社会工程学习手册-一-

社会工程学习手册（一）

原文：Learn Social Engineering

协议：CC BY-NC-SA 4.0

零、前言

这本书将为你提供对社会工程的整体理解。通过让您详细了解社会工程师如何运作，它将帮助您避免和打击社会工程攻击。

学习社会工程从给你不同类型的社会工程攻击及其造成的损害的基础开始。然后，它设置实验室环境以使用不同的工具，然后执行社会工程步骤，如信息收集。这本书涵盖的主题从诱饵，网络钓鱼，鱼叉式网络钓鱼，到伪装和恐吓软件。 到本书结束时，你将有能力保护自己和
你的系统免受社会工程的威胁和攻击。

总而言之，这本书从头到尾涵盖了社会工程，并摘录了许多世界知名的安全专家的观点。

这本书是给谁的

这本书的目标读者是安全专家、安全分析师、渗透测试人员，或者任何想学习如何使用社会工程技术的从事信息安全工作的利益相关者。事先了解 Kali Linux 是一个额外的优势。

从这本书中获得最大收益

这是一个循序渐进的实用指南，将帮助你熟悉社会工程。在社会工程工具包、Kali Linux 等不同工具的帮助下，你可以在几分钟内开始阅读这本书。

下载彩色图像

我们还提供了一个 PDF 文件，其中有本书中使用的截图/图表的彩色图像。可以从www . packtpub . com/sites/default/files/downloads/learnsocialengeineering _ color images . pdf下载。

使用的惯例

本书通篇使用了许多文本约定。

CodeInText : 表示文本中的单词、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 句柄。下面是一个例子:Whois.net列出了人们搜索关于的信息的目标的电子邮件地址、电话号码和 IP 地址等信息

代码块设置如下:

intitle:"not for distribution" 
"confidential" site:websitename.com

粗体:表示你在屏幕上看到的一个新词、一个重要的单词或单词。例如，菜单或对话框中的单词出现在文本中，如下所示。下面是一个例子:“ 公司跟踪者 er :公司跟踪者对于收集电子邮件信息很重要。

Warnings or important notes appear like this.Tips and tricks appear like this.

取得联系

我们随时欢迎读者的反馈。

总体反馈:发送电子邮件feedback@packtpub.com，在邮件主题中提及书名。如果您对本书的任何方面有疑问，请发邮件至questions@packtpub.com联系我们。

勘误表:虽然我们已经尽力确保内容的准确性，但错误还是会发生。如果你在这本书里发现了一个错误，请告诉我们，我们将不胜感激。请访问 www.packtpub.com/submit-errata，选择您的图书，点击勘误表提交表格链接，并输入详细信息。

盗版:如果您在互联网上遇到我们作品的任何形式的非法拷贝，如果您能提供我们的地址或网站名称，我们将不胜感激。请通过copyright@packtpub.com联系我们，并提供材料链接。

如果你有兴趣成为一名作家:如果有你擅长的主题，并且你有兴趣写书或投稿，请访问 authors.packtpub.com。

复习

请留下评论。一旦你阅读并使用了这本书，为什么不在你购买它的网站上留下评论呢？潜在的读者可以看到并使用您不带偏见的意见来做出购买决定，我们 Packt 可以了解您对我们产品的看法，我们的作者可以看到您对他们的书的反馈。谢谢大家！

更多关于 Packt 的信息，请访问packtpub.com。

放弃

本书中的信息仅用于符合道德的目的。如果没有设备所有者的书面许可，不要使用书中的任何信息。如果你从事非法行为，你很可能会被逮捕并受到法律最大限度的起诉。如果您误用了书中包含的任何信息，Packt Publishing 不承担任何责任。此处的信息必须仅在测试环境时使用，并获得相关负责人的适当书面授权。

一、社会工程导论

在任何战斗中，没有比了解敌人的战术更好的知识了。这一章将向你介绍社会工程的世界，看看社会工程是怎么回事。社会工程是一套广泛用于网络攻击的技术，用来策划一些最成功的攻击。社会工程专门针对网络安全链中的一个薄弱环节——用户。与系统和网络不同，用户无法通过昂贵的工具(如防火墙和防病毒程序)免受社会工程的影响。他们总是在公开的地方，他们总是提供信息，攻击者可以利用这些信息在最意想不到的时候攻击他们。与系统相比，人也有更高的投资回报。在一个小时内，一个社会工程专家可以获得他或她花 100 个小时收集的信息，试图直接攻击一个受保护的系统。攻击者知道当前保护系统的安全元素的复杂性。大多数组织使用多层安全性。即使其中一个受到威胁，黑客也不能轻易通过其他的。因此，试图攻击系统本身变得更加困难。与此同时，黑客们发现攻击当今的用户很容易，越来越多的社会工程攻击证实了这一点。本章将概述社会工程。它将涵盖以下主题:

• 诱导
• 抗议
• 思维技巧
• 说服
• 社会工程中使用的工具

社会工程概述

本世纪最大的网络攻击之一发生在雅虎！据信，攻击者能够在 2014 年侵入其系统，窃取超过 5 亿用户的账户信息。美国联邦调查局(FBI)证实，攻击中使用了社会工程，让攻击者通过了用于保护此类数据的安全工具和系统的层层审查。对雅虎的攻击。因此，科技巨头谷歌证实，社会工程比人们想象的更加危险。如果一家在网络安全工具上投入巨资的历史最悠久的电子邮件服务提供商可以使用这种技术如此轻松地被攻破，那么没有人是安全的。

Tech: FBI: Russian hackers likely used a simple phishing email on a Yahoo employee to hack 500 million user accounts (YHOO, VZ), by Steve Kovach at Pulselive.co.ke, 2017 available at www.pulselive.co.ke/bi/tech/tech-fbi-russian-hackers-likely-used-a-simple-phishing-email-on-a-yahoo-employee-to-hack-500-million-user-accounts-yhoo-vz-id6380434.html. [Accessed on November 8, 2017].

社会工程师也能够利用简单的社会工程攻击获得巨额资金。2015 年，一家名为 Ubiquiti Networks 的网络设备制造商遭到了一项社会工程技术的攻击。攻击者能够收集有关首席执行官的信息，并有效地冒充他的人格。他们利用这种冒充来指示财务部向某个海外公司输送巨额资金，该公司已经通知他他们的支付偏好发生了变化。毫无疑问，一名财务部门的工作人员转移了这笔钱，但后来却发现这些命令并非来自真正的首席执行官，攻击者已经卷走了该组织数百万的血汗钱。进一步的调查显示，安全系统仍然存在，没有受到损害，盗窃只是通过一个社会工程骗局完成的。

Fraudsters duped this company into handing over $40 million by Robert Hackett, Fortune, 2017 available at fortune.com/2015/08/10/ubiquiti-networks-email-scam-40-million/. [Accessed on November 8, 2017].

这两起事件都强调了一个事实，即人类的弱点在网络安全链中不容忽视。它正迅速成为攻击组织的广泛使用的方法:

Who will win? All your security implementations or a simple human mistake?

今天的网络罪犯是幸运的，因为用户将自己暴露在社会工程攻击之下。社交媒体平台使用的增加是社交工程攻击数量增加的一个关键因素。这是因为今天的用户在社交媒体上生活，并提供关于他们日常生活、家庭、工作场所、个人偏好等的细节，这些都可以用于社交工程攻击。攻击者只需要浏览用户的社交媒体账户，就可以获得足够的信息来发动一次成功的社交工程攻击。脸书、Twitter、Instagram 和 Snapchat 上有足够多的信息，足以让一名社会工程师假设大多数用户的个性。创建一个虚假的高管社交媒体账户也非常容易。这个帐户要求立即尊重和遵守向目标发出的任何命令，因此可以用来从一个组织的初级雇员那里捞钱。

社交媒体上使用的另一种方法是创建不存在的人的蜜罐账户，用于攻击真实的人。2017 年 7 月，一家中东电信公司 ( 【美科】 ) 的一名高级 IT 运营员工在批准蜜罐账户的好友请求后不久侥幸逃脱。这次袭击似乎是高度针对一名男性业余摄影师。这是因为攻击者创建了一个名叫 Mia 的年轻女孩的吸引人的个人资料，称她是伦敦即将到来的摄影师，她与目标有很多共同的爱好。目标显然很快就接受了好友请求，认为他们之间有很强的联系。经过几周的聊天，米娅给这个男人发了一份摄影调查。IT 人员不知道，该调查是一个文件，其中包含一个名为 Pupy RAT，的恶意软件，当它被打开时，用于窃取登录凭据。幸运的是，该公司的计算机安装了有效的终端主机防病毒程序，可以在造成任何损害之前快速检测并清除恶意软件。进一步的调查能够揭示企图社会工程攻击背后的黑客组织。据证实，该集团此前曾试图利用网络钓鱼电子邮件攻击该公司，但均未成功。这些员工接受了关于虚假邮件、点击可疑链接或打开电子邮件附件的教育。似乎黑客组织能够想出社会工程攻击，并通过脸书锁定一名员工。

Iranian hackers used female 'honey pot' to lure targets: researchers by Dustin Volz, US, 2017 available at www.reuters.com/article/us-cyber-conference-iran/iranian-hackers-used-female-honey-pot-to-lure-targets-researchers-idUSKBN1AC28L. Accessed on November 8, 2017[].

这一事件证实，无论用户在哪个部门工作，都容易受到社会工程攻击。这里的目标是它-知识渊博，但伪装成一个年轻，有吸引力的女士分享他的兴趣，能够让他放松警惕。他打开了组织网络中的一个文件，该文件可能窃取了登录凭证，甚至通过网络传播并感染了其他计算机。如果使用了更强的恶意软件，攻击可能已经完成。当涉及到社会工程时，用户都面临着同样的弱点。攻击者只需要找到一个人的弱点。这可能是对任何权威、孤独、财务需求或投资需求等的盲目服从。

奥肯伊和托马斯进行了一项关于人体黑客行为的解剖学研究，这项研究可以转化为社会工程。

On the Anatomy of Human Hacking, by P. Okenyi and T. Owens at Taylor & Francis Online available at www.tandfonline.com/doi/abs/10.1080/10658980701747237. [Accessed on November 8, 2017].

他们说人类总是对被社会工程师操纵持开放态度；只需要转动正确的旋钮。他们发现，人类服从高于他们的权威，因此愿意执行上级传下来的命令。这是社会工程师经常使用的一个弱点，他们试图使用组织中高级管理人员的虚假档案来传递恶意命令。两位作者还意识到，人类同情并信任陌生人。人类是有爱心的，愿意帮助陌生人，这使他们处于被普通骗子操纵的不幸境地。礼貌、信任和同情被用来让人们向黑客提供他们个人设备上包含非常敏感数据的详细信息。然后，这些黑客能够在目标意识到这一点之前安装恶意软件或复制敏感数据。女性，尤其是怀孕或残疾女性，已经被用来让目标给出她们设备的详细信息，只是为了植入恶意软件或复制或删除数据。作者发现，人类总是对某些奖励感兴趣，并愿意采取据称会为他们赢得奖励的行动。

一种常用的网络钓鱼策略是告诉用户，如果他们点击某些链接，就有机会赢得巨额奖金。许多人想要奖品，因此会点击链接，这些链接可能会引导他们进入赠品页面，但却发现这些链接指向恶意网站。人类也有负罪感、取悦他人的欲望和道德责任感。这些都是将在接下来的章节中讨论的心理学问题。

Why We're Vulnerable to Social Engineering Attacks by Becky Metivier, at Sage Data Security available at www.sagedatasecurity.com/blog/why-we-are-vulnerable-to-social-engineering-attacks. [Accessed on November 8, 2017].

理解社会工程通常不是一个坏的实践是很好的；它有好的和恶意的应用程序。这两种方式都是有效的，因为目标具有前面详述的相同特征，因此总是容易受到攻击。社会工程在社会中起着关键作用；它能让人得到恩惠。不管它们是好是坏，它让人们做出有利于请求他们的人的决定。只是社会工程现在被坏人用来犯下巨大的罪行。在犯罪行为中用于操纵他人的策略框架与用于积极结果的策略框架相同。被利用的弱点是相对相同的，所有人类都有。

最古老的社会工程骗局之一是尼日利亚骗局。这可能是第一次由电子邮件技术介导的广泛成功的社会工程攻击。自从它出现在电子邮件的早期，许多人就上当了。攻击者假装是一个富裕的尼日利亚王子，他有一笔利润丰厚的交易，只需要一个目标提供一些帮助，就可以得到一大笔钱。当目标被要求通过支付一些现金来解决某些问题以获得一大笔支付时，这个骗局就被执行了。问题不断出现，直到目标最终意识到没有钱可以释放。这次攻击利用了一些人类特征，讨论如下:

• 第一个是贪婪，让目标相信他们确实会从巨额财富中获得一大笔。每个人都想要钱，如果钱来得这么容易，那么很多人会愿意按照要求去做。这不是一个奇怪的特征，只存在于受害者身上；这是每个人都有的特征。

• 被利用的另一个特征是承诺。人类天生就想把事情看到底。这就是为什么攻击者发现他们可以通过向人们保证他们越早付款，付款就会越早发放来骗取钱财。同样，这是每个人都有的特征。

• 最后一个特征是信任，这是攻击的核心部分。陌生人被操纵去相信另一个大陆上的另一个陌生人，并且相信他们被告知的一切都是真实的。信任是强大的，当支付过程中出现错误时，陌生人很快就给了所谓的尼日利亚王子好处。同时利用人类的三个弱点，攻击非常强大，一些人最终损失高达 5 万美元。

以下是垃圾邮件的一个示例:

An example of a spam email with obvious indications

前面的例子描述了一种结构良好的社会工程攻击，这种攻击出于恶意目的利用人类特征。值得注意的是，同样的特征也用于积极的结果。信任每天都在协议或交易中被使用，只有在不幸的情况下才会被恶意使用。承诺几乎用于所有的事业，以确保成功完成。人类因为完成任务而获得某种内在奖励，因此致力于看透他们开始的一切。

贪婪也不一定是一种不好的品质。微妙的贪婪是人之常情。人们追求金钱，正是微妙的贪婪让人们以各种可能的方式去追求金钱。因此，只有在不幸的情况下，这些特征才会被恶意利用。

根据 2015 年威瑞森数据泄露报告，考虑下图:

Social engineering/phishing attacks happen fast and they are hard to stop (based on Verizon's Data Breach report, 2015)

社会工程的应用

社会工程实际上被人们和机构用在许多机构和职业中，讨论如下:

• 律师和心理学家:这些人必须让人们进入某种精神状态来操纵他们的思想。他们使用和其他社会工程师一样的策略。只是他们使用它们没有恶意。通过这些策略，他们能够成功地进行审讯和采访，并让人们透露他们本来会隐瞒的信息。

• 政府:政府必须使用社会工程来控制他们所统治的人民。社会工程人的一个关键方法是使用权威。政府控制着国家的大部分权力，人类的大脑习惯于服从权力。另一种方法是利用稀缺性。如果不存在，政府就会制造稀缺，这样他们就可以在人们的头脑中保留他们(政府)仍然掌权的印象。稀缺可以是很多东西，比如信息、金钱，甚至是食物。在朝鲜等国家，食品和信息匮乏被当权政权滥用，以迫使民众顺从。

• 销售人员:他们已经掌握了说服人们购买东西的艺术，包括那些他们并不需要的东西。销售人员是优秀的社会工程师，因为他们善于利用多种人际交往技能来激发潜在客户对其产品的需求。今天，销售人员正在利用技术来帮助他们收集信息，并影响人们购买某些产品。社会工程在这一切中扮演着关键角色。

• 招聘人员:大部分机构的人力资源 ( HR )部门都被专业的社会工程师占据。招聘人员已经掌握了读心术，可以发现他们真正的驱动力以及他们是否适合广告中的职位。社会工程被用来让申请人敞开心扉，透露信息，帮助人力资源部门决定是否雇佣他们。

• 间谍:间谍们被广泛教授特殊的社会工程技术，他们利用这些技术来欺骗人们，让他们相信他们就是被宣传的那个人。他们还学习如何使用社会工程策略从不知情的人那里收集情报。由于社会工程，间谍可以很容易地从铁杆罪犯那里获得供词。即使遭到破坏，他们也可以使用社会工程恢复他们的秘密身份。社会工程对他们来说意味着生存，因此他们非常擅长。

• 骗子:诈骗大多是通过社会工程实现的。一个骗子必须知道如何吸引人们毫无疑问地购买一个骗局。骗子从远处识别他们的标记，并随着时间的推移研究它们。他们收集关于他们分数的关键线索，直到他们有足够的信息去击中它们。骗子们已经完善了创造某些对他们的目标来说不可抗拒的场景的艺术。正是通过社会工程，这一切才成为可能。

• 身份窃贼:身份盗窃不仅仅是窃取他人的姓名、银行账户、地址和财务信息，而是一种更严重的犯罪。身份窃贼有时不得不成为他或她窃取身份的人，以便犯下更大的罪行，获得更高的回报。这就是社会工程发挥作用的地方。一个身份窃贼会用不同的策略与受害者生活中的人相处。身份窃贼会利用受害者个人资料的状态来为他谋取利益。如果被盗的身份是某个组织的高级职员，身份窃贼可能会利用职权强迫财务员工进行一些未经验证的支付。社会工程高度支持身份盗窃。

所有这些人都以积极和消极的方式使用社会工程。然而，这本书的重点是恶意目的的社会工程。这是许多人、组织和政府关心的主要问题。这让许多人对保护他们的系统失去了信心。

社会工程框架

The social engineering cycle is shown in the following figure:The social engineering cycle

在任何成功的社会工程攻击中，都遵循一定的框架。该框架有七个独立的步骤，指导社会工程师更多地了解目标，选择攻击策略，然后小心翼翼地执行它。框架如下:

情报收集

这被认为是整个社会工程实践中最曲折的一步，可能会持续几个小时到几年。它不仅很长，而且要求攻击者始终敏锐地观察目标。今天的社会工程师需要充分了解要寻找的数据和可以帮助他们的软件工具。很大一部分人快速采用社交媒体平台，使得这一过程变得更加简单。然而，这些数据有时是不充分的，或者是捏造得太多而没有帮助，因此，可能需要更多的数据来源。因此，攻击者可能会被迫使用专门的软件工具或软技能来收集数据，以便在不引起警报的情况下直接从目标获得这些数据。

信息很少是一次性收集的。这样做很难，因此社会工程师收集小块数据并组合它们来完成关于目标的谜题是很常见的。例如，如果收集关于首席执行官的信息，攻击者可能会从采访首席执行官遇到或交谈过的人开始。看门人、秘书、下属，甚至来访者都可能被采访，以找出一些小信息，这些小信息单独来看可能不那么有用，但放在一起就非常有用。即使是与目标互动的最不重要的人也可能有解开一个大得多的谜题的钥匙。因此，任何信息来源都是有价值的。

攻击者可以采用两种主要的数据收集方法— 非技术性和技术性方法。

非技术性的

这些方法不考虑使用任何技术手段来收集数据。他们可能更令人厌倦，但他们最有可能找到关于目标的更准确的数据。非技术方法讨论如下:

• 翻垃圾箱:这包括翻遍目标的废纸，找出可能已经被处理掉的有价值的信息。即使有了碎纸机，人类仍然会懒到不小心扔掉一些攻击者可能通过翻垃圾箱找到的有价值的数据。
• 从身体上跟踪一个目标:这给了攻击者关于目标的日常活动、时间表、喜好、厌恶等等的信息。游戏的最后一步是向目标提出一些问题，然后给出他们无法拒绝的提议。有了这个，一个社会工程师可以潜在地获得大量的信息和访问受限的地方。目标的合理化，一旦被发现，就可能被滥用来得到更多。然而，非技术方法正在被淘汰，如今大多数信息收集都是通过技术方法完成的:

Social media websites are gold mines for many social engineers

技术的

这些方法包括使用技术产品获取客户信息。其中一种方法是在目标的社交媒体账户上跟踪他们。大多数目标在 LinkedIn、脸书、Twitter、Instagram 或 Snapchat 上都有活跃的个人资料。这些平台上的用户对他们的数据如此粗心，以至于社会工程师在许多情况下不需要寻找太多。即使在反复警告人们改变他们的隐私设置后，目标的账户很可能会被公众看到，因此任何人都可以看到。用户向陌生人展示了他们的整个生活，任何能得到赞的东西都有可能被发布。曾经是私人的信息现在被不加区别地放到公共领域。这使得社会工程师更容易收集关于目标的可用数据。然而，在某些情况下，攻击者可能没有那么幸运，因为给出的数据太少或者帐户被设置为私有。因此，这需要社会工程师创建一个与目标的偏好和喜欢相匹配的假账户。这样，客户可以请求目标成为朋友或追随他们。另一种常见的方法是使用一个以目标认识的人的名字创建的假账户。亲密的朋友、亲戚和工作中的老板被用于许多成功率很高的社会工程攻击。

第二种常用的技术性社会工程方法是在搜索引擎上进行搜索。搜索引擎索引许多网站，其中一些网站存储从许多来源收集的用户信息，并集中在一个中心位置。有一些特殊的谷歌查询可以用来挖掘网站上的人的信息。这些将在下一章数据收集中详细讨论。下面的查询就是一个例子:

"David Wilson" intitle:"curriculum vitae" "phone" "address" "email""

这是一个非常强大的查询，可以用来挖掘关于一个叫做David Wilson的人的任何信息。该查询将使谷歌查找任何包含名称为David Wilson的条目以及标题为curriculum vitae、phone和address的网站:

Search result through Google

许多保存求职者数据的求职板将求职者信息保存在公共域中。因此，很容易找到一个名为David Wilson的人，从那里可以检索到他的个人信息。如果有一个网站保存了关于David Wilson的信息，这个查询甚至可以显示出它的简历:

Search results from Bing

一个名为Pipl(pipl.com)的网站是关于大量人的信息的最大档案库之一。对于其数据库中的每个人，该网站都保留了该人的电子邮件地址、社交媒体账户、电话号码和实际地址。该网站声称拥有超过 30 亿人的详细信息:

A screenshot from pipl.com

它正迅速接近地球人口的一半。这个网站是社会工程师的金矿，因为他们可以毫不费力地找到关于他们目标的个人信息。还有许多像它这样的网站向任何需要这些信息的人发布私人信息。这些网站的这些记录来源广泛，包括社交平台、第三方出售的数据、黑客发布的数据、从其他网站窃取的数据以及政府机构网站中的数据。他们尽可能频繁地更新他们的数据。不幸的是，这些网站并不违法，因此任何人都很难强迫这些网站删除他们的数据。

社会工程师仍在使用的另一个技术信息来源是电话的使用。这通常是针对老年人，因为他们很容易被愚弄。打电话的人总是声称来自信誉良好的公司或政府机构。他们用诱人的提议或严重的威胁让目标给他们送些现金。有报道称，一些打电话的人自称是警察，并威胁说，如果他们在一定时间内不汇款，就逮捕目标。其他人也是目标，社会工程师拥有的最大资产是关于目标的一些信息。仅仅知道目标的银行账户就足以让客户相信这是银行打来的电话。他们可以利用银行账号让目标透露更多数据，包括社会安全号码。当目标公司意识到可能不是银行打来的电话时，通常为时已晚。社会工程师将有足够的信息来策划攻击。

数据收集确实是乏味、冗长和任务繁重的。然而，这是值得的。从目标收集的大量信息对于攻击计划至关重要。最好的数据收集方法是不先发制人的动机的社会工程师。因此，数据收集是谨慎进行的。一小块一小块的信息被一点一点地提取出来，汇集在一起。随着时间的推移，社会工程师将有足够的信息来描述一个目标。社会工程师会比目标的家庭或配偶更了解目标的生活。这是决定攻击成功与否的信息。在这一过程中还使用了许多其他的数据收集方法和工具。已经讨论过的也没有深入讨论过。但是，这些将在下面关于数据收集的主题中讨论。本章将确定所有的方法和工具，对它们进行描述，并举例说明每种方法和工具的用法。在本章的结尾，你将会像一个社会工程师一样熟练地收集关于目标的数据。

诱导

尽管人类有弱点，但他们通常会在第一时间退缩，不愿向任何人倾诉。把人们从他们的安全舒适区带出来是需要技巧的，这样他们就可以开始泄露私人信息。诱导不仅仅是与陌生人建立融洽的关系；这是一种在审讯室使用的技术，被治疗师和医生用来从人们那里获取信息，否则他们会隐瞒这些信息。因此，诱导是社会工程攻击中社会工程框架的第二步。攻击者在收集了足够的目标信息后使用诱导技术来启动对话。

启发可以被定义为使用逻辑诱导一些东西的行为。它是通过刺激让一个人在某一类行为中行动。因此，这个定义意味着诱导是通过刺激人们以某种方式行动，把他们从安全舒适区诱导来的能力。一个社会工程师已经掌握了启发的艺术，以至于他们可以让一个目标对提出的任何问题做出真实的反应。间谍和审讯者被训练如何使用这种技能在正常对话中获取信息。这说明已经是各国政府重视的技能了。目标很难察觉引诱的企图。它看起来很无辜，发生在正常环境中。以下是使启发如此有效的一些因素:

• 大多数人在与陌生人交谈时会尽量礼貌
• 专业人士在被询问时，会希望显得知识渊博
• 大多数人不会对真正关心的人撒谎
• 一个人很有可能会回答关于自己的恰当的问题

在启发中，社会工程师会将目标与某条路径联系起来，这样他们就可以毫不犹豫地公开分享敏感信息。它表现为简单的问答互动，而在真正的意义上，目标是欺骗泄露秘密信息。社会工程师会试图让目标顺从地回答一些一开始可能会不舒服的问题。只要社会工程师正确出牌，目标就会继续回答他们。当谈到正确出牌时，社会工程师对很多事情都很严格。这些措施如下:

• 保持自然:让谈话进行下去而不引人侧目的最好方法之一就是让对方听起来真实自然，让对方感到舒服。如果谈话显得不自然或照本宣科，很容易打草惊蛇。因此，社会工程师将在他/她(社会工程师)熟悉的对话中与目标进行交流。社会工程师也将致力于他或她的姿势，肢体语言和知识的主张。一切都必须看起来非常正常，这样社会工程师才会显得自信和自然。社会工程师通常会和他们的朋友进行角色扮演，以便在进行实际的启发尝试之前让他们的行为一致起来。

• 知识渊博:知识是社会工程师与目标互动的完美盾牌。因此，无论你对目标有什么问题，他或她都必须了解他们的预期反应。这将允许社会工程师使用一些知识来承认或不同意目标，这将使对话继续下去。当然，不期望社会工程师对要给出的回答非常了解；这可能会引起警觉。所需要的只是能够给出后续问题并对目标给出的答案做出反应的基本知识。

• 避免贪婪:社会工程师需要确保他们不会对目标表现出贪婪。如果对目标来说，社会工程师显然是在寻找特定的信息，目标很可能会关闭社会工程师。因此，一个常见的做法是让社会工程师练习给予和接受。社会工程师想出假的信息并提供给目标。在看到这种开放性时，目标通过给出一些信息来回应，但是，在这种情况下，它恰好是事实信息。

这三张卡片是任何社会工程师在与目标互动时都需要准备好的。除此之外，对于社会工程师来说，在正确的时间使用正确的面部表情是非常重要的。有些表达很难伪造，因此需要社会工程师做大量的试验来纠正它们。面部表情影响人们回答问题的方式。因此，如果必要的话，社会工程师需要使用表现出兴趣和提升目标情绪的表情。面部表情说明了很多问题，并可能影响启发尝试的结果。在任何情况下，社会工程师都需要能够出现在对话中。

启发是社会工程的核心步骤。有几个已被证实的启发技巧。这些和已经强调的将在本书第六章、、启发、中进一步讨论。这一章将训练一个新手如何掌握启发的艺术到一个专业的程度。获得的知识将适用于社会工程内外。

抗议

这通常是社会工程攻击的第三步。在这种情况下，攻击者成为能够影响目标做出某些决定的任何人。攻击者选择某种人格，这种人格适合他或她在社会工程尝试中选择成为的角色。随着互联网的出现，成为任何人都很容易。

社会工程师可以利用如此多的信息资源来调整任何人的性格。为了完成一次攻击，伪装是任何社会工程师都需要的必备技能。伪装不仅仅是扮演一个人的角色；它可以被认为是成为人。社会工程师不是他或她所声称的那个人，这一点不应该有丝毫的怀疑。社会工程师的性格，他们的说话方式，肢体语言，以及任何其他明显的特征必须符合他或她所扮演的角色。这是一项至关重要的技能，可以让社会工程师在不被怀疑的情况下实现攻击。

当谈到借口时，涉及到很多动态。它们确保社会工程师能够发明一个场景，并让目标采取一些行动或发布一些敏感信息。在最近的大多数攻击中，人们注意到社会工程师越来越多地使用某些备受尊重的工作人员或一些组织中高级员工的个人资料。社会工程师愿意投入足够的时间来研究他们在新的人格中所扮演的角色。他们接受训练，直到他们成为他们想要模仿的人的完美克隆。然后他们可以使用这些模仿来说服他们的目标去做他们想让他们做的事情。

借口是非常有效的，它通常用于其他领域。医生、律师、甚至治疗师在职业生活中与人交往时，都有某种伪装技巧。他们能够让人们进入一个舒适区，在那里他们释放他们一直隐瞒的信息。社会工程师努力在他们的伪装尝试中获得同样多的说服和信任。

在之前关于信息收集的讨论中，人们注意到信息收集是整个社会工程攻击成功的关键决定因素。这是收集的信息很重要的阶段之一。社会工程师必须小心使用他们绝对确信目标会上当的借口。如果在一个不幸的事件中，一个社会工程师使用了一个与目标无关的借口，整个攻击就被破坏了。例如，如果一个目标使用 B 银行，一个社会工程师打电话说他是 A 银行的官员，这个目标就会知道这是一个圈套，攻击就会失败。此外，目标会非常害怕，即使再有一次尝试也不会让他或她上当。一旦目标意识到自己被攻击者盯上，社会工程师就无能为力了。唯一明智的做法是退出并放弃整个攻击。

因此，托辞企图的成功是极其重要的。有一些在伪装中遵循的一般原则，包括如下:

• 做更多的研究:如果社会工程师做了足够的研究，就有更好的机会进行伪装。目标可能会开始问一些问题，对于社会工程师来说，根据他或她所扮演的角色的知识，拥有一些可以用来回答这些问题的信息是极其重要的。

• 利用个人兴趣:伪装将一个人置于另一个人的皮囊中，这是一项非常具有挑战性的任务。有些东西是无法轻易伪装的。这就是为什么社会工程师可能会稍微偏离他们假装的人的个性，而利用他们的实际兴趣。没有什么比发现一个社会工程师对他或她传达给目标的任何利益一无所知更糟糕的了。通过某些个人利益的目标来纠正一个假设，要比仅仅为了达到目标开始产生怀疑的程度而进行合作要好。当社会工程师与目标建立融洽关系时，使用他或她熟悉的兴趣爱好有利于自信和信任的建立。

• 练习表达或方言:对于目标来说，仅仅通过敏锐地聆听方言或表达，就很容易知道一个人并不是他或她所声称的那个人。在一些专业领域中存在一些术语，这些术语有助于帮助目标人物假设社会工程师确实是他或她所声称的那个人。对于社会工程师所采取的个性，坦率的谈话可能无法让目标确信。例如，如果社会工程师承担了律师的角色，就应该有某种程度的法律术语，比如提及某些法律、法案或对某些犯罪的处罚。这将很快让客户相信这位社会工程师是一位真正的律师。因此，方言在伪装中非常重要，社会工程师通常会非常重视它们。

• 使用更简单的借口:借口越复杂，成功的机会就越小。这是因为维护它需要更多的研究和努力，而且可能会失败。另一方面，一个简单的借口会更快更容易完善，这意味着目标更有可能上当。因此，只有传奇的社会工程师有选择复杂借口的选择，因为他们在处理这种借口方面有更多的知识和经验。这也意味着有许多低级别的社会工程攻击可以很容易地上演。从受害者的角度来看，更有可能是以老朋友、亲戚或老同学为借口。它们很容易伪造。

• 逻辑结论:社会工程攻击配合良好。从诱导到托辞阶段，应该有一个大致的模式。这些步骤必须符合逻辑。在借口阶段，开始时提供的信息必须与社会工程师想要的相匹配。例如，律师的借口不能用来让目标泄露工作登录凭证。借口应该合乎逻辑地把目标引向某个结论。IT 支持人员的借口很容易被用来诱使目标提供登录凭据。目标可以被告知，有一些系统遇到了一些问题，公司正在切换到备份系统，因此需要旧凭证来促进迁移。这个场景有一个合乎逻辑的结论。这比用律师的借口来获取同样的信息更有可能奏效。没有联系，目标很难将这些点联系起来并给出所需的信息。

社会工程师使用许多其他原则。这些将在第七章中深入讨论。总之，伪装是非常具有挑战性的，许多社会工程的尝试可能会在这个阶段失败。从防御的角度来看，应该教会用户如何质疑可疑的社会工程师，以便在这一点上挫败攻击。伪装不仅仅是假设一个伪造的身份；更多的是活出那个身份。这很困难，但如果成功了，社会工程攻击将会在正确的路线上进行。在这一步中使用了几个工具，它们将在本章中讨论。

思维技巧

整个社会工程攻击是基于心理诡计，所以这是社会工程攻击框架的许多其他部分使用的一个步骤。社会工程攻击的这一部分包括使用特制的技巧来改变受害者的思维模式。在生活中的许多其他领域，心理技巧在某种程度上也被使用，例如在销售中使产品价格看起来更便宜，在审讯室中让嫌疑人认罪。心理诡计更多的是一种心理事件，它们被用来打开目标的思想，使他们暴露在社会工程师的控制之下。一个优秀的社会工程师是一个很好的读心术者，这是通过掌握一些思维技巧来实现的。

心理技巧始于融洽的关系。这是用来获得目标的信任和信心的主要努力。从那里，社会工程师使用几个旨在改变目标大脑正常思维的技巧。只能比喻成一种叫做缓冲区溢出的黑客技术。这是一个程序被提供了比它的缓冲区所能容纳的更多的数据的地方。因此，由于信息溢出，程序开始表现不稳定。人类大脑的推理能力也同样不堪重负，这使得它容易受到社会工程师的操纵。人类有三种可以利用的思维模式，这将在第二章、社会工程心理学——使用的思维技巧中看到。这些措施如下:

• 视觉思维:视觉思考者是视觉处理信息的人。他们擅长描绘事物，他们的决策通常基于他们在大脑中创造的整体形象。因此，视觉思考者的目标是视觉上吸引人的东西，而不是对他们有益的东西。男性倾向于视觉思考，这就是为什么他们的产品在广告中具有视觉吸引力。为了进入视觉思考者的头脑，社会工程师也专注于给他们视觉输入。
• 听觉思维:听觉思维者非常擅长根据事物的声音进行推理。他们很容易被声音说服，因为他们对如何处理来自不同声音的信息有偏见。他们很容易被声音触动，也很容易用声音创造记忆。值得注意的是，他们不一定要通过身体交流。他们可以进入一种思考状态，在这种状态下，当他们阅读任何文本时，他们可以假设某种声音。他们更关心谨慎的选词，很少注意低努力的选词。
• 动觉思考:动觉思考者是情感思考者，他们与交谈中产生的情感联系在一起。如果谈话是热情的，他们会变得热情；如果谈话是关于悲伤的折磨，以及许多其他情感，他们会变得有同情心。每当他们参与谈话的时候，他们的情绪都很容易被抓住，这使他们处于一个主要的劣势，因为情绪往往是非常强大的。情绪可以用来让他们毫无疑问地突然改变决定。女性大多属于这一类，她们的情绪很容易被左右。

这是人类存在的三种基本思维模式。应该注意的是，人类通常不局限于特定的思维模式。他们可能拥有所有三种思维模式，但其中一种会比另一种更占优势。这是一个社会工程师将寻找的思维模式。一旦发现了它，剩下的就是小菜一碟了。想出让目标丧失正常推理能力并按照社会工程师的意愿行事的场景是非常容易的。

最大的障碍总是辨别主导的思维方法。这需要一个对话，社会工程师可以从这个对话中尝试不同的故事背景，看看它们是否唤起了目标的主导意识。

视觉思考者可以通过使用视觉问题和评论来确定。如果目标似乎以同样的方式回应，引用更多的视觉方面，可以断定他或她是一个视觉思考者。另一方面，动觉思考者可以通过使用感人的故事来确定。他或她也可以由触摸和感受事物的意愿来决定。因此，如果一个目标渴望触摸一块布或一块手表，很可能他或她是一个动觉思考者。同样，如果充满情感的小故事看起来能打动目标，也可以说目标是动觉型思考者。通过观察他或她在听或读某些东西时的反应，可以确定一个听觉主导型思考者。那些几乎不退缩的是非听觉思考者。另一方面，那些似乎与所说或所写的文字有联系的人是听觉思考者。

心理诡计的主题很长，将在第二章 、社会工程心理学-使用的心理诡计中更深入地探讨。然而，需要注意的是，智力游戏不是一门科学。他们依赖于社会工程师的主动调整。例如，所讨论的思维模式就不容易确定。社会工程师唯一能做的就是尽可能多地观察。使用问题来发现一个人的思维模式可能会令人恼火和不快。所以，最好的武器就是观察。还有很多其他与思考相关的事情将在本章中讨论。如前所述，思维技巧往往贯穿社会工程框架中的所有步骤。它们不是为某一事件而保留的；当社会工程攻击开始时，他们就被带进来玩。信息收集、启发和伪装被用来建立一个更开放的舞台，供他们使用。他们在社会工程攻击中至关重要，因为他们可以使攻击更短，更成功。征服了目标的心智之后，攻击就大功告成了。这个有趣的话题将在以后的章节中讨论。

说服

就像心理技巧一样，说服是整个社会工程过程中的一个交叉主题，因此不能局限于某一个步骤。为了说服目标，社会工程师需要首先吸引目标的兴趣。说服让目标按照社会工程师的要求做出反应、思考和行动。

说服会在目标的头脑中产生不容置疑的影响。为了攻击成功，社会工程师完善了他们的说服技巧。他们确保他们对目标的影响是无法察觉的，但却是深远的。通过社会工程师首先用来灌输给目标头脑的五个基本要素，可以最好地理解说服。它们包括:

• 明确的目标:这被定义为一个目标可能无助地落入社会工程师的控制之下；他或她在参与过程中必须表现出有明确的目标。归根结底，如果你专注于某件事，你就有可能成为它。一个社会工程师将会有已经建立的清晰的目标，并且他们都将会有逻辑的结构。这些目标应该有助于实现随后的目标。因此，在社会工程师与目标的任何接触中，比如说在咖啡店偶遇他们，已经有了一个预先定义的目标，这个目标的实现将促进另一个目标的实现。没有目标是孤独的；如果是，可以忽略它，因为它不会影响攻击的成功。

• 融洽关系:融洽关系的建立是为了确保目标信任社会工程师。为了建立融洽的关系，使社会工程师能够说服目标，社会工程师必须了解目标的想法。上一节已经讨论了不同的思维模式。这些对于建立这种融洽关系非常重要。关于了解目标大脑的额外信息将在第二章、社会工程心理学-使用的思维技巧中讨论。

• 协调一致:社会工程师总是意识到他们自己和他们周围的环境。这使得社会工程师能够有一个外部的视角，并注意到攻击何时按预期进行或不进行。对于任何想要变得非常有说服力的社会工程师来说，成为一个既善于观察又善于倾听的大师是至关重要的。社会工程师也是人，自然会向目标发出一些交流或信号。然而，一个社会工程师应该能够根据攻击的进展，掩盖真实的面部表情，手势，微表情，甚至他们的呼吸频率，并用伪造的来代替。因此，社会工程师应该学会如何作为一个外部实体来观察这些信号，并判断他或她对目标的吸引力。他或她应该意识到身体给出的非语言暗示，并调整它们以适应攻击环境。这种意识将使他或她能够不断地吸引目标人物。

• 灵活性:说服并不是达成目标的可靠方法。它不是某种反应物会导致某种结果或解决方案的化学反应。有时，即使有最好的技巧，目标也可能看起来没有被说服或被说服。这可能会让社会工程师放弃照本宣科的攻击，并想出其他可能最终赢得目标的技巧。因此，提前计划并不总是攻击成功的保证，在许多情况下，社会工程师需要调整他或她的方法。

• 往复:这是常用的说服目标的战术之一。在这种情况下，回报是指目标想要回报社会工程师所做的帮助。人类对此已经习以为常，以至于互惠几乎是无意识的。这是一个用来无意识地控制人们的思想去做对某人有利的事情的诡计。例如，一家制药公司向医院员工赠送衣服、钢笔、书籍和帽子等免费物品，但这并不是徒劳的。它知道，当涉及到为病人选择药物时，员工会想要回报，最终选择该公司的药物而不是其他药物。互惠的工作方式与社会工程相同。它遵循一个四步循环，讨论如下:

  • 首先，社会工程师会送出一些有价值的东西
  • 收到它的目标会有一种感激的感觉
  • 一段时间后，社会工程师会提出一个简单的请求
  • 目标将会非常乐意答应这个请求

这样，社会工程师就能控制目标的大脑。

劝说将在以后的章节中详细讨论。对于任何社会工程师来说，这都是一个非常有价值的策略。它使攻击持续进行，并确保目标处于只能支持攻击进程的位置。如上所述，它可能不总是如预期的那样成功，因此在所有的说服尝试中都应该有后备计划。社会工程路线图如下图所示:

Social engineering roadmap

社会工程中使用的工具

社会工程最好在工具的帮助下完成，以便使社会工程师更接近成功。需要注意的是，仅仅拥有或使用这些工具是不够的；人们需要了解如何有效使用它们的内在细节。这种知识是成功和失败的区别。社会工程中使用的工具主要有两类——物理和基于软件的。对于社会工程框架，工具通常是一个受欢迎的补充，因为它们补充了社会工程师的手工工作。

物理工具

物理工具指的是用于促进不涉及计算机使用的社会工程攻击的所有工具。组织和个人投资于物理安全措施，以确保他们将物理访问限制在少数授权人员。这就是为什么家庭有门，或者更好的是，被栅栏和大门包围的原因。如果需要的话，社会工程师将不得不突破他们的目标设置的所有物理安全系统。使用的物理工具有以下几种:

• 开锁工具 : 用于进入被锁封锁的地方。撬锁对很多锁都有效，这也是为什么它现在仍然是一个很大的威胁。组织正通过使用更多计算机化的物理访问控制(如磁卡)来应对开锁行为。令人惊讶的是，组织将如何使用 30 美元的锁来保护上千美元的硬件。
• 推刀:该工具用于接近带旋钮锁的门。许多家庭和服务器机房都有这种类型的门，一把推刀是破门而入的最佳工具。它滑动到位并释放闩锁。这样做不会损坏门。
• 撞击钥匙 : 一个密切相关的工具是撞击钥匙，这是一种特殊的钥匙，它有齿，设计成撞击锁的销，使它们移动到正确的对齐位置，并允许锁芯转动。同样，它也不会损坏锁。

所有用于获得物理访问的工具通常被用来允许社会工程师访问一些项目或信息，这些项目或信息要么最终确定攻击，要么帮助攻击的进展。例如，一个社会工程师将一个目标带到了一个房间，房间里有一个装满宝石的箱子，他将使用这些工具来完成攻击并偷走宝石。

基于软件的工具

基于软件的社会工程工具是那些涉及计算机使用的工具。值得注意的是，这些工具可以用于许多其他目的，而不仅仅是社会工程。事实上，社会工程师从像间谍这样的人那里借用了一些工具，讨论如下:

• GPS 追踪器 : 其中一个是 GPS 追踪器。除了跟踪目标的所有活动并准确知道在哪里可以找到他们，还有什么更好的方法可以意外撞上他们吗？一个很好的例子是一辆价值 200 美元的 SpyHawk，它被磁性吸附在目标的汽车上，并使用 GPS 发回车辆的准确坐标。今天，大多数基于软件的社会工程工具都是在线的。他们可以从网上收集目标的信息。
• 这是一个在线网站，对域名、IP 地址、组织和人员等信息进行分类。这是每个社会工程师的梦想成真。

Using penetration testing feedback to cultivate an atmosphere of proactive security amongst end-users, by M. Styles and T. Tryfonas, Information Management & Computer Security, Volume 17, Issue 1, pp. 44-52, 2009 available at dx.doi.org/10.1108/09685220910944759.

Maltego 能够将关于一个人的最微小的信息捆绑在一起，包括在不太知名的电子商务商店上写的评论。它可以找出一个人的信息，家庭成员，亲戚，亲密朋友，以及许多其他细节，这将很容易找到一个弱点来击中目标。从社会工程师的角度来看，主要目标是给目标一个他或她无法拒绝的提议。天生的贪婪会解决剩下的问题，很快目标就会乞求出价:

Maltego screenshot

• 社会工程师工具包(SET):顾名思义，SET 包含了一组社会工程师可以在很多攻击中使用的工具。该工具包主要用于创建可以通过电子邮件发送给目标的恶意文件。主要目的是用恶意软件感染目标的设备，恶意软件可用于收集更多信息或对设备进行恶意破坏。这是鱼叉攻击的主要工具。一旦知道了目标的电子邮件，剩下的就是施展咒语了:一个下载并打开后会攻击目标的文件。该套件还用于克隆网站和托管网站。它可以克隆脸书，并向目标发送链接以允许脸书身份验证，当目标输入凭据时，会返回一个错误。这种技术用于收集大量信息，尤其是电子邮件和网上银行系统中使用的凭证。

其他基于软件的工具包括欺骗器和密码剖析器等等。

Thoughts on techno-social engineering of humans and the freedom to be off (or free from such engineering), by Brett Frischmann at Theoretical Inquiries in Law, Volume 17, Issue 2, pp. 535-561, 2016 available at : dx.doi.org/10.1515/til-2016-0020.

来自 Kali Linux 的 SET 截图如下:

SET screenshot from Kali Linux

好莱坞的社会工程例子

真的很难不被一个社会工程师的诡计所迷惑；只要发生在别人身上，就会很尴尬。电影是帮助你更好地理解社会工程的重要资源。以下是我最喜欢的三部好莱坞电影，可以帮助你描绘和了解社会工程是如何工作的:

火柴人(2003)

Conmen Roy 和 Frank 通过给受害者打电话并试图以数百美元的价格向他们的客户出售水过滤系统开始了他们的骗局，而在实际商店中仅售 50 美元。这两个骗子使用了许多经典的社会工程手段，例如将电话从弗兰克传给冒充弗兰克老板的罗伊，赋予行动更多的可信度，并玩弄受害者的思想，使一切更加现实，并获得受害者的信任。故事中使用了更多的社会工程技术。这是将你将在本书中读到的一些技巧形象化的好方法。

You can refer to the movie at www.imdb.com/title/tt0325805/.

如果你能抓住我(2002)

这是基于弗兰克·阿巴内尔的生活故事，他是最臭名昭著的社会工程师之一。他十几岁时就开始了他的旅程。阿巴戈内尔离家出走，并设法冒充泛美飞行员，在世界各地骗取数千英里的免费航班，让人相信他是一名真正的飞行员。

这还不是全部。阿巴内尔在被联邦调查局抓住之前(多年后)也曾假扮成医生和教师。这部电影是一个很好的例子，说明了社会工程是人类黑客的艺术，以及我们人类是多么的脆弱。

You can refer to the movie at www.imdb.com/title/tt0264464/?ref_=nv_sr_2.

十一罗汉(2001)

丹尼·奥逊(乔治·克鲁尼饰)和他的 11 名同伙计划同时抢劫拉斯维加斯的三家赌场。Ocean 先生和他的同谋利用社会工程、技术智慧和策略上安插的内部人员，渗透到 Bellagio 全面的、最先进的安全系统中，带着 1.6 亿美元潜逃。

在这种情况下，即使最好的防御措施也不能使组织免于被一致的对手渗透。

You can refer to the movie at www.imdb.com/title/tt0240772/?ref_=nv_sr_2.

技巧

考虑以下提示:

• 人类的愚蠢是无药可救的，或者换句话说，总有一种方法可以操纵人类(正如你将在本书中读到的)。因此，你或你的员工是最困难的，也是你必须保护的最大资源。
• 经常召开用户认知会议。任何社会工程培训总有改进的空间。
• 不要与任何人分享任何敏感的东西。记住，一旦秘密被两个人知道，它就不再是秘密了。
• 如果你对任何事情都不确定，小心行事。
• 确保物理安全。
• 对信息进行分类，防止垃圾搜索攻击。即使是大公司过去也使用过这种攻击。
• 请记住，根据 2016 年的 ISACA，社会工程是组织面临的最大网络威胁，比例为 52%。无论您何时阅读本节，社会工程仍将是最危险的攻击类型之一

Refer to www.isaca.org/cyber/Publishingimg/ISACA_CSX_Facts_2016-2-L.jpg for the top three cyber threats facing organizations in 2016.

摘要

本章对社会工程的概述表明，这种类型的攻击有很多方面。这些工具从思维技巧和说服策略到在线的、基于软件的社会工程工具。这一概述带来了一个重要的认识，即人类的弱点是可以被利用的。人脑可以像电脑一样被黑客攻击。这使得社会工程师有可能操纵人们采取他们通常不会采取的行动。这种介绍让人们对社会工程师的能力有了一定程度的认识，从读心术到使用 GPS 定位器跟踪运动。未来的章节将进一步详细讨论所有这些。在最后一章的结尾，一个热心的读者将获得社会工程技能，这些技能很可能被用来教你社会工程师如何思考，这样你就可以防范他们。

下一章将从社会工程心理学开始。它将讨论所使用的思维技巧和社会工程师用来说服目标的技术。它也将更深入地研究人类的思维模式以及每种模式是如何被利用的。读者还将学会如何与目标互动，获取信息，赢得好感，而不引起警觉。

二、社会工程心理学——使用的心理技巧

整个社会工程攻击都是心理上的，之所以有效，是因为攻击者在目标身上玩了心理把戏。这些心理技巧旨在改变受害者的思维模式，使他们更符合社会工程师的要求，无论他们看起来多么不寻常。看看娱乐产业，尤其是电视节目和电影，头脑戏法被描绘成神秘的力量。那些拥有它们的人被证明可以毫不费力地锁定目标，让他们交出他们的财产和金钱以及其他东西。2016 年的一部名为 The Catch 的系列电影就是其中之一。它向观众介绍了一个以克里斯托弗·霍尔闻名的罪犯的生活。他被认为是社会工程学的专家。在系列中，他能够在重新考虑和翻开新的一页之前，骗走他的未婚妻一生的积蓄和一位阿拉伯公主 1500 万美元。这位演员表演骗局时的轻松自如最能吸引人们的注意力。他能够扮演多重人格，对目标人物玩心理战，从而让他们不问问题就给他钱或财物。

The Catch, at TV Guide 2016 available at www.tvguide.com/tvshows/the-catch/episodes-season-1/799838/. [Accessed on November 20, 2017].

问题是，一个人在现实生活中有可能获得这样的能力吗？本章深入探讨了这一点，并在结束时；你会和好莱坞角色一样是个好骗子。当然，这里的主要意图是让您深入了解社会工程师的想法，以便帮助您抵御社会工程师的攻击。本章介绍了以下主题:

• 思维方式
• 微表情
• 神经语言程序设计
• 审问
• 建立融洽关系
• 人类缓冲区溢出

介绍

在执法部门，有专门的审讯人员，他们经过特殊训练，学习如何从嫌疑人那里套出真相。他们学习人类大脑的心理学，以及如何打开嫌疑人的大脑，找出真相。心灵诡计因此不是只能在电影中实现的幻想；他们是真实的。正是人们给出的暗示，如果研究得好，可以让人读心。在本章中，您将学习攻击者如何观察这些线索，以及他们如何根据目标的行为提出问题以让他们开口。除此之外，你还将了解他们如何与目标建立融洽关系，如何获得信任，以及如何与目标建立信心。这些伎俩甚至被销售人员用来说服人们购买他们本来不会购买的东西。最后，这一章探讨了终极思维技巧:人类大脑的黑客攻击。根据上一章的介绍，概述解释了人脑可以像电脑一样被黑客攻击。所有需要做的就是创建一个缓冲区溢出，人类大脑会毫无防备地给出你所寻找的任何信息。您将了解攻击者如何导致缓冲区溢出。值得注意的是，像任何技能一样，这些技巧需要数年时间来完善，并且需要大量的练习才能熟练掌握。因此，作为一名学习者，就注意力和练习而言，这可能是对你要求最高的章节之一。在深入研究思维技巧的核心内容之前，最好先了解一下关于大脑的基础知识。正如概述一章所介绍的，有三种不同的思维模式。这些可以被不同地利用，社会工程师在攻击前花时间找出目标的原始思维模式。

思维方式

为了进入目标的大脑，攻击者需要完全理解目标的思维方式。这是最合乎逻辑的做法，以避免浪费精力和时间试图猜测周围的思维技巧，这可能会失败，并挫败整个攻击。一个人不需要成为心理学家来理解人们是如何思考的；要知道这一点，所需要的只是一些专注的倾听和小心的提问。联邦调查局明白这一点，并在一份公告中解释说，如果一个人能以客户喜欢的方式向客户确认非语言行为，并与客户的音量和语气相匹配，客户就会敞开心扉。公告所说的是，如果一个人理解了客户的思维模式，然后在语言和非语言上与之匹配，客户就不会不愿意透露隐私细节。因此，挑战在于识别目标的主要思维模式。这是一项艰巨的任务，因为连目标都不知道这一点。因此，社会工程师必须使用一些技术来识别模式。

决定一个人思维模式的唯一途径是通过感官。大脑只不过是一个神经元网络，从身体的其他部分接收和发送感觉脉冲。因此，思维方式与一个人的主要感官密切相关。人们会很自然地偏爱某种特定类型的感官输入。因此，它将成为储存事物、人物、事件等记忆的主要方式。有些人有很好的嗅觉，有些人有声音，有些人有触觉，有些人有味觉。正是这些感官可以清楚地表明一个人的主要思维方法。

Thinking styles and modes of thinking: Implications for education and research, by Z. Li-Fang, J. Psychol, Volume 136, Issue 3, pp. 245-61, 2002 available at search.proquest.com/docview/213835818?accountid=45049.

人类表现出五种感官和三种思维模式。根据人们表现出来的思维方式，他们可以被分为三种类型。这些是:

• 视觉思考者
• 听觉思想家
• 动觉思想家

视觉思考者

大多数人，尤其是男人，倾向于视觉思考者，因为他们能最好地记住视觉上的人、事和事件。他们可以轻松地记住场景、颜色、纹理和一般外观。他们能够清晰地描绘过去和未来的事件。他们的决策也是基于他们得到的视觉输入，他们更喜欢决定他们能看到的东西。他们做出的决定更倾向于视觉上更吸引他们的东西。尽管许多人都属于这一类，但并不是所有人都这样，因此社会工程师不会做出这种盲目的假设。有可能找到在决策中最少考虑视觉输入的人。试图说服视觉思考者在没有视觉输入的情况下做出某个决定是相当困难的，甚至是不可能的。

听觉思想家

另一方面，听觉思考者依赖音频输入。他们也通过声音最好地记住事情。他们可以很容易地回忆起声音、声调、音量、音高和许多其他声音特征。听觉思考者也往往会不自觉地对与声音相关的词汇产生偏好。他们可能会说，直觉告诉我，或者这个想法听起来很棒还有很多其他事情。在与这类人打交道时，社会工程师往往会谨慎选词。大量的精力都花在了选择对这类思考者来说听起来特别的词语上。如果他们听到某件事以他们喜欢的方式表达出来，他们会很容易做出有利的决定。试图说服听觉思考者而不使用听起来很棒的词语和想法是很困难的，甚至是不可能的。

动觉思想家

这些思想家具有高度的感情。他们有基于他们得到的感觉的记忆，无论是身体上的还是情感上的。从生理上来说，他们的决策受到物理环境条件、质地、强度、重量以及任何能够唤起感觉的东西的影响。他们不仅想听到或看到柔软的东西，更想触摸它，直接感受它的柔软。他们也倾向于记住人或事物给他们的内心感受。羞辱、愤怒、喜悦和困惑是他们会记住的感觉。他们的词汇中也可能包含暗示情感的词汇，例如，那感觉如何？、我们会联系、让我掌握整体思路。动觉型思考者的目标是使用那些容易激发情绪和感觉的东西。

因此，当他们成为目标时，攻击者希望他们感受到一些东西，并让他们相信这是一种直接来自内心的强烈信念。攻击者必须在这类思考者身上植入感情。不唤起他们的感觉和情感，很难成功地向动觉型思考者推销想法。

决定一个人的主导意识和思维方式

这三种讨论过的思维模式很难辨别，因为人们倾向于同时拥有两种或全部，但其中一种通常会胜过其他的。使用的主要技巧是专注和敏锐的倾听。因此，攻击者发起对话，并注意目标的用词和非语言肢体语言的使用。例如，如果一个人向目标打招呼，而目标没有抬头，这可能会被解释为粗鲁或暗示目标不是视觉思考者。然而，提出有洞察力的问题必须以正确的方式进行。这些问题必须包含某一类思考者偏好的主导词，以唤起所需的思考模式。在询问和倾听回答时也必须小心谨慎。例如，我会联系你，这样的回答不应该被自动理解为这个人是一个动觉思考者。这个短语很常用，不同思维模式的人可能会用到它。它应该被看作仅仅是一个提示，帮助攻击者继续提问，以巩固一个人是动觉思考者的假设。还应该谨慎，因为太多的问题可能会激怒被调查者，从而让他们感到不快。

理解目标思维模式的重要性

理解目标的思维模式的重要性在于让目标进入舒适区。当目标处于舒适区时，他们很容易就打开了。人类通常倾向于被那些让他们感到舒适的人所吸引。以下面的场景为例，一个社会工程师在餐馆里发现了一个目标。这位社会工程师坐在一张客户能直接看到的桌子旁，在某个地方，他肯定能抓住目标的注意力。为了辨别目标的思维模式，社会工程师使用一支金笔。为了判断目标是否是一个视觉思考者，社会工程师在向服务员示意的同时，将它挥舞或在空中轻弹。

在这一点上，如果目标是一个视觉思考者，当金笔被轻弹或挥动时，他或她会看到金笔，社会工程师会观察这一切。如果这不起作用，社会工程师在打开和关闭金笔时点击它。如果目标是一个听觉思考者，他或她的注意力可能会转向笔的声音，并且可能会抬头看看这是否确实是一支笔。如果所有这些都没有结果，社会工程师可以走向客户的桌子，轻轻地将笔放在目标的肩膀或手臂上，然后说:对不起，你知道现在几点了吗？我觉得我迟到了。

下图显示了目标的思维模式:

如果最后一种方法有效，并且目标突然对笔产生了兴趣，社会工程师可以继续确定目标是否是一个动觉思考者。这可以通过这样的陈述来实现，比如，你明白我的意思，或者，我觉得你正在迎头赶上。显然，根据目标的环境和类型，会有更好的词汇选择。但是在互动结束时，社会工程师将会确认目标是否是一个动觉思考者。如果没有，社会工程师将跟踪其他线索，以确定目标的思维模式，并纠正所使用的方法。结果将是通过与客户最匹配的表达和单词选择，让目标在社会工程师周围感到舒适。这就是辨别思维方式的重要性。

值得注意的是，决定一个人的思维模式不是一门科学，也没有确定性。它只不过是社会工程师工具箱中的工具之一。在社会工程攻击中，还有其他更可靠的方面。这些方面中的一些是如此强大，以至于它们被成功的心理学家和审讯者广泛应用。其中之一就是微表情。

微表情

随着人类的发展，他们开始熟悉阅读面部表情。只要看他们的脸，他们就能知道对方是高兴、悲伤、厌恶等等。然而，这些表情也可能是伪造的，人类也在成长过程中知道如何巧妙地伪造它们。这些长时间戴在人脸上的表情叫做宏观表情。既然他们不是那么非自愿的，他们可以伪造，因此不能完全依赖。但是，有一种表情叫做微表情。这些都是不由自主的，无法伪造或控制。它们是由内心深处的情绪引起的，当它们触发并引起面部意外的肌肉抽搐时。这些表情很短，甚至不会持续一秒钟，而且几乎无法控制。它们体现在一个人可以长期佩戴以愚弄他人的宏观表情上:

很长一段时间以来，医生、研究人员和人类行为专家一直在研究微表情，最终目标是知道他们何时被欺骗。社会工程师擅长理解他们目标的微表情，并能发现欺骗的迹象。微表情研究的权威之一是保罗·艾克曼博士，他写了许多关于这个主题的书，包括情感流露和揭开面孔。

Evidence for training the ability to read microexpressions of emotion, by D. Matsumoto and H. S. Hwang, Motivation and Emotion, Volume 35, Issue 2, pp 181-191, 2011 available at dx.doi.org/10.1007/s11031-011-9212-2.

