广告自称为唯一可以解决问题的人。
▶️支持:在此步骤中,攻击者获得了目标的信任并获得了对敏感信息的访问权限。
当您的系统出现故障时,恰逢某人在适当的时间出现以帮助您解决问题,那也许是好运,但也请考虑其故障的真正成因,也许它是某种 “虚假困境”。
最后
基本上就是这样。这些威胁有可能并非单独出现,而是结合在一起、尤其是结合在一套逻辑完好的攻击策划中。
但它们的出现都具有一定程度的迹象,您需要做的就是保持批判性思考和警觉的意识。尤其是当攻击针对群体操作时,周围人的想法和行为很可能对您产生影响。希望每一位阅读过本文的朋友都能成为组织中金丝雀。⚪️