埃克曼博士在他的书中指出了七种主要的微表情，我们将逐一介绍。

愤怒

根据埃克曼博士的说法，愤怒是人类最容易发现的微表情。有几块肌肉可以清楚地显示一个人是否生气。一个愤怒的人主要会有狭窄紧绷的嘴唇和向下倾斜的眉毛，比平时画得更近。愤怒是一种非常强烈的情绪，但人类仍然可以用他们伪造的宏观表情来隐藏这种表情。然而，如果仔细观察，在几分之一秒内，这种表情会在被隐藏之前在一个人的脸上显现出来。由于识别愤怒的机会窗口可能很小，社会工程师将加强他们识别愤怒的能力。他们通过教会自己如何再现愤怒表情来做到这一点，这样他们就可以很容易地察觉到它们，也能够熟练地抑制它们。如何再现愤怒表情的训练很简单，可以通过以下四种方式完成:

• 你必须迫使眉毛向下朝向鼻子，并靠得更近
• 眉毛向下，应该尽量把眼睛睁大，但不要影响眉毛的位置
• 一个人的嘴唇应该绷紧，紧紧地压在一起，但不要皱起来
• 一个人只要一动不动就可以盯着任何东西或任何人

仅仅是练习这个就会引起一些轻微的愤怒。最终目标是，人们将能够在这个表情出现的几分之一秒内自动检测到它。

厌恶

它和愤怒一样强烈，用于对完全不喜欢的事情做出反应。某个人非常讨厌的某种食物，只要一想到它就能引起厌恶，更不用说它的气味或视觉了。厌恶的主要特征是上唇抬高露出牙齿，鼻子有皱纹。有时，当鼻子皱起时，脸颊会抬高，好像在防止吸入难闻的气味。厌恶通常是对嗅觉、视觉或思想的一种反应，因此很容易隐藏。当向社会工程师表达时，这是一个好迹象，表明目标对他说的话一无所知，这是一个很好的红旗，表明他放弃了整个任务，或者在社会工程攻击中采取了另一种方法。这是因为，当一个社会工程师到了让目标厌恶的地步，就意味着几乎失去了一切。厌恶是强烈的，社会工程师的任何想法、气味、视觉或个性都会引发这种表达。厌恶与负面情绪密切相关，当它被唤起时，所有这些情绪都会爆发。因此，当它出现时，社会工程师通常会后退一步，以另一个借口开始工作，或者放弃整个攻击。

轻蔑

蔑视与愤怒密切相关，两者很容易混淆。在他的第一个表情列表中，埃克曼博士只有六种表情，因为他把蔑视排除在外，认为它和厌恶是一样的。在研究发现这两种表达方式完全不同后，他后来重新审视了这个列表，并添加了轻蔑一词。蔑视是不同的，因为它只表达对人和他们的行为。从生理上来说，轻蔑的特征是鼻子起皱和单侧唇裂。这和厌恶的区别在于，一个被厌恶的人会扬起整个嘴唇。一般来说，仅仅通过观察一个人是用整张脸还是用半边脸来表达，就可以把轻蔑和厌恶区分开来。一侧肌肉的额外紧张表明它甚至比厌恶更强烈。一个表现出轻蔑的人会造成伤害。这就是为什么它可以在法庭上被起诉。这是一个社会工程师必须不惜一切代价避免的表达。一旦被触发，不仅攻击会失败，而且社会工程师可能会被目标伤害。

害怕

恐惧是一种零星的表达，在某些情况下会自动表达出来。恐惧是生物控制的，因为它涉及肾上腺素的产生，以促进逃跑或战斗反应。恐惧的特征是扬起的眉毛，张大的嘴巴，和合在一起的眉毛。一个感到威胁或危险的人会很快表现出恐惧。威胁可以是身体上的，情感上的，或口头上的，但它会引发同样类型的反应。它不容易隐藏，因为它与许多生物过程有关。然而，人们可以抑制它，使它的物理表现最小化。

在社会工程中，恐惧通常被社会工程师用来使目标以某种方式行动或做出某种决定。它通常用于让目标透露非常敏感的信息或在几乎没有抵抗的情况下提供有价值的资源。有人打电话给人们，特别是老年人，假装是执法人员，要求他们支付一定数额的罚款，否则他们会把他们送进监狱。一直有骗子联系冒充 FBI 的人，对使用 torrents 的人进行跟踪。同样，他们一直要求人们支付一定的金额，否则将被关进监狱。这两种类型的威胁有相似之处。他们都利用了恐惧。一个人最终会进监狱的威胁足以让他或她放弃一定数量的钱。在社会工程中，许多东西可以用来给目标灌输恐惧。因为这是精心做的，社会工程师们会事先确切地知道一个人害怕什么，并利用它来推进他们的攻击。社会工程师也可以利用恐惧进入敏感的办公室和建筑。他们不仅对他们的目标使用它，他们对任何人都使用它，这就是为什么他们花很多时间练习如何使用它。如果一个秘书拒绝他们进入一个高级官员的办公室，这个社会工程师会立刻威胁到秘书的工作。这位社会工程师可能会声称是被个人要求来修理一个计算机问题，如果他没有这样做就离开了，老板可能会生气并解雇秘书。这是一种易于使用的情绪，很容易被观察到，因此社会工程师会知道它什么时候起作用，什么时候不起作用。

惊喜

惊讶与恐惧紧密相连，就像厌恶与轻蔑相连一样。惊讶表现在身体上，眼睛睁得大大的，下颚也不听使唤。与前面提到的表达方式不同，惊喜既可以是好的，也可以是坏的。人们会对不同的事情感到惊讶，比如意想不到的问题和意想不到的结果。好的惊喜会带来积极愉快的回应。另一方面，坏的惊喜会导致消极的反应。社会工程师倾向于带着好的惊喜工作，因为这些能很快让目标放松，也能增加社会工程师所说的话的可接受性。因此，他们总是有东西来触发好的惊喜，比如礼物或笑话。

悲哀

悲伤是一种强烈且无法抗拒的情绪。它具有高度的传染性，因为人类只要看到表达过这种情绪的人，就会感受到这种情绪。它的特征是嘴巴微张，嘴唇拉向嘴角，脸颊翘起呈斜视状，目光低垂。悲伤不能被希望赶走，因此它需要时间才能消失。悲伤也有不同的层次，从微妙的悲伤到压倒性的悲伤。它也可以很容易地从假笑中被挑选出来，因为它是如此强烈。如果有人讲一个悲伤的故事，悲伤常常会充满整个房间。

在社会工程的世界里，每一种强烈的情感都是一种工具，悲伤不会被遗忘。它被用来引发即时的同情，让人们不可抗拒地付出金钱和信息。更不用说社会工程了，悲伤被用于慈善基金会，从人们的口袋里挤出钱来。有些基金会在广告中使用饥饿、瘦弱、肮脏、哭泣和体弱多病的儿童形象，并告诉观众，只需少量，他们就可以给这些儿童的脸上带来快乐。这是一个专家使用悲伤作为引发人们某种反应的触发器，这些广告商对此再清楚不过了。社会工程师把这个提升了一个档次，他们用这种情绪开玩笑，让人们不假思索地给出更有价值的东西。一名社会工程师将撞向一个目标，并解释一个非常悲伤的折磨。悲伤的折磨围绕着近亲、怀孕的妻子和孩子的死亡。为了增加趣味，社会工程师加入了宗教因素来软化目标的心。一个人可以轻易地从一群毫无戒心的人身上骗取钱财，用作回家看望生病的孩子或分娩中的妻子的油钱。不知情的目标一旦听到这样的折磨，就会掏空他们的口袋。悲伤让人做出意想不到的事情，社会工程师反复滥用它。

快乐

这是最假的表情之一。看到互相厌恶的人见面握手时面带微笑是很平常的事。在这些微笑的背后是死亡的呻吟和结束对方的疯狂想法。幸福是假的，因为它被认为意味着在许多其他事物中有和谐、理解、快乐和合作。对于一个社会工程师来说，区分真实微笑和假笑是非常重要的。长久以来，假笑一直是人们好奇的对象，杜兴·德·布洛涅在 19 世纪对假笑做过一项研究。

他在一名男子的脸上使用电极，触发了负责微笑的肌肉，并能够确定真实微笑与诱导微笑或假笑之间的差异。他想出了今天使用的以下认识。真正的微笑，有两块不由自主触发的肌肉是无法主动触发的。这些是颧大肌和眼轮匝肌。可观察到的肌肉是眼睛周围的眼轮匝肌，它们是假笑和真笑的真正决定因素。

所以，真笑和假笑的区别在于，真笑的特点是脸颊凸起，眼睛宽阔但很窄，下眼睑有向上拉的趋势。总之涉及到整张脸。另一方面，假笑只以嘴唇和脸颊为特征，因为它们有可控制的肌肉。因此，假笑只会出现在脸的下半部分，下眼睑，眼睛会保持不动。社会工程师在开始与目标进行面对面的互动之前学会如何观察这一点。这样做的目的通常是为了能够发现一个真实的微笑，因为有很多假笑。真正的微笑在攻击中非常重要。从目标出来，说明他(她)自在。这表明社会工程师对目标产生了积极的影响。

训练看微表情

在介绍了所有这些微表情之后，看看社会工程师如何训练使用它们是很重要的。如前所述，它们被用作触发器和指针。有些会触发目标以某种方式行动或做出某种决定。其他的将被用作指针，当一个交互按计划进行或者要失败的时候。据说，微表达式在被虚假的宏表达式替换之前，甚至会在几分之一秒内显示出来。本节将介绍如何识别微表情的培训过程，并使用这些信息来推进社会工程攻击。

学习如何读懂一个微表情的最好方法是通过练习，这样你就可以知道涉及到的确切肌肉。社会工程师在镜子后接受训练，学习如何识别哪怕是最轻微的肌肉抽搐。这是一个真正的微笑，一个目标将显示几分之一秒，这将意味着攻击正朝着正确的方向发展。同样，第二长的厌恶表情会告诉社会工程师，攻击走了一条错误的道路。学习如何再现这些表情还有另一个好处。他们是攻击的一部分。一个社会工程师需要摆出一副真正惊讶的表情，即使他预期目标会有某种结果。

训练如何看到微表情是读心术的第一步。从七种主要表现形式的讨论中，讨论了附属的情绪。表情与表情紧密相连，如果一个人能读懂表情，他或她就能说出目标的真实情感。然而，阅读表达不足以进行社会工程攻击。知道目标对某事的真实感受并不能解释为什么他们会有这样的感觉。为了把所有的碎片组合在一起，一个社会工程师需要擅长于询问，阅读身体语言和启发，以便小心翼翼地把目标导向某个方向。尽管如此，微表情阅读技巧本身对于社会工程师来说仍然非常有用。下一节将讨论为什么会这样。

如何在社会工程攻击中使用微扩展？

到目前为止，这一章已经让你更深入地了解了一个人的思想和心理。从读懂微表情的能力开始，你就变成了读心术。现在是时候深入了解社会工程师如何恶意使用微表情来进一步攻击了。

攻击时微表情的使用主要有两种方法，如下:

• 第一个是唤起某些情绪
• 第二个是确定目标何时具有欺骗性

第一种表达情感的方法，在某种程度上，在对七种表达的讨论中已经涉及到了。没有深入探讨的是，操纵一个人的情绪是可能的。研究由李、津巴、博姆和帕勒进行，志愿者观看一部电影，每 1/25 秒记录一次他们的面部表情。在研究结束时，发现几乎所有的志愿者都表达了与电影中相似的情感。这是人类大脑黑客的一种形式，因为社会工程师可以通过展示一些情绪来巧妙地在受害者的大脑中植入一些情绪。这最好被称为神经语言编程 ( NLP )，这将在下面的一节中介绍。

唤起某些情绪对于社会工程攻击是有用的，因为它克服了人类被教导的某些挑战。在一家公司中，一名社会工程师可能带着一个装有某些恶意软件的 u 盘走进来，唯一的目的就是让该恶意软件进入公司的网络。社会工程师可能带着悲伤的表情接近接待员，声称要来参加面试，但他的简历丢失了，因此请求接待员好心地为他打印另一份简历。他选择穿的情感很重要。悲伤是很容易转移的，它会唤起同理心。由于这一点，接待员会不情愿地拿走闪存盘，将其插入公司的电脑并打印简历，希望以此减轻潜在员工的痛苦。最终目标将会实现；u 盘里的恶意软件会进入组织网络。对于每一个不同的场景，社会工程师会选择最合适的表达方式来影响目标，以实现他或她的目标。这和之前讨论的为受难儿童捐款的广告是一样的。广告商确保人们能够看到贫穷、绝望和营养不良的儿童的形象。这些东西展示出来后，大脑变得情绪化，并准备遵从帮助这些孩子的请求。即使不是每个人都会捐款，这个广告也会影响大多数人的情绪状态。这就是微表情的强大性质，它们可以很容易地被用来让社会工程师执行广泛的恶意行为。

由于在社会工程中使用微表情作为武器的严重性，如果你在这一点上了解一些缓解措施是最好的。必须让员工意识到这种狡猾的诡计，就像刚才讨论的那样。必须教会他们如何在任何时候都尊重组织的安全政策。即使在被感动的时候，他们也应该优先考虑整个组织，而不是单个人的意愿。在接待员的理论示例中，很可能是拇指驱动器中的恶意软件感染了组织中的所有计算机，删除了一些数据，损坏了一些文件，导致数百万美元的损失，并导致许多工作的终止。因此，员工必须时刻牢记这一点。必须教会他们如何怀疑自己的情绪，因为它们会被恶意的人所操纵。这样的回答，虽然我很想帮助你，但是安全政策禁止你的请求，但是你可以花一点时间去附近的网吧打印你的简历。我应该通知人力资源部你会晚到几分钟吗？这就是拯救整个组织免于因网络攻击而衰落的全部代价。这是挫败社交工程攻击的完美回复，同时也消除了前台的指责。澄清了这一点，我们就可以轻松地转向使用微表情的第二种方法了。

第二种方法是微表情可以用来检测欺骗。对于一个社会工程师来说，辨别目标的回答是否真实是非常重要的。微表情只是社会工程师用来检测欺骗性反应的技术的一部分。通常还会辅以其他技术来确认目标是否在撒谎。谎言还会带来其他的东西；矛盾，犹豫，行为变化，姿态。我们将逐一查看。

矛盾

当把矛盾作为欺骗的指针时，建议谨慎。这是因为人们确实忘记了一个故事的事实，因此最终自相矛盾。有时，人们记得他们自己版本的故事，可能与其他版本不同。这很常见，在法庭上见证人对所发生的事情给出不同的描述时，我们已经见过很多次了。因此，有矛盾的回答者并不总是在说弥天大谎。所以要用后续问题。

假设一名社会工程师正在使用拇指驱动器瞄准公司中的某个特定人员，例如采购经理。社会工程师必须确保将 u 盘插入采购经理的计算机，以便他可以安装恶意软件来执行一些恶意操作，如复制数据。他会想出一个合适的借口去见采购经理，然后去碰碰运气。确认采购经理在后，他可能会去接待处，却被告知目标不在。然而，社会工程师已经做了尽职调查，并确保目标是在和这是一个矛盾。他可能会接着说，会议是前一天预先计划好的，但他记性不好，因此也可能在错误的日期来了。可以用两种方式对这一后续行动作出回应；接待员可能会强调目标不在，或者说她会去看看他是否在。第二个回答与前一个回答相比发现了更多的矛盾。为了挽回接待员的面子，社会工程师可能会感谢她的意愿，并说他也可能把日期搞混了。这样，接待员会觉得和社会工程师在一起很自在，这有利于攻击。如果回答是经理不在，这种缺乏矛盾可能意味着目标可能不在或者那天可能没有访客。处理这件事的最好方法是要求接待员确认经理将在的日期。这在两种情况下都是双赢的局面。

犹豫

犹豫是某人不诚实的一个重要标志。如果问了一个问题，应该很快给出预期的答案，但如果有不适当的延迟，这可能意味着回答者正在花时间编造答案。很容易挑出这一条，因为人们习惯于问答式的对话。犹豫的一个特殊技巧是在回答之前重复问题。背诵答案所花的时间表明，回答者正在编造答案。然而，对语速慢的人要小心，因为他们在回答之前可能真的会犹豫。

行为变化

当提出某个问题时，通过观察回答者前所未有的行为变化可以发现谎言。这是审讯室常用的技术，因为它有助于审讯者发现微妙的谎言。如果回答者突然改变他或她的坐姿、姿势或说话方式，很可能给出的回答是欺骗性的。然而，这些行为变化不一定总是表明谎言，因为它们可能是真实的变化。也许一个人长时间被限制在一个特定的坐姿，或者也许最初采取的姿势很累。因此，这些行为不是准确的指针，但它们是引起对给定响应的兴趣的原因。行为变化表明欺骗的原因是，它们被视为延迟，以允许回答者编造答案，或给他或她充足的时间来决定是否透露某些信息。

手势

手势通常在演讲中用来绘画。人们认为说谎的人经常触摸或摩擦他或她的脸。其他要检查的指标是手势频率、速度和持续时间的变化。同样，这些都是拖延战术，让一个人编造一个答案。就像前面提到的警告一样，这并不是欺骗的明显标志。

微表情部分到此结束。要强调的最重要的一点是，微表情不是一门科学，并不总是准确的。他们只能提供一些线索，以便进一步询问和观察。微表情可以帮助你在早期减轻社会工程攻击。这一节谈到了自然语言处理。这将是下一节的重点。

自然语言处理

NLP 研究人类思考和体验周围环境的方式。它导致一些原理如何工作的模型的形成。然而，这是有争议的，因为它是公认的不精确。自然语言处理的历史可以追溯到 20 世纪 70 年代。它是由 Bandler 和 Grinder 开发的。他们是第一批想出 NLP 代码的研究人员。他们还开发了一种被称为元模型的治疗模型，他们多年来一直在为 NLP 改进这个模型。

Neurolinguistic programming, by E. H. Marcus, Personnel Journal (Pre-1986), Volume 62, (000012), pp. 972, 1983 available at search.proquest.com/docview/203642455?accountid=45049.

自然语言处理代码

当 Bandler 和 Grinder 提出 NLP 时，它并不像现在这样定义。随着时间的推移，它收到了许多旨在帮助人们理解人类思维模式的贡献。这些被编成了代码。随着时间的推移，Grinder 发现了最初代码的缺点，并决定制定一个新的代码，该代码更加关注人们的信仰以及如何改变这些信仰。新的守则侧重于感知，克服思维模式的技术，以及如何改变旧习惯。新法典还包括一个人的精神状态和对这些状态的感知。目前制定的新代码专注于通过针对无意识大脑来改变一个人的思维模式，而不是直接试图改变一个人的行为。销售人员是如何做到这一点的例子。为了增加他们的销售，他们可以首先让潜在的买家谈论他们的生活梦想和目标。有了这些，销售人员可以把他们的产品作为实现这些目标的手段。

This is all focused on the unconscious brain and one will gravitate towards things that will get one closer to one's goals.

让我们了解一下社会工程师如何使用 NLP:

声音

声音可以嵌入用于让目标进入某种思路的命令。语气可以用来强调，这种强调会被无意识的大脑所接受。

句子结构

英语使用句末的声音来帮助听众了解这个句子是疑问句还是陈述句。声音向上摆动表示疑问，相同的语调表示陈述，而向下摆动表示命令。在 NLP 中，鼓励在句子中引入命令。这迫使一个特定的信息进入无意识的大脑，即使这个句子是一个问题或者仅仅是一个陈述。诀窍是在说出包含命令的单词时降低声调

词汇选择

意思相同的不同单词可能会产生不同的影响。社会工程师练习他们的叙述，用那些对目标产生最大影响的词来改变弱词。同样，话语的积极和消极也会影响目标的想法。因此，根据不同的场景，社会工程师会使用肯定或否定的词语来传递想法。

NLP 是强大的，它与潜意识相一致。所做的决定受到潜意识的影响，因此它是社会工程师的理想目标。潜意识可以让一个人反对某个想法，或者可以说服他们的受害者。一旦潜意识被触及，就没有什么能阻止一个社会工程师实现他的愿望。

采访和审讯

这两种是从目标获取信息的不同方法。在面试中，目标做了大部分的谈话，引导了整个谈话，而社会工程师收集了重要的信息，并要求澄清。在审讯中，社会工程师与目标谈论他或她的陈述；社会工程师引导对话。目标更有可能变得紧张，当社会工程师已经有了一些信息时，就使用这种方法。访谈很容易进行，因为受试者自始至终都很放松。它不需要像审问一样多的技巧。社会工程师到了这样一个地步，审问是绝对必须的，这是一个关键点，因为让目标感到不适可能会导致整个攻击失败。因此，已经熟练地开发了一些审讯技术。

专家审讯技术

如前所述，当社会工程师有一些关于目标的信息时，就进行询问。因此，在开始整个询问过程之前，必须进行尽职调查，以确保社会工程师手边有这些信息。在审讯开始时，社会工程师注意目标的姿势、头部位置、眼睛的张开度、四肢的位置、嘴唇的位置、声音和言语是很重要的。这些构成了确定变化的基础。如果问了一个问题，目标的姿势从倒下变成直立，这是一个指标，目标已经被警告，应该跟进给出的答案。

其他变化可以被解释为目标的真实性或欺骗性的指针。如果目标回答问题的时间比平时长，并且语调突然改变，那么目标可能在撒谎，应该使用后续问题。专业人员使用一组问题，导致目标在特定问题上的对抗。引导性问题也限制了受试者撒谎。审讯者会对说谎的部分特别感兴趣，这就是为什么受试者的基线行为值得注意的原因。审问有不同的目的。其中包括:

• 对抗目标:对抗在社会工程中以非威胁的方式使用。它用于将目标限定在某个响应中。例如，我来见 X 先生，他今天这个时间安排了一个会议，他在吗？社会工程师不太可能被拒绝。

• 开发一个主题:社会工程师通常会使用一个借口，让自己看起来是另外一个人。为了合群，他们可以对怀疑他们的人使用审讯手段。当呼叫目标时，社会工程师以 IT 支持人员为借口可以询问目标是否符合组织的安全策略。它为 It 支持人员提供了借口。

• 克服否认:社会工程师总是准备好面对来自目标的阻力。这就是为什么他们设计了一系列问题来分散目标客户对其最初异议想法的注意力。一个很好的例子是告诉一个目标，你可能通常会说不，但是，我想告诉你的事值 X 的钱？这减少了否认的想法，给了社会工程师一个倾听的耳朵。

• 保持目标的注意力:目标会继续担心如果他或她拒绝社会工程师的请求会发生什么。正是这种担心，社会工程师通过利用这种担心来保持目标的注意力。例如，如果接待员说社会工程师不能见采购经理，社会工程师可以说，我确信他听到我大老远跑来却不能见他会非常失望。他什么时候有空，这样我可以打电话给他，安排一个更有把握的约会。

• 给出替代方案:当攻击看起来已经走进死胡同时，可以使用审问给出替代路径。例如，如果接待员说你不能见采购经理，你可以继续说，我非常感谢你对工作的投入，但是，由于我可能不能亲自送这个 u 盘，我能把它留给你，然后通过电话跟他联系吗？

• 审讯可以根据情况采取不同的方式。一个社会工程师可以选择同情，侵略，直接(发布命令)，漠不关心，爱面子，或在许多其他方法中自我中心。任何能让目标倾听的方法都是好方法。

手势

手势是他们自己的一种语言，他们往往因地而异。微表情在世界各地都是一样的，因为它们是由情绪形成的，但手势是由人类发展出来的，因此会有所不同。在社会工程中，手势被用来在互动中减轻目标的阻力。以下是实际应用:

• 锚定:手势可以链接到某些语句。在使用特定手势的同时重复某些积极的陈述可以在显示这种手势时锚定目标说积极的事情。
• 镜像:手势应该反映目标的个性。胆怯的目标不喜欢响亮而夸张的手势。然而，他们在使用微妙手势的人周围感觉更舒服，这些手势足够柔和，能与他们自己的个性联系起来。

手势是一种交流方式；它们可以等同于自己的语言。不同的手势被认为意味着不同的事情。人们会记住手势所传达的信息。人们会对过度使用相同的手势感到厌倦。人们会担心那些表现出不安全感的手势，比如击鼓、抖腿、肘部靠近胸腔或随意触摸脸部。社会工程师训练如何在他们可能遇到的每种情况下使用完美的手势。

专心倾听

听起来很明显，对于每个社会工程师来说，倾听是一项关键技能。普通人只会在短时间内记住所说内容的 50%,然后几乎全部忘记。这是因为人类不善于倾听，尤其是当他们对谈论的话题不感兴趣时。

有一些技巧可以让你成为一个好的倾听者。这些是:

• 注意:专心倾听意味着所有的注意力都有目的地转移到说话者身上。重要的是不要被电话、背景噪音、说话人的长相等等分散注意力。社会工程师甚至会避免被其他想法分散注意力，以确保他们掌握目标所说的一切。
• 给予反馈:对于目标来说，这是一个很好的信号，表明他或她正在被倾听。社会工程师会用点头和面部表情来表明他们在和说话者交流。
• 不要打断:打断会干扰说话者的思路，因此应该避免。只有在必要的时候才应该使用中断。
• 回应:对说话者提出的问题给予回应是件好事。这向说话者确认有人在听:

建立融洽关系

融洽可以被比作与正在交谈的人同步。融洽是建立牢固关系的关键。在社会工程中，融洽关系非常重要，因为它在目标和社会工程师之间建立了急需的联系。这是整个进攻的一个主要优势，让一切都变得容易多了。社交工程师用几样东西来建立融洽关系:

• 真诚地了解他人:社会工程师强迫自己喜欢他人，让他们看起来非常重要。他们强迫自己喜欢和享受与目标的互动。他们强迫人们对目标产生真正的兴趣。

• 照顾外表:有句话说，三秒钟就能看出你喜不喜欢一个人。这三秒钟用来评估这个人的外貌。社会工程师意识到了这一点，他们将在外表上投入大量资金，以确保他们打扮得体，或者穿着适合不同场景的衣服。

• 倾听:如前所述，倾听在社会工程中很重要。人们会喜欢那些他们认为是好听众的人。

• 意识到他们如何影响他人:社会工程师知道如何控制他们对他人的影响。即使在互动过程中，有些事情他们会避免说或做，这可能会损害他们与目标的融洽关系。

• 不与人交谈:人类的自私让他们觉得有必要与他人谈论自己。社会工程师避免这一点，因为它可能是融洽杀手。当人们谈论他们自己时，他们倾听，这继续建立融洽的关系，因为人们通常喜欢谈论他们自己，他们的经历和成就。

• 运用同理心:社会工程师将自己定位为能够感受并提出解决问题的方法的人。从真正的意义上来说，他们所做的只是倾听，从他们的目标中理解潜在的问题，并以某种方式做出回应，以显示他们与正在发生的一切保持一致。当他们的目标难过时，他们会承认并给予安慰。这有助于让目标更加信任社会工程师。但是，他们用的是表面的同理心。一个社会工程师的真实情感通常被安全地锁定，那些表现出来的只是社会工程师的借口。

• 知识渊博:令人惊讶的是，仅仅是对某些话题有一个想法就能帮助建立融洽的关系。不同事物的知识更好，因为它将社会工程师呈现为一个有趣的人。社会工程师会花时间让自己熟悉目标的职业或爱好，这样他们就有了可以在互动中使用的一般知识。

• 培养好奇心:好奇心对于一名社会工程师来说非常有用。这让他们避免在对目标了解不多的情况下做出错误的决定。如果一个目标避免以正常方式做事，这是一个很好的好奇心来源，应该进行调查。

• 满足目标的需求:人有以下心理需求——爱、权力、自由和学习。社会工程师将自己定位为能够满足这些需求的人。一些成功的社会工程攻击之所以发生，是因为社会工程师将自己定位为目标的情人。对目标的兴趣和爱好了如指掌，就完成了剩下的工作，并为攻击搭建了完美的平台。社会工程师选择的借口总是能够满足目标的至少一个需求。如果完美地做到了这一点，目标在社会工程师周围会感觉更有联系和舒适。

• 基于自然语言处理的其他技术:还有一些基于自然语言处理的技术，目标是人的潜意识。其中之一是匹配呼吸频率。一个人的呼吸频率遵循一种模式，并取决于所做的活动。通过匹配呼吸频率，一种潜意识的联系就形成了。另一种 NLP 技术是匹配声调、说话的速度和风格。如果一个社会工程师能够匹配这些东西，他或她会与目标有更多的联系。匹配肢体语言也是另一种 NLP 技术。手势、面部表情、坐姿、站姿和其他类型的肢体语言都可以被潜意识大脑接收到。如果这些与目标匹配，就形成了一个连接。融洽有助于建立关系，这有助于攻击。这将在下一节讨论。

人类缓冲区溢出

在概述中，有人说人脑可以像电脑一样被黑客攻击。前面几节已经说明了情绪可以在目标中被侵入。本节讨论了一种更强大的人脑黑客方法。计算机程序已经被黑客利用这种技术入侵，在这种技术中，它们被给予比通常情况下更大尺寸的输入以保存在它们的缓冲区中。缓冲区是用来保存特定数据的内存存储区域。当提供的数据超出限制时，会导致溢出。这使程序不堪重负，导致错误和不良行为。这也方便了黑客在计算机程序无法控制自己的执行时发出一些恶意命令。

Study on estimating probabilities of buffer overflow in high-speed communication networks by Izabella Lokshin, Telecommunication Systems, Volume 62, Isssue 2, pp. 289-302, 2016 available at dx.doi.org/10.1007/s11235-015-0055-0.

人脑就像一个计算机程序。它是用多年的指令、存储器和硬编码的缓冲区建成的。人类大脑有一些空间分配给临时保存数据。当呈现的数据超过可以容纳的数量时，就会出现一个记忆缺口，允许社会工程师将某些命令注入大脑。例如，人类的大脑知道颜色，可以轻松识别单个色块。然而，如果颜色块与单词交换，比如说像红色这样的单词以黄色字体显示，就会发生缓冲区溢出。有两种颜色回到大脑，而不是一种。书写中的红色和着色中的黄色相互竞争处理。

人们相信，即使人类平均每分钟说 150 个单词，他们也能在同一分钟内思考 600 个单词。因此，人类不可能因为和他们快速交谈而被黑掉，因为他们处理的东西比一个人能说的还要多。然而，有些东西是可以被破解的。一个人日常生活中的大多数决定都是基于大脑自动驾驶的潜意识决定。开车、喝咖啡、刷牙和选择服装就是其中的一些决定。专业人士认为，在有意识的大脑干预改变或维持决定之前，潜意识大脑已经做出了决定。因此，如果潜意识大脑可以被黑掉，那么让人们以某种方式做出决定可能会很容易。入侵潜意识已经在 NLP 部分讨论过了。一个人所需要做的就是将某个决定与目标想要的积极的事情联系起来，几乎总是，目标会做出那些决定。

两件事也助长了缓冲区溢出——模糊大脑和在语句中嵌入命令。这些将在下面讨论。

这是一个缓冲流攻击的例子，非常简单。试着去读单词的颜色，而不是拼写。一个例子如下:

字体的颜色是什么？黑色；不管怎么拼，你都会说，黑。考虑下一个例子:

现在，字体的颜色是什么？绿色，但拼写是，红色，尽量读颜色而不是字体:

这很容易还是很难？ 为什么一开始听起来那么难？正如我之前提到的，这是我们大脑的思维方式。我们的大脑首先看到颜色，但它对拼写做出反应，这就是我们如何缓冲人类大脑的溢出。

模糊的大脑

这是一种黑客试图攻击一个计算机程序的方法，通过给它不同长度的输入，以查看超过该长度该程序将崩溃。目前的程序可能已经解决了这个问题，但是人脑还没有这个优势。在大脑中有一个被称为期望法则的印记法则，人类会遵从他人的期望。这是通过回报来实现的。因此，一个社会工程师会准备给目标一些有价值的信息或资源，当工程师要求一些东西时，目标会毫不犹豫地答应。

嵌入式命令

人类的大脑可以被命令去做一些事情，而他们并没有意识到他们是被迫这样做的。营销人员以使用像立即购买这样的短语而闻名。引导潜在买家购买产品。在社会工程中，因为使用这样的短语会很尴尬，所以使用填充。填充是在不影响命令效果的情况下使用一些短语来软化命令。一个社会工程师可以说，当你这样做的时候....或者，大多数人选择....这些语句允许将命令注入潜意识大脑。为了嵌入更多的命令，社会工程师使用故事和引用，否定，并告诉人们想象一些事情。最终结果是，信息将到达潜意识，正如我们所讨论的，潜意识在决策中起着关键作用。**

技巧

头脑黑客的技巧如下:

• 学习如何问正确的问题
• 确保你的肢体语言和你的话语同步
• 建立融洽的关系不是你所说的那样；这是怎么你说呢
• 和谐是通过匹配和镜像建立的
• 人类是任何组织的最弱点；你对人类、他们的行为和历史了解得越多，你就能更好地破解他们

摘要

心理诡计是社会工程攻击的核心。他们允许社会工程师进入目标的大脑，改变他们的决策，以遵循特定的路线。本章讲述了社会工程师进入目标大脑的许多方式。重点是潜意识大脑，它在决策中起着非常重要的作用，因为它先于意识大脑做出决策。一旦给大脑的这个部分一些信息，它就会做出有利于它的决定。然而，潜意识大脑容易受到攻击。情绪可以通过微表情植入其中，思想可以潜入其中，它可以遭受缓冲区溢出。正是这些漏洞让社会工程师能够黑掉人类，让他们做出某些决定。已经讨论过所有这些东西如何需要时间去练习和完善。社会工程师将投入金钱和时间来学习如何完善这些心理技巧。同样的，一个学习者应该练习这些，并且在结束时，他将能够读心、改变想法和改变决定。

下一章通过研究影响和说服来进一步攻击。它将讨论社会工程师如何能够说服目标去做一些起初看似无动于衷的事情。

三、影响力和说服力

没有比迎合别人的兴趣更容易说服别人的方法了。说服是社会工程师游戏中很重要的一部分，这就是为什么它不能和智力游戏放在一起讨论。影响和说服是让人们按照你希望的方式去做或思考的方法。劝说在日常生活中很常见，你很可能没有受到它的影响。它被政治家、领导人和各种产品的广告商用来让人们认同他们的想法，做他们想做的事情。如果有效地运用说服，人们可以被说服放弃他们先前的想法，而接受卖给他们的想法。本章将探讨说服的所有要素。它将涵盖以下主题:

• 说服的基础
• 影响策略
• 现实改变(框架)
• 操纵

介绍

在执法部门，有专门的审讯人员，他们经过特殊训练，学习如何从嫌疑人那里套出真相。社会工程师的成功取决于最终说服目标做某事的能力。最成功的社会工程攻击是由于目标被说服去做绝对荒谬的事情，并令人惊讶地遵从这些事情。一名会计最近被说服将数百万美元转移到一个他毫不知情的海外账户，毫无疑问，他确实这么做了。在许多其他攻击中，社会工程师提出的荒谬要求从未停止令人惊讶，受害者的顺从几乎是可笑的。但是社会工程师如何说服人们去做这些事情呢？以下章节将深入探讨这一问题。

说服的五个基本方面

说服是一个精心设计的过程，目的是让目标陷入陷阱，他或她的决定直接受到攻击者的影响。社会工程师坚持以下五个方面的说服:

• 有一个明确的目标 : 说服来自内心深处，社会工程师必须在与目标互动的开始就知道最终目标是什么。在前一章中，我们讨论了 NLP，并研究了潜意识在决策中的影响。如果社会工程师决心要实现某件事，潜意识也会有这样的期望，并会帮助实现那个目标。有了清晰的目标轮廓，就更容易提前计划如何控制与目标的互动。同样重要的是，社会工程师要有一个标准来衡量进展或目标的实现。一旦最终目标和成功的标准确定下来，说服策略就会更加成功。

• 融洽 : 这个话题在第二章，社会工程心理学——使用的心理技巧中被广泛讨论。与目标建立融洽关系的方法已经详细解释过了，应该回头参考。融洽意味着一个人能够主要通过目标的潜意识大脑获得目标的关注和信任。正常人，更不用说社会工程师，掌握了建立融洽关系的技巧，最终会在生活中更好地与人相处。对于一个人来说，这是一项强大的技能。在建立融洽关系时，应确定目标的精神状态。悲伤、担忧、怀疑和其他许多状态都应该被识别出来。在互动中，应该表现出对对方的关心。社会工程师把自己放在目标的位置上来帮助理解目标的想法和状态。攻击永远不会从社会工程师的精神状态开始；它启动了目标的大脑。说服一个人做某事需要情感和逻辑的结合。谦逊起着关键作用；一个社会工程师永远不会准备把互动变成负面的。消极的对话会破坏和谐。因此，通过从目标的角度提出想法，社会工程师能够与目标联系起来，使社会工程师几乎不可能退缩。

• 与周围环境合拍 : 一个社会工程师总是意识到他或她周围是什么。这有助于判断社会工程攻击的方向是否正确。在第二章 、 中讨论了很多关于这一点的社会工程心理学——心理技巧。总的来说，据说肢体语言是目标是否接受骗局的一个很好的决定因素。肢体语言和面部表情将告诉社会工程师他或她的说服策略是否对目标有效。神经学家说，大脑每秒进行数十亿次计算，这些计算通过非语言交流来表达，如面部表情和手势。仅仅通过观察这些非语言表达，社会工程师就能更好地隐藏他或她的非语言表达以及观察他人的微妙之处。社会工程专家在攻击过程中尽量减少内部对话的使用。这是因为当考虑接下来要说什么时，很难观察到目标的非语言交流。

• 灵活 : 疯狂通常被定义为重复同样的事情，却期待不同的结果。在一次劝说尝试中，一条曾经使用过但失败了的路径不会再被使用。不灵活不起作用，如果预先选择的策略不能说服目标，社会工程师将很容易转向另一种策略。目标也会随着说服工作的进展而改变。如果目标是不可妥协的，社会工程师可以改变目标或者瞄准一个更简单的目标。

• 与自己取得联系 : 情绪可以影响一个人做的每一件事。即使是社会工程师也不能避免强烈的情绪。这就是为什么一个社会工程师需要通过了解他或她的情绪来与他/她联系的原因。对某种行为根深蒂固的仇恨等情绪可能会妨碍说服。这就是为什么社会工程师总是意识到某些事情会引起他们的情绪。通过这样做，他们可以发展出回避这种情绪的策略，或者学会如何处理这种情绪。

设置环境

为了让目标到达一个容易被说服的脆弱点，有必要创造一个合适的环境。合适的环境是目标觉得有义务为社会工程师做些事情的环境。有四种策略用于创造这种环境。

影响策略

社会工程师花时间练习他们的说服技巧，直到对他们来说几乎是自然的。他们甚至试图说服几乎所有人去做任何事情，只是为了证明他们的技能。这是因为说服在社会工程攻击中扮演着终极角色。有八种方法可以用来影响人。政府、骗子、政客和媒体人员利用这些策略让人们购买他们的想法，而不是依赖他们自己的知识。

互换

当被善待时，人类大多会以同样的方式回应，这是社会工程师可以利用的反应。当冲向即将关闭的电梯时，如果有人在里面扶着门让你可以进去，你几乎会无意识地至少说一声谢谢。表示感谢是互惠的一个简单例子。还有很多其他制造商、政治家、甚至员工使用互惠的例子。制药公司花费大量金钱购买免费的物品作为礼物送给医院员工，作为回报，医院会倾向于向患者推荐或赠送礼品公司的药品。政治家们决定在竞选期间更加仁慈。员工可能会为同事的餐费买单，然后请求帮助，而这种帮助几乎总是会得到尊重。互惠基于两条规则，一个人会帮助曾经帮助过他或她的人，其次，一个人会避免伤害曾经帮助过他或她的人。如果互惠得到有效利用，请求几乎不可能被拒绝。为了避免社会工程攻击，注意这一点是很重要的。

下图显示了互惠过程:

当送出某些东西时，重要的是它应该对目标有价值。它可能是一个物理项目，秘密信息，或一些对目标有价值的服务。在目标消费了免费物品或服务后，他或她会产生一种亏欠感。社会工程师根本不是指免费的项目或服务；它应该是完全免费的。

有时候，信息对目标来说非常有价值。例如，如果目标是股票交易，分享给客户的一些见解可能会被认为是非常有价值的，并且客户会立即有负债的感觉。在这之后，社会工程师请求帮助。感激的感觉会让目标回报以给予他所要求的帮助。社会工程师总是在寻找他们可以利用互惠的机会。它可以是帮人开门，礼貌待人，或者帮点小忙。互惠是一种非常有效的说服策略，成功率最高。

义务

这和互惠有点关系。目标觉得有必要出于道德、法律、契约、责任或宗教要求采取一些行动。它通常被用来对付那些有义务帮助客户，同时忍受侮辱并意识到他们在某些事情上缺乏知识的客户服务人员。除此之外，一个社会工程师甚至可以在一个从未存在的目标上创造一种义务。令人惊讶的是，像赞美这样的小事也能产生责任感。美国伤残退伍军人组织能够通过向收件人发送定制的地址标签获得 35%的献血成功率。没有地址标签，他们只有 18%的成功率。要用恶意软件攻击接待员，社会工程师需要做的就是送一个包含产品目录的 u 盘小礼物。说明应该简单明了，接受这份礼物，我们只要求您浏览目录并打电话订购任何您感兴趣的东西。由于拇指驱动器是一个礼物，收件人会觉得有义务把它插上，并通过所说的附加目录。

特许权

让步就是承认或接受。它的使用方式与往复运动相同；只是目标提出第一个请求。社会工程师接受为另一个人做一些事情，但从长远来看，社会工程师知道他或她最适合向目标请求帮助。人类天生就希望当别人帮了忙时，他们最终需要回报。因此，社会工程师不会拒绝那些他们最终可能需要帮助的人向他们提出的请求。然而，正如互惠一样，社会工程师永远不会同意对他们没有任何价值的事情。不对某些人让步可能会导致在攻击中失去融洽关系或地位。就像回报一样，让步在社会工程攻击中有很大的潜力。

稀缺

人们发现，如果很难得到的东西和机会更有吸引力。稀缺是一种常用的营销工具，广告从未停止使用诸如限量供应、一日销售或清仓出售等短语。使用这些词的本质是创造一种稀缺感，让买家相信他们可能不会很快得到类似的报价。这类广告可能比那些强调某些产品优质的广告吸引更多的注意力，因为购买者在那个时候没有受到刺激而采取行动。稀缺性似乎给产品增加了一些特殊的价值，让购买者想在最方便的时候购买。这是因为人类具有经济配置资源的自然本能。当试图获取稀缺物品时，此规则不适用。在社会工程学中，稀缺是通过引入紧迫感而产生的。当人们相信他们有时间做某事时，他们不会优先考虑它。然而，如果让他们相信他们没有时间，他们会专注于在最短的时间内完成要求他们做的事情。紧迫性是一种常见的操纵技术，用于扰乱目标的决策过程。稀缺性补充了这一点，让目标很难拒绝做某事。

例如，我被你们的沟通主管 Doe 先生从 Fixit 电脑维修公司紧急叫去，在他去度一个月的假之前修理他电脑的云同步问题。这一请求包含了紧迫性和稀缺性，使其非常有效。如果秘书或接待员听到这个组合，她肯定不愿意拒绝社会工程师。一个首席财务官在离开办公室之前希望同步问题得到解决是有道理的；紧急提出这一要求也是有道理的。拒绝修理工将是一个令人遗憾的决定。从社会工程师的角度来看，如果他们能让一个机会看起来如此稀缺，目标就会乞求他们给他们这个机会。因此，攻击集中在被视为罕见或受限的事物上，因此社会工程师看起来是在帮助目标。如果攻击涉及到一些信息的泄露，用一个像这样的条款，我确信我不应该告诉你这些，但是...，最终结果是，无论分享什么信息，目标都会赋予比正确说出的信息更多的价值。

权威

在任何人类文明中，都有一种权威感。即使在动物世界，也有一个精心设计的权威结构。一般来说，人们会听从那些他们认为对他们有权威的人的指示。有不同的设置，其中权力要么是明确的，要么是隐含的。在家里，孩子们服从他们的父母，因为他们对他们有权威。在学校，学生服从老师。

在法庭上，律师尊重法官和陪审团。在组织中，员工听从上级的指示。在街上，平民尊重警察。在政治上，人们尊重并遵从他们的领导者的指示。整个世界是一个权威的体系。如下所述，有不同类型的权威。

法定权威

这是政府或法律赋予执法人员的权力。社会工程师常用的借口之一是执法人员、政府官员或律师寻求某些信息。

组织权威

这是来自组织中管理阶层的权威。等级较高的人比等级较低的人获得更多的信息和权力。社会工程师通过使用比他们在组织中的目标更有权威的人的借口来承担这种权威。一名社会工程师可能会给一名假装是首席信息安全官()的员工发电子邮件，要求提供某些证书。毫无疑问，由于对权威的认知，员工会提供这些信息。人们对任何权威的主张都非常敏感，因为他们长大后习惯了这些权威的结构。这就是为什么即使社会工程师可能在另一个国家或洲，电子邮件也能工作。仅仅通过声称自己是组织中的权威人物，社会工程师很难遇到初级雇员对他或她选择的借口的抵制。1993 年，Caildini 做了一个实验，在这个实验中，一个假想的医生会给不同医院的护士打电话，告诉他们给病人服用超过安全剂量的一定剂量的药物。令人惊讶的是，这些护士中有 95%的人愿意遵照指示，给病人服用致命剂量的上述药物。凯迪尼在一本名为《T4 的影响》的书中记录了这一点，该书展示了医务人员容易受到上级错误指示的影响。

Influence scie**nce and practice* by Robert B. Cialdini, 2009. Pymble, NSW: HarperCollins ebooks available at www.overdrive.com/search?q=385528A3-A0F6-4B42-A8E5-4D60D5C21901.

如今，组织权威被高度利用，因为社会工程师可以很容易地收集关于组织中高级雇员的数据，并同样冒充他们。他们能够给出荒谬的指示，但员工却盲目地执行。** **

社会权威

社会权威来自于非正式的群体设定，比如一群朋友，某个大学的校友，甚至是同事。在群体中，人们很容易被群体中其他成员的行为所影响。这被最好地描述为暴民心理，人们想要做大多数人正在做的事情。群体会有某个权威人物，其中某个特定的人由于其他因素，如体格、财富或口才，对群体有更多的控制权。还有许多其他的事情可以让一个团队成员脱颖而出，并对这个团队有一些隐含的控制，其他成员会跟随他或她说的一切。社会工程师能够通过在群体中更加突出来获得这种隐含的权威。通过这样做，他们获得了社会权威，可以指挥群体或要求群体成员做某些事情。遵从组长的指示被认为是有益的，因此小组成员会准备好按照组长告诉他们的去做。他们会自动驾驶，不加思索地服从领导的命令。即使他们被要求提供某些敏感信息，他们也会泄露。社会工程师会与群体中的人相处，目的是控制他们。他们用来获得隐含权威的一些东西是衣服、职称和汽车。仅仅通过穿着合适的衣服，使用正确的手势，发放假名片，社会工程师就能在他们选择加入的群体中迅速获得权威。有许多组织雇员加入的非正式团体，这是社会工程师最意想不到的罢工的地方。

承诺和一致性

一致性是一种非常有价值的人类特征，在相同的情况下，人们会以相同的方式行动。人类的大脑倾向于一致性，因为它在做某项任务时不需要重新处理信息。直觉是当某人基于过去一贯的经验感觉到某事不太对劲时产生的感觉。当一个人对自己不确定的新事物做出承诺时，也会有直觉。有承诺和一致性的真实例子。

在市场营销中，一个组织会努力通过广告来保持其市场份额，即使没有实现真正的回报。巨额资金最终被用于广告，仅仅是因为一个组织承诺保留它认为有利可图的市场份额，并担心如果它停止广告，竞争对手可能会夺走该份额。即使广告可能不会直接影响已经建立的客户群的品味和偏好，这种情况也会继续下去。拍卖是另一个例子，人们承诺购买一个产品，将继续出价高于对方，直到最后的出价太高，一个人无法被超越。赌博游戏也是另一个例子，在那里，人们在脑海中承诺他们必须赢得一些东西后，会花费大量的金钱。他们可能会玩很多回合，并在追求实现承诺的过程中失去更多。

一致性是基于以往经验的期望的产物。这种期望是采取行动的一种动力，这种行动会在早期结果的基础上带来某种有利的最终结果。一致性也会影响对某些请求的响应。守卫服务器机房的保安知道，当 IT 人员经过时，他或她会进入服务器机房。因此，如果有任何物理控制，保安知道他们必须允许 IT 人员进入，因为每隔一段时间就会发生这种情况。这是一致的，如果安全警卫阻止 It 人员访问服务器机房，那将是荒谬的，因为这通常不会发生。

一致性和承诺是社会工程师使用的非常强大的工具。他们试图让目标承诺去做某些事情，然后提升这种承诺。关键是让目标做出一个小小的初步承诺。一旦目标承诺了某事，他或她将愿意同意那些看起来与最初承诺一致的请求。然而，一个社会工程师总是与请求保持一致，这样他们就不会不一致。社会工程师采取了一条缓慢前进的道路，每个请求都是前一个请求的升级。请求的自然进程不会让目标感到他或她被利用了。小承诺往往会导致目标被利用。例如，一个律师可能会打电话给一个目标，说:你好吗？如果回答者说他或她很棒，律师可以继续说很高兴听到这个消息，因为有人没有做同样的事情，肯定会需要你的帮助。在这次谈话中，回答者已经确认自己做得很好，并对该州做出了承诺，他们不能放弃与之相关的请求。这与社会工程师让其他人承诺某事，然后强迫拒绝一些要求，同时首先让它看起来像是目标的想法是一样的。

因为这是一个容易被想利用他人的人利用的途径，所以知道如何反应是很好的。避免因为一个小小的承诺而被利用的唯一方法是在最方便的时候说不。不同意做一些看起来不像先前承诺的事情，升级就到此为止。灾难性的道路被切断了，试图占便宜的人肯定会离开。

在社会工程中，目标是让人们致力于看似微小的任务。承诺和一致性将把他们束缚在灾难性的道路上，他们将无助地同意做更大的任务。当使用承诺时，只有请求的适度才能区分成功的攻击和不成功的攻击。

爱好

大多数人喜欢被喜欢，他们通过喜欢喜欢他们的人来回报别人的喜欢。销售人员知道，买家可能更愿意从他们喜欢的卖家那里购买。这并不意味着不好看的销售人员没有销售。他们知道，如果他们表现出喜欢买家的迹象，买家也会喜欢他们，这就为成功销售创造了一个环境。然而，喜欢一个人并不是一件容易的事情，尤其是当你内心深处知道你不喜欢他们的时候。前一章讨论了微表情，并解释了如何区分假笑和真笑。真正的微笑展现在整个脸上，最重要的是导致一些眼部肌肉收缩，使下眼睑稍微抬起。因此，社会工程师必须知道如何避免在表达中表现出虚假，以显示对一个人的喜欢。一个社会工程师以一种讨人喜欢的方式展示自己，并试图去喜欢目标，以赢得他们的信任。这又回到了讨论借口的那一章。借口是社会工程师在他们的骗局中使用的个人资料。他们不只是假装，他们过着肤浅的生活，作为他们在攻击过程中的借口。在使用“喜欢”的攻击中，社会工程师看起来很有帮助，喜欢他们的目标，并且很自信。减少被人喜欢的一个重要因素是让自己看起来有吸引力。人类会喜欢他们觉得有吸引力的人。这是几百万年来人类大脑中根深蒂固的自动反应，帮助他们找到最合适的伴侣。身体上的吸引力总是有用的。多亏了互联网，社会工程师能够创建带有迷人照片的虚假个人资料。在 2015 年对一家网络公司的攻击中，一名社会工程师创建了一个虚假的年轻女士的个人资料，她向该网络公司的一名单身高级员工发送了好友请求，而这名员工恰好是男性。

这位员工看了简介后发现她的爱好和他的相似，最重要的是，她很有魅力。他把她加为好友，和她聊了一会儿，然后发现这个简介是由一名黑客伪造的。外表的吸引力很容易蒙蔽人们的判断力，他们会立刻喜欢上这位社会工程师。从喜欢，他们会更容易受到剥削。美丽与成功的品质联系在一起，这有助于社会工程攻击。美貌会导致光环效应，即一个人的决定与他或她的良好外表联系在一起。这就是为什么广告商在为他们的产品做广告时总是使用漂亮的人。

然而，如前所述，并不是每个人都是完美的，因此有其他方法来对目标产生喜欢的效果。仅仅通过做目标喜欢的事情，社会工程师就能赢得目标的心。通过完成目标，社会工程师得到更多的分数。与客户的良好接触增加了喜欢的篮子。有了这些，外表就不那么重要了。毕竟，最初因美丽而产生的吸引力只能到此为止；还需要做更多的事情。社会工程师知道如何使用积极的强化、非语言交流和目标的背景信息，以利于他们的攻击。他们关注自己的态度，与目标建立融洽的关系，与周围环境保持一致，并拥有与目标思维模式相匹配的惊人的沟通质量。

Boothman 写了一本书，讲的是如何在 90 秒内让人们喜欢上他们。他强调，前 2 秒决定一个人是喜欢还是不喜欢你。但是，第一印象还是可以在互动过程中改变的。他提到态度、有效沟通和非语言沟通是让人更可爱的因素。他提到的其他事情是积极倾听，使用问题，对人们所说的表现出真正的兴趣。

How To Make People Like You in 90 seconds or Less by Nicholas Boothman 2008, New York: Workman Publishing.

互动中的人会比第一印象时更喜欢你。

社会证明

社会证明是一种现象，在这种现象中，某人很难确定要描绘的可接受的行为，而只是假设他人描绘的行为。它发生在那些发现自己处于不熟悉的环境中，因此不知道如何行动，除了从其他人身上观察到的行为之外没有其他参考的人身上。这就是为什么在新环境中的人们几乎总是做别人正在做的事情。在某个实验中，一组人被告知在城市中央仰望天空。最终结果是灾难性的成功。其他人开始盲目地盯着太空看，看到底在看什么。观察其他人这样做的人也会这样做，这种连锁反应导致了严重的交通中断，因为人们在马路中间看天空，其他人则从他们的汽车上看。这表明了社会证明是多么强大。停下来长时间凝视天空而不看任何特别的东西的行为是相当陌生的。那些发现自己旁边的人几乎立即开始做同样的事情，观察他们的人也做同样的事情。社交证明在时尚行业中被高度使用，以将新趋势推向市场。当人们观察到一些人和名人穿着一些衣服时，他们也会挑选，而观察到人们采用这些服装品牌的人也会去购买他们的衣服。

社交证明的另一个应用是娱乐。有些节目以录音笑声为特色，播放人们对节目中可能幽默的部分发笑的录音。然而，预录笑声有时被用在不太有趣的部分或糟糕的笑话中，它和用在有好笑话的部分有同样的效果。为什么有人会因为听了一个干巴巴的笑话而发笑？答案是，有一种心理学方法可以通过推断其他人并观察他们做某事的程度来确定正确的行为。同样的，如果其他人觉得好笑，人们也会觉得好笑，即使很明显他们的笑是被控制或人工调整的。

社会证明是一种有效的影响武器，可以让大多数人受益。这是因为人们喜欢遵从他人的行为，以避免与众不同。在小费罐中，调酒师会在罐中放一些货币，这样就意味着很多人给了他们小费，为了避免成为小气的人，其他人比空罐更有可能给他们小费。在一个相当有趣的实验中，参与者被放在一部电梯里，一个毫无戒心的受试者将进入这部电梯。在登上几层楼后，参与者会转身面向某个方向。毫无戒心的受试者几乎总是会转身面对参与者转向的方向。这清楚地表明顺从是可以被激发的，因此，这在社会工程师的手中是一个非常危险的工具。它可以立即带出一个社会工程师在一个主题中期望的行为。

要使社会证明发挥作用，必须具备以下条件:

• 不确定性:目标必须事先没有经历过这种情况。它必须是完全新的和模糊的，这样，确定做什么的唯一方法是看别人在做什么。
• 相似性:其他人应该有相似类型的反应。这将向目标表明，他们知道他们在做什么，目标将不得不跟随他们做什么。如果有另一个困惑的人，社会证明的影响可能不会被意识到，因为这两个人可能会决定在群体中保持特殊。

这两个条件很容易被社会工程师创造出来。这是因为一个社会工程师不需要为了利用社会证据而不去创造一个物理环境。口头上，社会工程师可以描述一个场景，使目标看起来是唯一的一个。社会工程师可以说，每个接触的人都采取了某种行动，并导致了某种有利的结果。目标会更愿意走别人走过的路。当进入一个由保安人员守卫的场所时，如果被拦住，社会工程师可以说:对不起，昨天 Mat 检查了我的证件，让我进去了。我想我仍然是一个受欢迎的访客。Mat 所走的这条路可能会迫使目前的警卫允许这位社会工程师进入，而无需重新检查他或她的证件。

现实改变(框架)

这是一种呈现事实的方法，让事实看起来是好的，而实际上是坏的。假设有人被告知 25%的股票交易者成为了百万富翁。隐藏的事实是，75%的股票交易者失败或没有成功，这是一个巨大的数字。然而，一定比例的交易员成为百万富翁的事实更令人振奋。框架通常用在现实生活中。它的应用领域之一是政治。竞选活动和竞选信息充满了半真半假的内容。通过改变事实陈述，在任领导人的成就很容易被夸大或低估。在最近结束的美国总统选举中，特朗普总统大量使用现实改变来诋毁前总统巴拉克·奥巴马。他没有谈论创造的就业机会，而是把重点放在可能很高的失业人数上，而事实上，这个数字在奥巴马当选前更高。他还通过改变现实来诋毁奥巴马医改。通过这样做，他能够让人们相信变革是必要的，美国需要再次变得伟大。政治是一种心理游戏，事实以对陈述者有利的方式呈现。

框架也用于营销。当一些产品卖不出去时，销售者决定给它们贴高价标签。价格高表示质量高。这意味着产品会得到关注，但没有多少人会买。过一段时间，卖家会注销八折，把产品退回原价。其影响将是，人们现在会看到在过高价格的基础上以降低的价格购买产品的价值。

框架桥接是连接两个相似但不相连的框架。社会工程师可以桥接目标的框架，也就是说，以一种有利于社会工程师的方式与目标的现实建立无形的联系。例如，房屋入口处的警卫知道保护房屋的框架。因此，他或她会对任何试图进入该场所的人进行彻底检查。然而，保安会区别对待其他人，如向他或她提供产品的售货员。警卫还将区别对待在大楼内工作的任何组织人员。因此，可以用连接到受控访问方面的框架来瞄准防护装置。

社会工程师通过调整目标的现实和期望来使用框架桥接。社会工程师只需要适应目标的框架。如果目标是某个场所的警卫，社会工程师可以装扮成租用该场所的组织的新员工。通过将服装和交流与目标的框架相匹配，社会工程师可以很容易地不被注意地通过，或者不敲响他或她是陌生人的警报。

社会工程师使用框架来影响他们的目标。他们有三个选项，创建新的框架，与目标的框架对齐，或者将目标绘制到他们的框架中。要使用框架权，他们要遵守以下四条规则:

• 第一条规则是说一些能唤起框架的事情。当人类思考事物时，大脑通常会描绘出这些事物。伟大的小说作家有一种惊人的能力，能够在读者的脑海中描绘形象。社会工程师也努力拥有这种能力。他们在谈话中倾向于描述性的和强有力的。通过这样做，他们在目标的大脑中描绘了一幅画面，这将他们的注意力从正在绘制的精神画面上转移开。通过这样做，目标被正在绘制的图片占据，而忽略了关于社会工程师的细节。当进入一个场所或避免谈论一个人不熟悉的话题时，这是有效的。

• 第二个规则是使用明确的词语来唤起框架。这是一个社会工程师没有直接提到的事情，但暗示它。目标被赋予了一个额外的任务，去发现社会工程师在谈论什么，同时被更多的信息轰炸。当目标专注于智力拼图时，社会工程师可以在他或她的大脑中植入一些想法。社会工程师也可能利用这个机会在目标没有注意到的情况下做一些事情，因为目标已经全神贯注于试图弄清楚整个心理图景。

• 框架的第三个规则是否定一个框架。这听起来可能会适得其反，但实际上是有效的。通过告诉一个人避免某事，大脑自动想要找到它以便避免它。类似地，框架否定可以被社会工程师用来让人们做他们事先知道不要做的事情。如果一个社会工程师以修理工为借口走进一个组织，把一个装有恶意软件的 u 盘放在那里，如果员工被告知不要把它插入他们的机器，他们将有很小的机会把它插入他们的机器。然而，社会工程师可以否定这个框架，以便让目标做相反的事情。他可能会与几个人交谈，并告诉他们他听到一名高级职员四处打听丢失了一些敏感文件的 u 盘。发现恶意 u 盘的员工会本能地将其插入他或她的计算机，以确定它是否是周围要求的闪存。社会工程师将否定组织安全政策中的框架，即员工不应该随意拿起拇指驱动器并将其插入他们的计算机。

• 关于框架的第四条规则是，一个人应该引导一个目标去思考强化框架的事情。目标对某件事想得越多，这件事在他或她的大脑中就越被强化。新闻媒体是通过诬陷手段来操纵人们的大师。媒体可以省略关于一个故事的一些细节，以使人们形成一个结论，如果所有的细节都给出了，这个结论就会大不相同。俄罗斯被指控通过购买支持特朗普总统并诋毁其对手的脸书广告，干预美国 2016 年总统选举。通过频繁购买这些广告，他们确保选举特朗普的信息在大多数选民的脑海中得到强化。

Here are some of the Russian Facebook ads meant to divide the US and promote Trump, by Tara Francis Chan, 2017 available at www.pulselive.co.ke/bi/politics/politics-here-are-some-of-the-russian-facebook-ads-meant-to-divide-the-us-and-promote-trump-id7546073.html. [Accessed on December 3, 2017].

社会工程师使用同样的策略，重复他们希望他们的目标留在大脑中的想法。他们只泄露部分有利于他们攻击的信息。毕竟，说实话的人是主观的。仅仅通过省略一些细节，一个社会工程师就能以半真半假的方式说服目标。

操纵

操纵是社会工程的标志之一。社会工程师能够将目标置于自己的控制之下。如果我们了解操纵的迹象和方法，我们将能够更有效地保护自己免受攻击。操纵的范围从彻底的洗脑到微妙的暗示，让目标做出某种决定。操控克服目标的批判和自由思考能力。有了这些方法，社会工程师就可以向目标灌输外部想法和推理，让他们觉得这是他们(目标)自己的。操纵有以下六种用途:

• 为了增加目标的可预测性
• 来控制目标的行动和环境
• 用怀疑动摇目标
• 让目标感到无力
• 给目标带来某种情绪
• 恐吓目标

操纵在许多现实生活中被使用。社会工程中有许多操纵策略。

其中之一就是调节。它遵循了伊凡·巴甫洛夫的狗的经典例子，当铃声响起时，它会条件反射地分泌唾液。这种条件反射使狗分泌唾液，即使看不到食物，但铃响了。社会工程师通过将某些词语与某些行为或结果联系起来，通过条件反射来操纵人们。因此，当社会工程师说一个特定的词时，目标将被置于对某个结果或行动的期望状态。社会工程师也使用人类大脑已经习惯的东西。例如，看到一个小婴儿或一只可爱的小狗会引起微笑。通过移交包含这些图片的目标材料，客户将处于愉快的状态，并可能做出有利于社会工程师的决定。这种类型的条件作用被用在广告中。米其林轮胎曾经刊登广告，一个可爱的婴儿坐在米其林轮胎旁边。这种广告的影响是，车主会将米其林轮胎与看到婴儿的快乐感觉联系起来。即使可能有更好或更便宜的轮胎，人们也会仅仅为了获得快乐的感觉而购买米其林轮胎。目标不是销售产品，而是销售影响目标采取行动的借口。

另一个操纵战术是转移注意力。这就是社会工程师转移注意力的地方，他或她实际上在做什么来掩盖它。通过分散目标注意力，如果在攻击过程中出现问题，社会工程师可以很容易地让社会工程师摆脱困境。例如，如果保安人员因非法进入安全场所而与社会工程师对质，该工程师可以让保安人员注意其他事情，例如组织如何对攻击毫无准备，以及为什么高层管理人员一直雇佣人员来测试组织中的当前安全状态。

使用操纵而不是其他说服策略有几个动机。首先，操纵有很多财务动机。许多快速致富的计划都是基于操纵。彩票和任何种类的赌博游戏都是由经济刺激促成的。优惠券也是一种金融操纵。社会工程在很大程度上是一种金融事件，攻击者想要得到目标的钱。利用操纵的社会工程攻击往往与慈善有关。社会工程中的另一个激励是意识形态激励。很难击退一种意识形态，这就是为什么社会工程师利用操纵在他们的目标中植入一些意识形态。社会工程师将使用对合作目标有某种回报的意识形态。因此，目标将努力获得这一奖励。社会工程师将利用意识形态榨取他或她所能榨取的一切，同时欺骗目标，让他们相信最终会有更大的回报。

社会激励是操纵给出的下一种类型的激励。人类是社会性的，大多希望与认识他们的人在一起，并希望与他们互动。他们通常希望被其他人接受。这就是为什么他们在意自己的外表，试图获得财富，或者任何可能被社会视为令人印象深刻的东西。很明显，同龄人的压力对许多青少年来说是一个巨大的挑战。这是因为他们发现，讨人喜欢会带来某些社会激励。因此，他们会尝试同龄人认为可爱的任何东西。社交媒体是人们寻求社会激励的一个很好的例子。在 Instagram 等网站上，许多用户努力向他人展示他们过着白金生活，在那里他们得到了最好的一切。他们准备尝试或购买任何能引起他们注意的东西。他们的主要回报是受到许多人的喜爱。这就是为什么平台很大程度上是建立在喜欢和关注人们的前提下。社会工程师也追求同样的途径。他们利用社会激励让目标服从他们的命令。他们向人们兜售可爱，无论是告诉他们向慈善机构捐款，还是向社会工程师提供一些资源，让他或她快乐。

操纵是一种强有力的说服策略。它使社会工程师能够让人们毫无疑问地做社会工程师想要的事情。心理力量被用来带来顺从。然而，操纵是微妙的，以便不引起目标的任何怀疑。但是，有些操纵方法是黑暗的。这些方法会对目标造成焦虑、压力和胁迫，从而迫使做出某些决定。社会工程师对他们的目标没有任何真实的感情，会毫不犹豫地把他们推向这条路。毕竟，目的证明手段是正当的。

消极操纵策略

前面，列出了在目标上使用操纵的六种方式。在深入理解了操纵的概念之后，现在有必要看一下其中的一些。

提高可预测性

列出的第一种方法是增加目标的可预测性。这是通过观察线索和其他 NLP 指针来完成的。一个社会工程师利用操纵把一个目标带到一个他或她极易受思想影响的点上。感情被操纵以使目标对社会工程师的想法开放。当目标敞开心扉时，他或她更容易被预测，也可以向他或她提出建议。操纵如何打开目标的一个很好的例子是通过使用彩票或赌博。人们期望当一个人获胜时，他或她会很兴奋，并在那时敞开心扉接受一些想法。例如，如果一个社会工程师设计了一个彩票游戏并操纵它，使得目标将赢得大奖，那么目标将容易受到诸如提供银行信息、社会安全号码和在线支付细节等建议的影响。如果在没有赢得彩票的兴奋感的情况下接近目标，这是不可能的。

控制目标的环境

操纵的第二个用途是控制目标的环境。为了控制目标的环境，社会工程师首先需要置身其中。因此，如果攻击是在线的，社交工程师需要进入目标的社交媒体平台，与他们交朋友，并与他们进行某种交流。一个社会工程师是会花时间的，绝对不会在目标接近他(她)后，才贸然实现最后一击。首先会建立一种虚假的关系，但对目标来说会感觉真实。如果目标喜欢艺术，社会工程师可以伪装成某个国家的知名艺术家，并利用这一点来接近目标。这将持续到目标放心地与社会工程师分享一些细节。一旦他们接近，社会工程师可以在目标的环境中创造许多其他的感觉。如果一个社会工程师说他失去了亲近的人，环境会变得悲伤。悲伤是会传染的。悲伤的人也很容易被操纵，特别是，如果他们能感觉到他们处于结束悲伤原因的位置。社会工程师可以要求金钱来支付医院账单或支付一些费用，目标会顺从来结束这种悲伤的感觉。许多其他的情绪和感觉可以被用来改变目标的环境，以获得某种感觉，从而使他们暴露在攻击之下。

产生怀疑

社会工程的另一个用途是让目标重新评估他或她的信仰、情感和意识。是邪教常用的操纵手法。他们中的一些人得到了国际认可，并在他们传播到的任何地方使用同样的操纵策略。邪教针对一个人的信仰，彻底让他(她)相信之前被告知的不是真的；他们的信仰是错误的，但邪教知道正确的道路。他们动摇目标已经建立的信念，当目标重新评估时，他们植入他们的信念。社会工程师也借用这种策略。例如，许多组织现在正在教育他们的用户了解在线威胁，并给出严格的指示，不要点击发送给他们的 URL。一个社会工程师可以在目标的头脑中绕过这条规则。通过给销售团队打电话，说他想要某个项目网站上的大量项目，目标可以很容易地让收件人点击发送的 URL，尽管有严格的指示不要这样做。

使目标失去力量

操纵的另一个用途是使目标失去力量。这是操纵的一个有用但黑暗的应用。要做到这一点，社会工程师必须采取一个比目标更有权威的立场。愤怒也是另一种让目标感到无力的策略。通过威胁和对目标产生怀疑，目标可能会感到无能为力。这位社会工程师摆出一副压倒性的姿态，让目标退缩并感到无力。一群社会工程师利用海地事件从人们那里榨取敏感的细节。该组织推出了一个网站，声称拥有遇难者的信息。这是很难得到的信息。社会工程师明确表示，为了让人们访问这些信息，他们必须提供一些细节。因为没有家人消息的人是无助的，他们不会质疑他们被告知的信息的敏感性。他们后来才意识到他们把私人信息给了不可信的第三方。

惩罚目标

另一种使用操控的黑暗方式是非肉体的惩罚人们。这是通过让目标感到内疚、羞辱或焦虑来实现的。最终结果是目标愿意遵从任何能让他或她脱离那个位置的要求。同样，目标也会感谢帮助他或她摆脱困境的人。一个社会工程师可能会创造一个他或她向目标呼救的场景。如果目标拒绝给予帮助，社会工程攻击中的一个伙伴可能会出来帮助，并因目标不够人性而使其尴尬。第三个攻击者可能就在附近，并过来安慰目标，通过这样做，攻击者得到了目标的一些好感。这就打开了攻击的目标。

恐吓

恐吓是社会工程的最终用途。仅仅通过表现出忙碌和不安，攻击者就已经对目标产生了威胁。此外，通过以权威的语气说话，社会工程师恐吓目标。主要目标通常是让目标感到不安，并以他或她在正常状态下不会采取的方式行动。通过让目标感到不安，目标就可以使用武力从目标那里获取一些敏感信息或者一些资源。这种策略被用在社会工程师无法预见目标的未来用途的场景中，因为它最终会破坏两人之间的任何关系。

积极的操作技巧和策略

前面提到的策略是用于消极操纵的。然而，有一些目标，这些战术不能适用，有时社会工程师也可能喜欢一些积极的攻击。以下是一些积极的操纵方法。

• :一个社会工程师不能在攻击中使用他或她的真实情感。这将使攻击者受到目标的操纵，这是整个攻击的逆转。这就是为什么一个社会工程师的行为像他或她的借口。他或她的头脑必须区分真实的人和借口。假装的情绪被使用，但是攻击者从不让情绪泄露到他或她的真实个性。通过从攻击中分离真实的情绪，社会工程师能够保持对攻击的控制，即使目标变得不安、粗鲁或疯狂。
  寻找积极的一面 : 为了点亮某些时刻，社会工程师可以看一些幽默的事情来开玩笑或赞美。只要找到让目标微笑的东西，就能提高操纵攻击的成功率。例如，如果目标是一名接待员，通过称赞接待处桌子的外观，着眼于设计，或者仅仅是通过提及该组织在街上的一些好名声，可能会大大有助于打开该组织的成功机会。* 做出积极假设 : 社会工程攻击是一项巨大的任务，攻击者需要他或她所能获得的所有动机。为了振奋精神，社会工程师应该假设一切都会按计划进行。如果没有，攻击者应该认为备份计划将会起作用，或者退出过程将会完美地通过。在与目标的互动中，社会工程师应该带着一些假设说话。当与守卫大楼入口的保安打交道时，社会工程师应该说类似这样的话...在我修好打印机出去的路上，我会告诉你一些我听到的关于这个组织的事情。这种积极性减轻了守卫的严格性，并使社会工程师更容易进入组织，即使他没有获得所需的邀请。如果社会工程师犯了消极和期待失败的错误，成功的机会将会很渺茫。像*这样的声明，只要你允许我进去和人力资源部谈谈...可能看起来太穷，警卫会自动拒绝进入。对失败的预期也会在微表情和其他非语言暗示中表现出来。一旦被目标选中，这位社会工程师看起来可疑，并受到严格对待。

  使用不同的开场白 : 在这一点上，人们可以从交友网站上借用一些信息。OkCupid(www.okcupid.com/)这是一家领先的在线约会网站，它做了一项关于女孩搭讪回复率的研究。他们发现，大的赞美在使用时是灾难性的，大多数女孩会忽略诸如漂亮、性感或性感之类的信息。对女生效果比较好的话，很酷，很牛逼。同样，女孩们会忽略带有常见问候的信息，如嗨或嘿。问候，如你好或你好的回复率更高。有了这些信息，假设目标是约会网站上的女孩，很明显正常的方法是行不通的。这是典型的人类行为；人们会忽略正常的事物，而被不正常的事物吸引。因此，一个社会工程师会使用不同的方法，例如被送去紧急维修，参加紧急会议，或者丢失一个非常重要的拇指驱动器来获得关于一个组织的信息。社会工程师也不会在他或她与目标的互动中使用明显的路径。

• 使用过去式 : 在社会工程师处理来自目标的负面情绪的例子中，重要的是将负面情绪与当前情况拉开距离。这提供了一个新的机会。例如，如果接待员拒绝让攻击者有机会与可能是某个组织的首席财务官的目标见面，目标就可以重新发起攻击。举一个简单的例子，比如当你说我不能见首席财务官时，你是否知道我昨天和他在一起，我同意今天见他，因为我可能从明天开始就有事耽搁了？这位社会工程师已经重新设定了接待员的思维模式，抛弃了过去的否认，增加了见首席财务官的压力。接待员也将被迫从过去进入现在，这可能只是让工程师有机会看到首席财务官。

• 寻找并摧毁 : 这在我们所说的正面操纵战术部分可能会令人困惑。但是，它的目的不是对目标造成负面影响。社会工程师识别并计划如何处理对他或她的攻击的破坏。他们事先练习如何进行互动，以便发现他们可能会遇到挑战的领域。这给了他们一个早期的机会去寻找和摧毁任何可能挡在他们路上的东西。** **

摘要

说服是社会工程中至关重要的一步。它允许社会工程师在整个攻击中取得进展。本章讲述了说服的基本原理，强调了说服成功的几个方面。我们也经历了政治家和媒体成功使用的影响策略，让人们购买他们的想法。这些策略包括互惠、义务、让步、稀缺、权威、承诺、一致性，最后是喜欢。然后我们看了社会工程师如何使用框架来改变现实。我们解释了真理可以被歪曲成有利于社会工程师的方式。还讨论了改变现实的规则。最后，本章探讨了操纵，这是最强有力的影响和说服工具之一。它解释了社会工程师如何控制目标的思想。我们已经讨论了操纵在社会工程攻击中的使用方式。积极和消极的操纵策略和技巧已经讨论过了。

已经看了社会工程的一些基本原理，下一章将看社会工程师如何寻找目标。它将讨论用于寻找有价值的目标的技术，以及如何进行背景研究以找到机会接近他们。

四、信息收集

社会工程攻击采用在评估关于目标的已知信息后得出的路径。因此，将根据本章的结果应用前面章节中学习的策略。然而，信息收集不像几年前那样具有挑战性，当时人们只能直接从目标或通过询问获得目标的详细信息。互联网，更具体地说是社交媒体的使用，通过更新更快的数据收集技术简化了这一阶段。在收集数据的过程中，没有一条数据是不相关的。仅仅一点点信息，比如目标最喜欢的关节，可能就足以让社会工程师成功地说服目标以某种方式行动。对于一个社会工程师来说，知道寻找什么类型的信息是很重要的。信息过载，可能会收集到大量不相关的信息。了解这类信息的来源也是很好的。光有信息是不够的，重要的是知道如何使用收集到的信息来描述目标，并使其更可预测。最后，知道如何有序地存储这些信息以便于检索是至关重要的。本章将在以下部分教你如何做到这一点:

• 收集关于目标的信息
• 技术和非技术信息收集方法

介绍

今天有太多的可用信息和正在创建的信息。随着互联网的出现和社交媒体平台的兴起，据估计，人类创造了 2.5 万亿字节的数据。这些信息被许多群体所利用，营销人员处于链条的顶端。大数据使组织能够从这些数量惊人的数据中挖掘出有意义的信息，否则这些信息就会被浪费掉。今天的广告商更了解他们的目标，因为他们已经根据互联网上的信息对他们进行了描述。自成立 13 年以来，脸书已经发展到每月活跃用户超过 20 亿人。Instagram 和 Twitter 合计拥有近 10 亿月活跃用户。

LinkedIn 最近被微软收购，拥有大约 1.06 亿月活跃用户。对于一个专门针对员工的社会工程师来说，这是一个有趣的平台，因为它是为专业用户群创建的。Snapchat 是另一个崭露头角的社交媒体平台，每天吸引超过 1.6 亿用户。

这些平台的用户基础可能比这些数字更大，但最重要的是每月或每天活跃用户的实际数量。他们是内容生成者，也就是说，他们发布内容，让其他用户访问这些平台，他们仍然是其他用户的内容消费者。用户对他们放在社交媒体账户上的信息特别粗心。他们的个人主页上充满了关于他们自己和他们家庭的正确信息。他们生活的完整历史，包括出生日期、就读的学校、关系和工作经历都可以在他们的个人资料页面上找到。他们会定期更新自己的账户，加入一些被视为敏感的信息，比如他们工作的地方、他们正在进行的假日旅行、他们工作场所发生的事情、他们的密友和家人。因此，毫不奇怪，社会工程师会潜伏在社交媒体平台上，收集关于他们目标的信息。然而，社会工程师仍然使用旧的可信的方法来获取关于他们的目标的信息。多年来，他们已经改进了他们的策略，使他们能够成功地使用这些旧方法获取信息。尽管这些媒体可能没有社交媒体那么快，但它们有时更个性化，因此可以提供更多信息。

收集关于目标的信息

信息收集可以通过两大类方法完成——技术方法和非技术方法。顾名思义，技术方法依赖于收集信息的计算机辅助技术。然而，不能保证特定的工具或电子设备将获得关于目标的足够信息。因此，可以混合使用以下工具和设备来收集有关目标的信息。社会工程师将使用多种信息收集工具/技术，合并他们获得的信息，为他们的目标建立一个档案。

技术信息收集方法

如今有许多工具被开发出来，目的是在社会工程攻击期间收集信息。可以说最成功的工具是名为 Kali 的 Linux 发行版。它包含一套 300 多种工具，专门用于收集目标信息。从 300 个工具中，让我们将它们缩小到两个最受欢迎的工具，这两个工具从列表中脱颖而出，因为它们不收集数据，但有助于数据的存储和检索。这些措施如下:

下图是来自www.kali.org网站的截图，你可以在那里下载 Kali Linux 并使用以下工具:

篮子

BasKet 是一个免费的开源 Linux 程序，它更像一个高级数据存储工具，在数据收集过程中帮助社会工程师。它有着我们熟悉的记事本的外观，但是有很多功能。它充当社会工程师收集的关于特定目标的文本和图形信息的存储库。在社会工程攻击中，它可能看起来很简单，甚至是不必要的，但它实际上服务于一个很难在字处理器(如 Microsoft Word)中复制的目的。BasKet 使用类似标签的布局，使社会工程师能够以有序的方式放置关于目标的每种类型的信息，以便于阅读或检索。例如，图片可以在一个选项卡中，联系信息在另一个选项卡中，社交媒体信息在第三个选项卡中，物理位置信息在单独的一个选项卡中。社会工程师会不断更新这些标签，只要他们遇到更多的信息。在流程结束时，BasKet 允许社会工程师将这些信息导出为 HTML 页面，从而将所有信息压缩在一起，使其更易于移植、访问和共享。

德拉迪斯

dradis(dradisframework.com/ce/)是一个免费的开源 Linux、Windows 和 macOS 应用程序，用于存储信息。它有一个更先进的外观，有篮子的记事本一样的外观。Dradis 在功能上也更先进，因为它充当了一个集中的存储库，并使用基于 web 的 UI 使用户能够与它进行交互。Dradis 使用分支代替选项卡(如 BasKet ),允许用户将不同类型的信息添加在一起。Dradis 可以处理大量数据，否则 BasKet 会有问题。因此，当有大量信息需要由目标进行排序时，通常使用这种方法。

完成了两个主要的数据存储工具之后，现在是时候看看社会工程师收集信息的方式了。以下是对这些问题的讨论:

网站

包含目标信息的蜂巢之一是公司和个人网站。公司网站可能包含员工和客户的信息。另一方面，个人网站包含纯粹关于个人的信息。有了足够的挖掘，网站可能会透露很多信息。个人网站可以通过工作、实际位置、联系信息和一些可能用于描述密码的特殊词语来说明个人的参与情况。

关于最后一点，众所周知，为了熟悉，人们倾向于包括一些他们熟悉的短语或单词，如出生日期、伴侣的名字、宠物的名字或他们自己的名字。企业网站能够提供员工的传记，尤其是高层员工及其工作联系信息。如果您想用恶意电子邮件附件攻击组织，将它发送到公司网站上提供的电子邮件地址更有可能将有效载荷直接传送到组织内部。

搜索引擎

都说互联网过目不忘。如果你想知道什么，知道正确的提问方式可能会让你得到几乎所有你想要的信息。占主导地位的搜索引擎谷歌是社交工程师的一个关键工具，用于挖掘互联网上目标的信息。我们将回顾社会工程师使用谷歌搜索目标信息时使用的一些搜索短语:

1. 要在特定域(如公司站点)中搜索目标的信息，可以使用以下查询:

Site: www.websitename.com "John Doe"

如果网站中包含任何关于John Doe的内容，谷歌将在查询的搜索结果中对其进行索引。

2. 要在 Google 索引的任何网站的标题中搜索目标的信息，使用以下查询:

Intitle:John Doe

重要的是要明白，两个词之间的间距指示谷歌也搜索有John的标题，后面是包含单词Doe的文本。这是一个非常有用的查询，因为它将捕获多个网站标题中包含的目标信息。这个查询将产生从企业网站到社交媒体平台的信息，因为它们经常在一些页面中使用一个人的名字作为标题。

3. 要在任何网站的 URL 中搜索目标的信息，可以向 Google 提供以下查询:

Inurl:john doe

出于 SEO 目的，在 URL 的 web 标题中使用单词是许多组织的常见做法。这个查询从 Google 索引的 URL 中识别一个人的名字。值得注意的是，该查询将在 URL 中搜索john,并以类似于前面讨论的方式搜索doe。如果社会工程师想要在 URL 中搜索所有目标的名字，而不是在 URL 中搜索一个，在文本中搜索另一个，可以使用下面的查询:

Allinurl:John Doe

该查询将把结果限制在 URL 中同时包含姓名 John 和 Doe 的结果。

4. 在很多情况下，目标会使用工作公告板申请工作。一些求职网站保留了求职者的简历。此外，一些组织在其网站上保留求职者的简历。简历包含一个人的高度敏感的细节。它包含此人的真实姓名、真实电话号码、真实电子邮件地址、教育背景和工作经历。它有丰富的信息，对社会工程攻击非常有用。为了搜索目标的私人细节，社会工程师可以使用以下查询:

"John Doe" intitle:"curriculum vitae" "phone" "address" "email"

这是一个非常强大的查询，它将搜索整个互联网，寻找标题中包含诸如curriculum vitae、phone number、email和邮政地址等信息的关于John Doe的信息。

5. 以下查询用于收集信息，不是关于某个特定的人，而是关于某个组织。它针对的是组织内部可能发布在网站上的机密信息:

intitle:"not for distribution" "confidential" site:websitename.com

该查询将搜索在网站中以标题not for distribution或confidential发布的任何内容。这种搜索可能会挖掘出组织中一些员工可能甚至都不知道的信息。在社会工程攻击中，当一个社会工程师希望向某个目标显示出对组织内部事务的了解时，这是一个非常有用的查询。

6. 进入受保护场所的一个常用借口是公司紧急联系的 IT 或网络维修人员。警卫将准备好让这样的人进来，他们将能够在其他员工中间进行攻击，而不会引起警报。为了能够找到这样的借口，社会工程师需要了解组织的内部网络或基础设施。以下是一组可能向社会工程师提供此信息的搜索查询:

Intitle:"Network Vulnerability Assessment Report"
Intitle:"Host Vulnerability summary report"

该信息也可用于攻击的某些部分，因为它还揭示了可在目标网络或连接到网络的主机中被利用的弱点。

7. 要搜索用户在组织网络中使用的密码，备份这些密码可能是开始搜索的有用位置。因此，以下查询可能会派上用场:

Site:websitename.com filetype:SQL ("password values" || "passwd" || "old passwords" || "passwords" "user password")

此查询查找存储在网站域中的名称为密码值、密码、旧密码、密码或用户密码的 SQL 文件。尽管这些文件可能没有用户的当前密码，但它们可能会向攻击者提供足够的信息来分析用户的当前密码。例如，员工的旧电子邮件密码很有可能会更改为新密码。

在谷歌和其他搜索引擎中可以使用许多其他的数据搜索查询。讨论的只是最常用的。需要注意的是，互联网永远不会忘记，甚至当一些信息被删除时，还有其他网站在网站上存储缓存文件。因此，组织最好不要公开发布他们的敏感信息。

皮珀

收集目标信息的另一个常用工具是Pipl(【https://pipl.com】T2)。Pipl 将人们的信息存档，并免费提供给任何希望访问它的人。它存储了一个人的真实姓名、电子邮件地址、电话号码、物理地址和社交媒体账户等信息。除此之外，它还提供了一个付费选项来收集一个人的亲属信息，从他们的兄弟姐妹和父母开始。对于社会工程师来说，这是一座金矿，因为只需很少的努力，他们就能获得大量关于他们目标的信息。让我们举一个现实生活中的例子，而不是常用的无名氏，这可能会有很多结果。让我们用一个不常见的例子，比如 Erdal Ozkaya:

该网站为我们搜索过的名字索引了许多结果，让我们探索第一个结果。这是一个来自澳大利亚悉尼的 40 岁男性 Erdal Ozkaya。该网站为我们提供了找到重要记录、联系方式和用户名报告的赞助链接。让我们点击名称，看看该网站有哪些关于 Erdal Ozkaya 的免费内容:

该网站能够找出更多关于这个名字的信息。我们现在知道他(在这种情况下是我)是微软的网络安全架构师，他拥有查尔斯·斯特大学的网络安全博士学位和安全硕士学位，并且他与一些人有联系或有关系，出于隐私原因，我模糊了这些人，他们可能是他的父母和兄弟姐妹。从一个完全陌生的人，我们现在知道了很多关于他的信息，我们可以利用这些信息来收集更多关于他的信息。

从这里开始，使用我们前面讨论过的特殊 Google 查询可以很容易地搜索到更多信息。你可以去找他的简历，里面会有更多的联系方式。

从我们的例子中，我们已经探索了 Pipl 在搜索目标信息时的一些能力。任何人都可以访问这样的网站，很明显，隐私只不过是一种幻觉。诸如此类的网站从社交媒体平台、企业网站、第三方出售的数据、黑客发布的数据、从其他网站窃取的数据，甚至是政府机构持有的数据中获取信息。这个特定的网站能够获得目标的犯罪记录，这意味着它可以访问一些重罪记录。令人担忧的是，这些网站并不违法，并将在未来很长一段时间内继续添加关于人们的数据。这对社会工程师来说是好消息，但对其他可能成为目标的人来说却是坏消息。网站所有者不能被强迫删除他们包含的数据，因此一旦你的数据到达他们那里，你就没有办法隐藏。随着信息的增多，这个网站只会越来越强大。

Whois.net

仍然在信息存档网站上，Whois.net是另一个服务于几乎和 Pipl 相同目的的网站。列出搜索信息的目标的电子邮件地址、电话号码和 IP 地址等信息。Whois.net 也可以获得关于域名的信息。如果一个目标有一个个人网站，Whois.net 能够找到关于域名注册人和注册商的详细信息，其注册和到期日期，以及网站所有者的联系信息。就像 Pipl 一样，此处获得的信息可用于获取目标的更多信息，从而能够发起成功的攻击。

社会化媒体

迄今为止，数十亿人已经接受了社交媒体。使用这些平台，社会工程师可以找到关于他们大多数目标的大量信息。大多数目标将拥有脸书、推特、Instagram 或 LinkedIn 账户。社交媒体的美妙之处在于它鼓励用户在互联网上分享他们生活中的个人细节。社交媒体用户很容易粗心大意，最终甚至会将敏感信息泄露给整个世界，而不考虑后果。从这些陈述中可以清楚地看出，社交媒体除了让问题变得更复杂之外，什么也没做。它创造了一个丰富的信息库，社会工程师可以从中挖掘出目标的细节，而不会引起怀疑。

以下是来自脸书的截图，公开给出了很多信息:

在多个社交媒体平台上搜索几分钟后，社交工程师就能够收集目标的爱好、工作地点、喜欢和不喜欢、亲戚和更多私人信息。社交媒体用户准备吹嘘他们正在度假，他们在某些地方工作，他们在工作场所、他们的新车和他们带孩子去的学校做某些工作。他们不害怕在这些社交媒体网站上展示他们的工作证，这些工作证可以被社会工程师复制并用于进入组织。社交媒体用户也会和陌生人交朋友或关注陌生人，只要他们符合自己的爱好和兴趣。这是一个让潜在目标处于不利地位的疯狂世界，因为这些网站旨在让人们向互联网上的陌生人敞开心扉。传统上为面对面交谈而存储的信息现在正被公开给全世界看。糟糕的是，动机良好和动机不良的人都在访问它。

这个信息可以被社会工程师用来描绘目标。当说服目标采取一些行动或泄露一些信息时，这些信息可能会派上用场。让我们举一个假设的例子，我们是社会工程师，想从一家美国军事承包商那里获得绝密的设计和规格，以便我们可以学习如何破坏他们的设备。我们可以从进入 LinkedIn 等社交媒体平台开始，搜索该公司的名称。如果公司在 LinkedIn 上，我们将看到公司简介和在 LinkedIn 上列出的他们在那里工作的人的列表。接下来，我们确定一名在研究和设计部门甚至是营销部门工作的员工。然后，我们集中精力获取有关这个目标的信息，这可能有助于我们将他们置于一个可以泄露我们正在寻找的秘密信息的位置。我们首先搜索员工在脸书的个人资料，以找到爱好、兴趣和其他个人信息。我们转到 Instagram，看看员工发布的图片类型。我们开始定位目标，将所有社交媒体账户上的信息与他的名字联系起来。我们找到了他的实际地址和他喜欢呆的地方。我们在这一点上接近他，并使用之前在《心理技巧和说服》章节中学到的策略之一，让他将一个加载了恶意软件的 USB 驱动器插入他的计算机。从那里，恶意软件将开始为我们收集我们想要的信息。就这么简单。

以下是 LinkedIn 上关于我自己的一些公开信息:

组织正以类似的方式成为目标。2017 年初，1 万名美国员工被俄罗斯黑客利用社交媒体进行网络钓鱼，这些黑客在社交媒体帖子和消息中植入恶意软件。2017 年年中，一个名叫 Mia Ash 的女孩的假人物被创建并用于攻击一家网络公司，其目标是一名在该组织中拥有广泛权利的男性员工。攻击被挫败只是因为该组织有强大的控制来保护自己免受恶意软件的攻击。这名男员工已经被这个女孩的假脸书账户骗了。

2016 年 8 月，人们发现，针对在社交媒体上关注了某家银行的客户，存在大规模金融欺诈。据信，攻击者能够控制该银行的社交媒体账户，并向追随者发送欺诈性报价，这些追随者最终只会赔钱。还有许多其他社交媒体介导的社会工程攻击已经发生。这一切都要归咎于社交媒体上私人信息的快速获取。

The Top 10 Worst Social Media Cyber-Attacks, by S. Wolfe, Infosecurity Magazine, 2017 available at www.infosecurity-magazine.com/blogs/top-10-worst-social-media-cyber/. [Accessed on December 13, 2017].

网络钓鱼和鱼叉式网络钓鱼

社会工程师仍然使用网络钓鱼技术来收集目标的信息。他们热衷于利用恐惧和兴奋等情绪，再加上一些压力，如紧迫感，以获得最大的依从率。目前，网络钓鱼和鱼叉式网络钓鱼攻击已经变得很先进，因为攻击者能够完美地克隆信誉良好的网站，并使用它们来窃取客户的数据。缩短这些网站 URL 的能力也有助于攻击者避免被发现，因为如果用户注意到合法网站 URL 与攻击者发送的链接之间的一些差异，他们会感到震惊。攻击者正在利用网上银行系统和社交媒体账户等网站的克隆，从毫无防备的目标那里获取大量数据。例如，如果攻击者发来一封电子邮件，称您的 PayPal 账户遭到入侵，需要紧急更改您的密码，并附带一个更改密码的链接，您会很容易地照办。这个链接会把你带到一个类似 PayPal 的地方，在那里你会被告知输入你当前的密码和新密码。提交此信息后，您的当前密码将被发送给攻击者。他们会利用你害怕赔钱的心理，在很短的时间内从你那里获得非常敏感的信息，然后迫使你迅速做出反应。

正如你在截图中看到的，这封邮件是由约翰·史密斯发出的，他显然是北约的国防顾问:

以下是针对外交官的鱼叉式网络钓鱼攻击的截图。与前面的截图不同的是，您可以清楚地看到附加的漏洞:

在下面的截图中，您可以看到一封北约主题的鱼叉式网络钓鱼电子邮件:

为了演示这种攻击，首先是电子邮件，目标点击链接，进入漏洞利用页面，然后漏洞利用运行，受害者被定向到合法页面:

这两个截图都是向目标交付零日攻击的第一步，下面的截图将显示初始利用 URL(Flash 0day) 、文件名以及进程名称，例如:

水坑

这种技术是出于收集目标信息的需要而产生的，这些目标对网络威胁相当敏感，不会上当受骗。在这种情况下，社会工程师会破坏目标经常访问的合法网站的 cod 列表，然后在其中嵌入一些恶意软件。好的网站是论坛、股票交易网站、体育网站和生活网站。当目标访问网站时，恶意软件将感染他们的设备，并从那里开始从浏览器或计算机的硬盘上收集数据。水坑是成功的，因为它们是目标认为他们可能会受到攻击的最后一个地方。

但是，有弹性的攻击者会对目标进行足够长时间的研究，从而知道他们访问了该站点，因此为了危害目标而危害该站点。领先的网络安全产品制造商之一赛门铁克(Symantec)在 2017 年初强调，钻水攻击呈爆炸式增长。这种类型的攻击对组织中的 IT 人员和高级管理人员特别有用，他们可能时刻保持警惕，很难受到其他直接攻击形式的攻击。

博客

互联网用户总是张贴大量的数据给任何一个有听力的人，以引起他们的注意。有很多博客都是因为这个。心怀不满的员工可能会在博客上发布关于某个组织的令人不安的事实。这样的人对于社会工程师来说是一个很好的信息来源。社会工程师需要做的只是表现出关心，并把前雇员作为公司敏感信息的来源。这样，社会工程师将获得一个有可靠信息来源的新攻击目标，而博客作者将获得有人分享他们的挫折的缓刑。不满的员工在揭露他们合作过的组织时会变得很糟糕。2015 年，爱德华·斯诺登向世界揭露了关于美国国家安全局的深远秘密，以及它如何跟踪每个人，打开电子邮件，强迫运营商与他们分享短信和通话的元数据，并强迫互联网服务提供商向他们提供用户的敏感信息。这些信息非常广泛，对组织造成了损害。对于一个可能想要攻击美国国家安全局的社会工程师来说，斯诺登可能是一个关键的信息来源。所以，竖起耳朵总是好的；一篇有趣的文章可能出现在博客中，它可能是关于一个组织或一个人的信息来源。

Feel free to visit my blog to keep an eye on latest security threats as well as free computer-based videos at www.erdalozkaya.com.

电话

尽管电话听起来不像是社会工程的高级工具，但今天它仍然被用来实现社会工程攻击。他们让社会工程师直接对目标说话，并使用特定的语气、用词和强调某些要点，让目标透露特定的信息。如今，电话被用来从某些人群那里获取敏感信息。有多起投诉称，攻击者打电话给老年人，威胁他们如果不透露某些信息或汇款，将被起诉或处以高额罚款。也有投诉称，攻击者假装在网上帮助那些打电话给人们并要求他们提供某些信息的人。电话也被用于呼叫组织和确认某些雇员在工作场所的存在或不存在。

电话也被用来直接策划社会工程攻击。恶意的人在发现诸如关于他们的目标的银行或机构信息之类的信息时，可以打电话并假装是这些组织中的权威人物，并请求将一些信息作为更新或维护任务的一部分提供给他们。社会工程师也使用电话从他们的朋友和家人那里收集关于目标的信息，如果他们能得到他们的号码，由于社交媒体，这项任务不再具有挑战性。电话是独一无二的成功，因为他们没有给目标足够的时间去考虑一个否定的回答。使用其他策略，如人脑的缓冲超载，社会工程师可以让目标遵守一些疯狂的请求或给出非常敏感的信息。电话有一种获得回应的即时感，因此对目标非常有效。

非技术方法

这些方法往往是物理的，不能远程进行。因此，社会工程师需要亲自到现场去收集他们想要的信息。对于社会工程师来说，了解他们用来获取信息的借口、说服和心理技巧也是必要的。在这种类型的信息收集中，社会工程师需要的最重要的工具是一个活跃的大脑。以下是收集目标信息的一些物理方法示例:

翻垃圾箱

目标有时会丢弃敏感信息，如医疗记录、银行对账单、简历和申请信的复印件，有时还会丢弃个人照片。组织也面临着同样的问题，一些信息(如技术支持日志、电子邮件打印件、包含用户名和密码的便笺、机密文档、系统信息文件和旧的漏洞评估报告)最终被扔进了垃圾箱。即使在为员工提供碎纸机的组织中，也经常会发现敏感信息与其他垃圾一起被丢弃。翻垃圾箱是指社会工程师仔细检查个人和组织处理过的物品，目的是找到有用的信息。提到的信息对攻击者都是有用的，因为它们可以用来利用攻击。与其他方法相比，翻垃圾箱需要更少的努力，因为垃圾不太重要。这种类型的数据收集方法在许多国家也不违法，因为任何人带走垃圾都是完全合法的，即使垃圾不属于他们。没有管理垃圾所有权的规则，尽管有一些公司提起的案件，发现侵入者筛选他们的垃圾。垃圾箱搜寻之所以有效，是因为当前的信息过载。人类产生了太多的信息需要存储，同时又不关心如何处理这些信息。即使在拥有文件处置策略的组织中，发现这些策略很难得到遵守也不足为奇。因此，社会工程师很有可能在翻垃圾箱的任务中找到金子，并找到被不当处理的敏感信息。

有一部关于渗透测试人员的电视连续剧叫做老虎队，展示了组织是如何被攻击的。有一集，他们被符号汽车公司的首席执行官承包了。他们的侦察任务表明，该组织有许多物理安全控制，使其难以间接突破。然而，在侦察任务中，他们得到了这个组织的垃圾，并从中筛选出任何有价值的东西。他们很幸运地找到了该组织签约维护其系统的 IT 团队的详细信息。然后，老虎小组装扮成他们中的一员，充当签约公司的技术支持。被派来的代理人被带了进来，直接被允许进入公司的服务器机房。如果这是一次真正的攻击，代理可能已经进入并植入了恶意软件，以禁用安全系统或从服务器收集敏感信息，为更大规模的攻击做准备。这证明了翻垃圾箱是非常有效的，而且非常容易做到。

Tiger Team - The Car Dealer Takedown, YouTube, 2017 available at www.youtube.com/watch?v=MdQas_We_kI&t=432s. [Accessed on 13 December, 2017].

入侵和假冒

这是一种风险更大的获取信息的方式，在这种方式中，社会工程师进入目标的建筑物，目的是在伪装成其他人的同时收集信息。社会工程师将扮演雇员、外部承包商、送货员或维修人员。使用第三章、、中讨论的关于陷害的影响和说服、等策略，他们将能够穿过警卫进入一栋建筑。在建筑内部，社会工程师将融入其中，表现得就像他们所扮演的人通常会做的那样。信息可能通过窃听、与内部人员交谈或者将加载恶意软件的 USB 驱动器放在显眼的地方来收集，这些设备将被捡起并插入计算机。社会工程师甚至可以通过说服秘书或接待员让他们进入来进入高层人士的办公室。冒充是危险的，因为当他们被发现时，可能会使社会工程师毫无防备。

1.开车紧跟

这是用于进入具有强大物理安全控制(如智能卡通行证或生物识别)的组织的另一种策略。这些安全控制可有效防止未经授权的人员进入私人场所，而且受保护的场所内通常会有有价值的信息。社会工程师利用有权进入这些建筑的人的礼貌。他们可能看起来很绝望地在一个安全的入口附近寻找通行证，当一个好心的员工到达同一个入口时，他们可能会主动帮助社会工程师通过。通过这种方式，社会工程师不再四处摸索，并非常感谢好心的员工帮助他。使用的另一种策略是，社会工程师在门关闭之前跑过去抓住门，打开门的人会本能地抓住门，从而让社会工程师进入建筑物的敏感部分。

肩部冲浪

这种收集信息的方法是所有方法中最简单的，现在仍在使用。在这里，社会工程师越过目标的肩膀，收集他们在计算设备上阅读或输入的任何信息:

通常，社会工程师将能够看到目标将访问的密码、机密数据、纯文本凭证和其他类型的敏感信息。人们在任何使用电脑的地方都会这样做，尤其是在咖啡店、机场、公园，甚至餐馆。

下图显示了肩部冲浪的一个示例:

观察

听起来很简单，观察可能是收集目标信息的非常有用的技术。一个社会工程师，在确定了一个目标后，可能会选择观察他们的日常生活，以寻找剥削的机会。例如，攻击者可能能够收集诸如目标入睡时间、醒来时间、他们的早晨习惯、上班路径、目标工作场所入口的验证、目标外出吃午饭的时间、目标回家的时间以及目标最喜欢的场所等信息。通过收集所有这些信息，社会工程师将处于更好的位置来与目标进行对话，并建立融洽的关系，以便将目标置于他们可能被利用的地方。观察只需要耐心和时间，它会揭示关于一个目标的许多信息，可用于攻击。

技巧

收集信息的技巧如下:

• 永远记住——业余黑客攻击系统，专业黑客攻击人。
• 当黑客使用操纵、影响或欺骗手段让另一个人发布信息或执行某种对他们有利的行动时，社会工程就发生了。本质上，它只是欺骗人们打破正常的安全程序，如泄露密码。
• 确保粉碎包含有价值信息的纸张。
• 确保在您的网络中使用文件分类。
• 确保你的笔记本电脑屏幕上有一个隐私保护罩。
• 连接到公共 Wi-Fi 时，请始终使用 VPN。

摘要

本章介绍了社会工程师收集目标信息的几种方式，无论是个人还是组织。本章将信息收集技术分为两类——技术性和非技术性。

本章深入探讨了社会工程师获取目标信息的方式。一个特别重要的工具是 Pipl 网站，它已经索引了地球上几乎一半的人口，并且为社会工程师提供了丰富的信息来源。我们已经研究了由技术工具调节的其他八种技术信息收集技术，并解释了数据收集是如何发生的。我们还参观了收集目标信息的物理和传统的黄金方法，这些方法今天仍然有用。然后我们讨论了其中的五个，其中一个值得注意的是肩冲浪，这是由于机场、公园和餐馆等地方的公共 Wi-Fi 热点的增加而迅速发生的。

它始于技术信息收集技术，由于技术的进步，这种技术越来越受欢迎。本章首先介绍了两个强大的工具，它们可以用来有序地存储收集到的目标信息。然后，我们讨论了以下收集目标信息的技术方法；公司和个人网站、专注于特殊谷歌查询的搜索引擎、Pipl 网站、whois.net 网站、社交媒体、网络钓鱼和鱼叉式网络钓鱼、水坑、博客，尤其是那些以不满员工为特色的博客，以及最后的电话使用。对这些方法进行了深入的讨论，强调了使它们成功的因素、它们可能带来的危险以及使用它们进行攻击的一些示例。本章还讨论了以下非技术性信息收集技术；翻垃圾箱，闯入和模仿，尾随，肩冲浪，和观察。同样，讨论了使它们有效的因素，并给出了相关的例子。

这一章对两类信息收集都给予了重视。下一章将着眼于目标和侦察。它将讨论社会工程师如何确定他们的目标，以及他们如何接近他们。

五、目标和侦察

与许多攻击人的方法不同，社会工程往往是针对特定目标的。为了创建完美的社会工程攻击，社会工程师明智地选择目标，并在攻击的一些步骤失败时有几个应急措施。选择攻击谁几乎从来都不是一个幸运的猜测；攻击从收集大量信息寻找目标开始。由于这种攻击的性质，攻击者依靠侥幸的猜测是愚蠢的。结果可能是选择的目标没有什么可以提供的，因此在整个攻击中使用的所有努力和资源都白费了。社会工程攻击必须针对特定目标量身定制，否则不会奏效。对某个目标的成功攻击也不一定对另一个目标有效，这是由于必须采用的特异性水平。社会工程师也会根据其他因素选择他们的目标。在大多数情况下，攻击者的目标是金钱，因此，这些攻击主要集中在富人或控制金钱的人身上。因此，即使是一个富裕组织的会计也可能成为首要目标。在其他时候，社会工程师追求的是信息。信息是非常昂贵的，因此商业竞争对手发现雇佣攻击者为他们获取关于他们业务范围内其他组织的秘密信息有时更容易。这一章将集中在社会工程师如何选择他们的目标和计划他们的攻击。通过学习社会工程师如何定位和侦察，我们可以更好地保护自己免受这种攻击。这个列表并不详尽，但它将涵盖社会工程师的主要目标。本章将讨论的目标如下:

• 班克斯
• 旧组织
• 组织员工:
  • 信息技术人员
  • 客户支持代理
  • 高级职员
  • 财务人员
• 老年人
• 祝福者

介绍

社会工程攻击从来都不是一个错误。它不能与针对任何人的信用卡欺诈或电子邮件黑客相提并论。这也是为什么社会工程是一种非常成功的攻击方法，而且失败的几率很小的原因之一。它专注于一个目标，攻击者不会失去对目标的关注，直到攻击完成或无法完成。对于攻击者来说，在不幸的情况下，如果攻击者认为目标已经欺骗了他们，或者主要目标已经丢失，例如目标丢失了钱或者他们获得了钱，那么有时必须取消攻击。安全公司已经对受到社会工程师攻击的人和组织的类型进行了分类，并且似乎有一些一致性。基于这种一致性，本章将提供更多关于当今最有可能成为攻击目标的人员和组织类型的信息。这些问题讨论如下:

班克斯

信息收集可以通过两大类方法进行——技术方法和非技术方法。顾名思义，技术方法依赖于收集信息的计算机辅助技术。然而，不能保证特定的工具或电子设备将获得关于目标的足够信息。因此，可以混合使用下列工具和设备来收集目标信息。社会工程师将使用多种信息收集工具/技术，合并他们获得的信息，为他们的目标建立一个档案。

**毫不奇怪，名单上的第一个目标将是存放钱的地方。在大多数情况下，社会工程师追求的是金钱，因此，银行是首要目标。现在已经不是过去的时代了，那时钱只能以现金的形式存在，人们必须亲自抢劫银行才能非法获得。钱是流动的，并且通过互联网转移。因此，银行主要因其网上银行功能而成为攻击目标。此外，银行是敏感机构，保存着客户的敏感信息。这些信息是有价值的，如果一个社会工程师可以访问它，他们可以得到一大笔赎金，或者在黑市上以高价出售。总会有买家愿意得到这类信息。正是出于这个原因，银行采用了一些最严密的安全系统，包括物理和在线系统，以保护他们保存的资金和客户的敏感信息。然而，社会工程是一种不同类型的攻击。它并不试图攻击系统，而是攻击使用或控制系统的人。因此，银行人员都是社会工程攻击的目标。

2011 年，一个网络安全论坛发布了一篇关于一名从事专业银行抢劫的社会工程师的文章。这位名叫吉姆·斯蒂克利的社会工程师据说非常成功，他已经抢劫了一千多家银行，现在还在统计中。他曾被许多银行雇佣来找出银行安全系统的漏洞，他的主要工作是培训和安全政策。他说，即使一家银行有强有力的政策，但却让不知情的人来守卫银行，社会工程师也很容易进入，几乎没有任何障碍来阻止他们。在强化安全设置中的人的因素方面，确实没有什么可做的。关于他成功进入抢劫银行，社会工程师说，他总是使用借口，最常见的是消防检查员。他有正确的制服和徽章，这让他可以快速进入银行，而不会引起任何警报。据他说，拒绝消防检查员进入是非常困难的。斯蒂克利说，一旦进入大楼，他在执行所有任务时总是带着一个空袋子。人们进入银行不是为了偷钱，而是为了窃取信息。在房子里，他会收集拇指驱动器、桌子上的文件和外部硬盘等其他东西。他还会尝试将数据收集设备连接到组织的网络，以便在离开场所后访问网络。他说，他使用无线设备，一旦离开场所，他就可以轻松地控制这些设备，并试图侵入现有的网络安全控制。在某些情况下，Stickley 说他会带着服务器出去。每个人都会认为，一个服务器在没有人认可的情况下被携带是不可想象的。

Social engineering: My career as a professional bank robber, by J. Goodchild, CSO Online, 2017 available at www.csoonline.com/article/2129956/security-awareness/social-engineering--my-career-as-a-professional-bank-robber.html. [Accessed on December 22, 2017].

前面关于职业银行抢劫犯的例子表明，抢劫银行不仅是可能的，而且有时很容易。目标似乎是敏感数据，一旦社会工程师进入银行，敏感数据似乎永远不会远离。收集的外部存储设备和连接到网络的设备将为社会工程师产生大量信息。这些信息非常敏感，同样也非常昂贵。2015 年，一名黑客获得了属于阿联酋 ( 阿联酋)一家银行客户的一些客户数据。黑客要求大约 3 美元的赎金，银行拒绝支付。在那次回应之后，黑客继续发布了 500 名客户的银行对账单，并联系客户，威胁说如果他得不到赎金，就发布他们的敏感信息。这损害了银行的声誉，影响是巨大的。因此，如果一名社会工程师走进一家银行，窃取了敏感信息，他们可以要求巨额赎金，就像阿联酋银行的情况一样。因此，从走进银行的简单任务中获取如此巨额资金的能力，使银行成为社会工程师的首要目标。

Hacker Leaks Customer Data After a United Arab Emirates Bank Fails to Pay Ransom by K. Zetter, WIRED, 2017 available at www.wired.com/2015/12/hacker-leaks-customer-data-after-a-united-arab-emirates-bank-fails-to-pay-ransom/. [Accessed on December 22, 2017].

旧组织

社会工程师随时准备扑向的另一个目标是任何古老的组织。大多数年轻的公司都会有新员工，新员工将确保他们制定一些基本原则，如严格的 IT 政策和先进的安全机制，以防止许多网络威胁的发生。另一方面，老公司之所以成为目标，是因为它们可能是使用易受攻击且不断崩溃的遗留 IT 系统的罪魁祸首。他们至少有机会拥有一台已经使用了几十年的电脑，并且通常会定期进行某种维护。因此，社会工程师很容易以被派去修理几台旧电脑的承包商为借口。而在组织中，社会工程师也将很容易收集更多的信息。更有可能的情况是，组织会放松过时的 It 安全策略，而员工很少遵守这些策略。因此，员工的办公桌上会写有密码，机密文件会被不安全地存储，包含备份的外部存储介质会被公开保存。社会工程师可以对这样的组织造成巨大的破坏。这种类型的攻击通常针对那些由于大量故障而与第三方签订维护 IT 设备合同的组织。较新的组织倾向于使用新设备，员工接受更严格的培训以遵守 IT 安全政策。因此，在社会工程师成功进入组织的情况下，他们会更加小心他们留在户外的东西。

组织员工

有时，社会工程攻击不是针对个人的，而是针对一个组织的。随着一些市场的竞争变得激烈，一些组织开始转向恶意的方式来获得竞争优势。其中一种方法是非法获取竞争对手的敏感信息。因此，社会工程师有时会被组织雇佣来从竞争对手那里收集商业秘密、蓝图、机密文件、内部通信甚至消费者数据。正如我们将在下一节中看到的，社会工程已被广泛用于企业间谍活动，社会工程师被雇佣来针对一个特定的组织。因此，在这种情况下，有些员工是首要目标。这些措施如下:

信息技术人员

有比负责确保组织数据安全的人更好的目标吗？每年都有许多 IT 员工受到黑客攻击，希望获得他们在网络中的高权限帐户。通过访问这些帐户，组织中的数据很容易被窃取，内部通信也可能泄露到组织之外。大型组织的 IT 员工经常发现自己成为带有恶意链接的网络钓鱼电子邮件的目标，他们知道这些恶意链接并可以轻松避免。然而，他们还没有准备好击退社会工程的攻击。社会工程师有许多锦囊妙计来获取关于 IT 人员的信息，他们可以利用这些信息来进行成功的攻击。在前一章中，我们讨论了一些工具，这些工具使社会工程师能够收集关于目标的信息。这些包括从社交媒体到观察。社会工程师将使用最不明显的方法来获得 IT 人员，因为这些类型的目标往往是可疑的。因此，他们不能被交给一个充满恶意软件的拇指驱动器，并被指示将其插入他们的计算机。他们很难遵守。他们是间接的目标，直到他们足够信任社会工程师而落入他们的陷阱。他们还可能被他们访问的外部网站作为攻击目标。如果攻击者能够攻破一个 IT 论坛网站，如 https://stackoverflow.com/的或 https://stackexchange.com/的从而进行水洞攻击，许多 IT 专业人士可能会受到攻击。

让我们举一个例子，我们可以如何对一家名为 ABC 的假想公司的男性高级 IT 官员进行社会工程设计。第一站是 LinkedIn，我们将在那里收集目标员工的大量信息。但愿目标已经公布了所有关于他的教育和工作经历的信息。有了这些信息，我们就可以去脸书查看这个员工的资料了。我们还可以访问他的 Twitter 和 Instagram 账户(如果他有账户的话),看看他通常发什么微博，发什么类型的照片。在收集了所有这些信息后，我们创建了一个假的脸书和 LinkedIn 帐户，帐户上有一个年轻漂亮的女孩，她与 IT 官员有着相同的爱好，目前在 ABC 公司附近的一家组织中担任初级职位。我们可以向脸书的员工发送好友请求，因为我们已经做了功课，他很可能会接受。然后我们可以在其他社交平台上与他联系。在两个或更多的社交网络中与他建立联系后，我们可以与他更多地谈论兴趣爱好、学习新事物的兴趣以及未来的前景。在与他建立友好关系后，我们可以给他发送一个充满恶意软件的文件，并请他帮助我们解决一些紧急问题。当他下载文件时，我们的恶意软件将简单地攻击他的计算机，并从他的计算机中收集信息。

这个例子看起来很简单，但是它在现实生活中是有效的。2017 年 7 月，一个名为 Mia Ash 的女孩的假个人资料被用于社会工程师男工人。这个假账户的目标是大公司的男性员工，她的目标是商业间谍。对她的个人资料进行了调查，发现该资料被一个名为 OilRig 的黑客组织所控制，据信该组织得到了伊朗的支持。这个假的个人资料被用来用一种叫做 PupyRAT 的恶意软件感染目标的电脑，这种恶意软件会给黑客提供远程访问的机会。IT 人员会接触到许多其他类型的社会工程攻击。他们拥有企业中几乎所有东西的钥匙，如果受到攻击，攻击者将获得非常敏感的数据和机密信息。

Cyber spies stole this woman's image to use in a 'honey pot' scam by D. McCauley, NewsComAu, 2017 available at www.news.com.au/finance/work/careers/cyber-spies-use-fake-profile-as-a-honey-pot-to-trap-male-workers/news-story/3fed7ec49a4f56ff698b4ca33ca864d6. [Accessed on December 22, 2017].

客户支持代理

客户支持代理也发现自己成为怀有恶意的社会工程师的目标。与 IT 员工不同，这些员工在与假定的客户打交道时往往不会有预防性的疑虑。他们希望保持一个组织的良好形象，并愿意不遗余力地满足客户的需求。由于他们主要处理与外界的通信，他们几乎总是打开发送到公司电子邮件地址的所有电子邮件。这是一种社会工程师毫不犹豫地利用恶意软件进入组织的途径。除非经过培训，否则客户服务代理将会遵从客户的要求，以确保客户满意。因此，如果客户说他们将附加一个文件来更好地解释需求，支持代理将继续下载这样的文件。社会工程师也可以利用这些雇员来获得关于组织内其他目标的更多信息。代理将告诉来电者某个员工是否在附近或不在。既然他们想提供帮助，你所需要做的就是给他们一个想要知道这些信息的合理的借口。如果我们要攻击伪装成签约技术人员的组织，最好避开高级 it 人员。因此，罢工的最佳时间是高级 IT 官员不在的时候，这样就创造了一个完美的场景，一个社会工程师可以说他被高级员工紧急派去查看服务器机房的一些东西。

让我们举一个例子，看看我们如何利用代理打开恶意文件。假设我们的目标是一家名为 XYZ 的汽车零部件公司。我们可以打电话给客户服务代理，说我们想要一个我们不熟悉的特定零件，但是一个机械师写了一份描述，并给了我们一些图片。为了防止客户服务代理指示我们使用其他途径来获取此信息，我们必须给他们施加压力，使我们的攻击更容易通过。因此，我们告诉代理，我们正赶着去参加一个会议，但我们将发送一些包含所有信息和图片的电子邮件附件。我们可以通过说急需该零件来增加压力，因为该车有一个现成的买家在等待该零件。话虽如此，我们还是指导他们查看邮件，并尽快回复。请注意，我们已经给代理商施加了压力，减轻这种压力的唯一方法是查看我们正在谈论的描述，检查零件是否可用，然后给我们回复。安全不再是代理人的首要任务；满足我们的迫切需要。除了正版附件，我们还可以附加一个恶意软件文件，等待代理下载并打开它，然后恶意软件就会感染他们的计算机。另一种方法是让代理看我们网站上的描述，给他们施加压力，然后给他们一个恶意网站的链接。无论哪种方式，在代理意识到这是一个骗局之前，恶意软件已经感染了他们的计算机，并开始向我们发送信息。

高级工作人员

高管之所以成为社会工程师的普遍目标，主要是因为他们能提供什么。这些高层人士可以接触到非常敏感的公司数据，是机密通信的一方，他们也有自己的个人资产可以成为攻击目标。因此，即使社会工程师无法从他们工作的组织中窃取某些东西，他们的个人资产仍然处于危险之中，可以成为攻击目标。由于他们的资历，高管的安全意识往往较低，因为他们被认为是有权有势的，因此当他们无视组织的安全政策时不会受到惩罚。他们也被认为很忙，因此被免除与其他员工一起参加安全培训。因此，他们最终成为容易攻击的目标，因为他们对网络威胁知之甚少，不知道应该如何应对针对他们的攻击。此外，他们没有受到任何人的压力来遵守组织的安全策略。他们认为安全政策是不方便的，除非无法规避，否则很难遵守。

一个简单的任务，如在 90 天后更改密码，被视为不方便，只有当系统拒绝登录时，密码才会更改。他们不希望自己的 web 活动被记录或监控，因此希望关闭基于主机的防火墙。他们还会绕过几乎所有其他的安全策略，尤其是在他们没有被系统强制执行的情况下，因为他们的级别比 IT 人员高。同时，如果他们被攻击者攻击，他们不会承认错误，相反，他们会责怪 it 部门没有为他们提供保护。因此，他们很容易成为社会工程师的目标，也是任何组织的主要风险。

这些类型的目标落入令人惊讶的常见工程骗局。由于他们是高管，很多关于他们的信息可能会泄露，因此数据收集对社会工程师来说并不具有挑战性。收集到足够多的信息后，他们很容易被诱骗采取危及自身和所在组织安全的行动。他们是一个独特的目标，即使他们不按照组织的安全策略行事，也认为安全是有保证的。因此，即使他们点击通过电子邮件发送给他们的链接，他们也会认为 IT 部门已经采取了足够的保护措施来防止任何恶意行为的发生。当他们将个人设备连接到组织网络时，他们忽略了这样一种风险，即如果他们的个人计算机上有恶意软件，它将会进入组织网络。

由于攻击者通常希望采用最不具挑战性的方式进入组织网络来收集信息，因此高管是最佳的利用途径。试图直接攻击网络很可能会失败，因为有许多安全措施来防止这种类型的尝试。然而，高管的个人电脑总是一个受欢迎的选择。因此，社会工程师将在酒店房间里等待，从连接到酒店 Wi-Fi 的高管那里窃取数据。他们还会以富有的名义潜伏在机场，特别是头等舱和商务舱的休息室，而实际上，他们正在用恶意软件感染连接到 Wi-Fi 的计算机。这就是为什么避免在个人电脑中存储敏感的工作数据是极其重要的。与工作场所的计算机不同，个人计算机不享受来自组织的 IT 团队的同等保护。所以很容易渗透这类机器，安装恶意软件复制敏感数据，泄露机密消息。如前所述，高管员工的个人电脑上存有不安全的敏感数据，一旦他们的电脑上出现恶意软件，一切都将受到攻击者的控制。

让我们假设一个场景，我们想从一家美国军事承包商的首席财务官那里窃取数据。我们必须尽职调查，找出他每天的日程安排。我们可以找出他最喜欢的酒店、旅行计划和周末度假。一旦我们发现他在周末或假期经常去的地方，我们必须收集关于那个地方的情报，因为这是我们打击他的点。无论如何，我们要确保获得 Wi-Fi 密码，对设备进行测试攻击，以确保一切就绪。当首席财务官来的时候，我们可以以普通顾客的身份出现，并有策略地坐在一个我们可以看到首席财务官的地方。当他将个人设备连接到网络时，我们可以在其中安装恶意软件，并开始从中收集数据。唯一的挑战是他的设备是否有一个终端主机安全程序，可以防止恶意软件感染设备。但是我们有可能会安装恶意软件。

财务人员

财务部门的员工是社会工程师的目标，他们只对钱感兴趣，而不是数据。这些员工控制着巨额资金，向供应商、承包商、员工支付报酬，还从销售和其他收入来源获得资金。他们倾向于系统化地操作，并且会坚持按照书中的指导方针行事。因此，他们不会轻易被社会工程师用廉价的骗局欺骗，如尼日利亚王子钓鱼邮件。尼日利亚王子网络钓鱼邮件是一种向目标发送虚假邮件的邮件，向目标解释尼日利亚王子的困境，他想取钱，但需要你的帮助。这是一个老的网络钓鱼企图，它不会在社会工程金融人员中成功。要攻击他们，你需要让他们离开他们熟悉的系统操作环境。你需要让他们在寄钱的时候跳过一些检查。做到这一点的方法之一是选择一个权威人物的借口，可以命令他们放弃正常的程序。

让我们以 2015 年 8 月通过社会工程攻击被欺诈的无处不在的网络的真实场景为例。据透露，一名财务人员收到了一封据称来自其老板的电子邮件，要求他提供一些公司在线账户的登录凭据。这名员工查看了这封邮件，因为它与他的上司使用的邮件相似，所以他照办了，并透露了机密信息。据信，攻击者使用伪造的电子邮件冒充老板。由于初级员工通常不会向权威人士提问，比如为什么会要求提供信息，所以就提供了信息。攻击者能够从该公司账户转移近 5000 万美元到一个海外银行账户。

当员工意识到邮件不是来自他们的老板时，黑客已经带走了这笔钱。然而，该公司追回了近 1000 万美元的被盗资金，但这还不够。

Hackers siphon $47 million out of tech company's accounts by D. Goldman, CNNMoney, 2017 available at money.cnn.com/2015/08/10/technology/ubiquiti-hacked/index.html. [Accessed on 22 December, 2017].

在给定的例子中，该组织被以非常简单且不昂贵的方式抢劫。注册一个可以用来创建假冒电子邮件地址的新域名的成本只有 1 美元。唯一使用的技巧是一种权威的语气，这名员工照做了。如今，许多组织都可以成功复制这种攻击。既然成功了一次，社会工程师就会在别的地方再用一次。金融员工距离被攻击只有 1 美元的距离。由于电子邮件和电子邮件模板的欺骗方式如此之多，财务人员在泄露某些信息时应注意检查整个电子邮件地址。

老年人

老年人对攻击的了解较少，而且通常很天真。他们可能住得很远，独自生活，并且愿意倾听那些听起来需要帮助的人。他们的同情心每年都被社会工程师无情地利用，导致诈骗者损失数百万美元。老年人被认为在他们的账户中有大量闲置资金，如果被说服，他们会把这些钱给那些看起来需要的人。剥削老年人的方式有很多种，我们来看看最常见的十种方式:

1. 医疗保险:这通常发生在美国，因为超过 65 岁的老年人有资格享受医疗保险。因此，一个社会工程师不需要做任何这方面的研究，如果他们可以告诉目标是超过 65 岁，医疗保险将是一个简单的利用目标的途径。通常，社会工程师打电话假装是医疗保险的代表，他们要求老年人给他们个人资料，甚至有时，他们要求金钱。当他们得到关于老年人的信息时，他们可以开医疗保险账单并从中获得资金。有时，社会工程师也会求助于老年人，向他们要钱来更新诸如不存在的订阅之类的东西。在骗局被发现之前，他们让受害者承诺支付很长一段时间的费用。

2. 假药:互联网上有社会工程师在出售假药给老年人，这些药据说可以治疗许多特殊疾病。社会工程师使用特定的关键字在他们的网站上获得他们的目标。从那里，他们说服他们必须长期使用这些药物，而事实上，这些药物并没有提供任何帮助，有时还会产生负面影响。老年人希望，如果他们服用药物，他们被告知患有的所有疾病都将被治愈。社会工程师通过假药卖给他们这种希望。

3. 当然，老年人比任何人都更接近年龄限制，因此他们有时会想计划死后会发生什么，以便有一个美好的告别。社会工程师从未远离出售给他们这些送别不存在的包装。有时，社会工程师会利用死者从他们的家人那里获得金钱。还有另一个特别令人悲伤的技巧，他们浏览讣告，甚至参加葬礼，只是为了收集悲伤家庭的细节。之后，他们会联系死者家属，向他们勒索钱财，以偿还死者所欠的不存在的债务。

4. 抗衰老产品:这也是销售老年人希望的一部分，他们被告知，如果他们服用某种药物，他们仍然可以保持年轻和美丽。毕竟，保持年轻的需求是相当迫切的，谁不想在 60 岁时看起来像 40 岁呢？社会工程师将有一系列的药物，他们将承诺老年人给他们一个年轻的外观。一名成功的社会工程师因经营这种骗局在亚利桑那州被捕并被定罪，但这是在他一年内从老年人身上赚了超过 150 万美元之后。仍然有许多卖家向老年人提供这些抗衰老药物和面霜，由于它们的说服力，他们正在赚一大笔钱。这些药物中的一些不仅无益，而且有毒，因此会导致更多的皮肤皱纹。

5. 电话诈骗:据统计，老年人购买电话的次数是其他群体平均购买次数的两倍。他们通过电话购买许多东西，这是社会工程师用来剥削他们的一种方式。社会工程师将向老年人出售永远不会收到的商品并开出账单。也有其他方法，社会工程师要求紧急电汇钱给他们，因为一个亲戚住院了，需要钱。如果社会工程师能给出一个实际亲属的名字，老人将会非常信服，并会赶紧寄钱。

6. 互联网骗局:互联网上有许多老年人，他们没有意识到潜藏在其中的危险。年轻人往往会识破骗局，但不会上当，但老年人就没那么幸运了。有一种常见的互联网骗局是由广告软件运行的，它在浏览器上显示一个弹出窗口，提示设备已被扫描并发现有一些恶意软件。一个上了年纪的人会非常关心这个发现，并愿意做任何事情来照顾它。因此，对于老年人来说，点击提供的链接，支付一些清洁服务的费用是很常见的，攻击者将从那里继续敲诈他们。还有一种由假装提供免费程序下载的网站运行的骗局。当一个人访问该网站时，有三四个下载按钮，其中大多数是恶意的。当点击时，他们会要求老人输入他们的电话号码，从这个号码下载会产生一些费用。进行收费，发送代码，但是下载从不成功，或者它不导致所请求的文件的下载。

7. 投资计划:老年人会为退休储蓄一些钱，这样当他们退休时，他们就可以有一些钱用于投资。社会工程师总是在附近为他们提供完美的投资机会。这些投资计划将会听起来非常好，那里将会有疯狂的回报和最低的管理要求。它们往往是金字塔计划，目标被告知进行可观的初始投资，然后简单地等待资金开始慢慢回流——只是它永远不会。传销是以这样一种方式呈现的，它们看起来很吸引人，而这是人类获取更多的自然贪婪，让老年人陷入了这个陷阱。

8. 抵押贷款诈骗:社会工程师利用了一种最有可能的情况，即超过一定年龄的人将主要住在自己的房子里。老年人很可能已经买了房子，社会工程师会毫不犹豫地利用这一点。他们可以开始发送自称是政府官员的个性化信件，希望重新评估房屋价值及其税收负担。然后，他们会要求一笔费用，之后，当支付后，他们就会消失。

9. 彩票:这是一个精心策划的骗局，通常针对老年人，而且出奇地成功。一个社会工程师会打电话给他们，向他们解释他们中了彩票，他们将收到一张支票，上面有大量的钱，他们可以把钱存入银行。然而，在目标和支票之间设置了一些限制，然后引入了一些费用。社会工程师可以说，政府已经征收了目标必须支付的一定百分比的税，或者可以说，应该支付一些费用，以允许将支票安全地运送到目标。出于赢得巨额奖金的兴奋，目标几乎不会再考虑发送这些费用或收费。社会工程师可能会在很长一段时间内骗取目标的钱财。

10. 祖父母骗局:这是一种新型骗局，目标是富裕的祖父母，他们被认为心地善良。社会工程师会拿起电话，给目标打电话，告诉他们猜是哪个孙子在给他们打电话。经过多次猜测后，社会工程师将假装是上述人员之一，并试图赶上目标。在一个小的讨论后，社会工程师介绍了他或她所处的困境，急需用钱。这可能是一份医疗账单，一次事故，因为付不起房租而被驱逐，或者需要现金来修理一辆搁浅的汽车。为了掩盖他或她的踪迹，社会工程师告诉目标不要告诉他们的父母他们要求这样的钱。老人会寄钱，社会工程师会以孙子为借口一次又一次地打电话回来。

祝福者

有人想从灾难中获利是不可想象的，但不幸的是，社会工程师们如此无情。在爆炸和飓风等一些事件中，社会工程师会建立自己的慈善基金会。他们会向人们做广告，鼓励他们捐钱来帮助受害者。这似乎是一个很好的事业，除了钱没有到受害者手中，而是去了一些社会工程师的腰包。

当骗局被发现时，人们被建议不要向它捐款，社会工程师可能已经赚了数百万美元。在海地 7.0 级地震期间，这是一个特别大的挑战。许多假的慈善机构在网上建立，并向人们做广告。很多钱进入了少数人的口袋，而不是预期的受害者:

技巧

瞄准和侦察的技巧如下:

• 永远不要在社交媒体上分享关键信息
• 不要重复使用重要的密码
• 不要分享别人不需要知道的东西
• 知道该说什么，什么时候说，怎么说
• 阅读第八章、社会工程师工具，搜索你自己，看看你有多公开
• 请记住，我的社交媒体账户是不存在的

摘要

社会工程师对他们锁定的受害者有特殊的偏好。目标是在评估了可以从他们那里偷到什么以及偷得有多容易之后选择的。本章讨论了相当多的目标，这些目标通常是社会工程师的首选，因为他们扮演的角色、他们拥有的财富或他们被诈骗的容易程度。这一章首先审视了银行，强调了可以被利用的漏洞。简单回顾一下，我们举了一个职业银行抢劫犯的例子，突出了他们从这些机构内部窃取数据的途径。这一章还研究了旧组织中存在的裂缝，这些裂缝使它们很容易成为社会工程师的目标。特别关注三种类型的组织雇员，他们是社会工程师的主要目标:IT 人员、财务部门人员和管理人员。社会工程师的另一个目标是老年人，因为他们很容易被欺骗。已经讨论了社会工程师利用他们的十种常见方式。最后，以海地地震事件为例，讨论了对好心人的剥削。值得注意的是，社会工程师将瞄准更多的人。所讨论的是社会工程师通常会选择的共同目标。

本章介绍了社会工程师最常见的目标，并解释了他们经常被选中的原因。其中一些人(如 IT 人员)之所以成为攻击目标，是因为他们对敏感的组织数据和内部通信的访问和控制级别。高管一直被当作目标来讨论，因为他们在一个报告中提出了两套目标，他们自己的个人数据和他们所在组织的数据。老年人被当作目标来讨论，因为他们很容易被说服采取一些行动。整章要注意的一点是，还有很多其他目标，包括你。一个社会工程师会毫不犹豫地把目标锁定在一个组织或一个独立于讨论对象的个人身上。因此，每个人都应该极其谨慎，以防止剥削。下一章将讨论启发。人们希望生活在一个安全的区域，因此，社会工程师需要有技巧让他们走上一条危险的道路。下一章将讨论几种技术，这些技术可以用来把人们从他们的安全舒适区吸诱导来，从而攻击他们。

**

六、诱导

也许在整个社会工程攻击中最重要的技能是把目标吸引到一个他们可以利用的点上。诱导是一种在社会工程攻击的关键阶段使用的强大技术，用于使目标采取社会工程想要的行为路径。美国国家安全局 ( NSA )对诱导的一个有趣定义是，它是在正常对话中对信息的微妙提取。诱导是广泛教授给间谍的技能之一，以确保他们可以从人们那里大嚼信息，而不会让人觉得他们真的被监视了。交谈可以在任何地方进行，社交工程师喜欢在他们(目标)熟悉的地方接近目标，因此在与陌生人交谈时已经感到舒适。人类会希望留在一个安全舒适的区域，因此一些问题会引起怀疑。然而，当被熟练地创造和询问时，回答者会吐出一些本来会被隐瞒的信息。本章将讨论社会工程师如何诱导他们的目标，并刺激他们以某种方式行动或回应，在这种方式下他们更容易被剥削或顺从不寻常的要求。为了避免成为诱导的受害者，学会如何以安全的方式交流是很重要的。本章将讨论以下主题:

• 与陌生人交谈
• 预加载
• 如何成功地进行启发？
• 掌握启发的技巧

介绍

启发是一种低风险、隐蔽性好的社会工程技术，效果令人印象深刻。随着时间的推移，有一些因素已经在人类中根深蒂固，这些因素使得诱导特别成功。这些措施如下:

• 许多人希望对陌生人有礼貌
• 专业人士希望在被提问时显得知识渊博
• 大多数人不想对那些看起来真正关心的人撒谎
• 许多人愿意回答关于他们自己的恰当问题

让我们举一个现实生活中的例子，看看这些因素是如何在正常对话中发挥作用的，以及社会工程师如何利用它们。假设有一个企业活动，人们可以与组织中的关键成员进行互动。一名社会工程师可以晋升到首席财务官(T2 首席财务官(T3))，并自称是一家鲜为人知的公司的安全主管。他可以根据首席财务官所在组织的收入和公司的未来前景，引发一场小对话。当然，首席财务官会公开并分享这方面的信息。对于攻击部分，社会工程师可以声称正在寻找一个门的安全系统，并询问首席财务官他是否了解他们公司使用的系统。为了显得消息灵通，首席财务官将继续下去，并通知社会工程师目前正在使用的系统。从那次闲聊中，社会工程师将会学到更多关于该组织所使用的内部安全系统的知识。这并不能保证这种方法总是有效，但所讨论的因素通常存在于大多数人身上，因此是一种获取敏感信息的快速方法。

下图代表了社会工程的两个方面:

Evil will always pretend to be an angel

在所讨论的对话中收集的信息(其特征是诱导关于某个组织所使用的安全系统的信息)可用于随后实现攻击。这位社会工程师可能以被派去修理有缺陷的安全系统的修理工为借口出现在组织中。关于在组织中使用的安全系统的信息将已经被 CFO 披露，因此它将是准确的，并且安全警卫和接待员将让社会工程师进来做他的修理工作。如果社会工程师在会议期间与该组织的其他工作人员进行了互动，并收集了有关该组织的更多信息，他或她就可以进行大规模的攻击。启发不限于信息收集。它也被用来巩固一个借口，并获得更多的信息。让我们来看看启发的一些目标。

与陌生人交谈

在任何社会工程攻击中，社会工程师都希望目标采取行动，要么说点什么，要么做点什么。可能小到回答一些问题，也可能大到让一名社会工程师参观一个组织中的禁区。启发发生在与人的简单交谈中。陌生人之间每天都有小对话，因此当陌生人走近他们并与他们闲聊时，人们不会感到惊慌。它可能是在商店的队列中，在餐馆的桌子上，或者在一个事件中。如果事先对目标人物进行了调查，了解了他们经常去的地方和在这些地方喜欢做的事情，那么就很有可能引发与他们的对话。与陌生人开始一次成功的闲聊有三个步骤。这些措施如下:

• 自然:如果试图保持对话的人看起来不舒服、不自然，目标就会终止对话。因此，一个社会工程师必须总是通过姿势和其他非语言的自信和自然的暗示来交流。此外，一个社会工程师应该发起他所了解的对话。没有什么比缺乏对目标说的话更能酝酿缺乏信心了。这就把我们带到了第二步。

• 知识渊博:一个社会工程师必须了解他或她想要与之展开对话的事物。在前面与一家公司的首席财务官交谈的例子中，这位社会工程师首先提到了公司的财务状况。他或她一定有时间仔细阅读这些数字，因此在开始谈话时，他或她一定有一些能引起首席财务官兴趣的东西。有了这些知识，社会工程师就有了可以大胆地与首席财务官谈论的话题。然而，如果没有足够的信息让一个社会工程师与一个首席财务官开始对话，就可以选择一个研究员或记者的借口。

• 慷慨大方:在前面的章节中，我们讨论了回报的问题，当一个人得到一些东西时，总有一种想要回报的冲动。为了开始或维持一场对话，重要的是要有一个互让的环境。正是通过这种方法，社会工程师可以通过假装向目标提供更多关于其假设组织的内在细节来更深入地了解组织。慷慨也可以从谁主导对话的角度来发挥作用。在前一章中，我们注意到最好的健谈者是好的倾听者。因此，社会工程师永远不会主导对话。他或她让目标说得更多，因此透露更多。

讨论的步骤将确保一个人可以开始并保持健康的对话。这些步骤不仅在社会工程攻击中有效，在正常对话中也有效。除了这三个步骤就是能量。这通过一个人的语调、外表和非语言暗示来表达。在狗的训练课上，新主人被告知他们的能量会影响他们的狗的能量。因此，他们必须以正确的精力接近他们的狗，避免紧张和焦虑。在社会工程中也是如此。社会工程师将根据他们选择使用的借口，以正确的能量把自己呈现给他们的目标。

预加载

预加载是一种广泛应用于市场营销并取得巨大成功的技术，也适用于社会工程。让我们举一个电影院的例子。当购买电影票或爆米花和饮料时，会有即将上映的电影的海报。当坐在电影大厅里时，会播放一些即将上映的电影的预告片，旁白以诸如【最恐怖的电影】这样的话开始...或最刺激的电影...。这是一部即将在电影院上映的电影的广告，广告已经告诉你如何感受和期待什么。

这在你内心深处酝酿了看电影的欲望。在餐馆广告中，大部分都是快乐的人在享受美味的食物，并配有标题，如美味！让你在品尝食物之前就能感受到它的味道。这两个例子让我们了解了什么是预加载。这是一种向目标加载一些如何对某些事情或信息做出反应的想法的技术。

在社会工程攻击中，攻击者将首先提出一个与目标进行交互的目标。在启发中，这将收集一些信息。接下来，攻击者会提出一些问题来问目标，然后想办法在他或她回答这些问题之前预先加载目标。

为了更好地了解现实生活中的预加载，让我们来看看 2015 年上映的由威尔·史密斯主演的电影 Focus，。这部电影的一个标志性部分是威尔·史密斯和一个叫谢丽媛的赌徒赌上了他(威尔)赚的所有钱。史密斯的一个同伙在他们卷走的钱即将丢失后简直要发疯了。李云·谢被告知在场上挑选任何一名球员，如果史密斯猜不出是谁，他就输了。谢霆锋选择穿 55 号球衣的球员，因为史密斯猜到了那个球员，所以他赢了。当向女同案犯解释他如何确定谢霆锋会选择 55 这个数字时，他向她解释说，他们已经做好了一切准备，这样无论赌徒走到哪里，他都会预装 55 这个数字。背景音乐、赌场灯光和小丑被用来向赌徒预先输入号码。因此，他选择穿 55 号球衣的球员只是一个时间问题，因为这个号码反复植入了他的无意识大脑。

Focus (2015), IMDb, 2018 by G. Ficarra, J. Requa, W. Smith, M. Robbie and R. Santoro, available at www.imdb.com/title/tt2381941/. [Accessed on January 11, 2018].

预加载是成功激发尝试的先决条件。这比向目标对象提出好奇的问题的实际诱导过程需要更多的准备。预加载可以变得非常复杂，这取决于社会工程师想要植入目标的想法。在所讨论的威尔·史密斯电影中，可以看出，他花了很大力气让对手输入 55。当李云·谢在球场上挑选球员时，他们甚至改变了背景音乐。背景中的歌曲也是亚洲的，它的合唱也是数字 55 的重复。很明显，这需要时间来计划，仅仅是为了预先加载 55 这个数字。类似地，一个社会工程师会不厌其烦地植入一个输入，使目标的决策更可预测。因此，预加载需要时间，对于社会工程师来说，耐心是很重要的。有时，它甚至可能涉及情绪，而这些需要一些时间来建立。

避免启发

当一个社会工程师试图执行启发时，有许多事情会发挥作用。有一些很好的策略可以用来确保启发尝试的成功。他们从给目标买酒到奉承他们的自我。

现在将介绍其中的一些策略:

迎合自我

许多人，尤其是那些身居高位的人，喜欢被人抚摸他们的自尊心。这样做是为了吸引目标，但应该小心谨慎，因为如果做得过火，目标也可能会让你止步不前。做到这一点的一个好方法就是承认一些基本的东西，并对此保持微妙的态度。例如，在一次演讲后，你可以走向其中一位演讲者，告诉他，这是一次多么精彩的演讲。我来的时候对此一无所知，现在我觉得自己像个专家。这种简单的奉承在开始与目标对象的对话时非常有效，社会工程师可以从这一点开始启发尝试:

Conferences are great places to launch a social engineering attack

表现出共同的兴趣

人们会欣赏一段超越初次见面的关系，这就是共同利益的来源。它不仅使当前的对话更有趣，还允许社会工程师将目标放在更容易攻击的点上。例如，首席安全官 ( CSO )可以在年度会议上提到组织正面临越来越多的攻击。会后，一名社会工程师可以接近这位资深员工，中断一段对话，然后中途提出一个引起首席财务官兴趣的话题。他可以提到他是另一个组织的 IT 主管，并且已经部署了一个特定的程序来减少网络安全问题。社会工程师可以提议在 CSO 的组织中安装一个演示，看看它是如何工作的。这将建立两者之间的共同利益，CSO 不仅会同意进一步联系，他还会给社会工程师一个直接访问组织计算机的机会。共同的兴趣是有利的，因为它可以快速地在社会工程师和目标之间建立联系。当目标暴露自己面临特殊挑战时，通常会使用这种方法。

伪造陈述

在诱导中，社会工程师的目标是引起目标的兴趣，任何事情都会发生，包括故意的虚假陈述。当一个错误的陈述出现时，一个知情的人会试图联系社会工程师并纠正他或她。知情人会天真地试图纠正社会工程师说错的话。事实上，所有的社会工程师都在等待目标的回应。虚假陈述是一种让人们给出真实陈述的快捷方式。那些渴望改正错误的人通常希望表现得不能容忍错误，并且更加见多识广。当另一个人做出不正确的陈述或评估时，进行纠正也是人类本性的一部分。在目标纠正了错误陈述后，社会工程师就有了与他或她交谈的动机。因此，他可以在以后接近目标，并要求被告知更多的真实情况。表现出消息灵通的愿望会使目标向社会工程师透露一些信息。

让我们举一个社会工程师的例子，他想更多地了解组织中的安全系统。在非正式聊天中，他可以说(当着该组织员工的面)该组织几乎没有任何安全系统，可能会受到恶意人员的攻击。该员工将被迫否认这一说法，并说公司采用了一些最复杂的物理和软件安全控制措施。之后，社会工程师可以去为做了错误的陈述道歉，并要求被告知更多关于这些安全系统的信息。雇员将继续向社会工程师提供细节。

谄媚的

这似乎是一个显而易见的技巧，可能很少成功，但实际上，它非常有效。人们自然希望自己的成就得到认可，但他们不想吹嘘自己，因为吹嘘通常会被人瞧不起。当一个目标被奉承时，他或她会收到赞美，但有时会试图淡化它。此时，目标很容易泄露一些关于他或她被称赞的信息。比方说，一名 IT 员工被告知，你是这家公司真正的英雄，每天保护这样一家公司免受其他人似乎不知道的所有网络威胁。IT 员工会接受这种赞美，或者试图淡化它，这是社会工程师向他或她询问用于保护公司系统的工具的最佳时机。当提到工具时，社会工程师可以继续对所使用的工具给予更多的赞美。例如，社会工程师可以继续说哇，你都有了。您是否有内部服务器，因为这一系列工具表明您已经在做一项无懈可击的工作，让那些大型机器到处都是？。这种称赞将再次让 IT 员工有机会谈论更多关于内部计算基础设施的信息，向他们展示组织内保存的服务器的信息。这个信息非常有用。社会工程师将最终知道用来保护目标的计算基础设施的安全工具。此外，组织中保存的关于服务器的内部知识可能有助于策划另一次攻击。社会工程师可能会派人带着关于组织的内部安全和计算结构的信息出现在组织的场所。派出的代理可能最好在高级 IT 官员外出的一天来，并告诉下级，他们的高级官员派他去修理 XYZ 服务器或检查 ABC 安全工具。有了这些信息，他们将允许他进入服务器机房，在那里他可以执行一些恶意的操作。所有这一切都源于对一名 IT 官员的简单奉承。

志愿服务信息

这也类似于前面章节中讨论的互惠。简单回顾一下，据说一旦一个社会工程师给了目标一些有价值的东西，目标很可能会回报一些东西。说到信息，也是如此。一旦提供给目标一些看起来有价值的信息，他们就会愿意将自己有价值的信息反馈给社会工程师。他们几乎总是觉得有义务回报一些东西，只是为了与社会工程师扯平。自愿提供信息是一种常用的策略，目的是诱导那些原本会隐藏一些信息的目标。因此，社会工程师将准备向目标提供一些信息，以便无意识地迫使他们提供一些信息作为回报。有一句流行的话叫同病相怜。为了避免断章取义，我们可以不严格地把这句话理解为人们经常想要分享相似的故事。因此，如果一名社会工程师在组织会议期间遇到一名 IT 官员，他可以以另一名 IT 官员为借口接近他或她，并开始谈论安全弱点。社会工程师甚至可以继续说，他意识到首席执行官使用他的生日作为他的密码。这种思维模式会从合法的 it 官员那里产生类似的故事，并且很快，关于凭证的敏感细节就会被泄露。

假设知识

有一种常见的行为，如果某人对某事非常了解，就可以基于这种了解建立对话。因此，如果一个人认为自己对某件事很了解，他或她就会邀请一些好奇的人来了解这方面的知识。本来不会进行的对话将会形成，原本对社会工程师不感兴趣的人现在将有动机这样做。当人们想知道更多的时候，这可能是一个合适的时机，可以尝试邀请他们的组织或他们最喜欢的餐馆进行更多的交谈。当会议安全时，可以很容易地使用其他社会工程技术，因为目标已经被引诱到他或她可以被利用的程度。

查明你的密码是否被盗的一个好方法是通过一个非常知名的网站，我被 pwn 了吗？大多数时候，猜测或查找电子邮件地址并不困难。

密码重用是很正常的，尽管作为安全专家我们不建议这么做。密码重用是舒适、容易的，而且人们没有意识到潜在的影响。如果你很好奇自己的密码是否被盗，可以自己去查一下。https://haveibeenpwned.com/Passwords 的网站非常安全:

Have I been pwned by Troy Hunt is a great way to check out if your password has been stolen

执行以下步骤:

1. 正如您在前面的屏幕截图中看到的，您所要做的就是键入您的用户名或电子邮件地址，如下面的屏幕截图所示:

Have I been pwned screen

2. 你一点击 pwned？按钮，你会看到以下结果:

The website lists my pwned accounts

3. 如果你的目标结果如前面的截图所示，你就有了一个开始谈话的好方法。如果您自己的帐户列在那里，请确保更改您的密码，并且永不重复使用。这个练习的最终目标是得到好消息——没有发现任何问题！，如下截图:

Good news from Troy Hunt

4. 如果您愿意，如果您被 pwned，您可以从网站获得通知:

Notify me when I get pwned

利用无知

大多数人都有向他人传递信息的愿望，尤其是当他们表现出一定的注意力和学习意愿时。社会工程师通过人为假设无知来利用无知，以便从他们的目标那里获得一些信息。仅仅通过表现出对某件事缺乏经验和不了解，他们就鼓动别人去教他们。它可以是一般知识，也可以是特殊技能。让我们以前面章节提到的 2016 年的一部电影为例，名为 The Catch 。在其中一集里，一个叫克里斯托弗·霍尔的骗子仅仅通过使用人为的无知就能得到酒店所有保险箱的重置密码。他订了一个酒店房间，把一些东西锁在他的保险箱里，然后打电话给酒店服务员帮他开门，因为他忘记了密码和保险箱的工作原理。服务员最终向霍尔展示了酒店用来重置所有保险箱的主密码。最后，他利用这一知识，在同伙的帮助下，抢劫了酒店房间里的许多其他保险柜。这个例子说明了权力是如何通过装聋作哑和误导有知识的人而产生的。

The Catch (TV Series 2016-2017), by K. Atkinson, H. Gregory, A. Heinberg, M. Enos, P. Krause, and J. Hayden, IMDb 2018 available at www.imdb.com/title/tt4396862/. [Accessed on January 11, 2018].

当无知与其他诱导技巧结合起来时，比如奉承，会更加有效。自我的提升还有一个额外的好处，那就是让目标变得开放。这种技巧对健谈的目标非常有效，因为他们可以通过赞美说得更多一点。类似地，这种技巧对于不喜欢吹牛且大多性格内向的目标不会成功。

利用酒精饮料赚钱

酒精饮料有迅速放松紧闭双唇的作用。实际上，到目前为止，在所有讨论过的例子中，如果引入酒精，社会工程师会得到更好的结果。酒精让人放松，说一些他们在清醒时不会说的话。一个社会工程师可以花一些时间跟踪他或她的目标最喜欢的酒吧。在研究这些关节一段时间后，社会工程师可以开始在几天内定期撞击每个目标。当确定目标似乎已经注意到他或她几次时，社会工程师可以尝试使用酒精从目标那里获得一些信息。社会工程师可以提议给目标购买一些饮料，并且当目标喝醉时，信息收集可以开始。喝醉的目标将更容易向社会工程师泄露敏感信息。但是，这种技巧只适用于少数首先同意被其他人买啤酒的目标。当目标拒绝出价时，这种技术就会惨败。

做一个好的倾听者

对人类来说，向他人，甚至是完全陌生的人透露自己的感受和秘密并不稀奇。当有人分享一些令人不安的信息时，会有一些宽慰。许多人有所保留，他们需要的只是一个倾听的耳朵。这些人经常去酒吧和教堂之类的地方，他们希望在那里暂时缓解他们的忧虑。社会工程师知道这一点，这就是为什么他们会在这样的地方等待。当他们与似乎有抱怨的人互动时，他们倾听，让目标说出他或她的感受，他们只是验证这些感受。验证使目标更接近社会工程师，因为他们认为已经与能够理解他们的人建立了联系。如果社会工程师与目标保持长时间的接触，披露的内容会增加，变得更加敏感。社会工程师也将享有独特的地位，能够要求更多的信息从目标，否则将永远不会泄露。成为一个好听众的技巧在第五章、瞄准和侦察中给出。总结一下，强调社会工程师的肢体语言、眼神交流和语调必须对目标所说的内容表现出兴趣。为了获得更多的结果，社会工程师可以添加他个人的但编造的故事来鼓励目标继续前进。

社会工程是人类黑客的艺术，它可以由社会工程师来完成，比许多人想象的更容易。如下图所示，您需要做的只是仔细观察、仔细说话、观察目标，并尽可能多地学习，以让目标提供您需要的任何信息:

Hacking your target is easier than you think

使用巧妙提出的问题

在启发中，社会工程师不会简单地走到目标面前，要求他或她给出敏感的凭证。虽然这一信息是主要目标，但必须谨慎寻找，以避免引起怀疑。因此，社会工程师必须学会如何以正确的方式提问。大多数情况下，社会工程师会使用在目标看来毫无用处的问题，因此，他们不会不愿意回答这些问题。只有当这些微小的信息结合在一起时，大局才是可见的。

让我们仔细看看社会工程师为了从他们的目标那里收集信息而使用的问题类型:

• 开放式问题:这些问题需要的不仅仅是一个是或否的回答。因此，如果对着目标摆姿势，可以收集到更多的信息。开放式问题通常在面试中使用，以诱导受访者不断给出答案。每个问题后面都有一个跟进问题，询问给出的答复的为什么和如何。因此，目标将不断向先前给出的响应添加更多的细节。由于一些目标在回答问题时可能会表现出一些抵触情绪，因此最好使用金字塔方法，社会工程师将从狭窄的问题开始，并将更广泛的问题留到面试的最后部分。
• 封闭式问题:这类问题用于引导受访者走上某条道路。这些问题通常只能用几个选项来回答。目标不是收集信息，而是将回答者引向某个角落，在那里可以使用其他问题来收集所需的信息。当律师和警察试图将他们锁定在特定的路径上时，他们通常会使用这些问题。这些问题可能看起来简短而支离破碎，但它们慢慢地抑制了回答者转向故事的另一个版本。
• 引导性问题:这些问题通常借鉴了开放式和封闭式问题的优点。它们是开放式的，但会给回答者一个预期答案的暗示。例如，我前几天看到打印机公司派了几个技术人员进来；你的公司一定正面临一些打印机的技术问题，不是吗？。这个问题的答案是“是”或“否”,然后是一个狭义的解释。这也向回答者暗示了你对自己所说的内容很了解。即使受访者只给出是或否的答案，引导性问题也会产生一些其他影响。大量的信息被植入回答者的大脑，更多的事实被建议让他或她同意或不同意。最后，回答者被诱导说得更多。引导性问题也是特别有力的工具，因为它们可以扭曲记忆。他们可以用来操纵目标的记忆。心理学家巴特利特在 1932 年做的一项研究得出结论，人们很难准确完整地回忆起一件事。这是因为人们根据大脑认为重要的东西以不同的方式进行记忆。当回答者提到同样的记忆时，一些记忆会丢失，而被认为重要的记忆会被回忆起来。为了掩盖赤字，做了一些概括来填补空白。

因此，如果一个回答者在提问前被预载了一些信息，那么预载的信息会对记忆产生扭曲作用。因此，引导性问题是非常重要的工具，可以有力地但无意识地引导回答者走上一条特定的道路。

IB Psychology: Bartlett (1932), Thinkib.net, 2018 available at www.thinkib.net/psychology/page/8195/bartlett-1932. [Accessed on January 11, 2018].

假设的问题

在这种情况下，目标被认为对某些事情很了解，因此问题是在这个前提下提出的。基于给定的响应，社会工程师将能够确定目标是否拥有已经假定的知识。在执法过程中，警察使用这类问题是很常见的。例如，他们可能会问目标，受害者 X 先生住在哪里？这个问题的重要部分是，警官假设被告有一些关于受害者的信息。嫌疑人可能不认识他，但也可能认识他。他给出的回答将揭示嫌疑人知道多少。

然而，社会工程师不会用假设性的问题来误导目标。此外，他们避免让受害者了解整个情况。这样做会剥夺假设的力量。假设性问题在社会工程师对某事有一些事实知识时使用。例如，一个社会工程师可能会问你安装了新的安全系统，对吗？社会工程师可能看到安全系统公司的货车驶入目标的工作场所。由此，他可以推断他们在那里安装了一些安全系统。这是他用来向目标提出假设性问题的信息。目标会给出这样的回答，是啊，不，他们只是在做一些维修，或者他们只是增加了一个生物识别系统，以及许多其他类型的响应。每个响应告诉社会工程师目标对安全系统了解多少，并且仅仅基于安全系统公司的货车驶入组织的目击。对于目标来说，它还预先加载了一个假设，即社会工程师是相当知情的，因此当给出错误答案时会有所察觉。

括号

这也与前面的两个话题有关，假设性和智能性问题。在社会工程师希望从目标中获得精确信息而又不表现为直接请求的情况下，可以使用分类。它主要用于查找数字信息。社会工程师会问一个问题，然后有目的地给出一个近似值，以促使目标在他或她的回答中给出一个准确的数字。例如，一个社会工程师可以问一个雇员，嘿！根据徽章来看，我想你在 XYZ 公司工作。我听说你们的安全措施比我们的组织更严格，但是我们在进入场所之前有两个守卫检查站和生物识别验证。目标将给出一个响应，其中将给出进入组织内部必须通过的物理安全控制的准确数量。这是社会工程师可以用来计划如何实际进入组织的信息。

当与组织内的安全警卫进行交互时，包围在社会工程攻击中特别有用。当看似重要的人与他们闲聊时，他们最容易敞开心扉。他们也更熟悉组织内部的物理安全控制。如果问及监控前门和后门入口的摄像头数量，他们最适合给出这些信息。举个例子，假设一个社会工程师计划潜入一个组织，去翻垃圾箱。出于回忆的目的，翻垃圾箱是一种社会工程信息收集技术，涉及到翻垃圾。如果社会工程师注意到垃圾在后门附近，他或她可能想收集一些关于有多少摄像头监视后门的情报。直接去要求警卫给出这些信息显然是有挑战性的。因此，社会工程师可以接近他们，说一些诸如我必须说，你在这里有最艰难的工作。这是一个非常广阔的领域，你必须保持警惕。我打赌你后面有两个摄像头，前面有五个。我错了吗？此问题将引发对摄像头数量及其覆盖区域的正确解释。由于这种说法首先会伤害警卫的自尊心，所以他或她会愿意分享更多关于为协助监视而采取的敏感安全控制措施的信息。

学习启发的技巧

在前面的章节中，我们已经确定了一些技巧和技术来帮助你掌握所教授的技能，这样你就可以更好地准备好防御某些社会工程技术。因此，我们将讨论一些如何成为启发大师的要点。但是，您应该注意以下几点:

• 一个社会工程师永远不会问目标太多的问题，因为这可能会让他们失去兴趣。没有什么比被一个接一个的问题包围更让人讨厌的了。记住之前给出的关于开始和保持与目标对话的三个技巧。
• 一个社会工程师从来不会问太少的问题，以免引起怀疑和尴尬。他们绝不会让目标感到奇怪，为什么有些问题被提出来，然后又被迅速放弃。他们知道如何友好地结束一系列问题。
• 社会工程师永远不会一次问一个以上的问题。这不仅会引起混乱，还会减少目标愿意给出的信息量。

启发需要微妙的平衡。一个社会工程师绝不能有太少或太多的极端。此外，启发不仅适用于社会工程。与前面章节中教授的其他一些技巧不同，这里教授的技巧适用于正常和非恶意的对话。

诱导应该遵循正常对话的流程；只是社会工程师应该控制对话的路径。把启发想象成一个漏斗，顶部宽，越深越窄。对话一开始，对话是中性的，问的问题是随机的。然而，随着对话的进行，对话变得更加集中在社会工程师希望收集数据的几个主题上。因此，开放式问题可以用来开始对话并使其继续，然后，可以引入一些封闭式问题来引导对话。在漏斗的末端，社会工程师将从客户那里得到一个很好的信息流，过滤后只给出必要的细节。漏斗过程必须小心谨慎，以确保社交工程的其他元素，如融洽和信任，在谈话的早期就建立起来，以避免目标拒绝回答一些问题。

技巧

避免诱导的提示如下:

• 启发是一种不用提问就能得到答案的艺术。换句话说，启发就是你说什么和怎么说。根据 NSA，诱导是从某事或某人那里提取信息的过程，你说什么和如何说将决定你的成功。
• 信息安全链中最薄弱的环节是人和社会网络。
• 与人类的社会互动比复杂的 IT 系统更容易操作。
• 工具是社会工程的一个重要方面，但它们并不能造就社会工程师。单单一个工具是没有用的；但是如何利用这一工具的知识是非常宝贵的(克里斯托弗·哈德纳吉)。
• 对抗诱导的最佳对策是知道说什么和说多少。这也适用于社交媒体网站；分享是好的，但前提是你知道分享什么，应该分享多少。

摘要

这简短的一章已经讨论了一个在社会工程中使用的非常强大的技能，它可以把目标带出来，并把他们放在一个可以被利用的位置上。它研究了如何与一个完全陌生的人搭讪并保持下去。更重要的是，它研究了社会工程师如何给目标预先加载一些信息，从而影响目标的反应。最后，这一章探讨了一些可以用来成功实现诱导的策略。仅举几个例子，本章已经研究了如何使用智能问题、假设性问题和括号诱导目标，从而准确地给出一些信息。抚摸自我和奉承目标也被认为是让目标过度分享一些看似敏感的细节的方法。最后，酒精和专注的耳朵被认为是让人们向他人吐露敏感信息的伟大策略。

诱导将人们从限定的安全区域的限制中带出来，并唆使他们分享一些他们原本会避免与陌生人分享的细节。本章介绍了几种策略，用于确保成功实现诱导，并说服目标与完全陌生的人分享敏感细节。下一章将讨论借口。它将涵盖社会工程师如何能够采取不同的人的脸，以进行攻击。这一章将详细讲述一个借口是如何计划的，一个社会工程师如何转变成一个完全不同的人，以及社会工程师如何在攻击中保持那个借口。

七、伪装

伪装是将自己伪装成他人的行为，目的是操纵他人泄露敏感信息或满足要求。这不仅仅是关于你是谁的谎言，而是成为你声称的那个人。借口给了社会工程师一些激励，而他们在做自己的时候并不享受这些激励。一个社会工程师会愿意改变自己的一切来适应一个借口。他们如何说话，走路，穿着，使用面部表情，使用手势必须完全符合他们的借口。对许多人来说，伪装看起来就像改变一个人的外表一样简单。然而，我知道的远不止这些。借口更多的是一门科学。一个人会呈现出完全不同的个性，这有时会与内心深处的真实的自己相冲突。因此，伪装必须被完美地计划出来，以避免这些人格间的冲突在攻击中占据中心位置，从而破坏成功的机会

• 托辞原则
• 成功的借口
• 借口的法律问题
• 强化借口的工具

介绍

伪装是指有目的地创造一个场景，旨在说服或操纵目标获取一些信息或遵从一些其他要求。一个社会工程师会假设一个完全符合所创造的情境的借口，并利用这个借口让目标遵守要求。没有创造的情景或借口的使用，目标就不会遵守。在社会工程中，伪装通常是为了扮演某些角色的人，这些角色赋予他们命令或要求他人做某些事情的特权。例如，组织中的技术支持可以要求用户提供一些与计算机相关的信息。因此，当用户被告知要给出他或她的密码来更改密码时，这并不奇怪。尽管要求输入密码看起来很奇怪，但由技术支持人员输入密码的事实改变了很多事情，让用户更加顺从。

以借口攻击为中介的社会工程师数量激增，尤其是在免费个人电子邮件出现之后。引起该公司注意的一个例子是联邦快递的送货问题邮件。该电子邮件通常通知用户该公司已经无法进行包裹递送，并且用户需要立即联系递送经理。恶意链接有时会联系到假冒的交付经理，他们会要求用户提供敏感信息，勒索钱财，或者用恶意软件感染用户的计算机。为了解释这种攻击的借口，我们将用户置于一个场景中，在这个场景中，他或她会更加顺从地遵循攻击者给出的指令。如果用户希望联系声称来自联邦快递的人，所提供的电子邮件或电话号码将会被攻击者伪装成真正的联邦快递员工。通过这种方式，目标会更乐意说出他或她的敏感信息，比如 SSN，甚至会给攻击者送些钱。这种攻击还有许多其他版本，攻击者只是改变他们声称为之工作的公司的名称。有时，他们是如此之好，以至于他们可以愚弄某人，而不会引起任何怀疑，他们不是他们所声称的人。

由于技术的发展，他们拥有可以复制真实公司的电子邮件和网站的工具，从而使伪装看起来更真实:

Fake FedEx e-mail, where you can clearly see from the email address, the date format, the URL that points to a fake website and the wrong FedEx logo

社会工程师根据手头的目标或任务选择借口。有些任务很简单；所以会选择容易实现的托辞。然而，有些任务是复杂的，为了完成任务，社会工程师不得不接受一个复杂的借口。例如，如果目标是一个组织内部的用户，目的是获取密码，那么借口就很简单。所需要的只是一封伪造的邮件和令人信服的写作技巧。创建的借口必须表明电子邮件来自 IT 部门，并且密码的共享是紧急的。

但是，如果任务是从一个高度安全的组织窃取高度机密的文件，所使用的借口必须是一个复杂的借口，以便能够获得该信息。

FedEx Fraudulent Email Alert, by Fedex.com, 2018 available at www.fedex.com/us/update2.html. [Accessed on January 20, 2018].

伪装的原则和计划

伪装，就像任何其他技能一样，有一定的原则，如果使用得当，可以取得良好的效果。每当社会工程师不得不求助于借口时，这些原则就派上了用场，而且总是有所收获。让我们来看看其中的一些:

The principles of Pretexting summarized

做研究

一个借口的成功可以直接归因于研究它所花费的时间。社会工程师对借口了解得越多，它成功的可能性就越大。反之亦然，因为社会工程师对借口了解得越少，出错的几率就越高，最终借口会失败。这项研究的很大一部分将是确定目标的兴趣和关系。这将使社会工程师能够为借口塑造完美的场景，并决定假设的人格借口。人类有几个弱点，这些弱点与他们的个性密切相关。正是这些弱点，社会工程师将寻找和利用。

有时，关于一个目标的一小块信息就能造成很大的不同。目标生活中的过往事件、拥有的物品、最喜欢的品牌、购物和运输偏好以及目标的从属关系都可以有效地找到弱点，从而策划借口攻击。例如，向慈善机构捐款的目标可能会受到社会工程师的攻击，他们会以同样的理由制造借口。借口必须是一个拥有网络和社交媒体的大型慈善组织，以帮助目标验证其存在。由此，社会工程师将不得不接触寻求经济援助的目标。通过做 so ，目标将确信慈善基金会的存在，并将进行一笔可观的慈善捐款，只是这笔钱最终将进入私人口袋。

情感在各种借口中被高度利用。如果社会工程师能够玩弄他们的情感，就很容易达到目标。社会工程师利用 2010 年受到全球关注的海地地震，通过一种颇为悲伤的情绪操纵，来自世界各地的艺术家试图传播意识，为受害者筹集资金。还有许多其他慈善机构也在做同样的事情，试图从捐赠者那里获得资金，以便为地震受害者捐款。然而，社会工程师利用这种情况，创造了一个有效的借口。有人创建虚假的慈善网站并做广告。他们最终从这一邪恶行为的收益中变得富有，因为有很多人愿意捐款。然而，另一群社会工程师建立了一个网站，他们声称上面有在这场悲剧中遇难者的名字。然而，他们的网站是恶意的，只收集注册用户的个人信息，还向访问该网站的设备传播一些恶意软件。这些恶意软件后来被用来攻击和窃取访问过这些网站的人的更多信息。如果类似的大规模悲剧降临到人们身上，今天很可能会重复同样类型的借口。关于谷歌网站索引算法的知识越来越多，这使得人们能够优化他们的网站，使其在某些关键词搜索中排名更高。

社会工程师已经掌握了为谷歌等搜索引擎优化网站的技术。因此，他们可以很快找到一个网站，并在与灾难、慈善或捐赠等关键词相关的搜索结果中提升排名。如果发生另一场类似海地的灾难，无辜的人可能很容易向不存在的慈善机构捐款。

从对这个原则的讨论中，你已经注意到了好的研究的力量。有了足够的信息，人们可以很容易地建立一个有效的借口。在海地的例子中，尽管令人悲伤，但可以看出，一个完美的借口总是有用的，特别是当它夹杂着一些情绪的时候。海地慈善网站背后的社会工程师深入到互联网上创建不存在的实体，并建立他们的网络和社会媒体存在，以吸引捐助者。他们知道捐赠者在寻找什么，他们给了他们。有了正确的信息，很容易得到一个成功的借口。

谷歌黑客

谷歌黑客是一种技术，它将使用谷歌搜索来帮助你找到你需要的隐藏在互联网中的任何信息。它包括使用特定的文本字符串来查找结果。对于社会工程师来说，这项技术是一座金矿。基于 CSO online，FBI 针对这一众所周知的问题发布了公开警告。FBI 警告告诉各机构，黑客/社会工程师将使用谷歌黑客来定位组织可能无意被公众发现的信息，或找到网站漏洞以用于后续的网络攻击。

FBI issues warning about creative Google searches by Steve Ragan available at www.csoonline.com/article/2597556/social-engineering/fbi-issues-warning-about-creative-google-searches.html.

谷歌黑客的力量

2013 年，当我在教授一门认证道德黑客课程时，其中一个章节有一个关于谷歌黑客的话题。在课堂上，我们发现一些非常有趣的细节扫描到互联网上，如澳大利亚护照，驾驶执照，出生证明，以及其他许多机密数据。在内容从半政府所有的网站上删除后，我在我的博客上发表了泄漏的内容。当然，为了保护受害者，所有的图片都被我做了模糊处理，这篇文章在一周内被点击了 20，000 次，被转发了很多次，这篇文章被刊登在很多报纸上。

下面的例子很好地证明了为什么我们在分享我们的 ID 时应该非常小心。让我们来看看一些有用的谷歌搜索字符串，它们可以帮助你找到你需要的信息:

Examples from the leaked government-issued highly sensitive ID

受害者的反馈

Erdal 和他的班级发现了一个特殊的网站，该网站通过谷歌提供大量个人身份文件的副本。我的驾照就是其中之一。他试图通过脸书联系我，并提醒其他人注意身份安全。因此，我意识到了安全漏洞，并能够采取必要的预防措施来保护我的身份。我非常感谢 Erdal 和他的同事所给予的帮助。知道有人在为互联网上的其他人的安全着想是非常令人欣慰的:

N . C .

【T0 高防护林，T1】

我希望关于是谁在网上泄露了澳大利亚联邦警察的身份的问题已经有了一些进展。我父亲工作中的朋友和我也在名单上，但没有人对此印象深刻。

非常感谢您为我们快速修改我们的详细信息。

S.M

谷歌黑客秘密

有很多书都写了如何使用这种强大的技能，正如你可以猜到这是一个非常大的话题，但让我们对谷歌黑客做一个总结，以帮助谷歌找到你到底需要什么。

经营者

你们大多数人都知道如何谷歌搜索，我相信你们也知道什么是运营商:

• 这将只显示那些在 HTML 标题中有这个词的页面。intitle:"login page"将返回标题文本中包含术语login page的搜索查询:

• allintitle:这将查找标题中所有指定的术语。例如，allintitle index of/admin:

• inurl:这将在 url 中搜索指定的术语。例如，inurl:"login.php":

• filetype:这将搜索特定的文件类型。filetype:pdf将在网站中查找 PDF 文件。假设你正在专门寻找社会工程文件，然后只需输入这个查询——filetype:pdf "social engineering":

• intext:搜索页面内容。如果你喜欢查找地址索引，只需在末尾加上address即可。例如，intext:"index of /":

• 这将搜索限制在一个特定的站点。例如，site:ErdalOzkaya.com:

• 在查询中使用它将显示所有链接到该 URL 的结果。link:www.erdal ozkaya.com返回所有链接到 www.binarytides.com的结果:

• cache:作为最强大的搜索查询之一，cache将返回链接到谷歌存储的页面缓存版本的结果。例如，cache:erdal ozkaya:

你可以结合你的搜索查询，找到可能隐藏在谷歌中的一切。这里有一个例子:

Site:com filetype:xls "membership list"

这个查询将在每个有名为membership list的 Excel 文件的.com网站中查找，并返回结果。作为一名社会工程师，这对于你更多地了解你的目标非常有用:

结果如下，请注意，我已经模糊了细节:

如果你希望自己承担风险，甚至可以搜索军事网页甚至机密文件:

利用个人兴趣

借口必须在使用它们的人心中根深蒂固，因此它有助于利用这个人已经拥有的一些属性。为了增加借口的可信度，社会工程师经常利用他们的个人利益。个人兴趣很强，即使有借口，也可能让某人看起来更真实、更真诚。例如，一个热衷于技术的社会工程师可以很容易地以 IT 技术人员为借口。对技术相关主题的兴趣和知识，如网络犯罪、恶意软件、攻击媒介和安全政策，都将在说服目标确实正在与 IT 技术人员互动方面发挥作用。如果一个对此几乎一无所知的人以同样的借口，攻击很可能会失败。例如，当提示给出更新密码时，目标可以询问一些后续问题。其中之一可能是为什么 IT 技术人员希望获得旧密码以便更改它，而不是直接从活动域中更改它。对于一个不了解所有这些行话的人来说，攻击可能会在这一点上失败。然而，一个有见识的人可以想出一个借口，也许会说，目标的计算机似乎是从组织的域断开。

个人兴趣给了社会工程师更多的话可说，更好的借口。这反过来在社会工程师和目标之间建立了融洽和信任。然而，不同的借口要求社会工程师拥有不同类型的知识。最好将借口与个人已经感兴趣的事情或社会工程师已经熟悉的事情联系起来。主要目标是确保社会工程师有他或她愿意谈论的与借口直接相关的东西。这有利于社会工程师对目标的信心和总体吸引力。

当一个社会工程师选择一个与他或她的个人利益直接冲突的借口时，会有一些挑战。这是一个心理学问题，可以用利昂·费斯汀格的认知失调理论来解释。该理论声称人类总是在追求他们的信仰、观点和认知的一致性。当他们的态度或行为出现不一致时，必须做出相应的改变来消除这种不一致。费斯汀格观察到，为了消除认知不一致，人们必须减少不一致信念的相关性，增加更多一致的信念，或者改变不一致的信念使它们一致。

为了将这一理论付诸实践，让我们从社会工程攻击的角度来检验它。每当一个社会工程师找了一个违背他的信仰、兴趣和态度的借口，矛盾或不和谐就会出现。这种不一致给社会工程师的大脑带来了问题，可能导致建立融洽关系和获得目标信任的失败。这些问题需要用费斯汀格所说的一些方法来解决。其中之一就是获得更多一致的信念。一个社会工程师可能需要对所选择的借口的信念进行更多的研究，以获得更多与该借口一致的知识，从而使其看起来熟悉而不不不和谐。还有另一种选择，将不一致的信念转变为一致的信念。然而，这很棘手，因为借口不应该吸引社会工程师，而是吸引目标。因此，一个社会工程师不能决定在他或她的借口的指导方针之外行动，这样他就不会感到不舒服。在大多数情况下，选择的借口与目标的信仰、态度、行为和行动非常匹配。因此，社会工程师只能塑造出满足期望的托辞。

A spear-phishing example, where exploits are sent as attachments

练习方言

出于多种原因，一些借口可能包括使用一些方言。营销行业的一个有趣的统计数据是，几乎 75%的美国人喜欢英国口音。因此，他们会很乐意听有这种口音的人说些什么。一些借口可能需要社会工程师使用这样的口音来吸引目标。问题是，当一个人假装口音时，很容易辨别出来。如果发现了这一点，目标可能会警觉，攻击成功的机会可能会大大下降。让我们举一个例子，一个社会工程师要求某个产品的高价值原型，他打算用于一个总部设在英国的组织。他可能通过一封域名归一家英国公司所有的电子邮件与目标进行交流。当谈到语音通话时，英国口音将有助于增加社会工程师在英国的想法。对于目标来说，如果发现这位社会工程师过于努力地用英国口音说话，那将是令人不安和困惑的。这可能导致目标重新考虑与社会工程师打交道。

然而，对于社会工程师来说，有一种采用口音的方法是足够幸运的。电影业一直在这么做。演员们有方言教练，有人付钱教他们如何用某种口音说话。2012 年，一部名为《独裁者》的电影上映了，由于其中包含的大量创意和幽默，这部电影在当年的电影排行榜上名列榜首。这个话题的主角是海军上将阿拉丁，一个虚构的中东国家瓦迪亚的领导人。这个角色的演员是萨莎·拜伦·科恩。在这部电影中，他有很重的中东口音，一个不知情的观众永远不会猜到巴伦实际上不是来自中东。他是英国人，出生在伦敦，有英国口音。然而，为了这部电影，他必须被训练成用不同的口音说话，而且成功了。这意味着方言是可以学习的，而且一个人不局限于成长过程中习得的方言。

然而，社会工程师并不总是有足够的钱来雇佣一名方言教练。因此，他们不得不依靠其他方式来实现同样的目标，而不需要花费这么多。要学会一种口音，可以采取几个步骤。这些措施如下:

• 向当地人学习:学会口音的最好方法是向说母语的人学习。通过听一个以英语为母语的人说话，并不断尝试匹配他们的发音，就有可能获得说话者的口音。对于一个人来说，没有必要找一个有理想口音的朋友或亲戚，或者去一个有说母语的人的地方旅行。有有声读物可以下载使用。

• 模仿:为了学会一种口音，最好试着和以英语为母语的人一起说话，以练习如何听起来像他或她。这也适用于练习使用音频文件。这慢慢地影响你的发音和发音，最终，你可能听起来和他们一模一样。

• 记录和纠正:当你说话时，倾听自己的声音并不容易，因为你听到的声音并不能准确地描述其他人听到的声音。监控你进步的最好方法是录下你自己用想要的口音说话，然后听，以便知道要纠正什么。

• 与另一个人练习:为了防止显得你说话带着口音，最好与另一个人练习如何自然地说话。其他人不需要知道口音，目标只是在现实生活中应用口音。这将允许你纠正试图用口音说话的明显迹象，例如不自然的舌头转动和发音过程中的其他挣扎迹象。

• 在公共场合使用口音:随着实质性的进步和个人对结果的满意，人们可以在公共场合尝试新习得的口音。这将招致公众的批评或对口音的接受。

• 一个社会工程师可以使用这些技巧几个月，并能够获得想要的口音。这种口音可以应用于使用伪装的真实攻击。

使用电话

由于互联网的出现，大多数社会工程攻击都是通过电子邮件和网站在线进行的。电话的力量已经被今天的社会工程师打了折扣。然而，尽管许多社会工程师在互联网上充斥着各种各样的社会工程攻击，但电话攻击却是一片空白。对于一个社会工程师来说，使用手机进行攻击的最佳时机就是今天。由于互联网的客观本质，说服目标做某事可能需要更多的努力。然而，一个电话给谈话带来了个人的接触，并使社会工程师能够给目标施加更大的压力，当场透露敏感信息。

社会工程师在打电话时面临的最大问题是几乎没有出错的余地。对于一封电子邮件，如果有必要，社会工程师可以编辑一千次，只为了得到正确的内容。打电话的人只有一次尝试留下第一印象的机会，而且几乎没有空间来不断纠正每一句话。为了解决这个问题，社会工程师们必须在接触真正的目标之前互相练习。

练习课将帮助社会工程师找出在实际通话中可能出现的问题并加以纠正。如果没有人可以打电话，社会工程师可以试着录下他或她自己打电话给一个假想的目标，然后再听一遍，以确定他或她可能在哪里犯了错误:

A computer and a phone is all a social engineer needs

电话可以用来巩固一个借口。互联网上有各种背景声音，可用于向目标保证社会工程师在特定的地方。例如，一个自称在工业场所工作的社会工程师可以在呼叫目标时简单地下载并播放在工业场所录制的背景声音。目标将确信呼叫者确实在工业场所。对于许多其他设置，也可以复制同样的情况。音频丛林等网站有背景音可供下载，可以在通话时使用。通过听到预期的声音，目标很容易落入借口的圈套。这是无法通过电子邮件来帮助摆脱怀疑的阴影，从而破坏社会工程攻击的成功机会。

另一个只有手机才有的优势是能够伪造来电显示信息。有现成的服务，如欺骗卡，可以用来告诉目标，呼叫者来自一个给定的位置。它可能是一家重要公司的总部、警察局、保险公司，或者是银行和许多其他地方。这种欺骗信息会帮助目标很快落入借口的圈套。当一个自称是银行工作人员的人向你询问一些个人信息时，与他争论是没有意义的，对吗？这就是当目标收到验证社会工程师创造的借口的欺骗电话时将经历的情况。

A hacker uses phishing to obtain the login credentials of a user

最后，如前所述，电话允许社会工程师向目标施加更多压力，以便立即获得敏感信息。对于电子邮件，用户有时间交叉检查向银行或医疗保险索赔的人提出的请求是否合法。揭露这种攻击很容易。然而，在电话中，目标就没有这种奢侈了。社会工程师会试图利用紧迫性和后果来让目标在足够的压力下给出敏感信息或遵从其他要求。由于没有时间检查请求是否合法，目标通常会屈服于社会工程师。

选择简单的借口

借口越简单越好。借口建立在故事情节、虚构的事实和一些内在的细节上。在某种程度上，一个借口可能会有太多的细节需要社会工程师去记忆，以至于这个借口最终失败。社会工程师被抓的原因之一是当他们无法回忆起他们早期提到的事情，或者当他们的话与他们早期说过的话不一致时。正如一位研究人类欺骗的心理学家所捕捉到的，埃克曼博士写了一篇文章，详细描述了谎言在人类欺骗过程中是如何失败的。根据他的观点，当说谎者不能预料到可能被问到的问题时，谎言就失败了。即使说谎者很聪明，也有一些无法预料的环境变化会出卖他或她。埃克曼还说，即使环境没有改变，说谎者也可能难以回忆起他们的谎言，从而导致谎言失败。

从保罗·艾克曼博士的观察中可以看出，最好编造一个更小的谎言或借口，这样就不会有太多让人迷惑的东西。一个很复杂的借口可能会因为一个小小的错误而暴露。因此，不值得花费如此多的时间和资源去制造一眨眼就可能失败的东西。对于社会工程师来说，更简单的借口更合适。不仅容易创作，还容易回忆一切。这使得社会工程师可以自信地实现骗局，并且做的时候看起来很自然。例如，当作为签约公司的网络维修人员出现在首席安全官面前时，一个社会工程师保持其借口范围非常小，比一个有一大堆借口进入服务器室的人有更好的机会进入服务器室。

这个想法是要有并保持真实的事实。当一个借口太大或太复杂时，就会有太多的组成部分，其中一个可能是错误的。在攻击过程中，目标会主动监听，从而更好地捕捉不一致的情况。一个小借口有几个好处。首先，社会工程师可以留出缺口让目标去填补。这样，如果以后发生一些违规行为，目标的想象力就会出问题。一个简单的借口也允许社会工程师在必要时发展它。另一方面，一个更大的借口是很难减少的，因为目标意识到太多的事情，以至于当其他人没有解释就被放弃时，它会变得可疑。一个简单的借口也将社会工程师从阐述的位置上移开。正是在阐述的过程中，我们很容易犯错误，因为一个社会工程师可能会因为无法匹配一个故事的早期版本而自摆乌龙。

让我们举一个现实生活中的例子来解释这一点。假设我们是一名社会工程师，正试图进入一家公司的服务器机房。我们可以利用观察技巧来了解真正从事网络或计算机维修的公司。从那里，我们可以得到他们的标志，并得到印有他们的名字，标志和口号的衬衫。除此之外，我们还可以制作徽章，在袭击当天大胆佩戴。这将会很有帮助，尤其是有警卫把守入口。入口处的大多数物理控制是安全警卫。挥舞着我们的徽章，穿着标有维修公司名称的衬衫，一个简短的说明，我们已经被 IT 部门叫去了，就很容易被购买，我们将免费进入该组织。在招待会上，我们可以坚持同样的借口，即我们被 IT 部门要求紧急检查一台服务器的问题。此时，接待员可以允许我们进入，或者打电话给 IT 部门的一名员工，让我们进入服务器机房。如果有什么事发生，我们可以坚持简单的借口，直到我们进入服务器室:

Employee badge examples can be found in any search engine

自发性

社会工程攻击不应该看起来是脚本化的；社会工程师应该有根据环境变化的自由。脚本攻击看起来不自然，失败的几率比成功的几率大。脚本攻击基于理想条件，而攻击发生在不太理想的条件下。一个社会工程师所应该做的就是提出一个大纲或框架，让事情有条不紊地进行，但要有控制。在与目标的任何互动中，有几种方式可以让一个人变得自发。此外，这些方式可以用于正常的生活场景，而不仅仅是攻击。这些措施如下:

• 不考虑你的感受:如果一个社交工程师在互动中考虑他或她的感受，可能会使攻击失败。大脑对正在进行的对话失去了注意力，开始把更多的注意力放在恐惧、紧张或焦虑上。这是失败的秘诀。有时，互动可能进行得太顺利，以至于你变得过于兴奋。想着兴奋会让你偏离手头的任务。这个建议可以在面试或第一次与特殊的人互动时使用，尤其是对那些在这些情况下感到紧张的人。忽略在交往的初始阶段发生的情感混合可能会避免尴尬或预期目标的完全失败。一个社会工程师把他的注意力放在互动的目标和目的上。如果目标是让目标说点什么，那就没有时间去关注自己的感受了。所有的努力都应该集中在敏锐地倾听目标对象在说什么，并计划谈话的进程。

• 不要把自己看得太重:当一个社会工程师开始放大他或她正在做的事情的严肃程度时，自发性就丧失了。这种不自然的严肃会滋生紧张，导致巨大的压力。随着这一切的进行，失败的后果也被放大了。这导致一个人开始不自然地试图让一切都完美。在所有的压力下，成功完成任务的可能性很小，因为越来越难冷静思考。当一些小东西不在合适的位置时，也很难恢复。

• 识别相关信息:社会工程师自发使用的最后一个技巧是识别他或她的环境中与他或她正在做的事情相关的东西。在与目标互动的过程中，社会工程师应该关注目标的反应、微表情和肢体语言，以衡量互动进行得如何。一个人应该更多地关注他周围的环境，而不是在互动后试图集中注意力并想出接下来的 10 个步骤。当目标说话时，它帮助我们给出评论和反馈，因此他或她相信社会工程师在同一条船上。人们可以很容易地分辨出和他们谈话的人什么时候没有在听。这让他们觉得自己不重要，很可能会结束谈话。

• 实践:在这些社会工程师的建议中，没有什么比实践更重要了。并不是说简单地阅读这些建议就能让一个人成为开始和保持对话的艺术大师。事情不是这样的。如果所有这些技巧有一天要在真正的攻击中发挥作用，就需要练习。有很多方法可以尝试这些技巧，最好的方法是尝试和完全陌生的人进行小对话。这种类型的对话不需要有一个目标，唯一的目标是在对话中尽量自然，并感到舒服。

前面的提示有助于你在互动中看起来和听起来都很自然。这也使得和另一个人开始对话变得容易。然而，要让对话继续下去，还需要更多。有一个重要的任务就是专心听讲。这在前一章中已经讨论过了。如果你想让谈话持续足够长的时间，与目标建立融洽的关系和信任，专注的倾听是绝对必须的。

提供逻辑结论

大多数人成长的社会制度让他们想被告知该做什么。在家里，孩子们由父母指导；在工作中，指挥流程是有层次的；在政治上，政治领袖为大多数人选择道路。在大多数情况下，总会有一个人在指挥，他有特权告诉人们该做什么。这可以为社会工程师所用，因为目标已经被告知要做什么。在与社会工程师的任何互动中，目标必须被告知下一步该做什么。当攻击的目标最终达到时，最好填补任何可能留下的漏洞。一个社会工程师应该给目标一个逻辑结论，告诉他发生了什么，它将会结束。在攻击或互动后让他们悬着会引发问题，这些问题可能会导致他们寻求自己的解释。

有时，社会工程师可能会给目标一些后续行动，而不是给出结论。在我们之前进入服务器机房的攻击中。在我们退出时，我们可以告诉组织定期检查服务器的任何其他问题，并在出现错误时呼叫维修人员。当然，在这一点上，给出实际维修公司的号码是符合逻辑的。关键是目标会得到一些关闭，并给社会工程师足够的时间来消除任何与攻击的联系。对于一个社会工程师来说，借口的好处在于它是不明确的，人们总是可以选择何时放弃它。

我们已经经历了托辞的原则；然而，我们仍然不知道社会工程师如何建立一个借口并实现它。为了成功地找借口，社会工程师需要掌握找借口的许多方面。下一节将讨论它们。

成功的借口

因为伪装是关于创造和活在谎言中，所以我们最好举一些伪装成功的真实例子。正如本章前面所述，伪装不仅在社会工程中使用，因此如果一个例子不属于恶意攻击的范围，你也不应该感到惊讶。一些著名的借口案件进一步解释。

Living a lie, pretending to be someone else

惠普信息泄露

2006 年，惠普公司面临着机密信息泄露的问题。有人怀疑泄密者是该组织出席董事会会议的高级官员。当时的董事长帕特里夏·邓恩女士对此感到困扰，并试图获得董事会成员的电话记录。公司抓住了内奸，结果发现他是一名董事。这个内奸向在线新闻公司 CNET 提供董事会议上讨论的敏感内部信息。

Hewlett-Packard Spied on Writers in Leaks, by D. Darlin, Nytimes.com, 2018 available at www.nytimes.com/2006/09/08/technology/08hp.html. [Accessed on January 20, 2018].

这个例子中有趣的一点是他们如何捕获鼹鼠的细节。为了获取董事会成员的电话记录，使用了可疑的策略，而且他们不知道自己受到了监视。惠普承认，为了追踪到内奸，它使用了一种名为“伪装”的非书本技术。然而，随着包括董事长在内的几名惠普员工被指控欺诈性获取他人个人信息，这种技术的使用开始困扰他们。这种掩饰的方式有点可疑。我们已经讨论过，借口包括创造一个虚假的场景和/或假设一个不同的身份，以便让他人透露敏感信息或同意做某些事情。

在惠普公司的案例中，成功地实现了几个借口来泄露被怀疑泄露信息的董事会成员和记者的电话记录。被雇佣的安全顾问对内奸进行政治迫害，他们采用了三种策略。他们以移动运营商的工作人员为借口，利用这些人格获取运营商内部的一些电话记录。他们会打电话给运营商的其他员工，要求获得某些号码的电话记录。他们使用的另一个策略是伪造他们正在调查的人的身份，然后要求运营商提供他们的电话记录。最后，他们使用嫌疑人的社会安全号码等信息在运营商注册了在线账户，并使用这些账户访问通话记录和其他信息。所有这三种技术都非常有效。在被告知透露收集的信息后，主席说，伪装练习使他们能够获得通话记录、信用报告、银行信息、客户信息、社会安全号码以及与他们正在调查的号码的所有者相关的电话号码。

当然，这家公司利用借口来得到一颗痣可能有些过火，但它确实奏效了。伦理上的担忧是，对一个鼹鼠的调查会牺牲很多其他人的隐私。以此为借口的签约安全顾问能够不加选择地收集许多无辜者的私人信息。他们还以移动运营商美国电话电报公司和威瑞森为借口，越界搜寻电话记录。然而，这一事件确实给其他公司带来了安全问题，因为外人能够获得私人用户信息。这唯一的攻击证明了借口的力量。它表明，如果有足够的承诺，人们可以使用虚假的场景和虚假的身份获得敏感的信息。这次攻击也显示了借口的法律含义。当然，安全顾问和惠普的主席是在一个合法的过程中，找到一个鼹鼠，但他们部署了一个非常强大的技术，最终侵犯了许多无辜的人的隐私。

斯坦利·里夫金

里夫金先生是最著名的网络罪犯之一，因为他参与了 20 世纪 70 年代美国最大的银行抢劫案之一。他曾经是一名计算机顾问，在那个领域有一家自己经营的公司。他与总部设在洛杉矶的太平洋国家银行签订了合同。该银行高度安全，并认真对待其在线安全，因此聘请了斯坦利·里夫金，因为他作为一名计算机极客拥有可靠的技能，可以找到银行可以被利用的地方。不幸的是，对银行来说，里夫金从银行偷了 1000 万美元后，又变成了一个朋友变成敌人的故事。里夫金抢劫银行的简单方式仍然难以想象。那时，银行转账通常使用电汇。为了确保这些转账的安全，该银行使用了一个每天都会更换的数字代码，并且只与少数银行人员共享。该号码将每天张贴在一个安全的房间里，只有少数授权人员可以阅读。进行电汇的人需要这个代码来授权他们。

袭击当天，里夫金像往常一样出现在银行。因为其他员工都知道他是个电脑迷，所以没人会在意他。他看起来是个友好的年轻人，只是在做例行的电脑检查。然而，这一天，里夫金决定乘电梯去那个曾经张贴敏感数字代码的安全房间。即使房间被警卫把守，他也能编造完美的借口作为 IT 人员进入房间。

一进去，里夫金就记住了密码，然后离开了。后来，他以银行国际部的一名员工为借口，打电话给转账室。他指示转账室将 1000 万美元电汇到另一个账户。他被要求提供当天的数字代码，以便授权转账，他毫不犹豫地这样做了。确信这个请求确实是来自国际部，转账室把钱汇到他们被告知的账户上。一切似乎都很顺利，直到发现这个请求不是来自银行的国际部。然而，此时，为时已晚，钱早已转手。

从这次大胆的借口攻击中可以注意到一些事情。首先，里夫金对自己很有信心，因此在那天的互动中也很自然。这就是他没有引起怀疑的原因。如果他第二次怀疑自己，他将无法通过守卫转移室。第二，里夫金做了他的研究，并获得了电汇之前需要的当天的数字代码。没有这个密码，即使是最甜言蜜语，里夫金也无法说服转账室汇钱。他做了尽职调查，获得了宝贵的代码。第三，里夫金在与警卫和转移室工作人员的互动中一定是自发的。他一定对被问到的问题有正确的回答，因为这是他进入的一个相当敏感的房间。最后，里夫金一定很顺利地完成了抢劫，没有匆忙以免引起恐慌。

抢劫结果很好，里夫金以国际部的一名员工为借口转移了这笔钱。不知是幸运还是不幸，他后来被逮捕了，但人们很难相信这个看起来无辜的电脑顾问是个小偷。他的借口计划周密，在整个攻击过程中都站不住脚。他之所以被捕，是因为他的一个朋友把里夫金突然获得的财富和他曾经工作过的一家著名银行的抢劫案联系起来，然后把他供了出来。据说，里夫金试图在另一家银行复制攻击，但被抓获，因为这是一个陷阱。

里夫金的故事强调了我们之前在《借口》中讨论过的一些原则。也许我们可以从他的抢劫案中学到的一个重要的补充是，如果一个社会工程师重复使用一个借口，他可能会被抓住。里夫金在第一次保释外出时被捕，当时他正试图用同样的手段进行另一次抢劫。

Consultant Arrested in Bank Theft by J. Berry, Washington Post, 2018 available at www.washingtonpost.com/archive/politics/1978/11/07/consultant-arrested-in-bank-theft/8deb849b-df94-445a-92a6-bcff5fe8cae9/?utm_term=.6923978c7a7c. [Accessed on January 20, 2018].

DHS 黑客

这是发生在 2016 年的一次严重黑客攻击，导致国土安全部 9000 名员工和与联邦调查局合作的 2 万名官员的个人信息被盗。被盗的个人信息包括全名、职位、电子邮件地址和当前的电话号码。更令人震惊的是，社会工程攻击是直接针对 IT 支持人员进行的，该人员的职位是保护其他员工免受此类和类似类型的攻击。为了展示自己的能力，黑客联系了一家名为 Motherboard 的新闻网站，解释他是如何成功入侵司法部的。

Justice, DHS Probe Hack Allegedly Made Possible By DOJ Help Desk, by Nextgov.com, 2018 available at www.nextgov.com/cybersecurity/2016/02/justice-dhs-probe-hack-allegedly-made-possible-doj-help-desk/125831/. [Accessed on January 20, 2018].

黑客试图使用其他技术攻击登录表单来突破该部门，但这没有产生任何积极的结果。这是他转向社会工程的地方。他打电话给 IT 支持办公室，说他是新来的，无法进入门户。他们询问他是否有访问令牌，他回答说没有。支持办公室告诉他不要担心，他们会给他一个用于登录。这是攻击的一个决定性时刻，IT 支持人员向黑客提供了一个能够进入门户的访问令牌。该部门的后续报告称，安全政策禁止 IT 人员向未经验证的人分发令牌。验证将通过亲自到 it 办公室或通过回答一些秘密问题在电话上验证自己来完成。当然，这些都被帮助黑客的 IT 人员忽视了。

这个场景中使用的借口给了我们一些关于社会工程的重要见解。IT 支持人员通常有办法绕过为防止未经授权访问系统而实现的严格检查。他们可以更改密码，提供新的访问令牌，创建新的用户帐户，以及提升用户的权限等等。他们也是必须在与计算机相关的问题上尽可能帮助其他员工的员工。他们有时不得不扮演保姆或父母的角色，不知疲倦地指导和纠正那些不懂事的用户。因此，对于需要快速访问安全系统的黑客来说，它们是完美的目标。

黑客需要做的只是让支持人员相信他或她是他们中的一员。在转向社会工程之前，黑客曾试图直接侵入门户网站。这并不成功。大多数系统都可以抵御常见类型的黑客攻击。从这个场景中可以看出，弱点在于用户。

The tactics and techniques used by ATP28 and 29 to conduct cyber intrusions against targeted systems; screenshot through FBI/DHSHere's the evidence U.S. intelligence has on Russia's election hacking by Andrew Couts at www.dailydot.com/layer8/fbi-dhs-russia-election-hack-full-report/.

让我们来看看使这个借口成功的原则。首先，黑客选择了一个非常简单的借口。黑客只说他是新来的，他正试图进入司法部的门户网站。这个借口没什么意思。如果他被问到任何问题，黑客可以简单地说他不知道。这可能是人员更愿意帮助黑客的原因。他没有开始验证过程，这也给他带来了好处。这次攻击的借口选择得非常完美。如果黑客声称自己是一名高级职员，事情就会有所不同，因为所有的 IT 人员可能都认识这名高级职员，这可能会带来诸如验证之类的问题。正如《借口的原则》中所讨论的，借口越简单越好。

在这个借口中使用的另一个原则是自发性。如果黑客在给支持办公室打电话时听起来紧张或不自然，那么这次攻击成功的机会就更小了。满怀信心，黑客刚刚打电话解释了他的情况，他是新来的，但也无助地被锁在门户之外。这是一个大胆的举动，但它可能是拯救这次攻击。IT 人员可能认为没有外人有胆量给办公室打电话，并在这个过程中黑掉他们。最后，借口采用了使用电话的有效原则。大多数攻击者会使用电子邮件，因为他们不会直接联系另一端的人，这样更舒服，而且他们有更多的时间编辑他们想说的话。这个黑客用了一个电话，马上就有了结果。电话比电子邮件更有效，因为人们可以利用情感或向目标施加压力。如果电话录音可用，这将表明黑客使用了一些策略来让 it 人员如此迅速地遵守。也许黑客听起来心烦意乱或绝望。可能黑客说他被指示在某个截止日期之前通过门户交付一些东西，由于缺乏访问权限，这已经变得不可能了。很可能，黑客使用了一些类似的东西来让 IT 人员帮忙。因此，尽可能使用电话是有利的。

作为这次袭击的总结，重要的是要注意，在司法部发生的事情可能会发生在任何其他组织。即使有严格的政策，也大多会有一些可利用的漏洞。在这种情况下，松散的结束是一个过度有用的支持办公室。由于其他黑客技术不起作用，黑客没有其他方法访问门户。然而，借口非常管用。这个借口的成功是由于三件事，选择一个简单的借口，自发性，和使用电话。这次攻击表明，许多工作人员，特别是公共部门的工作人员，没有受过防止这类攻击的适当培训。这种攻击表明目标违反了基本的安全措施，而目标应该更清楚，但不幸的是却没有。

国税局诈骗

2017 年可能已经被国税局的骗局所定义，因为许多美国公民都被这些精心策划的攻击所欺骗。据 CNN 报道，所有这些国税局骗局背后的主谋是一名 24 岁的印度男子萨加尔·塔卡尔。他建立了呼叫中心，用来从美国人那里诈骗数百万美元。Thakkar 面临的指控包括勒索、欺骗、冒充和共谋。这是美国有史以来最成功的社会工程攻击之一。他利用了美国人共同的恐惧，报税的负担。让我们敏锐地观察一下 Thakkar 和其他攻击者是如何成为社会工程毫无防备的目标的，并看看他们使用的借口原则。

IRS scam alleged ringleader arrested in India by Z. Alkhalisi, CNNMoney, 2018 available at money.cnn.com/2017/04/09/news/tax-scam-india-arrest-ringleader/index.html. [Accessed on January 20, 2018].

电话

在这种类型的攻击中，呼叫者声称来自国税局。他们的信息是，他们给出了一个到期付款的最后通知。他们会发出逮捕的威胁，如果据称接收人所欠的款项没有支付的话。有些打电话的人听起来不是本地人；因此，他们的骗局并不成功，因为它们会引起怀疑。还有其他呼叫者使用录音信息，但这些听起来也没有创意，因此它们并不总是有效。然而，还有其他人，他们武装到了牙齿，掌握了一些关于他们目标的真实信息。据说，这些打电话的人从侵入政府和健康数据库的黑客那里购买了这类信息。受害者肯定是国税局，因为几乎没有其他人会有这种信息。最后，他们会按照社会工程师的指示支付巨额款项。然而，奇怪的是，大多数打电话的人要求付款的方式是通过 iTunes 礼品卡。因此，这些付款是无法追踪的。然而，受害者此时会太害怕而不敢提出任何问题。

仔细看看这个骗局，使用的借口并不简单，但它是国税局的。使用这样的借口有一些优点和缺点。不利的一面是，目标可以通过打电话给真正的国税局来验证这是不是真的。此外，当事情变糟，袭击者被捕时，对他的指控会引来更多的牢狱之灾。在优点上，IRS 通常被许多人害怕，因此这个借口将有更多的成功机会，因为目标可以很容易地被置于压力之下。正是由于这种压力，成千上万的受害者没有质疑为什么他们被指示通过 iTunes 礼品卡而不是借记卡或信用卡存款。一些攻击者使用的原则是对目标进行深入研究。成功的攻击是在攻击者掌握了目标的许多细节后完成的。不过，了解细节并不困难。社交媒体网站是一个可靠的起点，因为人们喜欢把他们的个人信息放在那里。LinkedIn 等网站鼓励用户发布准确的学术和就业信息。因此，获取这些信息并不困难。

电子邮件

国税局攻击的另一个版本是使用电子邮件，而不是威胁人们向他们提供一些难以想象的优惠。受害者表示，他们收到了据称来自纳税人倡导服务机构的电子邮件，该机构是国税局的一个部门，负责处理税务纠纷或复杂问题。据称，这些电子邮件声称，目标公司的税收存在问题，他们将获得大笔退款。他们说退款会直接存到目标客户的账户上，所需要的只是一些信息。然而他们要求的信息是有关的。他们要求提供 PIN 码、密码和其他银行账户信息，以便将退款存入银行。据说，受害者急于得到这笔退款，已经泄露了这些敏感信息。接下来发生的事情是，黑客开始清空受害者的银行账户。

仔细观察这次攻击，借口仍然是国税局的，但语气更温和。因此，这些邮件是在吸引目标，而不是威胁他们。同样，攻击者利用一些研究来找出关于目标的一些背景信息，从而使攻击更加可信。目标也使用逻辑结论。他们解释说，他们只是需要目标的个人信息来帮助他们完成退款的发放。这次攻击的成功率仍然很高，因为人们很高兴得到国税局承诺的资金:

Same tactic, different target (The IRS scam mail)

商务电子邮件妥协

这在 2017 年初很流行，真的很成功。组织中一些重要人物的商业电子邮件地址被盗用，这些人的权限被用来从目标那里获取一些敏感信息。攻击者过去常常查找一些公司的详细信息，并获得在这些公司工作的低层员工的电子邮件地址。重要的是，他们是低级雇员，既是为了攻击，也是为了行使工作权力。攻击者只需伪造人力资源部门人员的电子邮件地址，并使用它们来请求员工发送 W-2 表格的副本。W-2 表格中的信息有些敏感，可以用来报税。攻击者所做的是提交纳税申报表，但以某种方式，他们会吸引退款，他们会只是舀退款。在更恶劣的情况下，攻击者会利用这些信息来申请大学助学金。受害者的信息在这种尝试中终止的人数如此之多，以至于美国教育部关闭了这项服务。它被这些攻击者滥用了很多次。

看一看攻击，可以看出黑客使用了简单性原则。借口只是一个伪造的人力资源电子邮件地址和一个简单的发送 W-2 表格的请求。它也是针对低层员工的，这些人向人力资源人员提出的问题最少。当然，他们大多遵从并寄出了 W-2 表格，这就是为什么这个版本的国税局骗局如此有效。采用的另一个原则是研究原则。这一攻击是有研究支持的。攻击者必须找出某个组织中的低层员工以及人力资源。常见的工作电子邮件格式是由员工的名字和姓氏组成，然后是组织的域。这对于找出目标的工作邮件非常有帮助。欺骗电子邮件地址本身并不难。攻击者通常用数字替换一些单词或添加一些符号来获得几乎与真实地址相匹配的地址。当然，许多人不会检查电子邮件发件人的域等内在细节。一旦他们看到一个熟悉的名字和一个熟悉的电子邮件地址，他们就会相信这就是那个真实的人。这就是攻击如此有效的原因。

How an email can get you hacked

信

最后，骗子利用实体信件诈骗美国公民。这仍然是 IRS 联系某人希望发起通信的合法方式。这些信件还被用来要求用户提供他们的个人信息，有时是银行信息。然而，关于这类骗局的报道较少，因为它们涉及太多的工作。但是，他们中的一些人仍然是成功的。这是因为美国公民非常重视国税局，通常不会拒绝来自国税局的任何信息。这种借口使用的原则有两个，研究和简单的借口。必须进行研究，以便找出目标的实际邮箱。同样，这些信息很容易在网上找到。有 Pipl 等网站列出了它们。另一个原则是，借口只是地球上四分之一人口的简单邮政地址。他们只涉及信件，没有电话或电子邮件。如前所述，美国人不会解雇国税局，因此他们会按照信中所说的去读和做。

The pipl.com website has many real mail addresses; did you check yours? (My one is wrong)IRS scams 2017: What you need to know now, by J. Fruhlinger, CSO Online, 2018 available at www.csoonline.com/article/3234469/phishing/irs-scams-2017-what-you-need-to-know-now.html. [Accessed on January 20, 2018].

泛在网络

这种攻击在本书中是一个常见的参考，因为它今天在许多关于 CEO 骗局的阐述中被使用。2015 年，在意识到自己成为社会工程的受害者并因黑客损失了 3600 万美元后，Ubiquiti networks 发现自己陷入了一个令人不安的境地。这家总部位于加州的网络设备制造公司证实，在其香港子公司在一次攻击中遭到欺诈后，它已成为社交工程的受害者，这一攻击以首席执行官骗局而闻名。这一章对这次攻击的实现方式很感兴趣。该骗局与 IRS 的一个骗局相匹配，该骗局被称为商业电子邮件妥协骗局，组织中的低层员工从假冒的人力资源电子邮件地址收到电子邮件，要求他们发送 W-2 表格。

Ubiquiti Networks $46.7 computer fraud hack, Forbes.com, 2018 available at [`www.forbes.com/sites/nathanvardi/2016/02/08/how-a-tech-billionaires-company-misplaced-46-7-million-and-didnt-know-it/

585e134d50b3`](https://www.forbes.com/sites/nathanvardi/2016/02/08/how-a-tech-billionaires-company-misplaced-46-7-million-and-didnt-know-it/

585e134d50b3). [Accessed on January 20, 2018].

在 Ubiquiti networks 攻击中，黑客伪造了一名高级职员的电子邮件，并使用它与财务部门的员工进行通信。黑客在电子邮件中解释说，一些供应商已经更改了他们的付款细节，因此将使用海外银行账户付款。美国联邦调查局表示，他们在短短 17 天内追踪到了 14 笔从 Ubiquiti 向东亚某大国和俄罗斯等国的异常汇款。就在此时，调查局向 Ubiquiti 发出警报，称 Ubiquiti 的香港银行账户正在发生可疑交易。这就是母公司介入并阻止财务部进行进一步转账的地方。此时，黑客已经损失了超过 4600 万美元。人们认为，如果联邦调查局没有发出警报，这些交易将继续进行，该公司将遭受更大的损失。该公司跟进此案，只能追回约 800 万美元。该公司创始人兼首席执行官罗伯特·佩拉(Robert Pera)将这一事件归咎于他手下一些会计师的判断力差和无能。

让我们仔细看看这次不幸的袭击，看看使这次袭击成为可能并取得成功的因素。研究是这次攻击的一个重要部分。这是因为攻击者必须知道公司的供应商、高级职员的电子邮件以及财务部门员工的电子邮件。黑客们还需要知道供应商的付款何时支付，以便在合适的时间发动攻击。选择的另一个借口原则是选择一个简单的借口。黑客在这次攻击中只使用了伪造的电子邮件，声称来自一名高级职员，授权会计师将资金转移到海外账户。似乎有一系列的电子邮件，因为转移发生在 17 天的持续时间。

这个借口很容易创建和管理。所需要的只是机智地使用权威的词语。黑客们避免使用电话，因为他们的借口涉及到会计们可能认识的人。黑客们还确保这个借口很容易管理。他们也避免详细解释为什么供应商至少改变了一次付款方式。雇佣原则得到了丰厚的回报，因为该公司尚未收回 3600 万美元。

借口的法律问题

有些借口的企图是否合法还存在疑问。2005 年，美国美国联邦贸易委员会对这种做法的非法性给出了一些有意义的见解。在其声明中:

• 伪装涉及使用欺诈和欺骗的方式从客户或机构获取敏感信息，因此是非法的
• 核实从其他机构获得的关于目标的信息仍然被认为是借口，因此是非法的
• 从其他机构获取用户的电话记录也是借口，因此是非法的

在其法律理解中，公平贸易委员会澄清说:

• 直接从客户或从拥有客户信息的机构欺诈性或欺骗性地获取目标信息是错误和非法的
• 使用伪造、被盗或丢失的文件从客户或机构处获取客户信息是非法的
• 一个人通过欺骗和欺诈的方式从另一个人那里获取客户信息是非法的

从这些陈述中可以看出，FTC 更关心顾客。然而，这些陈述适用于几乎所有其他人，不一定是客户。这意味着练习伪装，即使是出于好意，也会给人带来麻烦。在给出的例子中，有一个是关于惠普的。不幸的是，那些参与者被指控犯有一些严重的罪行，导致入狱。因此，当试图以他人为借口进行渗透测试或只是为了好玩时，必须小心谨慎。

强化借口的工具

最后，可以使用多种工具让借口变得令人信服。最重要的是名片。人们通常倾向于相信名片，并相信一个人就是名片上所说的一切。因此，如果借口包括自称来自某个电脑维修公司，制作一张名片，在公司名称和标志旁边整齐地写下你的名字，会省去你一些麻烦。名片也可以分发给那些开始怀疑借口、希望有时间做出决定的目标。另一个大大提高伪装攻击成功几率的工具是制服。例如，如果攻击者想要捣毁一个组织，他可以直接去找警卫，解释说他是垃圾收集公司的，他想在垃圾车来之前移走垃圾桶衬垫。穿着合适的制服，警卫会让他进去的。这是取景的一部分，社会工程师将警卫带到他们观察穿着制服的垃圾收集人员的个人经历中。警卫对袭击者毫无疑问:

A modern business card, personal blog, where social engineers can reach victims very easily (or social media accounts)

可以使用 Kali Linux 内的社会工程工具 ( SET )。我们已经在第八章、社会工程工具中涵盖了关于 SET 的更多细节。

技巧

应对伪装攻击的技巧如下:

• 保护您的个人信息，不要通过电话、电子邮件或弹出窗口分享，如以下截图或网站所示:

• 时刻关注你的银行对账单；即使是很小的数量也会导致更大的数量
• 为一切可能的事物(网上银行、社交媒体帐户、ISP 帐户等)添加双因素身份认证:

• 创建难以猜测或破解的密码
• 过滤邮件，不要点击任何可疑的链接
• 不要仅仅依赖技术，记住你可以做些什么来让黑客的工作变得更难，他们总是会找到方法(最有可能是通过社会工程)来联系你
• 用碎纸机粉碎垃圾
• 对来自陌生人的 VOIP 电话要格外小心
• 请记住，没有免费的东西

摘要

本章探讨了社会工程的一个重要组成部分——伪装。它着眼于帮助伪装成功的七个原则。它着眼于研究原则的重要性，以便获得关于目标的足够信息。它还着眼于识别个人利益，以便迅速让目标遵守。人们一直在研究用重音来使借口更有说服力。已经给出了一些步骤，可以用来帮助一个人为此目的获得一种口音。这一章解释了手机的使用，手机的成功率很高，因为今天大多数黑客依赖电子邮件和互联网。自发性也受到了关注，以及它如何影响攻击成功的机会，尤其是在与目标的口头互动中。最后一个原则是向目标提供逻辑结论。本章决定在讨论什么是成功的借口时采取实际操作的方法；了解伪装是如何进行的将使我们能够更好地处理攻击。它经历了几个借口案件。对于每一种情况，都讨论了用来确保借口有效的原则。讨论的一些攻击，尤其是国税局的诈骗，仍然在发生。该章研究了借口的合法性，发现这是一种非法行为。最后，本章提到了一些可以用来增强社会工程攻击的附加工具。

给出的真实例子旨在让读者了解攻击成功的原因。从这些例子中，人们可以总结出成功攻击的技巧。从法律的角度来看，这一章解释了为什么借口是非法的，并可能陷入困境。解释了一些可以使伪装攻击更加成功的工具。

下一章将讨论社会工程攻击中使用的工具。信息收集一章简要讨论了其中的一些工具。下一章的讨论将更加广泛，它将梳理适用于社会工程的物理和软件工具。

八、社会工程工具

随着时间的推移，社会工程变得越来越容易实现，因此更加成功和难以预防。这是因为攻击者已经获得了更新、更有效的工具来执行他们的攻击。拥有这些工具是不够的；在许多攻击中，如何使用它们的知识至关重要。这些工具被制成各种形式、形状和大小。有些物理工具主要用于获取和收集信息，有些软件工具用途更广。今天的社会工程师带着两者的混合出现，这就是为什么社会工程很快变得令人恐惧的原因。更强大的工具不断被制造出来。本章将讨论社会工程师在攻击中常用的工具。它将在以下主题中讨论这些问题:

• 物理工具
• 软件工具
• 电话工具

社会工程的工具

为了增加攻击的成功机会，社会工程师通常会使用许多工具。我们将着眼于社会工程过程中使用的物理工具、基于手机的工具和软件工具。

物理工具

这些硬件工具用于帮助收集数据或使社会工程师能够执行一些操作。下面几节将对它们进行解释。

开锁工具

在电影中，开锁通常被描述为一项简单的任务，包括将开锁器插入锁中，然后用最少的力气打开门。实际上，事情没那么简单。一个社会工程师可能不得不进入一些用锁保护的地方，开锁器可能会派上用场。由于磁卡、生物认证和 RFID 芯片卡在访问控制中的采用，这种技能似乎没有用。然而，它比以往任何时候都更重要。这些电子访问控制措施被用在明显的入口点，但是锁仍然通常被用来保护被认为不太重要的房间。在某些情况下，您可能会发现装有价值一百万美元设备的服务器机房被锁上了。然而，旧文件、过时的计算机和备份文件的存储室可能只使用锁来保护。这表明开锁技术的知识仍然适用于今天的攻击。

有几种工具可用于开锁，但最好的使用方法是将一套开锁工具放在一个小的外形中。有一些产品把相当多的开锁工具放在一起就像一把小刀。开锁的过程并不简单，需要非常注意。然而，这一过程在几种开锁工具中是相似的。这一过程从给锁增加张力开始。因此，一个社会工程师需要有一个拉力扳手来给一把锁增加拉力。张力扳手直接插入钥匙孔，并按照正常钥匙转动的方向转动。当移动时，张力扳手将产生使锁抓住销轴所需的张力。之后，将锁销插入锁中，锁销一个接一个地向上移动，直到它们就位。当插销锁定到位时，可以听到咔嗒声。当所有的插销就位后，插销将自由移动，锁将被撬开。

既然我们已经看到了可以用来进入安全房间的工具，那么让我们来看看可以用来捕获数据的工具。

记录设备

了解录音设备如何可能被用于任何社会工程攻击可能会令人惊讶。这个有两个答案，第一个是证明，第二个是自我评价和发展。根据证据，社会工程攻击不一定是出于恶意目的，有时它是由一个组织支付，以帮助它找到其员工的漏洞。许多组织付钱给渗透测试人员，试图对他们的员工进行社会工程，只是为了看看员工在某些情况下的反应。

员工会否认他们被欺骗了，因此他们对组织构成了威胁。他们不喜欢成为社会工程攻击的受害者可能带来的尴尬和任何潜在后果。因此，大多数人可能会说这从未发生过。然而，使用记录设备，笔测试人员可以证明员工成为攻击的受害者，并屈服于一些恶意请求。

组织的社会工程不是为了让员工尴尬或让他们被解雇，而是为了找到更好地保护组织的方法。记录一个社会工程攻击是如何进行的，其中一名员工是受害者，这对其他人来说是一个很好的学习工具。该证据可用于教育所有其他组织雇员关于进行社会工程攻击的借口和其他技术。它还可用于为员工应对类似的未来攻击做准备，以便他们能够避免或减轻攻击和攻击者。

我们提到记录设备的第二个目的是自我评估和发展。这个福利是通过这个设备赚钱的专业社会工程师享受的。一旦社会工程攻击发生，记录每件事是如何发生的，就记录了做了什么或没做什么。失败或成功的原因可以从录音中提取，并在未来的攻击中使用或避免。有了多个记录，社会工程师能够提高他或她的技能，这样他们就有更大的成功机会。因此，即使攻击不成功，社会工程师也会带来可用于自我训练的材料:

Smiley face spy camera and teddy bear cameras

了解了记录设备的益处之后，让我们来看看一些可能适合在社会工程攻击期间进行记录的设备。间谍相机是社会工程的理想选择，因为它们不会引起目标的怀疑。市场上有许多间谍相机，任何人都可以购买。有些装在钢笔里，手表里，领带上，甚至眼镜上。相机传感器已经变得如此之小，以至于眼镜上的一个不起眼的传感器可以记录高清质量的视频，也可以捕捉高分辨率的图像。此外，由于无线网络，它们可以远程操作，因此社会工程师不必接触实际的摄像机。人们可以简单地从智能手机或笔记本电脑开始视频记录或图像捕捉。录音在存储方面甚至更简单、更高效。声音不像视频和图像占用那么多空间，但它可以存储和视频和图像一样多的攻击信息。现在有许多秘密的录音机可以在给定的距离内捕捉声音。它们也足够小，可以藏在领带、手表和眼镜里。今天，有智能手机的优势。有一些秘密录音应用程序，用户可以在与客户通话时激活，而不会引起任何怀疑。在谈话过程中，有人手里拿着智能手机是完全正常的，因此这不会被视为可疑行为。也有用户可以用来记录与目标通话的应用程序。其中很多都可以在不同的应用商店免费获得。

gps 跟踪器

对于一个社会工程师来说，获得关于一个目标的大量事实是很重要的。在社会工程攻击的任何阶段，关于一个人生活的微小信息都可能派上用场。当社会工程师想要追踪目标的位置时，GPS 追踪器就派上了用场。知道目标的位置是一个很大的优势，因为它可以用来建立可信的借口。如果一个社会工程师知道目标的位置，他或她也可以用它来偶然撞上目标。这可以用来瞄准目标的身体弱点。比方说，我们有一个目标，我们想得到一些关于他工作的公司的敏感信息，我们不能只是给他发电子邮件要求这些信息。我们可能要和目标正面交锋。因此，我们可以尝试找到目标经常光顾的最喜欢的酒吧或餐厅，然后在这个位置尝试与他们交谈。为了确保目标在一个特定的地方，我们可能需要物理地跟踪他们。在这种情况下，GPS 追踪器会派上用场。

有许多可用的 GPS 跟踪设备，其中大部分是用于良好的目的，如跟踪车辆。其中一个 GPS 追踪器是 SpyHawk SuperTrak。据说这是最经济的 GPS 跟踪设备，不会为了价格而牺牲功能。它已被间谍、政府机构、警察单位和情报收集单位使用。追踪器是磁性的，由于它的小形状因素，它可以被种植在各种地方，在那里它将保持隐蔽。它还可以忍受恶劣的天气，因为它配有防水外壳，可以承受极端的阳光。追踪器记录路线、停留时间、前进方向和速度。它使用低功耗 GPS 技术，这种优化可以节省大量电池寿命。理想情况下，它被用来跟踪车辆，使人们能够随时了解其所在车辆的最新情况。这种装置非常精确，甚至可以说出车辆在某一给定点保持静止的时间。该设备仅使用两节 AAA 电池，在需要更换之前可以供电一个月。它可以使用强磁铁或皮带夹安装在车辆上。它也可以放在任何足够大的移动物体上。设备制造商不收取月租费，因此买家只需一次性付款。

使用 SpyHawk 超级棒非常简单。该设备必须用开关打开，然后隐藏或安装在目标物体上。大多数情况下，这将是目标的车。安装可以在公共停车场进行。一名社会工程师装扮成一名机械师，就可以简单地走到客户的车前，把它装上。没有人会发出警报，因为他们要么不认识车主，即使他们认识，他们也不能认为机修工不是车主派来检查的。一旦安装完毕，该设备将发回其当前位置的坐标，如果它正在移动，它将显示方向、速度和路线。这是使用设备软件呈现给谷歌地图的数据，这有助于用户理解所有的数字。如果不将这些数字显示在谷歌地图上，那么不停地查找坐标将会非常令人厌烦。

还有许多其他的 GPS 跟踪设备。也有电话应用程序可以用于此目的；唯一的挑战是，首先必须在目标的手机上安装这些应用程序。几乎所有的智能手机都带有 GPS 接收器，因此随时都知道自己在哪里。用于跟踪目的的应用程序只利用内置的 GPS 接收器/传感器。除了 GPS 追踪器，还有其他被称为 GPS 数据记录器的设备。这些人不连接到蜂窝数据服务发送回他们收集的数据。他们只是不停地记录数据，而且只能从设备上进行物理访问。

因此，人们必须将设备藏在目标的汽车上，并在跟踪工作完成后偷偷溜回来移除设备。GPS 数据记录器更加节能，因为它们不会主动发回所收集的数据。GPS 记录器对高调的目标也很有用，这些目标的车辆被扫描，以寻找安装在上面的窃丨听丨器。因为它们不发射任何信号，所以它们的探测率很低。然而，GPS 追踪器很容易被发现，因此不适合这样的任务。GPS 数据记录器也是不需要主动监视的任务的理想选择。

软件工具

如果一个人知道如何搜索，互联网拥有大量可用于社会工程攻击的信息。此外，从目标的计算设备或网络中提取敏感信息有多种方式。这一部分将讨论一些在社会工程中常用的软件工具。

马耳他之鹰

Maltego 是用于数据挖掘的软件，尤其是在寻找不同信息之间关系的过程中。由于其强大的功能，执法机构在进行在线调查时也经常使用它。Maltego 是交互式的，它为不同信息之间的链接绘制图表。它由一个能够存储大量信息的图形数据库驱动，这是关系数据库所不能做到的。这很方便，因为 Maltego 可以收集一个人的大量信息。它可以收集的信息类别包括:

• 个人信息:可以确定目标的全名、昵称、年龄、实际地址等信息
• 社交网络 : Maltego 可以在所有社交媒体网络中识别带有目标名字的社交媒体平台
• 公司 : Maltego 在公司网站上搜索与给定目标相关的信息，并将其集中到一个中心位置
• 网站 : Maltego 可以搜索目标用自己的名字或昵称注册的网站，如聊天论坛或支持页面
• 隶属关系:目标隶属的任何组织或事件
• 文件 : Maltego 会在互联网上获取有目标名字的文档和文件

软件的功能

根据下载的版本不同，Maltego 有许多特性。有免费版和商业版。让我们来看看商业版中所有可用的功能:

• Maltego 可以分析互联网上多达 10000 个实体的链接，并将其绘制在基于节点的图表上。
• Maltego 每次搜索最多返回 12 个与搜索关键字相关的实体。
• Maltego 可以根据其相似性将找到的实体分组，从而帮助用户轻松找到相关实体并筛选出噪音。
• Maltego 支持图形共享，这在协同任务中很重要。这是通过以 GraphML 格式或实体列表的形式导出其图形来实现的。

技术条件

技术规格如下:

• 作为功能强大的软件，Maltego 相对来说是资源密集型的，这是用户在安装它之前应该考虑的事情。它需要至少 2 GB 的内存，有时这甚至不够。可用内存越多越好。
• Maltego 在多核处理器上运行得最好，因为这些处理器可以分担运行其进程的负担。
• 该软件要求在安装前有 4 GB 的可用存储空间。该空间用于存储软件文件。
• 对于用户来说，拥有一个便于导航的外部鼠标是理想的。
• 该软件需要有效的互联网连接才能运行。这是可以理解的，因为它是从互联网上获取结果的。
• 该软件还接管端口 80、443、8081 以及 5222，以便进行传出连接。

当涉及到信息收集时，Maltego 是一个有用的工具，社会工程师发现它是攻击中一个无价的工具。它节省时间，使人们能够收集更准确的数据。当搜索特定类型的数据时，Maltego 可以快速浏览大量数据，如整个域名。该软件还能够访问被普通搜索引擎隐藏的信息。以图表的形式显示所有结果也有助于挑选相关的信息并忽略异常值。

Maltego CE, by Paterva.com, 2018 available at www.paterva.com/web7/buy/maltego-clients/maltego-ce.php. [Accessed on January 13, 2018].

如何使用 Maltego？

Maltego 有各种其他用途，但对于我们的社会工程目标，我们将集中于它的信息收集能力。

Maltego 使用大数据分析，因此我们可以肯定，我们从中找到的结果是我们能够找到的关于目标的最佳结果。马尔特戈对人类和计算机目标都有效。让我们看看 Maltego 如何收集网络数据。

用于网络数据收集的 Maltego

在网络中，Maltego 可以收集特定领域的基础设施数据。通过大量搜索，Maltego 将收集诸如 IP 地址范围、网站注册人数据(如 WHOIS 信息)、与该域名相关的电子邮件地址以及该域名与其他域名的关联等信息。让我们看一个关于如何在 Linux 机器上使用 Maltego 收集网络数据的分步教程。

步骤 1–打开 Maltego

可以通过 Kali Linux 的应用程序列表访问 Maltego。它预装在十大安全工具中，通常位于第五位。点击打开后，该软件将需要几秒钟启动并加载其组件。它将显示的第一个提示是注册它:

Opening Maltego through Kali Linux or through Windows 10

注册是一项简单的任务，只需确保您使用熟悉的密码，因为所有后续登录都需要该密码。

步骤 2–选择机器

选择机器的步骤如下:

Maltego 是一个可扩展的工具，可以在不同的模式下运行。成功登录后，系统会提示用户选择用于目标的机器。这种机器仅仅是指用户想要在目标上留下的足迹类型。四个重要选项是:

• 公司跟踪者 呃:公司跟踪者对于收集电子邮件信息很重要
• 足迹 L1 : L1 对于快速、简便地收集目标信息非常有用
• 足迹 L2 : L2 在收集适量信息时很有用
• 足迹 L3 : L3 对于目标的详尽数据收集非常有用

对于要激活的机器，必须选择最理想的来达到预期的目的。让我们选择第四个选项，足迹 L3 。请注意，此选项需要更多的时间来加载，并且会占用更多的资源。

步骤 3–选择目标

选择机器后，Maltego 会提示用户选择一个目标。这里，为了收集关于一个域的信息，我们需要在输入提示中输入域名。在这个例子中，我们将选择全球知名的社交媒体网络脸书。我们必须输入如下所示的域:

第 4 步–结果

Maltego 将在互联网上搜索与脸书相关的每一条信息和链接，并以泡泡的形式展示出来。这些泡泡都是互联网上的实体，它们越接近中点，包含的信息就越相关。Maltego 将根据这些泡泡所包含的信息对它们进行颜色编码。人、电子邮件地址、网站等等都有颜色代码。人们可以放大以查看每个气泡的更多细节。当一个人放大时，气泡打开以揭示它们包含的细节。气泡越集中在一起，它们包含的信息就越相关。这些浓度中的异常值将具有较少的与其他泡沫相关的数据。

使用 Maltego 收集个人数据

在前面的例子中，我们看到了如何使用 Maltego 来收集整个域的信息。我们现在想把攻击集中在一个特定的人身上，因为通常一个社会工程师会攻击一个人。社会工程以人类为目标，因此大多数攻击都是针对人类的。为了锁定一个人，Maltego 使用的关键信息是一个电子邮件地址。这是因为人们使用他们的电子邮件地址在不同的平台和网络上注册。虽然他们可能使用不同的名字，但在大多数情况下，电子邮件地址是相同的。尽管一个人可能有几个电子邮件地址，但有一个或两个往往会在多个网站上使用。然而，Maltego 并不要求用户提交电子邮件，它会查找某个目标可能拥有的所有电子邮件，并要求用户选择它。以下是涉及的步骤。

步骤 1–选择机器

就像前面收集域信息的例子一样，必须选择符合用户需求的机器。很容易改变到不同的机器，菜单栏上有一个设置图标，给出了所有可用的机器可以使用。要锁定某个人，最好使用的机器是该人的电子邮件地址，它通常位于列表的第七位，如下图所示:

步骤 2–指定目标

就像在使用足迹 L3 收集关于域名的数据的过程中一样，该机器也提示用户输入关于目标的一些细节。它请求目标的全名。一旦提供了名称并且用户点击了 OK，该软件就进行基本搜索，以找到与给定名称密切相关的所有电子邮件地址。它会返回一些与该名称相关的电子邮件地址，并提示用户选择相关的电子邮件。这是因为一些电子邮件地址不会与目标相关，挖掘它们是浪费资源。您将能够看到提示用户选择与目标更相关的电子邮件地址的界面。

第三步–结果

根据所选的电子邮件地址，该软件使用其大数据分析功能在互联网上彻底搜索与该电子邮件地址相关的任何信息。一旦它找到相关的项目，它就提取它们并存储在它的图形数据库中。它会根据在互联网上找到的信息来绘制图表。该软件还将不断更新屏幕左侧的实体调色板。它将添加信息，如别名发现和敏感的细节，如目标的电话号码。在搜索结束时，空白区域将被所选目标的相关数据填充。

Maltego 收集的信息在社会工程攻击中非常有用。该工具查找目标的实际联系信息。这是可以用来直接发起攻击的信息。社会工程师可以打电话给目标，假装来自权威机构，如国税局，并要求一些其他敏感信息或勒索目标的钱。在前一章中，我们看到了 2017 年初美国国税局的骗局有多有效。当你对人们的信息了如指掌时，向他们勒索钱财是非常容易的。电子邮件地址信息可用于向目标发送欺骗性电子邮件。如果马尔泰戈能够找到目标为之工作的组织，那就更好了。正如我们在上一章中看到的，一个社会工程师可以简单地利用人力资源的借口，向目标发送一封伪造的电子邮件，并要求一些敏感信息。简而言之，一旦 Maltego 获得了目标的信息，攻击就成功了一半。剩下的部分是执行阶段，社会工程师将不得不选择一个借口，并使用它来获得一些信息或从目标勒索金钱。

然而，Maltego 在用于社会工程攻击时有许多缺点:

• 第一个是它太耗费资源了。我们将看到其他工具可以完成同样的任务，但使用的计算资源更少。一个轻量级的工具更适合互联网。
• Maltego 的第二个缺点是它不是完全免费的。免费版本只能提供有限的功能，有时可能需要购买高级版本的软件才能获取更多信息。同样，还有其他在线工具可以完成同样的任务，而且是完全免费的。

然而，这几个缺点并不能抹黑马尔蒂戈的巨大力量。这是渗透测试人员在检查组织面临的漏洞时最常用的工具之一。正如我们前面看到的，Maltego 在收集关于域的信息方面非常有用，这是许多笔测试人员感兴趣的功能。

Information Gathering: Using Maltego In Kali Linux, Sunnyho**i.com, 2018 available at www.sunnyhoi.com/information-gathering-using-maltego-kali-linux/. [Accessed on January 31, 2018].

谷歌

正如上一章所讨论的，谷歌也是一个社会工程师手中的好武器。虽然之前已经讨论过，但是很高兴看到谷歌在社会工程方面的实力，尤其是在收集目标数据方面。谷歌是免费开放使用的，而其他提供同样服务的工具可能会收费。在社交工程攻击中，有许多方法可以使用 Google 来收集目标的数据。为了理解 Google 的全部功能，最好了解使这成为可能的高级操作人员。这些用来给世界上最大和最强大的搜索引擎一些特殊的命令来帮助获得想要的数据:

• Site :这是一个特殊的操作符，用于将结果缩小到特定的网站。当想要将搜索结果限制在与目标相关的域中时，这尤其有用。以下面的搜索查询为例:

"Adam Schindler site:Facebook.com"

这个查询将要求 Google 从站点中拉出亚当·辛德勒的所有结果。脸书是一个社交媒体平台，因此具有此类名称的帐户将显示在搜索结果中。该运算符可以与其他运算符混合使用，以缩小结果范围。

• Link :这是一个操作符，用于包含其他页面链接的页面的结果。这有助于识别重定向到某个页面的来源。然而，由于效果不理想再加上很多人没有使用，谷歌决定在 2017 年将其关闭。
• Numrange :顾名思义，这是一个在一定范围内定位数字的运算符。连字符(-)用于设置范围。例如，如果我们要搜索出生于1998和2004之间的贾斯汀比伯，我们可以搜索:

Justin Bieber birthday 1998-2004.

• Daterange :这是另一个范围操作符，用于搜索两个特定日期内的结果。它的工作原理与 numrange 运算符相同。
• • :告诉 Google 在搜索结果中包含某个关键词。例如，如果我们要查找关于John Doe的信息，但也想知道他的净资产，我们会搜索:

"John Doe" + "net worth"

这种输入迫使结果具有净值。

• 作者:这个操作符用于搜索某个作者写的网页。我们可能正在接近一名记者，因此我们可能需要通过他们为不同公司写的文章来了解他们的兴趣。因此，我们可以使用 author 操作符来搜索记者撰写的所有网页。
• - :这是一个强制排除操作符，用于从搜索结果中删除某个术语。例如，我正在四处搜索磁谱仪，当我搜索magnetic spectrometers时，谷歌一直用阿尔法磁谱仪淹没我的结果。为了摆脱这一点，我只是搜索:

"magnetic spectrometers" -alpha.

这导致了更好的结果，因为恼人的alpha光谱仪结果全部被清除。

• " :你可能在我们之前枚举的一些例子中看到过这些引用。它们非常重要，因为它们将关键字组合成一个短语。当搜索不带引号的关键词时，Google 只获取与其中一个关键词相关的任何结果。然而，当关键字被引号括起来时，Google 必须搜索包含引号内所有关键字的结果。
• 。:这被称为单字符通配符。当用户不认识一个字符时，在搜索关键字时使用它。例如，我们可能在寻找一个叫 Lyn Darwin 的人，但是我们不确定这个名字是 Lyn、Lyna 还是 Lynn。我们可以向 Google 提供这个搜索查询 Lyn。达尔文，它会为名字 Lyn 寻找所有可能的结局。如果还有更多我们不确定的词，我们可以简单地添加这个操作符，以便在搜索时保留它们的位置。例如，如果我们搜索Jus..in ，，我们将得到从 Jusaain 到 Juszzin 的结果。
• :星号用作整个单词的通配符。如果您不确定或不知道某个目标的名称，可以使用星号作为该单词的占位符。例如，如果我们正在搜索Tim Tucker Parker，但是我们不确定他的中间名，我们可以只搜索Tim * Parker 。
• | :如果你上过编程课，你大概知道这个标志的用法。它是用于表示或的布尔运算符。在谷歌，它是用来搜索替代品的。例如，我们可以搜索MasterCard，但是我们不确定它是写成Master Card还是简单地写成MasterCard。因此，我们可以只搜索"master card" | MasterCard。

如您所见，将搜索查询的第一部分包含在引号中非常重要，即master card。正如我们在 quote 操作符中看到的，如果不使用它，Google 将使用其中一个关键字搜索结果。在这种情况下，如果我们省略引号，它会将 master 和 card 作为单独的单词进行搜索，任何包含其中任何一个单词的结果都将被视为有效。

窃取个人信息

在信息收集方面，我们研究了许多使用谷歌获取个人信息的方法。我们甚至给出了几个搜索查询如何工作的例子。我们将轻描淡写地谈一谈这一点，因为在这里提一下是很重要的。让我们看看可以向 Google 发出的一些命令，这些命令可以向我们提供有关目标的个人信息:

John Doe Intitle:"Resume" "phone" "email *"

这个搜索命令会给我们结果，包括 Doe 的简历、电话和电子邮件。搜索结果将从保存这些信息的个人网站、求职公告板或公司那里获得。为了获得完整的简历，我们可以向 Google 发出以下命令:

John Doe intitle:"curriculum vitae" filetype:pdf

在这里，将呈现给我们的结果将有可下载的 PDF 文件，这将基本上是约翰多伊的简历。这种技术能够找到关于目标的大量信息。一份简历包含了如此多的信息，可以用来制定成功几率很高的不同借口。

我们可以用来收集目标信息的另一种技术是从特定的域中搜索它。企业网站是一个很好的起点。由于我们可能没有足够的时间浏览一个网站的所有页面来找到关于目标的信息，我们可以使用谷歌来帮助我们。以下查询可用于在公司网站上查找有关目标的信息:

John Doe site:corporatedomain.com

从一家公司，我们可以找到有用的信息，如目标参与的项目，排名，部门，以及对一个组织的显著贡献。这将是可以用来为目标制造完美借口的信息。

如果我们知道目标的电子邮件，我们可以使用另一种谷歌技术来挖掘更多的个人信息。如果我们把目标的电子邮件给谷歌，我们可以得到更多关于目标的相关结果。假设我们想要检查与我们的目标相关的所有结果。如果我们做一个正常的搜索，可能会有几十个或者几百个同名同姓的人。但是，如果我们添加了目标的电子邮件，我们将只能得到关于目标的结果。这可以通过以下方式完成:

"John Doe" + johndoe2018@gmail.com

该搜索查询将只为我们带来与电子邮件地址johndoe2018@gmail.com相关联的关于 John Doe 的结果。我们也可以使用电子邮件来确认我们的目标是成员的网站。这可以通过以下示例来实现:

• Johndoe2018@gmail.com site:stackoverflow.com
• Johndoe2018@gmail.com site:linkedin.com

第一个搜索查询将告诉我们目标是否在流行的计算机讨论平台 Stack Overflow 上注册。如果没有这个人，谷歌不会给我们任何结果。

类似地，在第二个搜索查询中，我们试图知道是否有一个用该 Gmail 帐户注册的帐户。如果没有，谷歌不会给我们任何结果。

如果敏感的个人信息被编入索引，我们也可以使用谷歌搜索。最近发生了许多违规事件，许多黑客在互联网上发布了用户的非常敏感的信息。大多数情况下，这是在提供数据的公司拒绝满足黑客的要求后进行的。因此，您有可能在互联网上找到某个目标的非常敏感的详细信息。假设我们正在寻找John Doe的社会安全号码，我们只需键入以下命令:

"John Doe" ssn

此外，我们可能会尝试，看看是否有任何密码已在互联网上透露属于John Doe。众所周知，人们喜欢重复密码，因此如果我们有一个，我们就有所有。我们可以使用以下查询来搜索 John Doe 的密码:

"John Doe" password

最后，我们可以检查我们的目标是否曾被黑客在任何信息发布中提及。黑客们很友好地向世界宣布他们发布的细节来自他们的黑客。我们可以使用关键字 hack 来找出我们的目标是否在任何 hack 中被命名。下面的查询可以帮助我们做到这一点:

Johndoe2018@gmail.com intitle:hack

该查询将搜索所有带有单词 hack 的标题，然后检查我们的目标电子邮件是否在任何标题中被提及。

入侵服务器

你可以使用谷歌访问互联网上的许多服务器。由于现在有几种类型的服务器在使用，让我们看看如何使用 Google 的高级操作程序来入侵每一种服务器。

Apache 服务器

要侵入 Apache 服务器，您需要给 Google 以下搜索查询:

"Apache/* server at" intitle:index.of

从这些结果中你可以看到，谷歌已经给了我们不同网站的 Apache 服务器的链接。为了跟进这些问题，我们先来看第一个环节:

微软服务器

要侵入微软服务器，我们可以使用以下命令来获取我们可以查看的微软服务器的结果:

"Microsoft - IIS/* server at" intitle:index.of

Oracle 服务器

对于 Oracle 服务器，以下查询将列出 Google 在互联网上索引的服务器:

"Oracle HTTP Server/* * Server at" intitle:index.of

IBM 服务器

和前面提到的一样，如果你仔细搜索，Google 可以给你一个索引的 IBM 服务器列表。您可以在 Google 中输入以下命令:

"IBM_HTTP_Server /* * Server at" intitle:index.of

网景服务器

互联网上有网景公司的服务器，我们的黑客手段无法保护它们。我们可以通过发出以下命令来获得 Google 索引的内容:

"Netscape/* Server at" intitle:index.of

红帽服务器

我们可以通过发出以下搜索命令来访问 Google 索引的 Red Hat 服务器:

"Red Hat Secure/*" intitle:index.of

系统报告

关于组织服务器的敏感信息的另一个重要来源可以从服务器中系统生成的报告中获得。我们可以使用以下命令来获取报告:

"Generated by phpsystem" -logged users, os

错误消息查询

除了访问服务器，我们还可以访问错误报告，其中有时包含有用的信息，如用户名和密码。要获得被 Google 索引的几个页面的错误报告，我们可以给出以下命令:

"A syntax error has occurred" filetype:html intext:login

社会工程师工具包(套件)

这是一个受人尊敬的社会工程工具，拥有巨大的力量。它补充了社会工程的几乎每一个方面。它由社会工程师在攻击过程中的每一步都可以使用的工具组成。SET 为社会工程攻击带来了各种自动化方式，使人类的一切都变得简单多了。然而，这个工具包在白帽子的渗透测试练习中有更多的用途。然而，这并不意味着该工具是一种威胁。它仍然可以用来对付成功几率很高的组织。这完全取决于谁使用这个工具。

这个工具预装在 Kali 中。然而，它仍然可以安装在其他 Linux 操作系统上，但是也需要安装 Metasploit 和 Python。它与这两者密切合作，没有它们就无法工作。该工具是开源的，互联网上有许多下载资源。您也可以通过 Windows 设备访问该网站，并了解如何使用这些工具:

运行该工具并不复杂。它是打开的，就像任何其他 Linux 程序一样。有趣的部分在于工具包所具有的特性。我们打算去参观其中的一些。

鱼叉网络钓鱼

我们已经在本书中遇到过几次网络钓鱼。网络钓鱼和鱼叉式网络钓鱼的区别在于，网络钓鱼通常是不加选择的，它会向许多人发送大量的网络钓鱼电子邮件，希望少数人会落入陷阱。例如，尼日利亚王子电子邮件是一种网络钓鱼攻击，但不完全是鱼叉式网络钓鱼。鱼叉式网络钓鱼攻击是指恶意电子邮件专门针对某些人。它类似于普通的长矛，孤立和攻击个人而不是一群人。在 SET 中，鱼叉式网络钓鱼攻击是第一选择，如以下截图所示:

SET Terminal

当我们选择鱼叉式网络钓鱼攻击时，我们会进入另一个菜单，在这里我们可以指定我们希望针对我们的目标使用的鱼叉式网络钓鱼攻击的类型。下面的屏幕截图显示了这些选项。在这个例子中，我们选择进行群发邮件攻击。选择之后，我们会得到一些有效载荷，可以帮助我们执行大规模电子邮件攻击:

Selecting Spear Phishing option

让我们说，我们想要一个自定义的 EXE 文件转换成 VBA，并作为 RAR 文件发送到目标。这是选项 15，如下图所示。在这种情况下，目标会收到一个 RAR 文件，该文件被植入了后门，可以让我们访问他或她的计算机。这意味着我们将能够控制目标的电脑。

Social Engineer Toolkit (SET) tutorial for penetration testers, ComputerWeekly.com, 2018 available at www.computerweekly.com/tutorial/Social-Engineer-Toolkit-SET-tutorial-for-penetration-testers. [Accessed on January 31, 2018].

一旦我们选择了选项 15，我们就会得到一个可供选择的有效载荷列表。这些显示在下面的截图中:

从这里我们可以选择任何有效载荷。这个项目需要我们满足两个要求。首先，我们需要登录一个有效的 Gmail 帐户，该帐户将用于向目标发送有效载荷。该程序不使用系统电子邮件发送有效载荷的原因是因为大多数电子邮件服务能够将一些电子邮件归类为垃圾邮件。如果给定的电子邮件与向用户发送恶意文件相关联，它将被标记为垃圾邮件，并且不再有用。该计划的另一个要求是，我们应该给出目标的电子邮件帐户。这是显而易见的，因为它是我们选择的有效载荷的传递通道。

有了这些，系统就能传递有效载荷，如果目标点击并打开它，我们就能对目标的计算机进行后门访问:

为了增加攻击成功的机会，系统会发送带有一些诱人标题的恶意电子邮件。系统提供了许多模板，其中包含的内容很容易让人点击。其中之一是来自你的电脑的奇怪的互联网使用电子邮件，它告诉目标，监管机构已经观察到来自他或她的 IP 地址的一些不寻常的流量。这会激发收件人的兴趣，他们肯定会打开它。还有其他模板，如计算机问题、状态报告、婴儿照片和新闻更新。

网络攻击媒介

社会工程师工具包具有克隆整个网站，然后在本地托管它们的强大功能。有一个网站的精确克隆的优势，人们会毫不犹豫地给出他们的细节。假设我们有一个贝宝登录页面的克隆。我们可以使用这个页面让人们输入他们的实际贝宝登录。由于该网站看起来与 PayPal 官方网站相似，很少有人会怀疑该网站是否合法。用户在验证他们访问的网站的 URL 时存在松懈，特别是当这些 URL 是通过缩短的 URL 提供时。

此外，这是非常便宜和容易主办一个假的网站，但类似的网址。也有一些技巧，可以在托管时使用，使域名看起来更合法。例如，我们可以托管域名com_password.net。

然后，我们可以用一个像 PayPal 这样的名字子域它，这样我们就可以得到一个看起来像Paypal.com_password.net的结束 URL。

对于新手用户来说，这看起来像是 PayPal 的合法网址，因为它有Paypal.com部分。我们可以使用这个网址和一个克隆的贝宝登录页面，让用户给我们他或她的登录凭证。

传染性介质发生器

social engineer toolkit 可以创建一个恶意文件，该文件可以加载到可移动存储介质上，并在插入目标计算机时用于传递有效载荷。当一个社会工程师想把 u 盘丢在目标的房屋里，希望有人会把它们捡起来并插入他们的电脑时，这是一个特别有用的功能。该工具通常允许用户导入他们自己的恶意可执行文件或使用它附带的文件。该工具将恶意文件作为自动运行文件加载，这意味着它将在插入后立即由计算机运行，无需用户操作。其中一种情况是用户在他们的机器上禁用了自动运行，但幸运的是，大多数用户没有这样做。另一种情况是用户拥有强大的防病毒程序，可以检测并阻止恶意文件运行。唯一的希望是目标要么有过时的反病毒软件，要么根本没有。此外，如果可执行文件被目标防病毒程序恶意接收，还可以选择以其他格式隐藏恶意文件。有一些像.pdf这样的文件格式可以被设置为一旦目标试图打开它们就触发溢出。让目标打开这些邮件的方法是用吸引人的标题来吸引他们，比如机密信息、或新的工资调整。

让我们简单地看看如何使用 SET 来实现这一点。从我们在其中一个屏幕截图 中看到的主菜单中，选择鱼叉式网络钓鱼选项 ，我们必须选择传染性媒体生成器，这是菜单中的第三个选项。选择这个之后，程序会告诉我们从两个攻击媒介中选择一个。有一个选项用于文件格式漏洞，另一个选项用于标准 Metasploit 可执行文件。让我们来看看文件格式漏洞，因为反病毒程序已经能够识别大多数 Metasploit 可执行文件的签名，并将很快捕获它们。至于文件格式利用，我们可以使用任何其他格式，但默认的是一个嵌入 EXE 的 PDF。

选择文件格式漏洞后，系统会提示我们输入想要反向连接的 IP 地址，默认为172.16.32.129。它还会询问要使用的文件格式，并列出 20 个选项，从 Word RTF 到 Foxit Reader PDF 缓冲区溢出。对于我们的例子，让我们选择第一个文件格式有效载荷，这是一个定制的 DDL 劫持攻击向量。选择这个之后，程序会告诉我们选择具体的有效载荷来使用。选项包括:

• Windows 反向 TCP 外壳
• Windows meter preter Reverse _ TCP
• Windows 反向 VNC DLL
• Windows 反向 TCP Shell (X64)
• Windows meter preter Reverse _ TCP(X64)
• Windows Shell Bind _ TCP(X64)
• Windows Meterpreter 反向 HTTPS

让我们来看看第五个选项的一个 Windows Meterpreter 反向 TCP(X64) 。这是一个有效载荷，它允许我们连接到受害者的计算机，只要他们在 64 位 Windows 操作系统上。在此之后，系统将通过选择一个端口来完成剩下的工作，该端口用于来自目标计算机的反向连接和恶意文件的生成，然后将其设置在自动运行文件中。它可以将内容复制到连接的可移动存储介质设备上。我们刚刚创建的恶意文件将被加载到任何指定的可移动存储介质中。一旦目标将此文件插入计算机并成功运行，它就会造成溢出，并使用 meterpreter 外壳攻击他们的计算机。如果我们选择一个可执行文件而不是不同的文件格式，程序将创建一个可执行的有效负载，它将被自动运行触发。

短信欺骗攻击媒介

该模块集允许攻击者创建一个欺骗短信，并将其发送到目标。短信的主要目的是说服目标跟随某个链接，但当他们这样做时，它会将他们带到一个恶意网站，存储在他们浏览器中的凭据被盗。这个模块已经被黑客组织用来获取他们可以在其他攻击中使用的凭证。关于如何在程序上执行欺骗的细节很简单。从欢迎屏幕(通常列为选项 7)中选择该模块后，程序会询问用户是要创建新模板还是直接执行欺骗攻击。既然已经有了好的模板，我们可以选择研究欺骗攻击本身。该计划将询问我们是否希望攻击一个单一的电话号码或使用群发短信攻击。制造攻击很简单。假设我们只想攻击一个电话号码。下一个提示将要求我们提供目标的电话号码。

在此之后，我们将被告知从众多短信模板中选择一个，这些模板包括假冒的警察短信、来自老板的短信以及来自移动运营商的其他短信。在这之后，我们被要求为短信欺骗选择一个服务。有四个服务——SohoOS、【Lleida.net】T2、 SMSGANG 和 Android 模拟器。除了 SohoOS，其他的欺骗者要么付费，要么需要安装模拟器。我们只是继续搜狐。该计划将照顾其余的和发送短信与一个欺骗的号码，要求目标访问某个网站。

无线接入点攻击媒介

这是 SET 提供的另一个有效功能，允许攻击者创建无线网络的副本，当目标加入时，它会将他或她的浏览器定向到恶意站点。该功能利用了多种工具的组合，包括 AirBase-ng 和 DNS 欺骗。关于该功能的工作原理没有太多解释，因为用户所要做的就是告诉 SET 启动无线接入点，并指定攻击中要使用的设备网卡。做起来很简单，但却非常有效。它可以在组织中用于收集登录凭据。由于组织用户严重依赖组织提供的互联网，如果攻击者建立了与组织同名的恶意无线网络，许多用户将连接到该网络，他们的设备将受到威胁:

二维码攻击载体

该攻击模块利用 QR 码而不是恶意链接。因为有时完全屏蔽链接可能很重要，所以寻找可用于将目标转移到恶意站点的替代方法可能是值得的。二维码攻击载体生成一个有效的二维码，将人们重定向到一个攻击载体，在大多数情况下，这是一个恶意网站。二维码攻击模块在社会工程师工具包中被列为选项 8。当打开时，该程序要求用户输入用户扫描二维码后将被定向到的 URL。在设置 QR 码之前建立基于网络的攻击媒介是很有用的。基于 web 的攻击媒介可能是从合法网站克隆而来的恶意网站。QR 码可以通过我们之前访问过的另一个模块(称为鱼叉式网络钓鱼攻击载体)传递给用户。该模块提供向用户发送模板消息或定制要发送给用户的电子邮件消息。该工具非常狡猾，因为它有类似于不同权威机构发送的实际电子邮件和对用户有吸引力的电子邮件的模板:

您可以创建如下二维码(将带您进入我的博客):

ErdalOzkaya.com QR Code created with SET in Kali

第三方模块–快速跟踪开发

这是一个模块，带来了几个额外的利用和攻击媒介设置。原来，它不在 SET 中。这是一个有目的地帮助渗透测试人员进行渗透测试活动的模块。然而，正如我们所说的，仅仅因为一个工具是为渗透测试人员设计的，并不意味着这个工具不能用于执行真正的攻击。快速通道开发模块列在第三方模块下，这是它附带的工具集菜单中的最后一个选项。用户选择打开该模块后，会看到两个选项。第一个是微软 SQL 生成器，第二个是自定义漏洞。现在，让我们更关注 SQL 暴力攻击，这是第一个选项。在这里，攻击媒介试图识别活动的和在线的 Microsoft SQL 服务器，然后试图用弱登录凭证暴力破解它们。不幸的是，一些管理员让他们的服务器使用默认配置，并且使用弱的和常用的登录凭证。使用单词admin作为用户名的管理员数量惊人。这通常与弱密码一起使用。该工具试图找到这些类型的服务器并攻破它们。

我们提到过，快速通道利用的第二个选项是自定义利用。模块中加载了许多自定义漏洞。它们包括 MS08-067、Firefox 3.6.16 漏洞、网络安全管理软件产品 5.1.0 SQL 注入漏洞、RDP DOS 漏洞、MySQL 认证旁路和 F5 root 认证旁路。

创建有效负载和侦听器

这是 SET 菜单中的第四个选项。它用于创建一个可执行负载和一个监听器。SET toolkit 将使用 Metasploit 创建一个可执行文件，该文件可以对受害者的计算机执行许多已定义的恶意操作。侦听器用于监视或控制受害者计算机上可执行文件的活动。然而，攻击者必须在受害者的机器上植入并运行这个可执行文件。由于使用这种方法进行攻击的动态性，这是不利的，因为有其他模块可以以更有效的方式将可执行文件交付给用户。获得受害者的计算机并安装和运行可执行程序并不简单。存在太多的风险，反病毒程序可能会阻止在受害者的计算机上安装恶意程序。

群发邮件攻击

这可能是常见网络钓鱼攻击的另一个名称。这是一种用来向许多收件人发送大量电子邮件的漏洞，希望有人会点击它们。攻击者可以选择在几个可以发送给用户的模板中定制消息。这样做的问题是，这是一种盲目的攻击，目标并不广为人知。人们还担心，在几个用户将电子邮件标记为垃圾邮件后，电子邮件提供商也会将发送给其他目标的邮件标记为垃圾邮件。在这个时代，进行网络钓鱼攻击是不明智的。因此，这个模块现在不像几年前那样被广泛使用。出于这个原因，我们将不讨论它。

总结一下 SET，它是一个紧凑的工具包，带有过多的攻击模块和有效载荷。随着时间的推移，其中一些已经变得过时和低效。然而，随着工具包的每一次更新，还会添加更多的内容。SET 集合广为人知，它允许组织测试各种漏洞。尽管它包含的工具主要用于渗透测试，但这并不意味着它们不能用于真正的攻击。渗透测试的本质是测试组织是否容易受到某些攻击。因此，在攻击者手中，它们是潜在的有害工具。

电话工具

我们在第七章、托辞中提到，电话在让目标立即满足要求方面非常有效。我们还说过，大多数社会工程师已经转向基于互联网的攻击技术，因此手机在社会工程中的潜力仍然很大。有一些工具可以用来使基于电话的攻击更加有效。我们将研究其中的一些工具。

来电显示欺骗

呼叫者 ID 欺骗包括改变对接收者显示为呼叫者 ID 的细节。因此，使用给定的号码进行呼叫，但是改变了呼叫者 ID，使得接收者看到不同的号码。社会工程师可以假冒不同组织的客户服务代理，从银行到国税局。对于攻击者来说，拥有一些关于目标的背景信息是很重要的，这样才能使呼叫更加合法。最大的问题是欺骗是如何进行的。我们将介绍一些有效的欺骗方法。

第一种是通过使用欺骗卡。这是一个网络平台给的卡，可以用来骗整数字。一个人所需要做的就是从 https://www.spoofcard.com/apps的网站获得欺骗卡。有了这张卡，人们就可以拨打虚假电话。唯一的要求是，你必须拨打卡上的收费号码，使用 PIN 认证自己，然后给出你希望来电显示的号码。然后，呼叫者将能够在某个合法号码的完全伪装下打电话给接收者，该号码可用于进行威胁或勒索金钱和信息。这种欺骗卡非常先进，可以改变打电话者的声音，例如，让一个男人听起来像一个女人。除了手机之外，它不需要任何额外的硬件就能做到这一切。欺骗卡面临的最大挑战是高昂的价格。

然而，如果攻击解决了账单，社会工程师还是会使用它:

另一种欺骗电话的方式是使用欺骗应用。SpoofApp 是一个可下载的应用程序，适用于主要的智能手机操作系统。该应用程序可以用来改变来电显示和语音。它也可以在 SpoofCard 上运行，但将所有东西都集成到一个智能手机应用程序中。它还捆绑了其他功能。使用欺骗应用程序时，用户不必首先拨打收费号码，他或她只需在应用程序中输入要显示给目标的号码，然后拨打电话:

最终结果可能看起来像前面从智能手机上截取的屏幕截图。如果你仔细观察，你会发现打电话的人并没有真正的电话号码。

剧本

从技术上来说，这不是一个工具，而是一种让基于手机的社会工程更有效的技术。因为电话给了社会工程师一个说服目标做某事的机会，所以事先准备好你要说的话会有所帮助。这就是脚本派上用场的地方。通过简单地写下要向目标提及的事情，攻击者就有了参考的地方，以确保攻击按计划进行。脚本不应该是固定的，它应该足够灵活，允许社会工程师根据目标给出的响应进行一些小的调整。例如，如果我们是社会工程师，我们打电话给目标，告诉他们我们是国税局，正在追查某笔未申报的收入，我们应该能够在目标承认或否认索赔之间切换。

原路返回机

如果你没有时间使用谷歌黑客，你可以尝试使用www.archive.org。曾几何时，人们不像今天这样关心他们的隐私和安全设置，他们过去在自己的网站上分享的比他们应该分享的多得多。当我过去做渗透测试时，Archive.org是我的第一站，检查我是否能收集到可能更难找到的信息。

举个例子，你可以看到我的博客在 2017 年 4 月 26 日到 9 月之间被保存了 73 次；相信我，即使是我也不再存储所有这些备份:

我 2011 年博客的快照:

发言人

Spokeo 是一个你可以搜索一个人，电话号码，甚至是地址的网站。Spokeo 从电话簿、社交网络、房地产列表、公开调查和许多其他地方收集个人信息。它在美国效果最好。我记得很多年前，当我在美国的一个一级会议上发表社会工程演讲时，我能够找到志愿者与会者的地址、电话号码，甚至他们买房子的价格。值得一看www.spokeo.com:

Metagoofil

Edge security 开发的元数据收集器工具。您可以在.pdf、.doc、.xls、.ppt中搜索目标域以识别并下载其文件，以此类推:

收集档案的组织的指纹(FOCA)

FOCA 是一种工具，主要用于在其扫描的文档中查找元数据和隐藏信息。这些文件可能在网页上，可以下载和分析 FOCA。与 Metagoofil 一样，它能够分析各种各样的文档:

凭证采集器攻击方法

我们都知道什么是凭证，以及它们如何提供对特定网站、服务或计算机的访问。一旦凭据被盗，就无法检测用户是合法用户还是被黑客攻击的用户。

SET in Kali 拥有帮助你克隆任何网站的工具，还能窃取凭证。在我进行渗透测试的日子里，这是我最喜欢的窃取凭证和访问网络的社会工程攻击。这里的想法当然不是黑客，而是正如你将在第十章、社会工程案例研究中读到的，帮助公司保护他们的资产以及教育用户。你能从下面的截图中看出不同吗？

左边的截图是一个克隆的网站，而右边的是真实的网站。在 Kali 中启动 SET 后，您可以从选项 3 中选择凭证采集器攻击方法，如下所示:

凭据收集攻击方法菜单将为您提供另外三个选项，使用现成的模板、克隆站点或导入您自己的攻击模板:

为了能够发起成功的攻击，攻击者的 IP 地址必须被发送到预定的目标，并且目标必须点击该 URL。一旦完成，受害者将被从克隆的网站引导至真实网站的登录页面，给人以凭据输入错误的印象:

以下是脸书和 Gmail 的例子:

从截图中可以看出，克隆的网站看起来并不像原始网站那样完美，但钓鱼攻击背后的一个好故事总会增加受害者被社会工程(黑客攻击)的机会。当这一切发生在受害者一方时，该工具会将收集到的凭证转发给黑客:

当凭证收集过程结束后，您可以输入 Ctrl + C ，这将在/SET/reports目录下以 XML 和 HTML 格式生成一份报告:

这是最好的免费工具之一，你可以用它来评估你自己或你的客户网络的安全性。请记住，您也可以在 Metasploit 框架中使用 SET，步骤非常相似。

社会工程练习

下一个练习从外部开始，换句话说，攻击者来自互联网并获得对系统的访问权以执行攻击。一种方法是将用户的活动导向恶意网站，以获取用户的身份。

另一种常用的方法是发送一封钓鱼邮件，在本地计算机上安装一个恶意软件。因为这是最有效的方法之一，我们将在这个例子中使用这个方法。为了准备这封精心制作的邮件，我们将使用 Kali 附带的 SET。在运行 Kali 的 Linux 电脑上，打开应用 s 菜单，点击开发工具 s ，选择社会工程工具包。

在这个初始屏幕上，您有六个选项可供选择。由于目的是创建一封用于社会工程攻击的精心制作的电子邮件，请选择第一个选项，您将看到以下屏幕:

选择此屏幕中的第一个选项，这将允许您开始创建一封精心制作的电子邮件，用于您的鱼叉式网络钓鱼攻击。作为渗透测试团队的一员，您可能不希望使用第一个选项(群发电子邮件攻击)，因为您有一个非常具体的目标，该目标是通过社交媒体在侦察过程中获得的。

因此，此时正确的选择要么是第二个(有效负载)，要么是第三个(模板)。在本例中，您将使用第二个选项:

比方说，在您的侦察过程中，您注意到您的目标用户使用大量 PDF 文件，这使得他非常适合打开带有 PDF 附件的电子邮件。在这种情况下，选择选项十六 Adobe PDF Embedded EXE Social Engineering(NOJS)，您将看到以下屏幕:

您在此选择的选项取决于您是否有 PDF。如果你是渗透测试团队的一员，有一个精心制作的 PDF，选择选项一。然而，为了这个例子的目的，使用选项二来为这个攻击使用一个内置的空白 PDF。选择此选项后，将出现以下屏幕:

选择第二个选项，并按照出现的交互式提示进行操作，询问您要用作 LHOST 的本地 IP 地址，以及连接回该主机的端口。

现在选择第二个选项来定制文件名。在这种情况下，文件名将是financialreport.pdf。键入新名称后，可用选项显示在下面的屏幕截图中。

如果这是特定目标攻击，并且您知道受害者的电子邮件地址，请选择第一个选项:

在这种情况下，我们将选择状态报告，选择该选项后，您必须提供目标的电子邮件和发送者的电子邮件。请注意，在本例中，我们使用的是第二个选项，即 Gmail 帐户。

此时，文件financialreport.pdf已经保存在本地系统中。您可以使用命令查看该文件的位置，如下所示:

这个 60 KB 的 PDF 文件足以让您访问用户的命令提示符，并从那里使用 Mimikatz 来危害用户的凭证。

由于 Mimikatz 超出了本书的范围，并且您可能想要了解更多关于 Mimikatz 以及不同的网络安全攻击和防御策略，您可能想要购买由尤里·第欧根尼和埃尔达尔·奥兹卡亚撰写的书，可从 Packt Publishing 获得:

如果你想评价这个 PDF 的内容，你可以使用 PDF 考官从到 https://www.malwaretracker.com/pdfsearch.php 再到。上传 PDF 文件到本网站，点击提交，查看结果。核心报告应该是这样的:

注意，有一个 EXE 文件的执行，如果你点击这一行的超链接，你会看到这个可执行文件是cmd.exe。该报告的最后一段解码显示了可执行文件cmd.exe的动作启动。

牛肉钓鱼

浏览器利用框架 ( 牛肉)(【http://beefproject.com/】T4)是另一种工具，通常被归类于利用渗透测试、蜜罐和社会工程。BeEF 也可以用来托管恶意的 web 服务器，但是让我们只关注社会工程。我们可以制作一张假的节日贺卡，贴在网上，或者通过电子邮件发给你的受害者。这个例子不会详细解释 BeEF，但是它的目的是让你知道如何使用这个工具。要了解更多详细信息，您可以遵循工具本身中的详细信息。

要开始 BeEF，只需在您的卡利发行版中选择正确的选项:

一旦 BeEF 运行，它将自动为您打开 web 浏览器，如图所示。

您可以使用用户名beef和密码beef登录:

像任何社会工程攻击一样，你必须欺骗你的受害者，让他们相信他们在真实的网站上，而不是你的假网站，所以如果你打算用牛肉，我强烈建议你使用定制的钩子。在这个练习中，我们将继续使用基本的挂钩，您可以通过单击挂钩我来访问主页！快捷方式:

一旦系统被钩住，你就可以通过从你的 BeEF 控制台发送许多预先配置的命令来查看和控制受害者的浏览器。每个浏览器的命令各不相同:

下面是一个在 macOS 上运行的挂钩 Firefox 的例子。如果受害者点击“允许”，我们将通过他们的网络摄像头看到受害者(假设你的受害者在他们的计算机前有一个网络摄像头，并且它没有被安全膜覆盖):

正如你在模块树中看到的，你可以在 BeEF 中使用许多不同的漏洞。为了专注于社交工程，我分享了一个社交工程可用命令的截图:

Zabasearch.com

这是另一个搜索引擎，包括人，反向电话号码查找，地址，等等。这是找到你想要的信息的好来源。更多信息请参考 www.zabasearch.com 或 www.intelius.com 的网站。

对于这个例子，我将使用我亲爱的朋友和我们的书《网络安全防御和攻击策略》的合著者作为受害者。你所需要的只是一个名字和一个姓氏，其余的由网站负责:

职位发布

招聘启事会有什么问题？对于大多数公司来说还不为人知，招聘网站可以帮助我们。每个社会工程师都可以检查他们的目标，看看他们正在招聘什么样的 IT 人员。如果 X 公司正在寻找微软和思科认证的工程师，具有 Pala Alto 防火墙知识和卡巴斯基反病毒经验，这将为我们提供足够的信息。

如果你想知道你的目标公司是否在使用 Java，你所要做的就是去www.monster.com，输入关键词，然后搜索(如果你需要，这也是一个很好的求职网站。).

你会发现许多公司仍然公开宣传他们在内部使用的产品:

正如前面章节所讨论的，社会工程师一直在使用这些伎俩，有些人甚至被这些公司雇佣，成为内部人员，然后发起攻击。

Shodan.io

我们已经覆盖了许多覆盖人群的网站，那么一个覆盖互联网连接设备的搜索引擎呢？ 你觉得可能吗？更多信息请参考 www.shodan.io 。

该网站将帮助您发现许多连接到互联网的设备。这将有助于您定位它们的位置，甚至是谁在使用它们。网站背后的理念是帮助你理解数字足迹，看清大局；网站和网络服务只是互联网的一部分。还有发电厂、智能电视、冰箱等等。

当然，还有暗网。这在由帕克特出版社出版的另一本书中有所涉及。如果你有兴趣搜索:了解暗网——暗网基础。

回到 Shodan 网站。你可以通过网站找到这些设备，或者安装谷歌浏览器或火狐插件。对于这个例子，我将使用网站。

我在搜索框里输入了"Server: SQ-WEBCAM"。让我们看看结果，如下图所示:

您将看到数百个返回的结果。现在，您只需点击感兴趣的 IP 地址或报头，如下所示:

请记住，其中一些是受密码保护的，但有一个技巧可能会帮助你。我们将在下面的章节默认密码中介绍这一点:

Shodan 网站也允许你在世界地图上进行搜索。只需点击世界地图，你会发现网络摄像头，摄像头，网络摄像头，梦想盒子，以及更多:

您甚至可以在 Explore 选项卡下浏览有默认密码的摄像头:

然后寻找 Cams admin 部分:

以下是来自其中一个摄像头的图像。出于隐私原因，我不会告诉你是哪一个，但你可以随意找到你自己的。作为一个脚注，一些默认密码不起作用，所以要有耐心:

我确实尽力模糊了图像。

默认密码

这是另一个很好的资源。作为一名社会工程师，你对你的目标了解得越多，你成功攻击的机会就越大。这些网站有数以千计的默认用户名和密码，用于许多联网设备、路由器、交换机等。哦，你最后一次更改调制解调器的密码是什么时候？

• 默认密码列表参见www.defaultpassword.com/:

• 参考cirt.net/passwords了解默认密码:

• 参考www.routerpasswords.com/找到密码列表:

If you can't find the exact model of the router you are looking for, try a password from an alternative model from the same manufacturer. Usually, vendors use the same or similar passwords across different models.

硬件键盘记录器

硬件键盘记录器是一种能够捕获键盘击键的电子设备。它有不同的格式，可以录制视频，截图，甚至录制语音。

硬件键盘记录器不仅用于社会工程，而且如果攻击者实际接触到您的计算机，如果您不小心周围的环境，这些类型的攻击是最难检测的。由于大多数硬件键盘记录程序不需要系统访问进行安装，与软件键盘记录程序相比，它们是不可检测的。

此外，最近有报道称，一些笔记本电脑制造商安装了内置键盘记录器，一般用户几乎不可能发现。

Built-in keylogger found in HP laptops...again at www.techrepublic.com/article/built-in-keylogger-found-in-hp-laptops-again/.

免费号码提供商

如前所述，社交工程也可以通过电话完成。这在一些书中被称为语音社会工程。语音社会工程是手动呼叫一个人并试图获得一般信息、财务信息或让他们执行某些操作的过程(请查看第 11-14 章、询问专家(第 1、2、3、4 部分)部分，在那里您会找到几个语音社会工程及其效果的例子)。

如何在电话中保持匿名？几年前，街上的付费电话亭能帮上忙，但现在呢？如果您还记得，我们之前报道过 Google Hacking，在这里您可以使用您的技能找到最好的免费号码提供商。搜索免费电话、 1-800 即可。

这是你可能会发现有用的许多网站之一。它有许多其他供应商的名单和反馈:www.voip-info.org/wiki/view/Toll+Free:

Netcraft 网站

作为社会工程师，你需要尽快找到关于你的目标的信息。Netcraft 网站可以帮助你找到你的目标操作系统是什么。操作系统检测的范围从简单的方法到高度技术性的评估，如抓取横幅或迫使 HTTP 给出错误。

当然，您可以通过发送精心制作的消息来检查 TCP 标志，但是为什么不先尝试更简单的方法呢？更多信息请参考www.netcraft.com:

还可以使用 nmap(www.nmap.org)，这里不详细介绍。但是，以下示例解释了 Nmap 的以下语法:

Nmap -sS -O -p 80 -v www.example.org

-sS选项将发出 TCP SYN 秘密端口扫描。-O选项使用 TCP/IP 指纹来猜测操作系统。-p 80选项指定扫描哪个端口(本例中为(80)。-v代表冗长。然后是目标的 URL(或 IP 地址)。

所以熟悉一下 NetCraft 网站，自己浏览其他选项。

Netcraft 工具栏

这是我最喜欢和火狐一起使用的工具栏之一。这是一个工具栏，可以保护您免受网络钓鱼攻击，并为您提供网站评级，以了解您正在访问的网站的可信度。除此之外，它将帮助您抵御克隆网站。要下载工具栏，你可以在 Firefox、Google Chrome、Opera 中搜索扩展，或者直接去他们的网站toolbar.netcraft.com/:

例如，让我们访问我的博客，通过点击右上角的 N 来查看风险评级，如下所示:

作为优秀的社会工程师，你们也注意到了我的博客从 2009 年开始在澳大利亚托管(从 way back machine 就知道是从 2006 年开始的)。通过点击网站报告，您可以获得您访问的任何网站的完整信息，如下所示。这也是一个收集 WHOIS 信息的伟大的社会工程工具，几乎不费吹灰之力:

当用户点击托管历史部分时，他们将获得如下截图所示的信息:

微软 Edge 智能屏幕

信不信由你，微软 Edge 是市场上最安全的浏览器之一，我真的把它作为我的主要浏览器。话虽如此，我仍然安装了 Firefox/Chrome 的一些插件，让我的生活更轻松，但在安全浏览方面，如网上银行，我坚持使用我的微软 Edge。但是为什么呢？

Windows Defender 应用程序防护

威胁形势瞬息万变，大多数攻击都使用超链接来发起攻击、窃取凭据、安装恶意软件或利用漏洞。如前所述，这些链接大多是通过电子邮件发送的(网络钓鱼攻击)。如下图所示，攻击有不同的变种。黑客通过向一名无辜的员工发送精心制作的电子邮件进入，该员工没有注意到邮件的任何可疑之处，点击链接到一个不受信任的位置，这有助于攻击者通过危及互联网服务建立到网络的连接。

利用这一漏洞，他们窃取密码，然后通过不同的方法在网络中扩张，例如传递哈希:

如果您真的不确定电子邮件的真实性，并且您真的想点击该 URL，或者如果您正在访问一个您不确定是否安全的网站，微软会通过提供诸如 Application Guard 之类的工具，采取系统的方法来阻止这些攻击，以阻止攻击者在本地机器上建立立足点并阻止对公司网络其余部分的访问。

对于我们的上下文，请记住，Application Guard 与 Microsoft Edge 协作，在临时和隔离的 Windows 副本中打开该站点。在这种情况下，即使攻击者的代码成功地利用了浏览器，攻击者也会发现他们的代码在一个干净的环境中运行，没有任何有趣的数据，无法访问任何用户凭据，也无法访问公司网络上的其他端点。攻击完全被打乱了。

一旦用户完成，无论他们是否意识到攻击已经发生，这个临时容器都会被丢弃，所有恶意软件也会随之丢弃。攻击者没有办法在本地机器上继续存在，甚至一个被入侵的浏览器实例也没有立足之地来对公司的网络发动进一步的攻击。删除后，将为将来的浏览会话创建一个全新的容器:

要启用 application guard，您需要一台支持虚拟化的 PC，运行 Windows 10(最低 1607)，然后通过开始 | 控制面板 | 程序 s | 打开或关闭 Windows 功能来启用 Hyper V(如果尚未启用):

重启到开启或关闭 Windows 功能后，通过勾选复选框启用 Windows Defender 应用防护:

当然，还有其他方法可以做到这一点。您可以在docs . Microsoft . com/en-us/windows/security/threat-protection/device-Guard/deploy-device-Guard-enable-virtual ization-based-security找到有关应用程序防护以及如何启用它的更多信息。

智能屏幕过滤器

SmartScreen 过滤器是 Microsoft Edge 浏览器中的一项功能，可自动检测网络钓鱼和恶意网站。它还可以防止边缘用户下载甚至安装恶意应用程序:

在 Windows 10 中，SmartScreen 已经被集成到操作系统中，所以即使你使用 Mozilla Firefox 或 Google Chrome，你也会受到保护。

Windows Defender 网络保护

这与 SmartScreen 一样，被集成到操作系统(Windows 10)中，旨在阻止应用程序通过 HTTP 和 HTTPS 访问可疑位置。我强烈建议您启用它。你所要做的就是在管理模式下运行 PowerShell，方法是在搜索框中键入PowerShell，右键单击 Windows PowerShell 并选择以管理员身份运行:

PowerShell 启动后，键入以下命令并按键进入:

Set-MpPreference -EnableNetworkProtection Enabled

如果没有任何问题，Windows Defender 网络保护就可以运行了，然后您将拥有一个通过模拟网络钓鱼攻击的浏览器，如下所示:

强烈推荐

我强烈推荐你观看我和我的好朋友雷蒙德·科姆瓦柳斯在一次会议上发表的演讲:

阻止黑客:这些伎俩在 Windows 10 上还管用吗？

在过去几年中，攻击变得更加复杂，曾经是地球上最安全的操作系统现在可以很容易地被黑客攻击。微软 Windows 7 和 8.1 面临的最大威胁是什么，Windows 10 如何解决这些问题？本次会议将展示 Windows 10 将有助于保护哪些开箱即用的产品，以及您可以对其余威胁做些什么。

欲了解更多信息，请访问位于channel9.msdn.com/Events/Ignite的网站。【T2

请教专家

请务必阅读第 11-14 章，非常仔细地询问专家(第 1、2、3、4 部分)，因为你将从许多专家的角度学习社会工程，并且写一本社会工程书不会阻止我给予活着的社会工程传奇人物凯文·米特尼克巨大的荣誉。请务必阅读他的书籍，并访问他在 www.mitnicksecurity.com的网站:

技巧

• 请务必下载 Kali Linux，并在 https://www.kali.org/尽可能多地学习它
• 在www . Social-engineer . org/Framework/se-tools/computer-based/Social-engineer-toolkit-SET/掌握社会工程框架(SET)工具
• 正如我们之前所学，社会工程也可以在没有计算机的情况下完成，所以你也必须掌握人类行为
• 切勿在您的任何设备上使用默认的制造商用户名和密码，包括 IOT 设备
• 根据你的技能做对你有用的事情，掌握你的攻击路线，并尽可能使之现实

请记住，社交工程攻击的主要动机是危害特定系统、应用程序或目标用户的工作站。记住建立一个对你的目标用户有意义的故事的重要性，并且有一个符合你目标的逻辑路径。

最后请记住，我们介绍的所有工具都是为了让您了解黑客是如何利用社会工程来危害人类的。你的工作是学习这一切来保护那些无辜的人。

摘要

社会工程是艰难的，这就是为什么工具在许多攻击中是重要的。尽管他们没有定义社会工程师，但他们让他或她更接近成功的边缘。拥有先进的工具对社会工程领域的新手来说可能没什么帮助。它有助于一个人掌握我们在前面章节中讨论的所有其他技能和技术，以便用工具来补充它们。这一章广泛讨论了社会工程中一些常用的工具。它经历了攻击中使用的物理工具。它讨论并解释了开锁器、记录设备和 GPS 跟踪器或记录器的使用。对于每一个，它都解释了它们的目的和工作方式。

这一章主要涉及基于软件的工具，因为这是一个信息时代，大多数信息对于那些知道如何寻找的人来说都可以在网上获得。它讨论了一个叫做 Maltego 的工具，可以用来收集关于人和网络的信息。它解释了工具是如何工作的，以及不同的机器可以用于不同的目的。这一章还广泛地研究了一种容易使用的工具，即谷歌。它概述了一些高级操作符，可以用来查找互联网上的敏感信息。已经提供了查找该信息的查询。最后，在软件工具中，本章讨论了社会工程工具包中一些常用的模块。本章最后简要介绍了一些电话工具，这些工具可以用来欺骗信息，并将有价值的信息留在攻击者的指纹上。

这一章深入探讨了几个有价值的工具，可以用来使攻击更加有效和成功。它重点解释了这些工具的用途和工作方式。拥有这些工具却不知道如何使用它们，会使它们变得毫无用处。以谷歌为例，许多人可以访问它，但只有少数人可以使用它进入私人服务器或取出其他人的简历。很多重点都放在了软件工具上，因为这些工具在现代环境中比以往任何时候都更加重要。随着越来越多的信息被个人、黑客、企业和系统合作注入互联网，它们变得越来越有用。下一章将讲述社会工程攻击的真实例子。我们将着眼于不同的案例，并对它们进行剖析，以了解它们失败或成功的方式和原因，以及从每个案例中获得的主要收获。

九、预防和缓解

前几章已经强调了社会工程的危险。已经解释了社会工程中使用的许多技巧和技术，以及用来实现攻击的工具。这些技术被描绘得如此有效和强大，然而目标却如此薄弱，以至于人们怀疑是否有任何对抗社会工程的希望。现实情况是，由于许多人对这种类型的攻击缺乏准备，社会工程攻击的失败几率很低。这是组织投资灾难恢复和事件响应的主要原因，因为他们的用户有被黑的潜在危险。然而，情况并非没有希望。有准备的员工和个人可以轻松识别和挫败社会工程攻击。本章将重点讨论如何防范和减轻社会工程攻击。它将在以下主题中涉及这一点:

• 学习识别社会工程攻击
• 减轻社会工程攻击

学习识别社会工程攻击

为了能够预防和减轻社会工程攻击，需要能够识别它们。理解社会工程尝试的模式和进程是至关重要的。在对话中使用一些表情、肢体语言和表达方式应该能够触发警报，如果它们旨在使用户成为社会工程的受害者。由于攻击者会花时间训练如何攻击他们的目标，因此创建安全意识文化是目标的责任。公司应该确保他们的员工被灌输这种文化。

组织员工对安全的态度很松懈，因为他们知道如果数据被黑客窃取，他们不是直接受害者。还有一种错误的想法，认为 it 部门应该采取所有安全措施来防止各种类型的黑客攻击，甚至是操纵员工泄露敏感信息的攻击。个人用户没有意识到他们在社交媒体上不断面临的威胁，只有当他们成为受害者时，他们才会发展这种安全文化。如果一个人的社会安全号码被盗或电子邮件帐户被黑，他们会认真对待安全问题。

以下是个人识别不同平台中的社会工程尝试的一些方法:

电子邮件

朋友发来的邮件，黑客成功黑进一个人的邮箱账户就有滚雪球效应。黑客攻击可以通过密码分析或向受害者发送克隆的电子邮件登录网站来完成。一旦黑客可以访问受害者的电子邮件，他们就可以利用它来剥削他们的朋友。根据社会工程报告，以下是一些旨在通过电子邮件利用受害者朋友的消息类型:

• 包含链接的电子邮件:社会工程师对友谊的力量以及随之而来的信任很有信心。如果他们向受害者的朋友发送链接，敦促他们点击，好奇心和信任将在让新目标点击链接中发挥作用。该链接可能会将用户发送到一个恶意网站，该网站会在用户的设备上安装恶意软件。这种恶意软件可以窃取浏览器中存储的登录凭据，或者开始记录在该机器上按下的键，以便收集登录凭据。窃取的信息可以用来以同样的方式攻击其他朋友。

• 包含可下载内容的电子邮件:如果目标认为电子邮件附件是由一个值得信任的人发送的，那么他们下载并打开附件的可能性就会大大增加。那些不经意的用户会下载并打开用诱人名字命名的 pdf 文件，他们相信他们的朋友不会伤害他们。可以使用其他文件类型。压缩的电影、文档和音频文件仍然可以达到这个目的。当目标打开这些文件时，恶意软件就会被加载到他们的机器上。在前面的章节中，我们讨论了一些 Metasploit 漏洞，这些漏洞能够生成可以通过电子邮件发送的恶意文件。

• 请求紧急帮助的电子邮件:紧急程度是社会工程的一个常见指标。社会工程师永远不会给目标足够的时间来处理新信息，如果这可能暴露他们的攻击。因此，只要有可能，就会使用紧急状态。当工程师控制了一个电子邮件地址，他们可以很容易地利用它来勒索之前与受害者联系过的电子邮件用户。他们可以要求立即汇款到某个账户，这样就可以支付账单，或者支付一些罚款，这样一个朋友就被释放了。只是在钱寄出后，骗局才被揭穿。

• 请求捐款的电子邮件:同情心是大多数人的弱点，可以利用。社会工程师是制造借口的专家，这些借口能引起人们的同情，让他们不假思索地提供帮助。因此，迫使一个人向不知名的慈善基金会捐款或来自不知名的人要求捐款以支持其他慈善事业的消息可能会被证明是社会工程的尝试。因此，任何捐赠请求，尤其是紧急请求，都必须谨慎对待。

网络钓鱼企图

众所周知，网络钓鱼者会发送大量电子邮件，向他们的目标索要钱财或一些敏感信息。由于他们的数量，只有少数人能够成功地让他们的目标送去他们要求的钱或信息。还有另一种类型的网络钓鱼邮件更容易得手。这些是专为特定类型的人定制的网络钓鱼电子邮件。它们被用于被称为鱼叉式网络钓鱼的网络钓鱼攻击类型。有一些特征可能有助于识别网络钓鱼电子邮件。这些是:

• 解释问题的消息:一些使用网络钓鱼的社会工程企图通常会试图用要求他们验证某些信息的消息来诱捕他们的目标。给目标一个链接，向他们解释他们需要在给定的表单中填写一些信息。尽管这些链接可能会将目标引向看似合法的网站，但它们大多是带有可信网站确切徽标和内容的克隆网站。通常，这些网站包括在线支付服务、社交媒体页面和电子邮件服务提供商。由于一切都是专业的，目标最终会把敏感信息交给骗子。只有在给出这些登录之后，人们才可能意识到他们实际上并没有登录网站。

此时，要扭转一个人的行动已经太晚了。一些黑客甚至在窃取登录凭证后将用户重定向到合法网站。大多数情况下，用户被迫通过使用不良后果，如暂停或禁止帐户，提供敏感信息。

• 通知获得重大财务胜利的消息:网络钓鱼用户的一个常见策略是告诉他们已经获得了大量金钱，或者他们有机会毫不费力地获得巨额金钱。这些骗局和互联网一样古老，可以追溯到电子邮件开始使用时出现的尼日利亚王子骗局。这种骗局的其他类型是骗子，他们声称是银行，希望将已故亲属持有的钱存入某人的账户，声称某家公司将向成为第一百万个客户的人提供巨额财务奖励，彩票中奖的钱，甚至是国内税收署 ( 国税局)的退款。这些类型的骗局遵循几乎相同的伎俩。他们告诉目标提供他们的银行账户信息，以便转账。然后，他们会询问更敏感的细节，以协助处理转账。他们可能会要求一个人通过给出他们的社会安全号码来证明他们的身份。在某种程度上，他们甚至可以开始要求提供一些资金，以清除阻碍资金发放的一些瓶颈。因为他们非常有说服力，攻击者经常从目标那里得到他们要求的信息或金钱。巨额经济奖励的承诺足以让人们陷入追逐金钱的虚假事业，即使这意味着给出一些私人信息或放弃一些金额以支付一些费用来促进转账。
• 寻求帮助的信息:慷慨和善良经常被社会工程所利用。因此，陌生人因他们面临的灾难或即将举行的慈善活动而请求经济援助时，应该非常谨慎。尽管慷慨并不是坏事，但它是一种可能被人恶意利用的人类特质。最好是查阅任何一个被告知要捐款的慈善机构的详细资料。骗子利用灾难时间发送钓鱼电子邮件，要求目标向一些银行账户捐款，以帮助灾难受害者。与此同时，合法的慈善组织也将向请求捐款的人伸出援手。因此，人们可能很难区分合法和虚假的慈善捐赠请求。

下料

社会工程师擅长引诱他们的目标。他们能有效地找到让目标摇摆不定的东西。他们发现目标想要的东西，并会欣然上钩。这是一种常见的点对点网站攻击方法，尤其是在人们下载盗版内容的地方。非法下载的版权内容背后是恶意软件，它会在用户不知情的情况下感染他们的机器。2015 年，据估计每月有 1200 万台计算机被恶意软件感染。种子一直是免费下载优质内容和程序的常见方式，因此侵犯了电影、游戏和程序等财产的权利。据估计，在大约 1，000 个 torrent 站点中，有三分之一会被不知情的用户下载恶意软件。有恶意软件的文件是那些高需求的文件。有报道称，当 EA Sports 发布新版 FIFA 时，黑客会向 torrent 网站发送虚假的下载链接，用户最终会将数十亿字节的恶意软件下载到自己的电脑上。搜索流量大的文件通常会被恶意软件利用，因为攻击者知道会有人试图下载它们。其中一些恶意软件用于从计算机中窃取数据，而另一些则打开后端连接，允许黑客将更多恶意软件下载到受害者的计算机上。受害者的数据可以在黑市上出售，他们的电脑可以加入僵尸网络大军。从这种类型的攻击中，据说网络罪犯每年从受害者那里赚取超过 7000 万美元。

Torrent websites infect 12 million users a month with malware, by C. Osborne, ZDNet, 2018 available at www.zdnet.com/article/torrent-websites-infect-12-million-users-a-month-with-malware/. [Accessed on March 16, 2018].

回答未提出的问题

有时，为了利用用户，社会工程师会强迫创造某种借口。其中一种方法是重新测试一家大公司的客户支持，该公司拥有数百万用户，他们正在回复一个查询。他们可以假装来自 Gmail、PayPal 或 IRS，以及其他通常拥有大量流量且几乎每个人都拥有账户的组织。当他们瞄准一个用户时，他们假装在提供一个可以获得免费服务或产品的机会。攻击脚本与前面攻击中讨论的脚本非常相似。网络罪犯会告诉目标通过使用某个链接登录系统来验证自己。他们将做好必要的准备，以确保链接指向一个外观和感觉与真实网站相似的网站。如果是 PayPal，一切都会像在 PayPal 官方页面上一样进行布局。

当然，在尝试登录所提供的站点后，攻击者将获得一个人的凭证，并可能在未来的攻击中使用它们。

制造不信任

为了以英雄和问题解决者的身份出现，社会工程师可能会计划制造一种阶段性的不信任，并可能造成一些破坏，以便他们中的一个人能够出现并以英雄的身份出现。目标与公司代表、银行机构甚至保险公司之间可能会产生不信任。在目标的生活中，有很多途径可以控制混乱。当不信任和可能的混乱出现时，一个社会工程师将会介入，并试图与强化者一起解决问题。他们会配合，最终，目标会相信社会工程师是一个非常足智多谋的人，有能力结束冲突。当目标开始信任社会工程师时，勒索和操纵就开始了。他们可能会要求提供一些登录信息，以便继续追查此事。他们也可能要求一些经济援助，以帮助他们处理他们在私人生活中遇到的不幸情况。有了社会工程师是一个值得信赖的人的印象，目标可能会简单地服从。

其他迹象

考虑以下其他迹象:

• 语法差:一些社会工程师来自不以英语为主要语言的国家。因此，他们倾向于努力学习英语，这在他们写的电子邮件中甚至在他们的声音中都可以看得出来。如果一个人收到一封请求帮助、提供巨额经济收益或请求一些包含语法错误的信息的电子邮件，那么这很有可能是一种社会工程尝试。

• 态度:一些社会工程师自称是一些有信誉的组织和机构的客户代表。客户服务人员应该对客户有礼貌，并回答他们可能提出的问题。如果在一个敏感电话的跟进过程中，声称的客户支持代理表现出粗鲁或侵略性的迹象，他们很可能是一个社会工程师。他们对试图揭露他们的诡计或质疑他们期望做的事情的人感到愤怒。如果客户拒绝读出请求的 PayPal 密码，并且此类信息的请求者开始变得咄咄逼人，这意味着社会工程师对目标感到愤怒。

• 非正式请求:社会工程师有时会自称来自大公司。然而，他们是提出非常不正式的请求的罪魁祸首。PayPal 客户服务代理在任何情况下都不能要求客户读出他们上次登录帐户时使用的密码。PayPal 代理也不会要求用户通过脸书等渠道发送登录信息。首席执行官不会一开始就要求会计师给他们的个人账户汇些钱，然后再退还。非正式请求表明它们不是由合法方提出的。

• 不同寻常的赞美:社会工程师通常想要鼓励目标去满足一些特定的要求。

Social engineering: 7 signs that something is just not right, by R. Francis, CSO Online, 2018 available at www.csoonline.com/article/3023360/social-engineering/social-engineering-7-signs-that-something-is-just-not-right.html. [Accessed on March 16, 2018].

例如，该请求可能要求目标向诸如脸书这样的网站提供他们的登录详细信息。在发送电子邮件时，社会工程师可能会变得过于焦虑，并开始称赞目标，鼓励他们提交剩余的信息。此外，还有一些弱势的社会工程师，他们似乎没有掌握建立融洽关系的正确流程。因此，他们不断赞美目标，希望能接近他们的目标受害者。社会工程师可以对非常琐碎的任务给予赞美。

• 没有有效的回拨号码:如果社交工程师要通过语音进行攻击，他们会使用不同的号码。因此，当他们联系目标时，可能无法通过相同的号码再次联系到他们。社会工程的一个常见障碍是取消一个电话，然后通过官方已知的渠道回电。
• 匆忙:一些社会工程师总是在努力寻找新的目标。因此，他们珍惜自己的时间。在其他情况下，社会工程师希望欺诈行为在目标开始怀疑之前快速发生。因此，社会工程师使用的一个已知策略是匆忙。他们总是希望事情进行得快一点，这样进攻者也可以快速移动。

减轻社会工程攻击

电话

电话已经迅速成为社会工程的常用方法。社会工程师依靠来电显示欺骗技术和电话的即时性，让目标在没有思考空间的情况下遵从要求。组织正感受到基于电话的社会工程攻击的影响，在这种攻击中，IT 人员收到自称是组织员工的呼叫者的请求，但忘记了他们的密码。与许多组织中的情况一样，技术人员将重置密码并告诉呼叫者新密码，即使没有验证呼叫者是否确实是他们所声称的人。社会工程师还随机瞄准自称来自可靠组织(如国税局)的公众成员，并要求获得敏感信息。为了降低通过电话进行社会工程的风险，必须遵循以下指导原则:

• 验证调用者:一个简单的缓解策略是使用调用者知道他们是否合法的信息来验证调用者。对于声称来自美国国税局的电话，人们可以询问以前的申报表中的金额。对银行来说，可以要求打电话的人核实最后记入账户的金额。合法的呼叫者有机会访问他们声称为之工作的组织的系统，并且检索这些信息不会有问题。社会工程师在面对这样的问题时会干巴巴的，会尽量回避。

• 挂断电话并通过合法号码回电:许多人用来对付烦人的国税局和银行诈骗者的一个简单方法是挂断电话并直接打电话给那些大型可信组织。如果目标做到了这一点，他们将被告知是否存在导致发出呼叫的问题。社会工程师将再次暴露，因为他们声称为之工作的组织将反驳他们的说法。这一招为人们节省了大量的金钱和压力。

• 举报可疑电话:当一个人能够揭露一个试图通过电话进行诈骗的社会工程师时，应该向有关当局举报这类人。这将导致对该号码的追踪，以找出注册该号码的人或最后使用该号码的地点。它有助于当局打击通常与电话诈骗有关的社会工程网络。一个国税局社会工程师网络最近在印度被捣毁，据说他们从美国人那里聚敛了数百万美元。因此，报告可疑电话有助于确保恶意呼叫者不会成功愚弄和勒索他人。

电子邮件

社会工程的常见方式是使用电子邮件，因为社会工程师可以使用有限的资源接触到许多人。最危险的攻击是那些包含恶意附件和链接的电子邮件，它们会导致浏览器感染恶意软件，从而窃取数据或控制设备。其他类型的社会工程电子邮件带有克隆网站的链接，当用户试图登录时，最终会丢失他们的凭据。这些类型的电子邮件仍然被普遍使用，人们仍然是受害者。为了避免成为这类社会工程攻击的受害者，人们应该采取一些保护措施，其中一些如下:

• 避免在电子邮件中泄露个人信息或凭证 : 在大多数情况下，银行、政府、保险公司和许多其他知名机构绝不会要求用户通过电子邮件地址发送他们的私人信息，也不会要求用户向他们的在线账户发送凭证。当一个人通过电子邮件收到此类请求时，最好将其视为攻击企图，并忽略或删除它们。
• 避免下载来自未知发件人的附件:从电子邮件附件下载恶意软件的风险总是存在，因此用户在这样做时应该非常小心。当下载来自未知发件人的附件时，他们应该高度关注，尤其是当电子邮件很容易打开时。
• 避免点击链接或在链接的网址中提供个人信息:对于指向要求用户登录其银行、工作、电子邮件和社交媒体账户的网站的链接，应持怀疑态度，尤其是如果这些链接来自可疑的电子邮件账户。克隆网站或恶意网站大量存在，因此用户应该始终小心他们收到的电子邮件，即使它们声称来自真实的网站。

人身攻击

社会工程也可以是一种面对面的攻击，在这种攻击中，社会工程师直接操纵目标遵守某些请求。他们可能会在人们工作的地方、餐馆、酒吧、公司活动等场合接近他们。他们可能已经对目标做了调查，并且知道该问什么。为了减少人身攻击，应采取以下措施:

• 物理安全:保安人员应始终确认组织访客的预约。他们决不能因为访问者提出的有说服力的理由而危及一个组织的安全，因为他们被紧急召唤。
• 注意力:员工应该报告陌生人进入组织内的敏感房间或办公室。员工也应该避免使用他们的通行证让陌生人进入工作场所的安全区域。
• 小心谨慎:员工应避免将敏感文件留在办公桌上。他们还应该避免在办公桌或显示器上留下粘有他们证书的便利贴。员工离开办公桌时也应该锁好屏幕。陌生人可能绕过现有的物理控制进入组织的场所，这种风险始终存在。

社会工程审计

减轻企业中始终存在的社会工程风险的最佳方式是执行社会工程审计。这种审计暴露了组织内与其员工相关的弱点，以及他们对社会工程企图的易感性。人们已经注意到，由于社会工程带来的黑客数量不断增加，首席信息官和民间组织正在他们的组织中实现审计。因此，确保通过用户培训活动了解和减轻用户实践中的弱点，已成为各组织的主要关切。当要解决的缺陷已知时，用户培训会更加有效。

社会工程审计还检查组织中现有的控制措施，如安全政策，以及员工对这些措施的遵守情况。组织中的社会工程攻击大多是员工内部安全违规的结果，这些员工从本质上将组织置于危险之中。这些安全漏洞非常普遍，从员工点击通过电子邮件发送给他们的链接，到员工从公司账户向骗子汇款，不一而足。应在组织中实现的一些社会工程审计活动包括:

• 安全意识测试
• 测试用户对网络钓鱼企图的反应
• 用户对来自外部的奇怪请求的响应
• 用户对陌生人试图进入安全区域的反应
• 测试用户在给出关于组织或其他员工的敏感信息时的慷慨程度

摘要

本章探讨了如何预防和缓解社会工程攻击。它首先着眼于如何识别可能的社会工程场景。这一章已经讨论了一封电子邮件试图操纵他们的方式。由于大多数社会工程尝试将通过电子邮件进行，因此在评估电子邮件是否来自社会工程师时应该考虑的事情已经讨论过了。还讨论了网络钓鱼的一般可识别模式。普通交流中的其他迹象，如语法，也可以暗示可能的社会工程攻击。本章接着讨论了用户如何减轻电话、电子邮件以及面对面的社交工程尝试。作为对企业社会工程尝试的解决方案，本章讨论了社会工程审计。它强调了这些审计应该针对的领域，因为它们通常被社会工程师所利用。

本章介绍了用户可以注意到的识别社会工程攻击的迹象。由于社交工程是在正常的互动中精心策划的，所以当用户成为目标时，他们可能最没有准备。然而，他们也许能从本章列出的迹象中看出他们被盯上了。识别社会工程攻击迹象是预防和缓解的关键。这一章已经介绍了几种可以用来对付社会工程攻击的缓解措施。这一章总结了整个社会工程已经经历了它是如何编排，以及如何可以防止和减轻。

下一章是属于社会 工程领域的案例研究的整理。

十、社会工程案例研究

如前所述，社会工程是一门使用特制的交流技术来操纵行为的艺术。社会工程师是使用大脑而不是技术计算机过程的黑客。社会工程师是黑客，他们利用几乎每个组织都有的弱点，即人的因素。通过使用各种技术和工具，社会工程师可以打电话和使用社交媒体或电子邮件服务来欺骗人们提供他们的敏感信息或凭据。网络罪犯使用社会工程策略，因为操纵个人的自然倾向通常比入侵计算机系统或软件更容易。

安全是关于知道谁和什么可以信任，以及知道什么时候，什么时候不相信一个人的话。

For more information on social engineering, please refer to the link What is Social Engineering?, Webroot at bit.ly/2cdYuYZ.

社会工程师主要利用这个基本现象——信任。因此，如今许多公司都希望将针对员工的社会工程测试(网络钓鱼和其他模拟)作为其整体信息安全计划的一部分。

网络钓鱼、欺诈、勒索软件和其他类型的社会工程攻击都是目标。任何网络安全的薄弱环节都是人的因素。因此，有时犯罪分子冒充第三方团体以便更有说服力，使人们毫无疑问地执行指令并取得成功，或者冒充警察或政府官员。

在整个研究中，社会工程攻击周期和已知的国际社会工程攻击案例被披露。此外，关于为什么社会工程攻击如此有效，以及社会工程师如何进行攻击的问题已经得到评估。此外，我们已经用现实生活中的场景证明了我们的假设，即成功的网络攻击是利用信任感的简单社会工程技术。

在本研究中，我们定义了社会工程攻击循环包括四个阶段，如下所示:

• 情报收集
• 发展关系
• 探索
• 执行

我们还揭示了社会工程之所以如此有效，是因为它利用了人性，参考了 2017 年黑帽调查的统计数据。

此外，我们还展示了一些社会工程案例，例如:

• CEO 欺诈
• 金融网络钓鱼
• 社交媒体网络钓鱼
• 勒索软件网络钓鱼
• 比特币网络钓鱼

我们还进行了案例研究。为此，我们从 Keepnet 实验室的网络钓鱼模拟平台收集了数据。我们的案例研究是一项纵向研究，我们评估了 2017 年 1 月 1 日至 2018 年 1 月 1 日期间一年的全部网络钓鱼活动。我们在一年的时间里观察了相同的变量(公司、部门和用户/人)。

我们分析了在 Keepnet Labs 的网络钓鱼模拟平台上注册和使用的十大行业，并评论了哪些类型的企业面临的风险更大。为了回答这个问题，按行业划分的风险百分比是多少？，我们按行业衡量了风险百分比，并在图表中显示出来。此外，我们揭示了为什么风险在不同的行业以不同的形式出现。

此外，我们分析了 2017 年 1 月 1 日至 2018 年 1 月 1 日期间，一年内向 85 家公司的 86，448 名用户发送的电子邮件总数。调查了一年中打开假电子邮件(为模拟活动准备的网络钓鱼电子邮件)、点击电子邮件中的链接或在网络钓鱼模拟中不作回应的用户总数。据透露，近一半的用户对他们的公司构成威胁。

此外，我们调查了用户数量最多的前五家公司及其钓鱼模拟统计数据，以揭示用户被社会工程师操纵的简单动机是什么。为了匿名，我们将这些公司编码为数字 1、2、3、4 和 5。我们发现，导致用户打开假邮件的主要本能是信任假邮件发送者，换句话说，这种信任感被滥用了。此外，用户打开虚假电子邮件或点击电子邮件中的虚假链接的状态根据模拟选择的虚假电子邮件的主题而改变；如果用户对电子邮件的主题感兴趣，他们会感兴趣并轻率地犯错。

什么是社会工程？

工程学有许多定义，最终归结为使用特制的交流技术有意操纵行为的艺术。

For more information on social engineering, please refer to the following link: Watson, G. (2014). Social Engineering Penetration Testing. Elsevier. Paperback ISBN: 9780124201248. p.2

例如，SANS 将其描述为用于攻击信息系统的非技术或低技术手段的委婉语，如谎言、假冒、诡计、贿赂、勒索和威胁，而社会工程师是使用大脑而不是计算机肌肉的黑客。黑客给数据中心打电话，假装是丢失了密码的客户，或者出现在网站上，然后简单地等待有人为他们开门。其他形式的社会工程并不那么明显。众所周知，黑客会创建虚假网站、抽奖或问卷，要求用户输入密码。

Social Engineering: A Means To Violate A Computer System, p. 4 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529, by Sans Institute (2007).

这些定义描述了通过撒谎和不道德行为来获取信息的多阶段互动。正如 SANS 研究所揭示的那样，社会工程攻击有一个共同的模式。这种模式被称为周期，由四个阶段组成(信息收集、关系发展、开发和执行)。每个社会工程攻击都是独特的，它可能涉及多个阶段/周期，甚至可能结合使用其他更传统的攻击技术来实现预期的最终结果。

Social Engineering: A Means To Violate A Computer System, p. 6 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529, by Sans Institute (2007).

社会工程生命周期如下图所示:

Social engineering attack cycle

情报收集

社会工程师可以使用许多技术来收集关于他们目标的信息。当他们收集信息时，他们可以利用这些信息与目标或对攻击成功至关重要的人进行交流。信息可以包括电话列表、出生日期、组织的组织结构图等等。

Social Engineering: A Means To Violate A Computer System, p. 6 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529, by Sans Institute (2007).

发展关系

社会工程师可以从目标的信任中受益，与他们建立密切和谐的关系。在发展这种关系时，社会工程师会以一种特殊的方式安排自己以获得信任，然后他会充分利用这种信任。

探索

然后，受信任的社会工程师可以操纵目标泄露密码、电子邮件凭证、银行信息等信息。这一行动可能是攻击的结束，也可能是下一阶段的开始。

Social Engineering: A Means To Violate A Computer System, p. 6 available at www.sans.org/reading-room/whitepapers/engineering/social-engineering-means-violate-computer-system-529, by Sans Institute (2007).

执行

一旦目标完成了社会工程师要求的任务，循环就完成了。

为什么这么有效？

社会工程之所以有效，是因为它以人类为目标。安全链中最薄弱的环节一直是泄露重要数据的人员因素。在计算机和网络的数字时代，虚假的有说服力的电子邮件、信息和电话可以礼貌地为入侵者打开大门。尽管得到了复杂的 IT 安全系统的加强，但由于社会工程的各种技术，它很容易渗入现代工作场所的安全系统。企业已经意识到，其中一些风险已经全面评估了与当今社会工程相关的威胁。然而，许多人倾向于从技术角度考虑问题，认为只有黑客才是攻击和闯入系统的真正威胁，而忽略了对互联网的滥用，这种滥用确实有可能对组织的安全系统造成破坏，等等。由于通过物理或电子方式访问系统的任何部分，最终用户会面临严重的安全风险:

Results from the official survey conducted with IT security attendees of the 2017 Black Hat conference

2017 年，50%的黑帽调查受访者提到了网络钓鱼、社交网络利用或其他形式的社交工程，高于 2016 年的 46%。45%的人提到了直接针对组织的复杂攻击，高于 2016 年的 43%。然而，除了这两类威胁，受访者的担忧也不尽相同——意外数据泄露 (21%)排在第三位，高于 2016 年的 15%，而多态恶意软件 (20%)排在第四位，高于去年的 15%。在调查中，受访者将复杂、有针对性的攻击列为第二大担忧。

2017 Black Hat Attendee Survey Portrait of an Imminent Cyberthreat available at ubm.io/2viIk7g, Black Hat (2017).

这些关键发现表明，今天网络安全的主要问题之一主要源于人的因素。鉴于社会工程是让人们遵从意图或愿望的艺术，因此必须加强网络安全链中最薄弱的环节，即人的因素，以抵御各种社会工程攻击。

电子邮件可能包含恶意代码、链接或带有有趣主题的附件，会激起收件人的好奇心并诱使他们打开它们。这一系列案例是当今使用的简单的社会工程方法。尽管如此，在社会工程技术中，有许多方法可以用来引诱粗心的用户从在线视频中获取虚假的安全警告或建议。既然如此，对社会工程攻击的唯一保护或屏蔽就是彻底的意识和训练。通过采用常识性的网络安全感知方法，最终用户可以及早发现可能的安全问题。

社会工程之所以如此有效，是因为即使机构拥有强大的防火墙、恶意软件防护系统和所有保护其敏感信息的技术措施，一个关键的组成部分，即人的因素，也可能在任何安全架构中造成漏洞。这有一些原因:

• 最终用户在在线活动中通常会有一种错误的安全感
• 他们通常在网上冒险，而不是在现实生活中
• 网络犯罪分子使用精心设计的社会工程方法来控制最终用户，他们知道进入组织数据并获取凭据或敏感数据的最简单方法

社会工程案例研究

社会工程案例研究如下:

CEO 欺诈

当社会工程师冒充公司高管并操纵其他员工转移未经授权的资金或信息时，就会发生 CEO 欺诈。根据美国联邦调查局的数据，自 2015 年 1 月以来，已确认的 CEO 欺诈受害者增加了 270 %，CEO 欺诈损失了 23 亿美元。

FBI: $2.3 Billion Lost to CEO Email Scams available at bit.ly/1TE1jl6, Krebs, B.(2016).

CEO 欺诈攻击的一些例子如下:

Examples of CEO fraud attack

网络犯罪分子对一名高管进行网络钓鱼攻击，并获得对其收件箱的访问权限，或者从与目标公司的真实域名相差一两个字母的相似域名向员工发送电子邮件。与传统的网络钓鱼攻击不同，CEO 欺诈中使用的欺骗电子邮件很少是垃圾邮件，因为在 CEO 欺诈攻击中，社会工程师会花时间了解目标组织的关系、活动、兴趣、旅行和/或购买计划，并相应地制作他们的电子邮件。他们从目标网站上收集员工的电子邮件地址和其他信息，以帮助使信息更具说服力。一旦网络犯罪分子侵入了目标的收件箱，他们就会通过过滤单词来搜索电子邮件，这些单词可能会告诉他们该公司是否经常处理电汇，如发票、存款或总裁。联邦调查局估计，受到社交工程师利用 CEO 欺诈攻击的组织平均损失在 25，000 美元到 75，000 美元之间。然而，一些 CEO 欺诈事件造成了数百万美元的损失。

FBI: $2.3 Billion Lost to CEO Email Scams available at bit.ly/1TE1jl6, Krebs, B.(2016).

金融网络钓鱼

使用金融网络钓鱼方法，社会工程师已经瞄准了银行或他们的客户。如今，网上银行等新兴工具为网络犯罪分子打开了新的后门。根据联邦调查局的说法，社会工程师使用的最新趋势是通过使用垃圾邮件和钓鱼电子邮件、击键记录程序和远程访问木马来获取员工登录凭据。这些攻击技术出现在 2012 年 9 月，当时美国银行(Bank of America)和富国银行(Wells Fargo)也遭到了攻击。

Banks likely to remain top cybercrime targets, by Executive Report: Financial Services at www.symantec.com/content/en/us/enterprise/other_resources/b_Financial_Attacks_Exec_Report.pdf.

如今，网络犯罪分子大多以金融机构为目标，几乎一半的网络钓鱼攻击都是为了获取经济利益。在所有类型的金融网络钓鱼中，银行网络钓鱼是绝对的领导者。

Financial threats 2016: Every second phishing attack aims to steal your money available atbit.ly/2DgSnAP.

在线访问，以及让客户轻松访问他们的帐户，也为网络犯罪分子提供了进入我们的银行门户网站的途径。Carbanak 等案例是金融网络钓鱼的另一个例子。它发生在 2014 年底，是一次重大的银行网络抢劫，导致全球 100 家金融机构的账户被盗超过 10 亿美元。Carbanak 抢劫案是使用标准的电子邮件钓鱼技术进行的，这种技术安装了旨在窃取登录凭证和其他数据的恶意软件。

Banking and Phishing: The Perfect Storm, United Security Providers available at bit.ly/2DyZi6s.

2014 年摩根大通违约事件是这种成功方法的又一个实例。摩根大通的违规事件是有史以来最大的银行违规事件之一，8300 万客户账户被黑。该攻击通过使用一种社会工程技术，即针对已知用户的鱼叉式网络钓鱼电子邮件，成功窃取了登录凭据。一旦凭据被盗，网络罪犯就会访问摩根大通的服务器及其客户账户数据。由于服务器仅使用用户名和密码来访问系统，网络罪犯更容易得手。如果实现了双因素身份认证，网络罪犯早就失败了。

Banking and Phishing: The Perfect Storm, United Security Providers available at bit.ly/2DyZi6s.

德国邮政银行遭到大规模网络钓鱼攻击。在这种情况下，社会工程师精心制作的电子邮件和钓鱼网站看起来非常类似于合法的邮政银行网站，因此普通用户很难看出这实际上是一个网络钓鱼骗局。不知情的访问者被要求确认他们的登录凭证。一旦用户在虚假网站上提交了登录凭据，网络犯罪分子就会获取用户凭据来窃取他们的身份或出售他们的信息。

Phishing attack on popular German bank available at bit.ly/2D5Y7Kw.Fake E-mail

无意中的电子邮件用户相信了这封假邮件，因为它包括一个合法的标志以及一个签名。一旦用户点击了电子邮件中的虚假链接，他们就会被重定向到以下虚假登录页面:

Fake page

前面的屏幕截图显示了用户从其虚假电子邮件中的链接被重定向到的虚假登录页面。同样，这个假页面有一个标志和其他细节，就好像它是一个合法的页面。但是浏览器中的网址完全不同，没有挂锁图标，说明网站是安全的。许多粗心的用户因为试图登录他们的凭证而成为这个社会工程计划的受害者。

社交媒体网络钓鱼

网络钓鱼也是一种恶意的在线身份盗窃，通过假冒或盗窃的身份伪装成信誉良好的实体来获取登录凭据或帐户信息。因此，社交媒体用户已经成为社会工程师最容易攻击的目标之一。

他们可以使用虚假网站的链接，窃取登录和密码信息或其他个人信息，或者他们可以获得社交媒体上不经意分享的所谓不重要的个人信息。

Phishing on Social Networks - Gathering information available bit.ly/2nu8BO5.

社交工程师使用虚假网站地址操纵用户输入他们的凭据:

A fake social media site

一旦其中一名员工遭到网络钓鱼攻击，组织的整个网络就会受到威胁，数据或知识产权被盗等等。此外，公司品牌也可能贬值，尤其是当网络罪犯使用社交媒体时。

勒索软件网络钓鱼

勒索软件是一种恶意软件，它锁定文件或限制用户访问他们的计算机系统，直到支付赎金(金钱)。今天的勒索软件攻击是非常复杂和复杂的威胁，社会工程师使用多种策略来传播勒索软件。最常见的方法包括垃圾邮件、广告媒体和漏洞工具包。

社会工程师成功地用勒索软件感染了好莱坞长老会医学中心的计算机系统。一旦一名员工打开了一份看起来像医院发票的文档(这是一个网络钓鱼骗局)，它就会迅速蔓延到系统中，并导致整个医院网络瘫痪。医院网络中断了一个多星期。

Case Study Of Phishing For Data Theft/Ransom: Locky Ransomware, by Infosecinstitute available at bit.ly/2Df2OFX.VirLock Trojan Ransomware

前面的截图中给出了一个勒索病毒的例子，即 VirLock 勒索病毒，这可能是勒索病毒木马类别下最坏的恶意软件类型之一。它会锁定计算机，这样您就无法使用它。然后，需要付费才能解锁系统/文件。

For more information, please refer to VirLock Trojan Ransomware - Description and Decryption by Bilboa, B(2015), Sensorstechforum available at bit.ly/2B62raS.

比特币网络钓鱼

比特币等数字加密货币面临网络攻击的危险。严重的网络攻击正在对那些使用数字货币的人的账户进行组织，数字货币已经变得越来越流行。

加密货币已经成为当今谈论最多的投资工具之一。甚至普通人现在也在使用加密货币作为投资工具，而不是黄金、外汇和利息。尽管一些加密货币市场，如 Dash (Dash)、Ethereum (ETH)、Ripple (XRP)、Litecoin (LTC)和 IOTA (MIOTA)已经出现在市场上，但比特币一直处于顶端，并采用区块链技术开发。

比特币的价值有了显著的飞跃，一年内增加了 250-250%。但是这一飞跃引起了黑客们的兴趣。使用各种社会工程和网络钓鱼攻击方法的网络罪犯寻求物质利益。

社会工程案例研究- Keepnet 实验室网络钓鱼模拟

网络犯罪分子知道为许多其他类型的攻击或漏洞利用打开许多大门。因此，作为一种基于角色的安全意识教育方法，网络钓鱼模拟和培训对于任何组织都非常重要，它将成为整体安全意识教育和培训计划不可或缺的一部分。考虑到由于网络钓鱼，同事或员工已经成为网络安全链中的薄弱环节，网络钓鱼模拟可以帮助组织在正确的时间向正确的人提供正确的培训。

Keepnet 实验室的网络钓鱼模拟很重要，因为它基本上选择了人为因素作为基线。

Keepnet Labs is a cybersecurity awareness firm that has developed a suite of cybersecurity awareness and defense products. It comprises a holistic approach to people, processes, and technology in order to reduce cyber risks. It is specifically aimed at raising the awareness of user bout social engineering attacks by helping them to develop their skills and knowledge. For more information on Keepnet Labs, please refer to the following link: www.keepnetlabs.com

在这项纵向研究中，我们的案例来自 Keepnet 实验室的网络钓鱼模拟平台，其中有一百多家公司进行了网络钓鱼模拟。我们分三部分研究了这一部分:

• 十大行业分析
• 检查一年内发送的全部电子邮件
• 用户数量最多的五大公司的社会工程攻击评估

十大行业分析

我们分析了在 Keepnet Labs 的网络钓鱼模拟平台上注册和使用的十大行业，并评论了哪些类型的企业面临的风险更大。为了回答这个问题，按行业划分的风险百分比是多少？，我们按行业衡量了风险百分比，并以表格形式显示出来。此外，我们揭示了为什么风险在不同的行业以不同的形式出现。

钓鱼活动在 2017 年 1 月 1 日至 2018 年 1 月 1 日期间针对企业进行。我们在一年内观察了相同的变量(公司、部门和用户/人),并获得了我们的纵向数据。在这项研究中，我们跟踪了在 Keepnet 实验室的网络钓鱼模拟平台中注册的相同公司，并观察了社会工程攻击的不同阶段及其对用户的影响。作为所有这些的结果，我们为这些行业创建了一个风险图表，并揭示了哪些行业的风险更大:

Top 10 business category at risk

由于平台中有属于各个行业的公司，我们决定展示前十家面临风险的公司。十大风险行业分别是技术、金融服务、制造、能源、教育、交通、房地产、咨询和软件行业、零售和批发。

由于各种原因，技术公司面临更大的风险。一个显而易见的原因是，这些公司有非常有价值的信息可以窃取，以及技术组织本身的性质。技术公司的员工通常更好地采用新技术，他们也渴望看到新的软件或应用程序，因此他们特别容易受到攻击和利用。

尽管科技公司的员工对来自互联网的风险有更好的理解，但他们却是最容易被社会工程计划欺骗的人。与其他行业不同，这是因为技术公司的几乎所有员工都将计算机、系统和各种工具作为日常工作，将他们与互联网连接起来。由于繁重的互联网工作和工作性质，他们更容易受到影响。此外，与其他公司相比，社会工程师有更多的计划来操纵技术公司的员工。这也是科技公司名列榜首的另一个原因。

金融公司面临的风险几乎和科技公司一样大。尽管金融服务行业的许多员工非常清楚网络钓鱼或其他社会工程攻击，但根据一年内的模拟结果，他们仍然是第二大风险行业。因为就像科技公司的情况一样，银行或其他金融部门有太多的社会工程计划来操纵一名训练有素、头脑清醒的员工。如果网络钓鱼的目的是冒充高管，那么操纵员工就变得更容易了。

金融服务业面临风险的另一个原因是，它们有很多员工。例如，在 Keepnet 网络钓鱼模拟平台中注册的一家私人银行每天有超过 15，000 名员工在计算机上工作。一名员工的失误就可能导致整个系统的巨大灾难。

根据这些统计数据，当考虑到风险因素时，可以得出结论，金融服务是现实生活中风险最大的企业，因为网络犯罪分子主要喜欢攻击金融企业。尽管如此，在该平台上进行的模拟已经以有计划的方式每隔一定时间进行一次。在现实生活中，多名网络罪犯可能会针对同一家金融机构发动多种攻击，以获取经济利益。在任何情况下，当我们将网络犯罪因素纳入场景时，大多数风险行业都是金融服务。

至于制造业、能源、教育、交通、房地产、咨询和软件业，以及零售和批发业，它们都面临很大的风险；然而，与技术和金融服务相比，他们的地位更高，这部分源于他们的工作和日常经营的性质。

然而，当我们分析为期一年的网络钓鱼模拟过程时，顶级公司的响应视图揭示了真正的威胁。

检查一年内发送的全部电子邮件

在这个平台上，一百多家公司运行了网络钓鱼模拟；然而，我们在一年内分析了 126 家公司。这些邮件在 2017 年 1 月 1 日至 2018 年 1 月 1 日期间发送给了 126，000 名用户:

Statistics of total emails sent within one year

打开假邮件(为模拟活动准备的钓鱼邮件)的用户比例为 48%。Keepnet 实验室钓鱼模拟一年注册用户总数的 2%。这些统计数据表明了公司可能面临的危险，因为超过一半的员工打开过钓鱼邮件。这些不良结果的原因是由于疏忽的错误，因为其用户故意响应网络钓鱼电子邮件，导致这种情况的操作可能是:

• 滑倒:一个不需要太多意识关注的频繁动作出错了
• 一个特定的动作被忽略了，因为它被遗忘了
• 基于规则的错误:遵循了常规，但是错误地使用了好的流程或者应用了坏的规则
• 基于知识的错误:没有可用的程序，应用知识和经验不足以安全地执行行动

Human Errors in Cyber Security - A Swiss Cheese of Failures by ERLEND ANDREAS GJÆRE (2017) available at bit.ly/2COFmv9.

然而，当考虑到社会工程的方法时，正是由于疏忽错误的后果，许多公司成为网络攻击的受害者。网络犯罪分子使用社会工程策略来利用人们的健忘或他们天生的人类忙乱倾向，以说服他们以冲动的方式行事。而且，在线运营中，员工普遍容易产生一种虚假的安全感。

此外，点击模拟电子邮件中链接的用户占 Keepnet Labs 钓鱼模拟平台注册用户总数的 31.5 %。这一统计显示，16.7 %的用户打开过假邮件，但他们没有点击链接，这是用户点击量高的另一个原因，根源在于钓鱼模板和钓鱼主题。公司的高管为他们的员工选择了网络钓鱼内容，因为他们知道员工缺乏网络安全最佳实践的知识，他们按照自己的意愿编辑了网络钓鱼电子邮件，使其更加真实，以社会工程师的方式思考。事实上，如今 91%的成功攻击都是鱼叉式网络钓鱼，这是指网络犯罪分子收集目标的信息，并伪造电子邮件来引诱他们。

91% Of Cyber Attacks Start With A Phishing Email: Here's How To Protect Against Phishing by Guardian (2017) bit.ly/2mf56to.

根据这些发现，我们可以看到公司面临着巨大的风险。因为，在现实生活中，一个链接要么将用户带到一个看起来真实的虚假网站，并要求他们使用自己的用户名和密码登录，要么可能将员工带到一个用勒索软件或键盘记录器等恶意软件感染整个计算机系统的网站，或者它甚至可以直接下载病毒，而不进入网页。

另外，在网络钓鱼模拟中，点击电子邮件中的链接后提交表单的用户比例为 7.9%。用户总数的%。尽管有大量用户点击电子邮件中的链接，但当用户被重定向到另一个页面输入他们的凭据时，这一比例下降了。尽管如此 7.9 分。%的比率低于 31.5 %的点击量，但仍对公司构成巨大威胁。在现实生活中，即使只有一名员工提供了密码，网络罪犯也可能对所有系统造成威胁。他们可以冒充首席执行官或高级职员来操纵其他用户。雅虎！案例就是一个很好的例子。

Siber Casuslar: Küresel Firmalara Yönelik Saldırılar by Sinara Labs (2017).

用户数量最多的前五家公司的社会工程攻击评估

我们分析了属于不同行业的用户数量最多的前五家公司，并根据打开的电子邮件、点击电子邮件中的链接、提交的表单、打开的附件、网络钓鱼报告者和无响应百分比来访问他们的网络钓鱼统计数据。

Keepnet Labs phishing reporter is a tool that enables the reporting and analysis of suspicious emails, placed on Microsoft Outlook's menu bar. This feature also supplies SOC teams the opportunity to identify the threats in a timely manner, and block user-based attacks against malicious emails. For more information, please refer to www.keepnetlabs.com.

这些公司是根据它们的用户数量挑选出来的；因此，对用户数量最多的前五家公司进行了审查。我们对公司进行了编码，以便不明确给出它们的名称。因此，为了不特意指明它们，我们将它们编码为数字 1、2、3、4 和 5。

• Comp any Number 1 :当我们检查我们的第一家公司 Number 1 的网络钓鱼统计数据时，我们可以从下表中清楚地看到这一演变过程:

Phishing statistic for Number 1

打开的电子邮件、点击的电子邮件中的链接、提交的表单、打开的附件、网络钓鱼报告者以及没有响应的数量都表明系统员工易受社会工程威胁的攻击。尽管大多数用户都受过教育，是优秀的电脑用户，但总用户中有 4198 人开了一个名为更改你的密码的假电子邮件。正如我们在本研究开始时所述，社会工程师使用简单的方法。他们利用信任的感觉。在这个框架内，修改你的密码邮件并没有引起近 30%用户的怀疑。许多用户信任电子邮件的来源。此外，5.1%的用户(总共 791 个用户)甚至将他们的登录凭证提交给假冒的钓鱼网页。在这样的金融机构中，即使只有一个人给出他们的凭证，也可能导致严重的危机，因为社会工程师能够使用他们已经获得的信息，用简单的方法检索其他雇员的信息。

有趣的是，没有一个用户报告这封邮件是网络钓鱼。大多数用户宁愿不采取任何行动，也不愿报告网络钓鱼活动。这是另一个问题——一家非常大的金融公司缺乏良好的在线安全习惯。鉴于网络钓鱼举报人会让 SOC 团队及时识别威胁，并阻止针对恶意电子邮件的基于用户的攻击:

Phishing percentages of number 1

• 第二家公司:至于第二家，一家使用 Keepnet 实验室的网络钓鱼模拟器的技术公司，它并没有展示出与前一家金融公司不同的案例情况，只是展示了不尽人意的结果。

我们在这项研究中的论点表明，社会工程师使用简单的方法，如信任感，这已经在这个案例中再次证明了自己。一封名为切换到下一代 Outlook 的钓鱼邮件发送给了排名第二的 1569 名用户。在这封假邮件中，用户被要求点击链接以下载 Outlook 的新版本。邮件发的好像是他们公司发的。机警且有意识的用户在检查链接时知道这是一封假邮件，1569 名用户中的 585 名用户(占总用户的 37.3 %)没有回答:

Phishing statistics for Number 2

最危险的情况是，大量用户在通过虚假邮件路由的虚假网站上输入了他们的用户名和密码凭证。点击电子邮件中链接的人数为 659 人，占总用户的 42 %，提交用户名和密码的人数为 598 人，占总用户的 38.1%。此外，仅打开电子邮件的人数为 324 人，占用户总数的 20.7%:

Phishing percentages for Number 2

• 3 号公司:我们看到 3 号也有很大的风险。大多数用户在没有检查和验证的情况下相信并信任了邮件来源。排名第三的是另一家使用 Keepnet 实验室的网络钓鱼模拟器的技术公司。在模拟过程中，向 344 人发送了网络钓鱼电子邮件:

Phishing statistic for Number 3

钓鱼邮件主题是关于用户 WhatsApp 账户的，报告称他们的账户被从不同地点访问过，这让相当多的员工感到不安。尽管排名第三的公司是一家技术公司，其用户是知道如何应对网络攻击或社会工程攻击的个人，但仍有 1.2 %的用户提供了他们的凭据。

打开电子邮件的用户数量为 19 人，占用户总数的 5.5 %。点击电子邮件链接的用户数量为 12 人，占用户总数的 3.5 %。鉴于这些统计数据，社交工程师可能造成的麻烦已经暴露出来，甚至一家技术安全公司也可能成为社交工程师的受害者，这些工程师制作了带有徽标、案例和警报的虚假电子邮件内容，导致用户在不考虑情况的情况下采取行动。

此外，没有用户报告这封电子邮件是网络钓鱼。325 名用户(占用户总数的 94.5 %)宁愿什么都不做，也不愿点击 Keepnet Labs 网络钓鱼报告和分析工具。尽管与其他四家公司相比，第三家公司更好，但这些统计数据仍然对公司构成严重威胁，因为一家公司的强大取决于它最薄弱的部分。

Phishing percentages for Number 3

这种伪造的电子邮件使自然用户担心并紧急采取措施解决邮件中的问题成为可能，允许个人不加思考地采取行动并信任电子邮件的来源。尽管他们是有意识的个体，但他们中的大部分人很容易落入这个陷阱。这是另一个迹象，证明了我们的假设，即简单的社会工程策略之所以成功，是因为它们利用了信任感。

• 第四家公司:至于第四家公司，它是一所大学，已经使用 Keepnet Labs 的网络钓鱼模拟器来评估其员工针对网络钓鱼邮件的行动。他们使用预先存在的假日活动钓鱼电子邮件模板，向 1，286 名员工发送虚假电子邮件，包括学者、官员、会计等:

Phishing statistics for umber 4 (Holiday campaign)

众所周知，社会工程攻击中哪怕 1%的失败都会造成巨大的麻烦和后果。排在第四位的用户也显示了不令人满意的结果，多达 38 名员工给出了他们的凭证，占用户总数的 3%。

376 个用户(占总用户的 29.2 %)打开过电子邮件，178 个用户(占总用户的 13.8%)点击过电子邮件中的钓鱼链接。同样，没有用户向网络钓鱼举报人举报可疑电子邮件:

Phishing percentages of number 4 (Holiday campaign)

没有回答的人数为 910 人(占用户总数的 70.8%)。我们在这项研究中发现，用户在网络安全方面的成败取决于社会工程师的方案，即他们对网络钓鱼主题的选择。当社会工程师赢得用户的信任时，他们就成功了。例如，我们向第 4 位用户发送了另一个网络钓鱼模拟，一周后，将网络钓鱼主题更改为切换到下一代 Outlook ，我们发现结果更加糟糕:

Phishing statistics for Number 4 (New Generation Outlook)

这一次提交网络钓鱼表单的用户数量是 338 人，几乎是上一次模拟的 9 倍。518 名用户(占用户总数的 40.3 %)打开了电子邮件，419 名用户(占 32%)打开了电子邮件。6 %的用户点击了电子邮件中的网络钓鱼链接:

Phishing percentages for Number 4 (New generation Outlook)

没有回答的人数是 768 人，即 59 人。占用户总数的 7 %。同样，没有用户向网络钓鱼举报人举报可疑邮件。

当我们在一周后对同一批人进行不同的网络钓鱼模拟比较时，用户更重视第二次模拟，因为它模拟了经理或负责人。这种模拟在欺骗用户方面更为成功，因为他们本能地或毫无疑问地听从他们的上级，来自负责人员的要求，并信任他们的上级。对于前一个模拟，对假期感兴趣的用户变成了带着假邮件的生大虾。

• 第五家公司:我们的最后一个案例是第五家，一家重要的纺织公司，它的很大一部分销售来自互联网。针对 1，009 名用户发起了网络钓鱼活动:

Phishing statistics for Number 5

决策者在第五次切换到下一代 Outlook 邮件时选择了网络钓鱼主题，然而，与其他情况一样，结果并不令人满意，例如 50%的用户或 504 个人将他们的凭据提供给了虚假页面。

打开电子邮件的用户数量为 625 人，占用户总数的 69.1 %。点击电子邮件中链接的用户数量为 545 人，占用户总数的 54 %。鉴于这些统计数据，如果网络钓鱼模拟是真实的，其后果将会导致客户对公司的强烈反对，因为客户的信用卡信息可能会被网络罪犯窃取:

Phishing percentages for Number 5

此外，没有一个用户像在其他四个案例中那样将此电子邮件报告为网络钓鱼。384 名用户(占用户总数的 38.1 %)宁愿什么都不做，也不愿报告网络钓鱼活动。

技巧

现实案例的提示如下:

• 本章涉及的所有案例都是真实的。所以这一章最好的提示是停止点击。
• 如果您认为自己是组织中可能的社会工程攻击的受害者，请尽快向组织中的相关人员报告，包括网络管理员。他们可以警惕任何可疑或不寻常的活动。
• 如果你认为你的财务账户已经被泄露，立即打电话给你的金融机构，关闭任何可能已经被泄露的账户，当然要密切关注你的报表。
• 如果你确实感觉到有人在打探他们不应该得到的信息，停止对话。

摘要

由于它是一种使用特制的通信技术操纵行为的艺术，社会工程利用了人类的弱点，欺骗人们传递他们的敏感信息。由于操纵个人比入侵计算机系统更容易，网络罪犯使用社会工程策略。

在这项研究中，我们定义了社会工程攻击周期如何由四个阶段组成——信息收集、发展关系、利用和执行。我们还揭示了社会工程之所以如此有效，是因为它利用了人性，参考了 2016 年黑帽调查中的统计数据。

此外，还调查了社交工程的案例研究，如 CEO 欺诈、金融网络钓鱼、社交媒体网络钓鱼、勒索软件网络钓鱼和比特币网络钓鱼。

此外，我们分析了在 Keepnet Labs 的网络钓鱼模拟平台上注册和使用的 10 大行业，并评论了哪些类型的企业面临的风险更大。要回答这个问题，按行业划分的风险百分比是多少？，我们按行业衡量了风险百分比，并以表格形式显示出来。此外，我们揭示了为什么风险在不同的行业以不同的形式出现。

此外，我们分析了 2017 年 1 月 1 日至 2018 年 1 月 1 日期间，一年内向 85 家公司的 86，448 名用户发送的电子邮件总数。我们调查了一年中打开虚假电子邮件(为模拟活动准备的网络钓鱼电子邮件)、点击电子邮件中的链接以及在网络钓鱼模拟中不作回应的用户总数，结果显示，近一半的用户对他们的公司构成了威胁。

最后，我们分析了属于不同行业的用户数量最多的前五家公司，并根据打开的电子邮件、点击电子邮件中的链接、提交的表单、打开的附件、钓鱼报告者和无响应百分比检查了他们的钓鱼统计数据。通过这样做，我们有机会以公司为单位检查网络钓鱼活动的影响。

最重要的是，我们用现实生活中的场景证明了我们的假设，即成功的网络攻击是滥用信任感的简单社会工程技术。

十一、请教专家——第一部分：特洛伊·亨特

Troy Hunt 是 Microsoft 区域总监和开发人员安全 MVP，ASPInsider 和 Pluralsight 的作者。Troy 从网络的早期就开始为浏览器开发软件，并且拥有将复杂的主题提炼为相关解释的非凡能力。这使 Troy 成为安全行业的思想领袖，并为 Pluralsight 制作了二十多门顶级课程。目前，Troy 大量参与了我被 pwn 了吗？ ( HIBP )，这是一项免费服务，它汇总数据泄露，帮助人们确定恶意网络活动的潜在影响。Troy 定期撰写关于 web 安全的博客，并经常在全球和各种媒体的行业会议上发言，讨论各种技术。Troy 已经出现在许多出版物的文章中，包括福布斯、时代杂志、 Mashable 、 PCWorld 、 ZDNet 和雅虎！技术。除了技术和安全，Troy 还是一个狂热的滑雪板运动员、帆板运动员和网球运动员。

我们生来都是熟练的社会工程师。我不能准确地回忆起我几岁时有多有效，但是我观察过我的孩子们的行动，他们似乎做得相当好。我们从很小的时候就开始学习如何诉诸人类的情感，这样我们就可以使它们屈从于我们的意志；通过按下正确的按钮，我们让人们焦虑、恐惧、同情、贪婪和渴望。最令人惊讶的是，我们从很小的时候就开始这样做，甚至不需要去想它。

但是有些人对它想得很多，事实上，熟练的社会工程师可以把它变成某种艺术形式。我们都可能成为受害者；每次看到广告都会这样。广告行业充满了社会工程:如果你想保持健康/变得富有/和你的伴侣有更好的卧室生活，就买这个产品。信息安全行业是另一个严重依赖于利用促销来操纵那些 it 目标的感受的行业——事实上，那些在昏暗的房间里黑客网站的蒙面强盗往往是在他们卧室里的十几岁的孩子，但现在这并没有产生同样的恐惧感，不是吗？

我个人认为加速社会工程发展的驱动因素之一是数据泄露的盛行。在这种情况下，每年都有数十亿条个人数据记录被未经授权的人从系统中窃取。关于我们的姓名、地址、电话号码、出生日期的数据，在某些情况下，甚至包括我们的性取向等个人属性。现在想想这对社会工程意味着什么。

记住我们在这里处理的是什么——社会工程是关于操纵人类，使他们执行一个动作或泄露信息，如果他们没有被欺骗，他们通常不会这样做。考虑一下这些数据泄露，想想对攻击者来说意味着什么，如果他们可以让受害者相信他们确实是那个人的银行，因为他们知道关于他们的某些信息。如果有人打电话说:“嗨，琼斯先生，这是你的银行，你还住在史密斯街 27 号吗？”，这立即给予受害者对社会工程师的真实性更高程度的信心。这种可能性越来越大，因为这些个人信息属性正在到处泄露。

这不仅仅是数据泄露；还有整个开源情报 ( OSINT )空间，它严重依赖于我们自己公开提供的信息。社交媒体就是一个很好的例子；我们故意泄露足够多的信息,让那些试图冒充我们的人更容易得手，从而对银行、电信公司和其他依赖这些信息进行身份验证的机构进行社会工程改造。我们也做得越来越多——越来越多的人是数字原住民；也就是说，他们从未见过我们不愿意在社交场合分享这类信息的时候。这是新的常态。

*最近，我受邀前往 DC 华盛顿州，在美国国会面前就这一问题作证——数据泄露对基于知识的身份认证的影响。在我的证词中，我转述了一个最近的故事，关于我父亲如何试图改变他的宽带计划，包括打电话给电信公司并核实他的身份。他们通过询问他的姓名、电话号码和出生日期做到了这一点。你知道，人们把同样的事情放在他们的社交媒体个人资料上，或者，对于那些不这样做的谨慎的人来说，出于朋友的礼貌，他们分享了他们在生日聚会上所有乐趣的照片。这是一个真正严重的问题，因为它质疑了能够纯粹基于他们知道的事情来证明一个人身份的前提。

问题的一部分在于，我们所打交道的组织并没有让顾客去寻找社会工程的迹象。我最近遇到一件事，我接到一个人打来的电话，他自称来自我有账户的银行。电话铃响了，然后是很长一段时间的沉默，接着是明显的 VOIP 连接和外国口音。打电话的人声称来自我的银行，并说他们只需要先验证我的身份，我可以提供我的出生日期吗:

"当然，但是在我向你提供信息之前，我需要核实你的身份."

“但是，先生，我们是你的银行，你可以信任我们！”

“好吧，你说你是我的银行，但我怎么知道你是？我可以用网站上的电话号码给你打电话吗？”

"不，那不是最好的号码，让我们给你打电话的号码。"

对，真的是这么下去的！我告诉他们我相信这是个骗局，然后挂了电话。我还对接下来几天打电话来的两个人说了同样的话，直到我对此感到非常沮丧，以至于我亲自打电话给银行(通过他们网站上的号码)，报告一起协同的社会工程攻击。我的账户透支了。电话是真的。这次经历让我非常沮丧，于是我向银行投诉，之后他们降低了我的房屋贷款利率，以示善意！真实的故事。

因此，公司本身正在给人们设置行为模式，使他们适应社会工程。请注意，修复也很容易，大约在上述银行情况发生的同时，美国运通公司因我的卡涉嫌欺诈活动给我打了电话。我们和他们跳了同样的舞，要求我验证我自己，我也要求他们这么做，他们的回答是，“当然，把你的卡翻过来，用你看到的号码给我们回电话。”这是一个多么简单的机制啊，不仅他们提前给出了这个想法，而且美国运通的操作员实际上受过处理这种情况的训练。

我曾经跟踪的另一个非常常见的社会工程攻击是 Windows 技术支持骗局。每天，我们都有来自世界各地的人接到来自海外的电话，据称是来自 Windows 支持部门。他们声称受害者的电脑有病毒，但他们不担心，微软在那里帮助他们！然后，骗子会引导受害者完成一系列步骤，通常从打开 Windows 事件查看器开始，并要求受害者查找错误。当然，事件查看器中总会有错误，但这会导致骗子兴奋地大叫，“看——它们是病毒！ " 然后，他们让受害者通过免费的远程桌面软件授予他们对机器的远程控制，执行一些修复，然后索要钱财。许多人付了钱。

尽管我讨厌目睹这些骗局，但我总是惊叹于它们展示了如此多的基本社会工程技术:

1. 当受害者被误导相信他们的电脑被感染时，一种紧迫感就产生了
2. 骗子许诺了拯救——他们是来帮忙的！
3. 通过向受害者展示他们自己机器上的错误来建立信任
4. 实现修复时，产生了错误的价值感
5. 当微软确认机器已经修好后，受害者感到如释重负

最后，当然，这一切都在货币化达到高潮。想想这一过程中受害者经历的情绪起伏——它真的把人们吓坏了，以至于他们做出了如果没有被操纵的话永远不会做出的行为。而且，事实是，我们都可以很容易地想象我们认识的人被这个骗局所欺骗，因为像你的电脑有病毒这样的技术概念超出了他们的理解范围。

这些只是社会工程基本机制的几个例子，随着我们创建更多的数据，向公共领域泄露更多的信息，让更多的人使用更多的连接系统，攻击人类变得越来越普遍。最可怕的是任何人都可以做到——毕竟，我们从出生开始就一直在练习！* *

乔纳森·特鲁尔

作为微软企业网络安全组的高级总监，Jonathan 领导着微软全球首席安全顾问团队，为微软安全产品和服务的开发提供思想领导、策略指导，并与全球客户和合作伙伴深入接触。

在与 Qualys、SANS Institute、网络安全委员会和科罗拉多州的合作中，他率先开发了 Qualys Top 4 控制工具，该工具允许任何人免费评估其 Windows 计算机的安全性。他还与联邦、州和私营部门的合作伙伴合作，组建了科罗拉多州联合网络犯罪特别工作组。这是美国第一个网络犯罪信息共享中心之一，主要关注提高科罗拉多州的网络弹性。

Trull 已经成为一名创新的安全领导者，最近被 SANS Institute 提名为在网络安全领域做出贡献的人之一。他担任多家安全初创公司和风险投资公司的顾问，并在 RSA、Black Hat、Gartner、CSO50 和 SANS 等重大安全活动上发表过演讲。特鲁尔是认证信息系统审计师 ( CISA )和攻击性安全认证专家 ( OSCP )。他获得了北德克萨斯大学的硕士学位和丹佛大都会州立大学的学士学位。

在微软，我们已经积累了大量的威胁数据，以帮助我们构建更好的产品，并告知我们的客户最新的威胁。微软每月扫描 4000 亿封电子邮件以查找威胁，分析 4500 亿次身份验证以查找异常，并扫描超过 180 亿个网页以查找恶意软件和其他恶意活动。从这些数据中，我们发现了几个趋势，其中最突出的一个趋势是网络钓鱼和其他社会工程策略仍然是我们的客户面临的头号威胁。随着软件供应商继续在其应用程序中加入更强的保护措施，利用社会工程来访问网络和系统的情况只会越来越多。

不幸的是，与大多数与信息安全相关的事情一样，没有消除这种威胁载体的灵丹妙药。然而，公司可以做几件事情来降低他们对这种攻击的易感性。首先也是最重要的是，公司需要培训员工识别社会工程尝试并做出适当的反应。

什么是社会工程？

在微软，我们将社会工程定义为智能操纵人类天生的信任倾向，以获取信息来帮助实现欺诈、网络入侵、工业间谍、身份盗窃或网络/系统破坏。我也喜欢 Bruce Schneider 的定义:业余黑客系统，专业黑客。

为了获得人们的信任，社会工程师用不同的策略欺骗受害者，例如:

• 假装自己是重要人物
• 看起来和你一样
• 试图说服你分享机密信息

远离社会工程攻击

尽管社会工程攻击看起来很可怕，但正如整本书所解释的，如果采取适当的措施，这些攻击的影响可以大大减轻。

以下是可以帮助您减轻社会工程攻击的不同措施。

人

• 建立一个有针对性的、有趣的、互动的安全意识计划

• 制作宣传海报，并在公司内部公开，以帮助员工了解公司如何应对社会工程

• 教育员工对常见的网络钓鱼和鱼叉式网络钓鱼方案保持怀疑态度，并了解需要注意什么

• 利用技术的帮助，并使用先进的垃圾邮件过滤，如微软 365 高级威胁防护

• 确保员工做到以下几点:

  • 定期监控他们的在线账户
  • 确保他们只在使用安全协议(如 HTTPS)的网站上进行敏感交易

• 确保他们意识到电话钓鱼，并训练他们不要通过电话甚至在公共场所分享个人信息
• 确保他们意识到在社交媒体网站上分享敏感信息的危险

不好的例子:

或者通过电子邮件:

• 小心链接到要求个人信息的 web 表单:

• 确保他们知道浏览器中的弹出式骗局:

• 确保他们限制在社交媒体上分享的信息量。

使用一些模拟，如:pleaserobme.com，用户可以检查他们是否公开分享他们的位置:

• 确保他们意识到互联网是公开的，并确保他们知道如果有东西在线，即使你删除了它，它也很可能保持在线。请参考以下链接archive.org/

• 就第三方应用程序对他们进行培训，因为他们可以让应用程序连接到他们的社交媒体网站，并且他们可以代表员工发帖
• 教育员工不要:
  • 打开看起来可疑的电子邮件
  • 打开来历不明的电子邮件中的附件
  • 支付赎金

过程

• 安排随机渗透测试，其中包括社会工程

• 确定您的关键数据，并确保进行外部评估来验证您的内部测试结果

• 确保管理层了解结果

• 定期进行网络安全评估

• 为高度信任或享有特权的员工建立一个框架和计划。

• 建立最低权限策略，确保员工只能访问他们需要的内容，而不能访问更多内容

• 执行定期备份，并利用微软 Azure 等云技术

• 遵循 ISO 27001 或类似法规来保护您的信息安全管理系统

• 定期进行强化背景筛查

技术

• 身份和访问管理，如 Microsoft MIM 或 FIM
• 安全事故和事件管理系统
• 基于非签名的恶意软件技术，如 Windows Defender 高级威胁防护
• Windows 10 中的应用程序白名单，如应用程序锁或设备防护
• 使用 SIEM 关联您的日志
• 使用信誉良好的防病毒软件
• 使用有效的 IDS/IPS 解决方案，通过特征、行为和社区知识来帮助检测已知的攻击，以及它们设法进入网络的程度
• 让您的软件保持最新
• 使用多因素身份验证

制定有效的网络策略

策略这个词起源于罗马帝国，被用来描述军队在战斗中的领导。从军事角度来看，策略是一个顶层计划，旨在实现一个或多个高阶目标。在不确定时期，清晰的策略尤为重要，因为它为那些参与执行策略的人提供了一个框架，以做出成功所需的决策。要建立一个有效的策略，首先必须了解并建议记录以下内容。

资源

成功策略最关键的组成部分是合理利用现有资源。你必须清楚自己的年度预算，包括运营和资本支出。您不仅要了解您控制下的供应商和全职员工的数量，还要了解这些资源的能力和弱点。

业务驱动因素

最终，您只有有限的资源来实现目标，无法对所有数字资产应用相同级别的保护。为了帮助做出资源分配决策，您必须清楚地了解您负责保护的业务。企业成功的最重要因素是什么？ 哪些业务线产生的收入最多，哪些数字资产与这些业务线相关联？对于政府而言，哪些服务对居民健康和维持政府运作至关重要，哪些数字资产与这些服务和功能相关联？

数据

数据是大多数公司的生命线，也经常是网络犯罪分子的目标，无论是为了窃取还是为了赎金而加密。一旦确定了业务驱动因素，您就应该清点对业务线重要的数据。这应该包括记录数据的格式、容量和位置，以及相关的数据管理员。在大型组织中，这可能极具挑战性，但对实体的皇冠上的宝石的存储和处理有一个清晰的了解是必不可少的。

控制

在制定策略之前，您必须了解环境中已部署的保护措施或对策的状态，以最大限度地降低数字资产面临的安全风险。这将包括最大限度地降低资产的机密性、完整性或可用性风险的控制措施。在确定控制措施的充分性时，评估其设计和操作有效性。控制覆盖所有资产还是子集？控制是否能有效地将风险降低到可接受的水平，或者剩余风险是否仍然很高？例如，在最大限度地降低数据机密性风险方面，一种被认为有效的控制措施是在授权访问敏感记录之前要求第二个身份验证因素。如果实现了这种控制，有多少比例的用户在访问公司最敏感的数据之前需要第二个身份认证因素？ 作为网络钓鱼测试的结果，用户承认第二个错误因素的可能性有多大？

威胁

确定组织面临的威胁是制定网络策略中较为困难的任务之一，因为网络威胁往往是不对称的，并且不断演变。尽管如此，确定最有可能的威胁参与者，以及实现其目标所使用的动机、策略、技术和程序仍然很重要。

一旦你对前面讨论的项目有了清晰的了解，你就可以开始制定一个适合手头任务的策略。由于每个组织都是独一无二的，因此不存在放之四海而皆准的方法，但是有一些模型和框架随着时间的推移被证明是有用的，包括由国家标准和技术研究所、网络杀伤链、互联网安全中心、SANS 和澳大利亚信号局等开发的模型和框架。有效的策略还必须考虑人和组织的动态。例如，员工通常会围绕控制来工作，这种控制增加了执行给定任务的实际或感知努力量，尤其是当他们觉得努力与正在解决的威胁不相称时。

在微软，我们不断评估客户当前面临的威胁，并构建产品和服务来帮助安全管理人员执行他们的策略。我们产品的设计不仅考虑了网络攻击者使用的技术，还融入了解决企业内人员动态的功能，以及安全团队面临的人员和保留挑战。这些设计原则在实践中的一些例子包括在我们的生产力工具中构建安全特性和功能，如 Office 365 高级威胁保护，使用自动分类通过 Azure 信息保护减少最终用户的工作负载，以及通过 Windows Defender 高级威胁保护提高安全团队的效率和效力。

马库斯·默里和哈桑·阿尔沙卡蒂

Marcus Murray 是 Truesec 的网络安全经理，也是微软企业安全 MVP。他的团队为各种客户执行安全评估、事件响应和安全实现，包括银行、军事组织、政府机构和其他大公司。

他目前专注于民族国家网络战和网络防御。Murray 经常谈到安全威胁、漏洞、意识以及如何实现现实世界的对策。几年来，他一直是 TechEd North America 和 Teched Europe 的头号演讲者，也是 RSA Europe 和 IT Forum Europe 等活动的顶级演讲者。他是 Truesec 安全团队的成员，该团队是一个独立的精英团队，由在世界各地运营的安全顾问组成。

Hasain Alshakarti 是一位公认的安全专家和计算机行业发言人。他在世界各地的会议上发表过演讲。除了在过去的 23 年里成为一名非常受欢迎的讲师之外，Hasain 还特别关注安全评估、网络安全、PKI，以及帮助客户理解和实现安全措施。Hasain 拥有开发人员的背景，他与开发人员密切合作，帮助他们了解安全需求，并在应用程序和系统中实现这些需求，同时又不损失功能和可用性。他是 TrueSec 安全团队的成员，也是企业安全领域最有价值专业人士 ( MVP )奖的获得者 e 微软 。

在本节中，我和 Truesec 专家团队的 Hasain Alshakarti、Marcus Murray 将分享我们在红队背景下的社会工程方面 20 + 20 年的经验。

如果您不熟悉 red teaming，请将其视为对组织的全面、有针对性的网络攻击，目的是完全危及 it 环境，包括高价值目标。

在这些项目中，我们通常会衡量一个组织可以承受的攻击类型、破坏这些攻击所需的复杂程度，以及组织检测和响应威胁参与者活动的能力。

在 red teaming 中，社会工程是用来成功危及目标环境的许多关键组件之一。解释社会工程在红队中的应用的最简单的方法是通过下面的例子。

红队将尝试突破下图左侧的每个通道，以访问内部 IT 网络。从该访问开始，将执行各种活动，以便获得对整个基础架构的控制，并最终连接到高价值目标:

社会工程可以用在过程的各个部分，但是在过程中使用它的最典型的部分是物理暴露和用户设备。在物理暴露场景中，目标通常是通过在目标建筑物的物理边界内植入设备来访问网络。这样，it 可以创建一个到目标环境的空中通道，而无需穿越外围网络中的安全组件(IDS、IPS、防火墙、代理等)。

在用户-设备场景中，攻击者通常试图欺骗用户打开电子邮件或类似内容，让他们以某种方式执行代码，以便攻击者可以远程控制用户的工作站。

在本节中，我们将通过分享一些我们从以前的红队任务中获得的真实经验来关注这一点。作为本次讨论的基础，我们将带您经历一个简单的场景。

示例场景–工作站数据收集工作

一年前，我们的团队为一家大型国防承包商管理一个红色团队。经过初步调查，我们了解到他们将工作站支持外包给了外部服务提供商。经过一些初步的头脑风暴后，我们决定发起一次攻击，伪装成服务提供商的技术支持人员，诱骗目标组织的用户下载代码并在他/她自己的工作站上执行。

这种类型的攻击已经存在了 20 多年，我们想知道它是否仍然有可能。

这个想法是向选定的用户发送一封电子邮件，假装是支持组织的服务技术人员。在电子邮件中，我们解释说已经执行了一次重要的工作站清点，但是该特定用户的工作站缺少预期的结果。

这样设置的原因是我们已经有了一些关于用户的基本信息，包括他们相应的工作站名称。我们想利用这些知识来建立信任。

步骤 1–准备攻击

在这次攻击中，我们需要以下内容:

• 发送邮件的一个域:正常情况下，当我们要发送邮件，冒充一个组织，我们会先调查是否可以使用他们的真实邮箱域。这通常可以通过找到接受中继的错误配置的电子邮件服务器或危及电子邮件登录来完成。在这种情况下，服务提供商被排除在范围之外，因此我们必须注册一个类似于服务提供商的 DNS 域。

• 一个网站来托管 中的 库存 工具 : 在这种情况下，我们使用一个简单的 web 页面托管在 Azure 中，并在我们注册的域中发布。我们还设计了一个简单的网页来托管库存工具。该页面被赋予了与服务提供商相同的图形配置文件和徽标。

• 发送者身份:考虑到这个大型目标组织和服务提供商的规模，我们假设用户不知道服务人员的名字。因此，我们创建了一个虚构人物的 LinkedIn 个人资料，我们还购买了一张 sim 卡，并在他的名字和支持组织的名称中注册了电话号码。这有点滑稽，但我们了解到，如果人们想在职业生活中验证某人的身份，他们经常使用 LinkedIn，而不是联系真正的公司。

步骤 2–发动攻击

下一步是开始设置真正的攻击工具。我们的第一步是创建要下载的代码，为远程控制定义一个通信通道，并配置一个命令控制服务器。

我们已经知道目标环境在防火墙和 IDS 上投入了大量资金，所以通信必须非常隐蔽。我们还知道他们没有使用 AppLocker 或类似的技术来阻止未知二进制文件的执行，因为他们相信边界可以阻止任何恶意软件，所以我们决定使用一个.exe文件作为发布的库存工具。

我们编写了一个工具，它看起来实际上是一个工作站清单，包括可视化元素，如服务组织徽标、进度条、成功启动屏幕等等。在该工具中，我们还创建了一个看似上传结果的通信通道，但实际上，它允许对目标工作站进行远程控制。在对他们使用的 IDS 模型以及如何在不触发它的情况下传输数据做了一些研究之后，我们了解到它被配置为出于性能原因而忽略.jpg文件。基于这种认识，我们实现了一个定制的远程控制协议，该协议使用.jpg图像文件通过 HTTP 协议在目标和命令与控制服务器之间传输数据。我们还使用了一种称为域名转发的技术，使其看起来像是要将通信发送到一个具有良好声誉的已知域名。我们的假设是这将绕过 IDS 的安全性。由于自定义协议，我们还编写了一个自定义 CC 服务器。它具有运行 DOS 和 PowerShell 命令、获取基本系统信息、方便工具和数据过滤的上传和下载的基本功能:

步骤 3–选择目标

在研究了目标的主要网站 LinkedIn 和其他一些网站后，我们决定锁定四个人。在这一点上，典型的选择过程是寻找我们知道不太懂技术的人。从我们的个人经验来看，我们喜欢选择那些习惯于主动而不询问主管的管理人员。我们也喜欢瞄准创造性的角色，比如营销人员。他们通常很好奇，因此很快点击。

步骤 4-发起攻击

从技术上讲，发动攻击并不复杂。最重要的部分是创建一个 100%可信和现实的信息，并明确呼吁采取行动。

另一个要考虑的是时机。根据我们的经验，当人们在工作周结束时注意力不太集中时，我们发送电子邮件是最成功的。如果成功，我们也有机会在 it 员工人数通常大幅减少的周末开始运营。

在这个特定的场景中，我们在周五午饭后发送了第一封电子邮件。当我们后来意识到收件人没有下载该工具时，我们通过电话联系了他。

通过伪装成发送电子邮件的支持技术人员，我们善意地要求用户按照电子邮件中的说明进行操作。我们告诉他，我们有一个截止日期，真的需要在周末之前完成库存。

第 5 步–结果

挂断电话两分钟后，我们注意到该工具已经通过电子邮件中的链接下载了。又过了一分钟，我们收到了一个来自现已受损工作站的连接。

只是为了衡量目标员工的认知度，我们又发动了三次攻击。在总共发出的四封电子邮件中，我们设法攻破了三个工作站。

本例的要点

• 很难区分合法和非法的电子邮件。
• 经典攻击在今天仍然有效！在 Truesec，我们用最新的研究做了很多花哨的攻击；然而，大多数组织仍然容易受到简单下载链接和说明的攻击。
• 有时，一个组合可以非常有效；比如邮件和电话。
• 充分的准备增加了成功的机会。例如，如果我们不知道 IDS 配置，我们可能无法建立成功的通信通道。
• 反病毒软件或 IDS 通常检测不到定制的恶意软件。

在更高级的攻击中，我们使用无文件恶意软件、零日漏洞和混淆来源，如域前置、域融合等。

此外，今天，基于宏的攻击是最常用的攻击，但是，它们几乎出现在每篇关于客户端利用和网络钓鱼的文章中。

物理暴露

我们在每个红队做的另一件事是评估在目标组织的网络中安装物理设备的可能性。

典型的设备可以是具有移动宽带、无线、以太网端口等功能的 Raspberry Pi:

The device will be configured to act as a network bridge, and as soon as it is connected we have the possibility to access the internal network.

减少未授权设备连接的常见安全实现是 802.1X。因此，我们总是将设备安装在网络端口和一些已经连接的设备之间。大多数时候，我们更喜欢寻找可能有例外或放宽安全要求的打印机或其他设备。

我们通常做的另一件事是最初在网络上产生最小的足迹。在我们第一次在网络上活跃起来之前，我们可以在被动模式下坐上几天并监听流量。当我们激活时，我们将使用与我们桥接的机器相同的 IP 和 MAC 地址。

我们默认的指挥和控制通信渠道是移动宽带连接，这是为了避免周边检测。

物理攻击

多年来，我们已经进行了数百次不同的社会工程攻击，目的是进入物理位置。这个列表可能很长，但是我们会给你一个有趣的例子来说明一个典型的作业。

在这个例子中，我们在一个政府机构的安全亭内安装了一个设备。该设施戒备森严，你需要穿过一个陷阱才能进入真正的建筑。我们已经做了假徽章，我们知道它们看起来和真的一模一样，但是，当然，它们没有有效的芯片和证书让我们通过陷阱。

我们的想法是接近警卫，告诉他我们正在测试设施中的网络插座，我们需要测试展位内地板上的插座。我们中的一个穿着西装摆出经理的样子，另一个穿着古怪的毛衣，看起来更像一个典型的 it 人员。

假扮成这些角色，我们解释了即将到来的活动的目的，警卫毫不犹豫地让我们进入展位。再说一次，我们俩都戴着看起来合法的徽章。那个打扮成 IT 人员的家伙把设备安装在他的脚旁边，我们一做完就感谢保安的帮助，离开了大楼。

该设备用于完成整个红队活动，导致整个基础架构受损，包括域、虚拟化平台、网络管理系统、系统管理平台和存储。最后，它被用来危害大型机和其他高价值的目标。该设备从未被发现，六周后，当项目完成时，我们自己去拿。

我们希望你喜欢这些日常生活中的简单例子。如果您对 Truesec red 团队或我们的专业知识感兴趣，请随时联系我们。

Truesec 的 Marcus Murray 和 Hasain Alshakarti。

艾米尔·廷 aztepe

Emre Tinaztepe 是一名网络安全专家，已经在信息安全领域工作了 10 多年。他专门从事逆向工程、恶意软件分析、驱动程序开发和软件工程。Emre 是 Binalyze LLC(www.binalyze.com)的创始人，该公司开发下一代事故响应解决方案。此前，他在 Zemana Information Technologies 担任开发总监，Zemana Information Technologies 是一家全球安全公司，为全球数百万客户提供服务。他天生是一个敏锐的学习者和团队领导者。

社会工程可以被认为是最先进的攻击的第一步。这是因为大多数组织仍然投资于硬件和软件，而不是投资于人，但事实是，没有受过教育的人员，所有的硬件和软件投资都是无用的。

在我的训练中，当争论这个问题时，我通常会显示以下图像。这是一个自称帕兹的人用来偷帕丽斯·希尔顿价值 3200 美元的生日蛋糕的红色腕带。尽管生日派对在白宫有十几名保安保护，但帕兹还是带着这个腕带、面带微笑地通过了保安:

Wrist band used for stealing the birthday cake of Paris Hilton

我在我提供建议的几乎每一个事件响应案例中都看到了这种场景，这就是我所说的利用人类。一旦你利用了人类，剩下的就容易了。想象一下，有人敲你的门，告诉你他是警察，试图说服你开门。如果你不为窃贼开门，你仍然控制着你的房子，但是，一旦门被打开，接下来会发生什么就由窃贼决定了。

即使在这个类比中，解决方案也很简单——确保你向你信任的人敞开大门。我用了信任这个词，而不是知道，因为即使你认识的人也可能被利用来进入你的房子(你的网络)。

但是你会怎么做呢？这就是我想在“向专家提问”部分详细阐述的内容。

在列出预防和缓解技术之前，我们应该首先了解我们针对的攻击类型。作为一名恶意软件分析师、软件开发人员和事故响应人员，我有机会参与各种网络攻击。如果我要列出这些攻击类型，它们可以分为五个最相关的类别。

广告不当

恶意广告是网络犯罪分子用来欺骗无辜用户在他们的桌面或移动设备上安装恶意软件的一种攻击形式。网络和移动广告的数量在短短一年内增长了 200%以上，坏消息是 20%的网络和移动广告将用户引向恶意内容。这是由于广告网络数量的增加，这些广告网络为网络罪犯提供了一种赚钱的方式，只需在他们的软件中加入一个简单的软件库。常见的情况是，移动应用程序中嵌入了多个广告网络，同时还有一个后门，便于网络犯罪分子改变未来的盈利方式。

通过诱骗用户安装应用程序，攻击者可以向用户的设备添加他/她想要的任何东西。这种攻击类型在过去几年已经成为一种成熟的业务。

这种活动的一个最好的例子是 TDL4(木马下载器)bootkit。它于 2011 年发布，是 TDL3 的继任者。到 2011 年底，这个 bootkit 已经感染了全球 450 万台机器。恶意广告网络 GangstaBucks 为每安装 1000 个这种恶意软件支付 20 到 200 美元。这个 bootkit 被网络罪犯用来向受害者的电脑推送广告软件，操纵搜索引擎结果，并向他们的付费客户提供匿名互联网访问。关于这种恶意软件的一个有趣的事实是，它甚至有自己的杀毒软件来清除受感染机器上的其他恶意软件家族。这是因为该僵尸网络的所有者试图最大限度地减少网络犯罪竞争，这证明了网络犯罪分子对这一行业的重视:

An example pay-per-install network

另一个是 GG Tracker 恶意软件家族，针对 Android 用户。和所有的恶意广告活动一样，这个广告通过将用户重定向到一个看起来合法的 Android Market 克隆网站来欺骗用户。只要用户点击安装按钮，它就会下载一个成人应用程序和一个假的电池优化器。一旦用户安装了这些应用程序，他们就订阅了网络罪犯拥有的优质服务。

预防

只要注意以下规则，就可以防止广告不当:

• 不要下载来源不明的软件
• 确保你正在从原始的生产者/开发者那里下载应用程序

流氓/假冒应用程序

假冒的应用程序可以被认为是合法软件的翻版。网络犯罪分子正在投入大量的时间和资源来复制流行的软件应用程序，并将它们上传到带有免费标签的下载网站或移动市场。

这种攻击的一个例子是所谓的假 AV ，它有许多针对 Windows 用户的变种。这种类型的恶意软件与恐吓软件策略相结合，被网络犯罪分子用来劝说用户通过支付金钱来升级软件。它们还被用来进一步用其他类型的恶意软件感染机器。正如你在下面的截图中看到的，它看起来像真正的防病毒软件，这就是他们如何说服很多用户付费从他们的 PC 上清除一个不存在的感染。他们中的一些人甚至将勒索软件下载到受感染的机器中，迫使用户支付赎金以恢复加密文件:

An example fake antivirus product

另一个至今仍受欢迎的是假闪存更新器，它通过欺骗用户在浏览网页时点击安装按钮来工作。网络罪犯大多使用在线视频网站，在允许用户播放视频内容之前，他们会将用户引导到一个页面，该页面在浏览器中显示一个特制的虚假 Flash 更新弹出窗口。试图播放视频的无辜用户通常点击按钮，然后在他们的 PC 上安装恶意应用程序，这通常是加密文件并索要赎金的 CryptoLocker 变种:

An example website with a fake Adobe Flash update warning

预防

• 就像任何其他攻击类型一样，注意你下载并安装到你的 PC/移动设备上的内容可以拯救你
• 对于启用了用户帐户控制的 Windows 电脑，请始终检查您将要执行的产品的数字证书名称
• 对于移动设备，请确保只允许来自可信来源的安装

带有恶意负载的文档

恶意文档是另一种广泛使用的攻击类型，主要由社会工程技术发起。在操作系统和流行的软件解决方案加强了对漏洞的防范后，这种攻击类型在过去几年中变得越来越流行。说实话，在 Office 文档中运行宏，或使用 PDF 的 JavaScript 比试图利用受害者 PC 上的软件更容易。这是因为这种功能被直接嵌入到文档查看套件中，以提高工作效率，例如让用户有机会创建公式或增加文档的交互性。与所有其他攻击类型一样，这种能力被网络犯罪分子滥用，在受害者的系统上运行恶意负载并获取敏感信息。

例如，恶意文档仍然是 CryptoLocker 攻击的头号感染媒介。结合社会工程技巧，这种攻击类型可以成为一个强大的武器，将攻击者想要的任何东西放入受害者的 PC。尽管在最近版本的文档查看器中默认情况下禁用宏执行，但通过使用社会工程，网络犯罪分子仍能成功诱骗用户启用宏执行，如下图所示:

An example malicious document tricking the user into enabling macros

除了宏执行，我们最近开始看到一种不同的方法，它允许攻击者在受害者的 PC 上运行恶意代码。这种攻击利用了微软在 Office 套件中的动态数据交换功能。尽管这项技术最早是在 20 世纪 90 年代发现的，但在安全供应商和操作系统开始禁止在用户机器上执行宏之后，这项技术开始流行起来。尽管这种攻击类型需要多个用户交互来执行恶意负载，但大多数用户甚至不会阅读操作系统要求的内容，而只是单击 Yes 按钮，这使得攻击者可以将他想要的任何内容下载到用户的机器上。

预防

• 在没有确定来源之前，不要打开未知/令人惊讶的文档
• 即使文档包含启用宏执行的说明，也不要启用宏执行
• 在接受弹出对话框并点击是之前，请仔细阅读弹出对话框

公共 Wi-Fi 热点

当我们需要上网时，大多数人甚至会毫不犹豫地连接到免费的 Wi-Fi 热点。在咖啡店、酒店或机场连接到 Wi-Fi 网络就像在公共场所让您的计算机/移动设备处于打开和解锁状态。通过使用类似的 SSID，很容易欺骗 Wi-Fi 用户连接到流氓热点。即使它是您最初请求的合法 Wi-Fi，您也不知道还有谁连接到该网络。我们已经看到了克隆合法热点的 MAC 地址的高级攻击。流氓热点使网络罪犯能够窃听网络流量，其中大多包括敏感信息，如帐户凭据。他们甚至可以将您的网络浏览器重定向到恶意浏览器，将恶意软件下载到您的设备上。

预防

为了抵御这些类型的攻击，这里有一些基本的提示:

• 避免连接到公共 Wi-Fi 热点
• 如果你不得不使用一个，总是使用 HTTPS 网站来保护你的私人信息免受网络窃听
• 使用虚拟专用网 ( VPN )来保护你的连接

网络钓鱼/鱼叉式网络钓鱼

网络钓鱼是一种企图获取敏感信息(如用户名、密码和信用卡详细信息)的行为，通常是出于恶意目的，通过在电子通信中将自己伪装成值得信任的实体来实现。尽管大多数人都知道这种类型的攻击，并且他们已经知道他们不应该打开来自不可信来源的电子邮件或点击链接，但事实是，在大多数攻击中，网络犯罪分子伪装成你已经认识/信任的人。这是因为，在网络钓鱼攻击之前，他们会收集有关目标的情报，例如他/她喜欢什么，他/她与谁通过电子邮件交流最多，等等。

下面是我的一个测试，我创建了一封钓鱼邮件，看起来好像是我(公司里一个值得信任的人)共享的。我选择了这个标题Organization Scheme,因为它会说服公司里的每一个人去读它:

An example phishing email for stealing Dropbox user credentials

信不信由你，即使是公司里最有经验的人也点击了链接，提供了他们的 Dropbox 凭据，这些凭据直接通过电子邮件发送给了我(本例中的攻击者)。20 个人中只有一个人联系了我，但不幸的是，他是来问文档有什么问题，因为他无法查看文档！

这正是我意识到网络钓鱼攻击有多么有效的时候。如果我能用 30 分钟内创建的一封有趣的电子邮件欺骗我自己的员工，那么一个老练的攻击者会怎么做呢？

这项测试如此成功的原因不是因为人们点击了我发送的电子邮件中的链接，而是因为他们点击链接后被定向到的网站地址。我使用的地址是http://www.dropbox.ssl.login.authentication.identify_ctx_recover_lwv110123_securefreemium.ebilgilendirme.net，这足以让他们相信这是合法的 Dropbox 网站，因为他们只注意了它的第一部分，而不是完整的地址。如果攻击者使用这种地址，下面是您将在地址栏和任务栏中看到的屏幕截图:

Taskbar and address bar examples in a phishing attack

因此，任何人看到地址栏或任务栏都会立即认为这是合法的 Dropbox 网站，但是，对于一个有经验的用户来说，这只是一个随机网站的子域，可以在几分钟内创建。

总而言之，网络安全就是教育用户了解网络罪犯使用的伎俩和攻击类型。教育用户比投资软件或硬件解决方案重要得多。

最后一点，下面是我的保持网络安全的快速列表:

1. 始终使用现代的操作系统和软件。过时的系统容易被利用。

2. 使用最新的安全软件，包括防病毒、防漏洞、防网络钓鱼和内容控制功能，以防止已知的不良内容。这将保护您免受大多数攻击，但不要忘记，安全软件只是一层，而不是解决方案。

3. 不要打开可疑的电子邮件。

4. 始终检查电子邮件中可点击内容的目标地址，并确保目标网站为您所知。

5. 在提供您的个人信息之前，请始终在网站上检查 SSL 指示器。

6. 使用 VPN 来防止网络罪犯窃听您的网络流量。

7. 在您的环境中禁用宏执行，不要单击启用宏按钮，即使您正在查看的文档要求这样做。

8. 接受弹出对话框或警告之前，请仔细阅读。

米拉德·阿斯兰

Milad Aslaner 是一名专注于任务的安全专家，在产品工程、产品管理以及网络安全、数据隐私和企业移动性的商业宣传方面拥有超过 11 年的国际经验。他是全球会议的获奖演讲者和技术专家，如 Microsoft Ignite、Microsoft Tech Summit 和 Microsoft Build。凭借他的背景，Milad Aslaner 定期向财富 500 强公司、政府机构、记者和分析师提供最新网络安全趋势的建议，帮助他们为网络犯罪事件和网络恐怖主义做好准备，并让他们为安全的数字化转型做好准备。

作为一名安全专家，我经常在网络攻击之前、期间和之后向客户提供建议。对我来说，首要任务是赢得客户的信任。因此，虽然我将分享网络攻击技术的真实例子，但我将改变所有可以用来识别目标客户的指标。我分享这些真实世界的场景不是为了吓唬人，而是为了通过关注社会工程不断上升的风险来增强网络安全的紧迫感。

社会工程是操纵一个人去做威胁者想要的事情的艺术，而这个人认为他们这样做是为了他们的最大利益。因此，利用社会工程的威胁行动者团体就是现代骗子。美国总审计局的首席技术专家 Keith A. Rhodes 说:“总有技术方法可以侵入网络，但有时通过公司的人更容易。你只是骗他们放弃自己的安全感。最近对优步、雅虎或 Imgur 的网络攻击证明了这类网络攻击已经变得多么复杂。

威瑞森继续在其年度数据泄露报告中提供关于社会工程威胁的有趣见解:

• 在 2015 年，他们发现当威胁参与者向组织内的 100 名员工发送复杂的网络钓鱼电子邮件时，23 人会打开该电子邮件，其中 11 人还会打开电子邮件附件，还有 6 人会在第一个小时内做同样的事情:

Verizon Data Breach Report 2015

• 2016 年，他们发现 30%的钓鱼邮件被打开。收件人平均只需要 40 秒就可以打开电子邮件，另外还需要 45 秒才能打开恶意附件。大约 89%的网络钓鱼电子邮件是由有组织犯罪集团发送的，9%是由国家支持的威胁行为者发送的:

Verizon Data Breach Report 2016

• 2017 年，他们发现所有记录在案的网络攻击中有 43%涉及社会工程攻击。

信息无处不在

2012 年，在美国消费者新闻与商业频道的一个名为硅谷脉搏的节目中，主持人乔·克南问投资人兼 Hummer-Winbad 高级合伙人安·温布莱德，“下一个真正的大事件是什么？”她的回答是，“数据是新的石油”。虽然 Ann Wimbled 的这一说法是因为大数据和人工智能的突破，但在信息安全领域也是如此。数据无处不在，大多数人每天都在发布、评论和分享个人信息，却不知道谁在看。不管是一顿饭的照片、他们最喜欢的足球队的信息、他们的关系状态，还是他们当时的感受。都在社交和专业网络上分享。许多活跃的社交网络用户仍然不知道他们可用于限制谁有权访问他们的个人数据的隐私设置。这是一个有趣的范式，因为回顾历史，在网络空间出现之前的时代，你希望在开始分享我们今天刚刚在社交网络上发布的大部分信息之前，与另一个人建立信任。这些网络中所有这些不同的用户活动都有助于威胁参与者执行深入的侦察。

用户活动

• 档案:用户尽最大努力拥有尽可能完整的档案。这包括出生日期、电话号码、电子邮件地址、个人资料图片、封面图片、雇主姓名、地址、关系状态等等。

• 根据脸书的数据，平均来说，一个用户每天发 X 条帖子。这些帖子包括他们最喜欢的菜肴的图片，关于即将到来的假期计划的信息，或者庆祝他们最喜欢的足球队的胜利。

• 评论:当在社交网络上发帖时，许多用户希望与关注他们的人或他们的朋友展开积极的对话。在这些对话中，通过评论功能，他们分享自己对某些情况的看法。

• 图片和视频:除了用户上传到时间线上的美食图片，他们还会创建和维护特殊时刻的图片和视频相册。同样，用户试图输入尽可能多的信息，包括位置数据，照片中还有谁，甚至他们对此的感受。

• 支持:许多公司通过社交网络提供支持。虽然他们中的大多数告知并提醒他们的客户不要公开共享个人数据，包括客户识别号码，但普通用户仍然会无意中这样做。

• 在线游戏:在玩社交网络上的游戏时，用户分享信息。

这不是用户每天在社交和专业网络上进行的所有活动的完整列表，而是旨在提供对数据量的简单了解。随着数字化的突破和社交网络的易用性，我们不太可能找到一个没有员工使用社交网络的组织。事实上，即使一个组织有禁止私人使用社交网络的政策，员工很可能仍然会使用它们，但会用假名创建和维护社交网络档案。

了解侦察

在前面的章节中，Erdal Ozkaya 已经描述了网络杀伤链；这是洛克希德·马丁公司开发的一个流程图，旨在更好地了解威胁参与者如何准备和执行网络攻击。关键是要理解威胁参与者是如何操作的，以便更好地构建有效的防御策略。许多网络攻击的第一阶段是侦察或短侦察阶段。术语侦察最初来自军事，指的是识别关于敌人的位置、意图、作战计划以及任何其他可能与渗透、获得技术优势或准备与他们作战相关的有用情报。

在网络空间，侦察阶段遵循相同的原则，但它专注于识别用户行为模式，以找到正确的漏洞集。在这一阶段，威胁行为者寻求获得对目标的深入了解。这通常不仅包括基本信息，如其总部的位置，还包括更多的个人信息，如层级图、员工徽章的照片、文档模板、建筑蓝图、财务信息以及对单个员工的了解。然后，威胁参与者获取收集到的情报，并构建一个图表视图。这使得威胁参与者能够确定最薄弱的环节，并使他们能够准备复杂和有针对性的网络攻击。

毫无疑问，很多时候第一波目标员工并不是 C 级高管，而更有可能是最近在专业网络上分享他们对新的职业机会持开放态度的员工，或者是分享他们因工作时间长而感到沮丧的培训生。这些员工比新任命的首席技术官 ( 首席技术官)更有可能打开有针对性的钓鱼邮件。这就是为什么理解这一点很重要，尽管为高价值资产建立防御措施在某些情况下可能是有意义的，但关键是要有一个网络安全框架，涵盖对网络攻击的保护、检测和反应，不管它是首席执行官 ( 首席执行官)还是销售代表的身份、电子邮件或端点。这是真的，因为威胁参与者不是通过层级而是通过图表来查看收集的情报，然后在图表中找出最薄弱的环节:

Sample graph to visualize how threat actors build a target graph

想象自己是一个威胁演员。一方面，您确定了首席信息安全官()的电子邮件地址，另一方面，您确定了新任命的初级销售代表的电子邮件地址。你更有可能向谁发送有针对性的网络钓鱼电子邮件？在大多数情况下，会是初级销售代表，这不是因为实际的销售代表，而是因为很多时候，组织会为管理人员提供额外的安全和意识培训，从而降低网络钓鱼电子邮件得逞的可能性。因此，作为一名安全专业人员，重要的是不仅要假设会有违规行为，还要假设组织内部几乎所有员工的个人数据都在互联网上到处流动。

**

侦察的实例

威胁参与者知道在网络空间中不安全流动的个人数据的数量，并且通常是在不引起服务提供商或用户怀疑的情况下获取这些数据的专家。他们有许多资源、技术和工具可以用来对他们瞄准的个人或组织进行成功的侦察。在这一阶段，威胁参与者的首要原则是所有信息在某些时候都是有用的。

被动信息收集是威胁参与者用来通过公开来源发现潜在有用信息的技术。这可能是公司域名的 WHOIS 信息、公司网站上的联系信息、盈利报告、高管在会议上发布的产品演示，或者是对 IT 或安全部门使用的技术的见解，这些信息已作为参考案例研究记录在软件供应商的网站上。虽然到目前为止，所有这些都发生在网络空间，但也有翻垃圾箱的方法。即使在网络空间出现之前，翻垃圾箱也是非常常见的，如果个人或组织没有适当的安全措施来保护打印的敏感信息，这是一种获取目标被动信息的简单方法:

• WHOIS 查询 : WHOIS 是一种常用的协议，用于查询数据库以识别注册用户的详细信息，如域名所有者的全名、名称服务器或支持电话号码。这通常是威胁参与者被动收集信息的第一步，因为它非常容易执行。可以通过许多在线服务提供商进行 WHOIS 查找。以下是在 www.packtpub.com发布者的域名上执行的 WHOIS 查找查询的屏幕截图。该信息集提供了主机提供商、公司地址以及电子邮件地址和电话号码的详细信息:

• 政策查找:大多数大型公司都有易于访问的数据保护政策。在某些情况下，法律要求他们向客户提供这些信息，这些信息通常包括如何存储和处理个人数据的完全透明性，并概述了当用户想要更改或删除其个人数据时的流程。在某些情况下，该文档包含的内容往往比要求的要多。威胁参与者正在此文档中搜索用于存储个人数据的技术参考以及更改和删除过程中的断点。
• 案例研究:根据组织和行业的规模，目标可能是软件供应商的参考客户。传统上，供应商会提供折扣或其他东西，以换取被称为可信提供商。从侦察的角度来看，这可以让威胁者的生活变得更容易。根据这些案例研究中共享的详细程度，威胁参与者可以获得有关 IT 和安全技术及流程的关键信息。例如，这可能包括操作系统版本、防病毒软件、网络拓扑或安全策略。

一旦被动信息收集完成，下一步就是主动信息收集。在侦察阶段的这一部分，威胁参与者准备一个复杂的网络钓鱼攻击来寻找更多信息。通常，威胁者会伪装成接收者信任的其他人，并有借口操纵该人在没有意识到的情况下放弃敏感信息:

• 网络钓鱼电子邮件:根据美国联邦贸易委员会 ( 联邦贸易委员会)的规定，网络钓鱼一词的定义是，当骗子使用欺诈性电子邮件或文本，或模仿网站让你分享有价值的个人信息，如账号、社会安全号码或你的登录 id 和密码。社会工程工具包 ( SET )包括 Metasploit 等工具，威胁参与者使用这些工具来自动化创建和分发钓鱼电子邮件的过程。最初的一组电子邮件通常会要求用户在受损网站上重置密码，或者打开恶意附件，从而允许在用户终端上运行键盘记录器。
• 聊天:在某些情况下，威胁者可能会根据从潜在受害者用户的偏好中获得的被动信息创建一个虚假的角色。他们创造一个假的角色，看起来像是受害者的潜在最佳人选，这样他们就可以通过一起聊天在短时间内建立信任。在某个时候，威胁者会开始间接询问敏感信息。

真实世界的例子

虽然理解社会工程的概念以及威胁参与者如何执行侦察很重要，但探究威胁参与者如何在现实世界中利用社会工程也很重要:

• 红色警报行动:2017 年，一个被怀疑来自俄罗斯的威胁行动者组织与一家巴西电信公司签约，以北京的一家竞争对手公司为目标。竞争对手公司因其在信息安全方面的大力投资而闻名，这使得安全运营中心 ( SOC )能够获得最新的技术、当地最优秀的人才和强大的内部安全流程。在侦察阶段，威胁参与者购买了大量受损社交网络凭据的列表，并发现在公司不同团队工作的五个人都在该列表上，并且这些凭据仍然有效。

一旦他们进入这些社交网络帐户，威胁参与者就会发现这些人之间的几次聊天对话，他们抱怨强大的安全措施会影响他们自己的工作效率。据怀疑，威胁行动者对这些聊天对话进行了五个月的监控。在此期间，他们了解了密码重置政策、几名帮助台员工的姓名、其中两人的公司电子邮件地址，甚至一个人的公司密码。威胁参与者利用所有这些信息为自己谋利，并起草了一封看起来像是来自帮助台员工的有针对性的密码重置请求电子邮件，要求他们访问一个网站以输入用户名和密码。该网站的外观和感觉与企业网站相似，但威胁参与者不仅可以看到用户的每次击键，还可以在终端上复制他们的有效载荷，并开始他们的网络攻击。

• 黄色警报行动:2016 年，一个民族国家威胁行动者组织将目标对准了一家受制裁国家的公有石油公司。这次网络攻击的目的是减缓当地的抽油速度，迫使政府继续谈判。受害公司采取了强有力的物理和网络安全措施，使其几乎不可能通过传统攻击媒介(如网络钓鱼电子邮件或电话诈骗)来攻击该公司。在侦察阶段，威胁行动小组发现员工停车的停车场没有安装摄像系统。因此，该组织准备了许多恶意的 USB 拇指驱动器，并付钱给周围地区的孩子，让他们在假装踢足球的时候把它们扔在停车场。虽然不清楚有多少恶意 USB 拇指驱动器被丢弃，但已确定威胁行动者小组能够访问六个用户凭据。这是可能的，因为尽管很难进入大楼，但没有控制措施来防止不受信任的代码运行。一旦该员工连接了 USB 拇指驱动器，它就会在后台执行恶意代码，实现与威胁参与者的客户对客户(【C2C】)通信。

• 黑色警报行动:2016 年，一个威胁行动组织将东欧的一家银行作为目标。目标是危害 web 开发团队的端点，允许他们在在线银行门户网站中植入恶意代码。威胁行动者小组通过专业网络上的条目发现，该银行正在进行一项可访问性测试。作为其中的一部分，IT 部门会将不同型号的键盘发送给最终用户进行评估。威胁参与者行动迅速，将键盘记录器硬连线到新键盘上，准备了一份似乎由 CTO 签署的支持文件，以感谢 web 开发团队对该计划和整体业务的贡献，并将其中七个被操纵的键盘发送到了公司的主地址。仅仅过了两天，该银行内部开发人员的前两个端点就向威胁参与者 C2C 服务器报告了情况。

• 紫色警报行动:2015 年，一个被怀疑以朝鲜为基地的威胁行动组织将一家美国科技公司作为目标。那次网络攻击的目标是确定几项关键技术的产品路线图。在侦察阶段，威胁参与者扫描组织结构图、自动电子邮件模板和新闻稿，并了解不同部门的内部缩写。一旦确定了所有这些内容，威胁参与者就会准备一封复杂的网络钓鱼电子邮件，在普通用户看来，这就像是自动计费系统发送的常规费用支付确认。该网络钓鱼电子邮件的附件包含恶意宏，一旦启用，就会将恶意有效负载加载到终端上，从而允许与威胁参与者进行 C2C 通信。

Please refer to the link www.packtpub.com/sites/default/files/downloads/LearnSocialEngineering_ColorImages.pdf for the images of this chapter.

十二、请教专家——第二部分：保拉杰诺维奇

Paula Januszkiewicz 是世界知名的 IT 安全顾问、渗透测试员、企业安全 MVP 和培训师(MCT)。Paula Januszkiewicz 是 CQURE 的创始人兼首席执行官。她全心全意为公司工作，坚信高品质和积极的思维是成功的关键。在 CQURE，她致力于自己的爱好，安全咨询。她参与了数百个安全项目，包括一些政府组织的项目。她也是许多知名会议的顶级演讲人，包括微软 Ignite(她在 1100 名其他演讲人中被评为第一名)、RSA、TechDays、cybercrime 等。宝拉热衷于与他人分享她的知识。私下里，她喜欢研究新技术，并将其转化为写作训练。她可以访问 Windows 的源代码，目前正在她的教育项目 CQURE Academy 上进行离线和在线安全研讨会。

对黑客和尽职调查的扭曲认知

专有技术是当今组织的生命线。不幸的是，企业网络犯罪威胁的规模和性质在过去几年中以惊人的速度增长，其主要目标是数据盗窃。所谓的国家支持的攻击、黑客行动主义、内容泄露和恶意软件(包括勒索软件)正变得司空见惯。毫无疑问，技术是必要的，在这个时代，可用的解决方案使我们能够充分保护我们的基础设施。然而，我们很少看到完美的安全状态，即所有潜在的进入点都被适当的防御手段所覆盖。这就是为什么保护一家公司免受社会工程攻击已经成为网络安全框架的一部分，而这只是从教育开始。

作为网络安全框架的一部分，社会工程在网络尽职调查过程中值得特别关注。企业必须进行尽职调查，努力领先网络犯罪分子一步。整个流程包括对组织用来保护其数据资产安全的治理、程序和控制措施的全面审核。有效执行网络尽职调查流程应包括以下内容:

• 所有网络防御的渗透测试，包括社会工程测试
• 对公司数据资产的评估
• 对数据保护措施的审计
• 对违规管理和事件响应计划的审核
• 符合行业特定数据法规和标准的审计
• 怀特分析了公司在互联网上的存在

网络尽职调查使我们能够识别技术和组织安全方面的网络安全风险和漏洞。作为整体测试流程的一部分，社会工程测试将查明需要缓解的领域，以降低未来违规的风险，最终实现更准确的评估

在我的社会工程经验中，我从未失败过。曾经只有一个人力资源助理关心我的活动，但这导致了更多的信任，因为我面无表情地解释了我在那里的原因。我最喜欢的一项社会工程测试是在一家欧洲金融机构进行的。典型的社会工程骗局遵循一个 4 阶段的过程— 信息收集、 关系发展、 利用，以及 执行。我的工作是证明我可以进去窃取一些信息。该公司有三个网关，我可以通过，第一个很容易绕过，因为它们只是一个门，通过卡，PIN 码，或通过使用可用的对讲机直接呼叫公司。早上，这些都是不必要的，因为我只是跟在一个有合法通道的人后面。这让我可以进入电梯区，员工可以在键盘上按下他们想去的楼层号码。我在电梯区等着，直到选好楼层。当电梯门打开时，我跳进电梯后面，和一个非常英俊的男人开始了愉快的交谈。过了一会儿，当我们到达选定的楼层时，他用他的卡打开了门，并说， 女士优先！。然后我设法去了交易者的楼层，在那里我可以坐在某人的桌子旁玩一台没有上锁的电脑，所以我就去了。

令人印象深刻的是，为了得到所要求的信息而不被问任何问题，我可以走多远。我设法利用了“熟悉度利用”,这是最好的社会工程技术之一，在这种情况下，一个人必须对其他人表现得绝对正常。电梯里的那个人感觉我们彼此认识，在交易大厅里，我对自己正在做的事情非常有信心。如果有人质疑我的存在，一个技巧是创造一个敌对的环境，在那里攻击者可以假装和他们家里的人打了一架等等。你周围的人会注意到你，但他们也会试图避开你。

在更大规模的攻击中，经常会观察到有人被雇佣，然后这个人看起来是竞争对手的间谍。接下来就是，成为一名成功的社会工程师的关键是信息收集。你对你的目标了解得越多，你就越有可能从他或她那里得到你想要的东西。与普遍看法相反，鱼叉式网络钓鱼攻击是精心制作的，与目标相关。识别欺骗并不像大多数人认为的那样容易，所以员工必须接受培训，通过给发送者打电话来质疑和验证自发链接。

这个问题最好的部分是，所有这些谎言都可以通过员工培训来缓解。在我看来，公司应该将安全活动作为工作描述的一部分，然后负责培训员工进行批判性思考，了解他们的工作场所，并对可疑活动做出反应。重要的是要认识到任何人都可能危及公司，尤其是我们不认识的人，因为他们以前从未在我们的工作场所出现过。

感恩不尽，而暴黄

拥有超过 3000 个各级网络犯罪调查案例的经验，；ükrüdur maz是全球网络犯罪调查领域的领先专家之一。凭借他的背景，数字取证和网络安全专家 Durmaz 先生是 DIFOSE 有限公司的董事总经理。他是国际刑警组织、欧洲刑警组织、FIEP、北约和 OSCE 组织的全球会议的获奖演讲者和技术专家。他还是一名关于网络犯罪、事件响应和数字取证的国际讲师。Durmaz 先生写了许多关于网络犯罪、网络安全和数字取证的文章。

Raif sarca拥有二十年执法经验的各级 通信与信息系统 ( CIS )和情报。他还在 EUFOR 和北约担任独联体安全专家。他拥有宾夕法尼亚州立大学信息系统专业的研究生学位，并撰写了许多关于 IT 安全、风险管理、防御、网络安全和数字取证的文章。目前，他正在撰写一本关于风险管理和安全的新书。

正如《孙子兵法》中所说， 一切战争都是基于欺骗。因此，当我们能够攻击时，我们必须显得无能为力；在使用我们的力量时，我们必须表现得不活跃；当我们在近处时，我们必须让敌人相信我们在远处；当远的时候，我们必须让他相信我们就在附近。

正如孙子明确提出的，这完全是欺骗，或者换句话说，控制对敌人/对手/目标/个人的感知。你应该以这样一种方式欺骗你的对手，让他/她相信你想让他们相信的东西，从而按照你想让他们做的那样去做。由于这种普遍的欺骗伎俩与人类的存在一样古老，因为它始于撒旦欺骗/误导亚当和夏娃吃禁树上的果子，所以它远远超出了社会工程学。社会工程只是成千上万个行骗领域中的一个新领域。除了一些技术设备，用于社会工程的技术和用于实现传统欺诈的技术之间并没有太大的区别。

当我们谈到欺骗时，人类的心理学和心理游戏不可避免地会发挥作用。如果我们把社会工程定义为利用人类共同的弱点，使之符合我们的意愿，那也不会错。这正是所有骗子或社会工程师所做的。社会工程师为了他们的利益利用我们的情绪来实现他们的目标或实现他们的攻击。首先，让我们所有人容易受到社会工程攻击的是我们的情绪，如恐惧、愤怒、信任、惊讶、厌恶和贪婪。因为这些情绪是我们存在的核心，所以总是有被欺骗的可能性，只要人类存在，就没有逃避的可能。

情绪是身体对某些刺激的反应，情绪反应被编码到我们的基因中。如同所有生物生命形式一样，它们通过对威胁、回报以及两者之间的一切做出快速反应来帮助我们生存。例如，当我们害怕某事时，我们的呼吸会加快，我们的心跳会加快，我们的嘴巴会变得干燥，我们的肌肉会紧张起来，为任何意想不到的行动做好准备。这种情绪反应是自动和无意识发生的，因为它们是我们生存的本质，就像所有生物生命形式一样。

我们可以把我们的情感想象成另一种感觉，比如视觉、听觉、触觉、味觉和嗅觉。事实上，它们有时甚至比我们的感官更具决定性和重要性。我们每天感受到的情绪迫使我们采取行动，并影响我们每天做出的决定。有些情绪为我们提供信息，有些情绪促使我们采取行动。例如，当我们不喜欢的事情发生时，愤怒可能会产生，我们的愤怒可能会激励我们做一些事情来改变这种不愉快的情况。当我们受到威胁时，恐惧可能会产生，它导致我们为了生存而逃跑、战斗或冻结。从这些例子中可以看出，我们的情感、思想和行为都是相互联系的。

由于逻辑推理和情绪状态之间的联系，情绪对我们思考、决定和解决问题的方式有着重要的影响。随着积极或消极情绪的强度增加，我们的逻辑推理能力下降。推理是一项费时又累人的脑力活动。识别备选方案，想象结果，并确定将提供最佳结果的备选方案可能需要比我们手头更多的时间。在某些情况下，我们可能没有所需的注意力和工作记忆资源。例如，当我们高度兴奋、害怕或惊讶时，我们的推理能力就会下降。那些强烈的情绪从工作记忆中带走了本该用于处理推理任务的资源。同样真实的是，当我们快乐且心情愉悦时，我们会追求更全球化、更理性的策略，而较少关注手头的事情。当我们害怕时，我们会把我们的推理抛在脑后，仅仅基于我们的恐惧而行动。

假设你在街上突然遇到一只大白狗。你的第一反应将主要基于你的情绪，这是我们基因中帮助你生存的编码。你的情绪压倒了你的想法，因此，你失去了情绪和想法之间的平衡。失去平衡的原因是你强烈的情绪(恐惧、焦虑、压力、无助)和你必须在选项中选择的短暂时间(几秒钟，甚至不到几秒钟)。如果你碰巧能找到其他选择。由于高度的恐惧、焦虑和压力，你无法在很短的时间内找到最佳的选择，就像一只被车头灯照着的兔子，你只是呆在那里。当你被社会工程师欺骗时，同样的事情也会发生。他们把你引向一种心态，在这种心态下，你失去了平衡，不能合理地输入或使用你的推理能力。

社会工程师用来欺骗我们的一些策略总结如下，并附有例子:

• 信任:社会工程师用来欺骗我们的第一个策略是信任权威。生活在社会中的结果是，人类在自己之间寻求等级，并遵从基于等级和角色的权威。如果一个处于权威地位的人告诉我们要以某种方式行动，我们就会服从他们。我们接受人们是权威，因为他们有我们认为应该服从的角色，他们穿着反映他们角色的衣服，如制服和西装，或者其他人告诉我们他们是权威。在大多数情况下，我们尊重或服从权威，因为社会训练人们不要质疑权威，我们所有人都很容易受到社会影响。我们信任他们，或者我们被认为信任他们，信任带来服从。假设一名社会工程师在电话中扮演一名执法人员，并描述了您的银行账户的问题情况，一步一步地使用正式的词语和许多政府机构的名称，以及据称使用了您的银行账户的犯罪组织。他声称你的账户向一个恐怖组织进行了电汇。就像警察总部一样，假设你在他讲话时也听到了警察无线电的声音。此外，他知道你的名字和姓氏，你的妻子，你的孩子，你的地址，甚至你存钱的银行的名字。 感觉如何？ 惊慌、害怕、兴奋、压力大？那个社会工程师有没有可能用他事先详细侦察时收集的所有情报来提高所有那些情绪的水平？ 愿你的推理被这些情绪蒙蔽？社会工程师有没有可能获得你信用卡号码或任何其他货币信息，以便利用他的最终目标？
• 从众原则:第二个战术是 从众原则。人类天生是社会性的，称人类为社会性动物不会错。我们需要其他人来生存，我们随时准备好进行社会互动，因为这种需求是我们原始生存本能的核心。因为我们倾向于生活在一个社会中，它塑造了我们的思想、行为和心理。这就是一般化或羊群行为发挥作用的地方。从众行为来自于从众的社会压力，我们有一个共同的基本原理，即大多数人不会错。即使我们以某种方式确信一个行为是非理性的或错误的，我们仍然会随大流，认为他们知道一些我们不知道的事情。作为人类，当我们相信大多数人的行为或反应是积极的时，我们更有可能作出积极的反应。

因此，为了最小化风险，当我们周围的人似乎都在冒同样的风险时，我们通常会放松警惕。另一个事实是，消费者的购买决定主要受用户对产品和服务的在线评论的影响。想象一下，你即将以低价赢得一台笔记本电脑的在线拍卖。在决定拍卖之前，你会详细查看卖家的个人资料，你会发现他的账户充满了积极的反馈。所以，你不会因为他闪亮的侧面而产生怀疑和信任。他的简介和所有积极的反馈可能是真实的。另一方面，也有可能他已经和他的同伙建立了良好的声誉来吸引顾客。在这一点上，你的信任原来是基于从众原则。

• 当机立断 : 欲速则不达。第三个策略是迫使我们迅速做出决定。我们大多数人更喜欢有足够的时间来分析一个情况，并考虑替代方案。我们从来不喜欢在很短的时间内做出决定，因为信息匮乏，而且主要是我们面前的不确定性或黑暗。犯错的可能性增加了，因为我们应该对形势做出快速评估，并根据非常少的信息做出结论。在这些时候，恐惧、压力、兴奋和焦虑等情绪会控制我们的大脑，我们大多会把逻辑推理放在一边。我们有时甚至喜欢感受肾上腺素，冒险进行快速评估。我们从来不理解或意识到我们是如何结束的。为了让我们处于这种精神状态，并利用这种弱点为自己谋利，社会工程师引导我们采取一种逻辑推理更少、决策更草率的策略。当我们被迫决定通常需要几天时间来评估的事情时，我们很难停下来正确地评估情况。基于社会工程师的创造力，从电汇骗局、约会骗局、在线拍卖或订阅陷阱开始，有各种各样的选择。
• 贪得无厌的胃口:人类贪得无厌的胃口是第四种策略。贪婪是一种复杂的多方面的情感。一方面，它可以激励我们更加努力地工作，富有创造性。另一方面，极度的贪婪会破坏我们在财富、成功、美丽甚至道德价值方面的所有收获。没有终点，除非我们能设法控制它。问一个千万富翁，他对自己拥有的是否满意。他可能有很多想做的事来得到更多。我们对财富、成功、名誉、美丽等永不满足的渴望永无止境。我们尽最大努力为自己争取尽可能多的东西，直到死亡的那一刻。

西格蒙德·弗洛伊德声称贪婪是自然的，人类生来贪婪，这似乎完全正确。说贪婪甚至可能与生存和进化有关也不会错，因为我们的基本本能是为了我们物种的延续而假设我们的遗传密码是永恒的，而提高的社会地位可能有助于我们为无休止的进化斗争吸引更多更好的配偶。既可笑又荒谬的是，我们从未停止贪婪，即使我们确信我们合理或不合理的需求或欲望会使我们变得脆弱。一旦社会工程师知道你或你贪得无厌的胃口真正想要什么，不管为什么，他们可以很容易地用它来对付你。你可能听说过尼日利亚 419 骗局，如果你帮他们把钱转移到国外，他们会给你一大笔钱。他们通过电子邮件、信件或社交网络信息与你交流，并告诉你一个虚假的故事，关于中央银行的资金或由于政府限制或税收而难以获得的巨额遗产。他们会给你股份，条件是你要帮助他们，给你银行账户的详细信息来转账，或者他们要求你支付费用、收费或税收来转账。你不认为这是什么大不了的事，因为你期望最后能得到一大笔钱。然而，你从来没有收到任何钱，只要你愿意放弃，你就会继续支付越来越多的钱。

• 肾上腺素:第五招全是 肾上腺素。即使许多人试图建立安全的生活， 为什么人们仍然冒险？ 有人热爱速度，疯狂驾驶，有人做蹦极、冲浪、滑翔伞、跳伞、下坡山地车等极限运动。冒险绝对违背逻辑，理性无法解释人们为什么会做出不可预测的事情。当然，有很多刺激和兴奋，但是这是在边缘生活的足够理由吗？ 据说与多巴胺有关，多巴胺是一种让我们感觉良好的化学物质。当我们吃甜点时，当我们发现我们丢失的重要东西时，或者当我们能够为我们关心的人做些事情时，多巴胺是让我们快乐的原因。当我们做一些大胆和疯狂的事情时，它也使我们感到兴奋和兴奋。不管是化学物质还是对刺激的疯狂追求，人们在危险和刺激的条件下往往会做出不理智的行为，更容易犯错误和被利用。社会工程师意识到我们对风险、刺激和冒险的渴望，并相应地在他们的骗局中使用它们。

真实世界的例子

一些真实世界的例子如下。

权力的游戏

我的一个朋友 Adam 给我讲了一个有趣的社会工程故事，他在一家著名的 IT 安全和咨询公司工作。他和他的老板一起拜访了一家大银行的 it 部门，这家银行的首席信息安全官()是他老板的老朋友。

Adam 为本次会议准备了一份演示文稿，内容涉及最新的已知攻击媒介、威胁参与者如何利用它们来利用漏洞和危害系统，以及他们的公司在漏洞评估、渗透测试等方面提供了什么。在演示过程中，亚当注意到 CISO 有些令人讨厌的地方，他的肢体语言，尤其是他轻蔑的眼神。他看起来有点自大，极度自信。他带着轻蔑的眼神听亚当说话。他没有问任何关于演示的问题，甚至没有感谢他。

他的老板开始谈论他们的系统和服务。有一次，他允许他的朋友对他们的 IT 系统进行漏洞评估和渗透测试。CISO 开始大笑着说:“我们的系统是业内最安全的，我们有最新的软件和硬件，也有最有才华和经验的 IT 人员。不要误会，但我肯定我的 it 人员比你们的好得多。我们有能力做我们的测试或控制。我为什么要花钱买我不需要的东西？最重要的是，我们有很多机密信息，我们应该自己保护客户的隐私，我不能让任何人接触这些信息，即使是你我的朋友”。

亚当对那个自大的 CISO 感到很恼火，但他的老板却很平静，脸上带着勉强的微笑。他对他的朋友说，我给你一个免费的评估。如果我们找不到任何漏洞，如果你的 IT 系统像你说的那样完美无缺，一切都将是免费的”。当他们正在讨论时，亚当接到了一个电话，他离开房间去接电话。秘书的电脑屏幕上有个东西引起了他的注意。她试图在一个在线网站上观看电视连续剧 【权力的游戏】 中的一集。讲完后，他走近秘书说: 这是我看过的最好的电视连续剧。她因被发现在上班时间看电视连续剧而有点尴尬。仿佛上班时间看也没什么不好，亚当诚恳地继续，“你最喜欢的角色是谁？” 矿山是丹妮莉丝·坦格利安。她不仅漂亮，而且如此高贵。尴尬过后，她松了口气，友好地笑了笑，害羞地回答道:“我的名字是约翰·斯诺。”。

他们就 【权力的游戏】 友好地聊了将近 10 分钟，快结束时亚当说， 我有所有季节的所有剧集，如果你想要我可以把它们刻录在 DVD 上，然后发给你。没有意识到经验丰富和专业的亚当的鬼祟想法，她感激地接受了。

亚当转身回到会议上。由于 CISO 的顽固和傲慢，他们停留了半个多小时，在脆弱性评估和渗透测试方面没有取得任何成功就离开了。在将自己的想法告知老板后，亚当为秘书准备了一张 DVD，包括电视连续剧的所有季节、 【权力的游戏】、 以及一个小小的无害脚本。他和他们公司的送货员一起把它送给了秘书。他甚至给秘书附上了一张友好的便条，说明他多么喜欢和她聊天，还附上了一份他有的连续剧和电影的清单，以防她想看。

一天后，他的老板接到该银行 CISO 的电话，要求进行漏洞评估、渗透测试和咨询，因为秘书已经开始观看电视连续剧，脚本也已运行，并向 CISO 的 PC 屏幕发送了一条消息，内容为: 您应该接受 pen 测试，您已被黑客攻击。

乱世佳人行动

亚当是一个 26 岁的单身男人。他没有那么英俊，有点超重，腹部松弛。然而，他有一种他周围的大多数人都不知道的品质。他的父亲非常富有。他在攻读硕士学位时，经历了一生中最令人沮丧的经历之一。

在一个下雨天，他正走在街上，这时一个可爱的金发女郎意外地(！)倒在他面前。作为一个绅士，他帮助她站了起来。脸颊上挂着泪水，她看起来是如此悲伤、害羞和无助。亚当感到可怜，试图和她说话。没有进入细节，他们最终在一个自助餐厅谈论发生了什么。她编造的故事充满了悲伤和无助。她是一名来自不同城市的学生，她离开了她的室友，开始和她刚刚分手的男朋友一起生活，因为他欺骗了她。她现在没有任何地方可去等等。不用说，她真的很可爱，很有魅力。骑士精神和睾丸激素控制了他的大脑，亚当邀请她去他的公寓，至少在她找到住处之前。她在亚当的公寓呆了两天。她真的很热情、友好、开朗，至少亚当是这么认为的。她找到了新的公寓出租，亚当甚至把第一笔租金电汇给了她所谓的房东。

一天，亚当注意到他的手机没有信号。想着可能是服务商有问题，他一开始也没当回事。差不多过了一个小时，他用朋友的电话打了客服。那一刻，他第一次注意到事情不对劲，因为服务台的女士告诉他，他们已经发放了一张新的 SIM 卡，因为他报告说他的手机被盗了。他很震惊，并试图解释说，他没有报告任何类似的事情。经过大量的真实凭证和安全问题后，她相信了亚当，然后停用了新的 SIM 卡，并建议他尽快去最近的授权商店。

损失评估结果完全是一场灾难。从他的银行账户电汇了 23000 美元还有 6000 美元的信用卡消费。他被一个所谓甜美、友好、漂亮的女孩盲目地骗了。当她住在他的公寓时，她窃取了所有需要的信息，如信用卡号、身份证、电话号码、个人识别码，甚至手机银行密码。

那天之后，那位可爱的女士就没有了踪影。她完全迷失了。警方仍在调查此案，但他们没有太多的证据，因为这是一个精心策划的骗局。警方掌握了银行账号、信用卡交易信息、一些地址和安全摄像头记录，但还没有结果。

在不同的文化、种族和宗教中，帮助和分享被认为是令人钦佩和值得称赞的品质，但在亚当的案例中还有一个额外的激励因素，一位需要帮助的美丽女士。正如亚当所说， 他是骑士精神和他的睾丸激素的牺牲品。

骗局行动骗子

有一些骗子声称他们是专家，他们可以打破咒语或逆转诅咒。也有很多人相信他们被下了咒语或某种黑魔法，并在寻找能解除诅咒的人。这个有趣的现实世界的故事是关于一个神奇的骗子被骗了。

一切都发生在长达几个小时的 WhatsApp 聊天中。亚当和一个所谓的魔术大师在 WhatsApp 上聊天:

亚当:“你好，那里。我在网上找到了你的号码。我觉得有人对我施了黑魔法。我一个人住，但我听到人们说话或婴儿哭泣的声音。我要疯了。没人相信我。请帮助我的主人，我不知道我还能去找谁。我很无奈”。

师傅:“冷静。我们会查清楚的。”

亚当:我甚至不能说话。每次我回到我的公寓，我开始听到人们的声音。我觉得他们要掐死我了。我打开电视是为了让他们安静下来，但他们似乎就在我的脑海里。”

主人:“你身上真的有黑魔法。我能感觉到，但是别担心。我会解决的。我会录下一些咒语，然后发给你。把音量调大，让大家都能听到。在此之前，我相信你也从网上了解到这项服务将收取 200 美元。

亚当::“钱不是问题。如果你能把你的 国际银行账号(【IBAN】)发给我，我就能把钱寄给你。”

主人:“我的伊班是...(他发了所谓的咒语来破除咒语)”

亚当:“钱马上就会到你的账户上”。(30 分钟后)

师傅:“我还没收到钱。”

亚当:“我正试着把它寄出去，但每次我都收到银行发来的这条信息。”(亚当发送了一个捏造的截图，注明 您的账户被暂停，如果您希望恢复您的账户，请存入 300 美元。请注意，在您的付款得到处理之前，它将一直处于暂停状态

师傅:“你是在耍我吗？这是什么意思？”

亚当:“我太感激你了，我真的很想还债。你的服务不能用金钱来衡量，相信我，我会尽力的。我是一名警察，我日夜为社区服务。我会让我的一个朋友给我转 300 美元，这样我就可以给你寄钱了。请再给我几分钟。”(一小时后)

师傅:“我还没收到钱。”

亚当:“我联系不到我的朋友。我打电话给其他人要钱，但我还是找不到。我欠你的，我感到很难过，我不能支付你的钱。”

主人:“所以呢？”

亚当:“别误会，你能给我寄 300 美元，让我恢复账户，然后给你寄 500 美元。”

大师:“这太可笑了。我为什么要给你寄钱？”

亚当:“这是我现在唯一能想到的办法。正如我之前写给你的，我是一名警察。我是来维护公共秩序的，你帮我解决了最大的问题。我觉得欠了债。我的伊班是....我保证一恢复账户就给你汇钱。”

主人:“我刚汇了 300 美元，请查收并通知我。”(15 分钟后)

亚当:“太感谢你了，主人。现在你真的解决了我的问题。我永远不会忘记你，当然，再见。”

手机诈骗行动

我们的新例子是一位 70 岁的教授，她因关于健康饮食的书籍而闻名。她无意中把近 3 万美元交给了电话骗子。骗子从她的网站上得到她的电话号码，假装是警察和检察官给她打电话。一周后，当骗子被警察抓住时，她拿回了她的钱。她在证词中对骗局总结如下。

他们打电话给我，告诉我一个恐怖组织占据了我的账户，几千美元从我的银行账户来回电汇。他们说他们已经开始了针对他们的大规模秘密行动，如果有我的帮助，他们会抓住他们的。他们要我不要挂断电话，听从他们的指示，不要把任何事情告诉任何人，甚至不要告诉我的家人，因为手术是保密的。他们甚至说，他们很抱歉把我置于如此危险的境地，但他们没有任何其他选择，我是他们唯一的线索。想到我是在政府和警察部队的秘密行动中，我真的感到很兴奋，也很自豪。 正常公民一生中能经历多少次这样的事情？ 简直就像电影里一样。如果我说我被催眠了，这不会错。我就像一个五岁的孩子，听从她母亲的命令。他们让我做什么我就做什么。首先，我去银行取了 3 万美元。然后他们告诉我叫一辆出租车，来到市中心的一个公园。他们甚至让我向出租车司机要一张收据，因为他们会支付我在这次手术中的所有费用。我从出租车司机那里拿到了收据。因为我是一个知名人士，一些人想和我合影，或者有人提出带我去我想去的地方。我按照电话里那个所谓警官的指示，全都拒绝了。当我到达集合点时，他们指引我到一个公园，我把钱放在他们在电话里告诉我的车下，最后我离开了那里。

现在，我可以说，当被紧张和兴奋的情况触发时，情绪会模糊我们的判断，影响我们的决定，但在那段时间里，我从未想过我被骗了。当我想到我所做的事情，我在那几个小时里的感觉，我都在嘲笑自己，但是我可以诚实地说，我喜欢那种感觉，那种让我兴奋的感觉。我感觉自己像是秘密行动中的间谍。我很高兴我拿回了我的钱，我真的从经验中吸取了教训。

变色龙行动

被称为变色龙的骗子被警察抓住了。据说他在过去两年里诈骗了五名女性。

南希是那些被变色龙诈骗的女人之一，实际上她是他最大的受害者，因为她失去了她的公寓，还剩下 15，000 美元的银行贷款。南希是一名 47 岁的医生，独居，从未结婚。她是脸书和推特的活跃用户，拥有 6000 多名粉丝。南希和变色龙是在推特上认识的。她不知道她遇到了她一生中最大的错误。他们首先通过 Twitter 交流，然后是 Facebook Messenger，最后是 WhatsApp。变色龙扮演了一个 42 岁的刚离婚的电气工程师，他在两个不同的城市有两个办公室。在他们的聊天过程中，变色龙似乎是一个体面而成熟的人，有幽默感和人生阅历。在网上交流了一段时间后，他们决定见面。变色龙真的是个帅哥，185 cm 的身高，运动的身材，健谈，那种走到哪里都能交到朋友的男人。相反，南希是一个简单的女人，你可能每天都会在街上看到，170 厘米高，有一张可爱而纯净的脸，有点超重，健谈，但最重要的是，厌倦了孤独，因此容易受伤，即使她在内心深处不接受这一点。当南希要求变色龙搬进她的公寓时，他们已经约会快一个月了。过了一会儿，他们开始聊天，梦想着未来幸福的日子。南希心里七上八下。一切都很完美。她和一个完美的男人在一起，受过良好教育，善良，有爱心，浪漫。 她还能要求什么？那些浪漫激情的美酒之夜让南希神魂颠倒。有一次，变色龙告诉南希，一旦他解决了自己的经济问题，他就想娶她。他说，由于他最近的离婚问题，他已经失去了这么多钱，他甚至不能支付他的办公室租金。南希天真地表示愿意帮忙，因为她的梦中情人也想娶她。嫁给一个像变色龙这样体面的男人是她的梦想。一开始他拒绝接受她的钱，他甚至坚持了几天说他不能接受。他的坚持和所谓的诚实和骄傲产生了结果。

南希卖掉了她的公寓，另外获得了 15，000 美元的银行贷款。她做这一切都是希望尽快嫁给她的梦中情人，因为毕竟，他们是盲目的爱，或者至少这是南希天真纯洁的想法。南希的母亲和姐姐多次警告她，她并不那么了解这个家伙，她不应该付出她所有的一切，但她从来没有听他们的，因为她真的被爱情蒙蔽了双眼。她甚至和姐姐吵了一架，怪姐姐嫉妒她的幸福。

几天后，变色龙告诉南希，他失去了他的姑姑，需要去一个不同的城市参加葬礼。那是南希见到她的梦中情人的最后一天，直到两个月后他被警察抓住。她在经济和心理上都受到了伤害。

这个故事搞笑的地方是变色龙在警察局的一句话，我其实爱上了她，但是我不得不离开。

不幸的是，我们有一个假设，我们可以从外表了解一个人的好坏。因此，它引起了一个令人震惊的启示，就像在我们的变色龙例子中一样，当一个人外表看起来仁慈，但实际上却有着恶毒的个性。最后，请永远记住，无论年龄、性别、教育或文化，没有人能免于被这种隐藏的天使面孔和魔鬼头脑的怪物所欺骗，这仅仅是因为人类的愚蠢没有补丁。我们需要时刻保持警惕，不仅是为了我们自己，也是为了我们的朋友和家人。

光速行动

一切都发生在两分钟内。南希下班开车回家。这是又累又忙的一天，她正在听古典音乐来缓解疲劳和压力，这时她的电话响了。从来电号码看，她以为不是客服，就是银行的营销，或者是通讯公司。她喃喃地说，“我没有权力听你所有的垃圾”，没有接电话。然而，由于来电者的坚持，她的电话一直在响。她带着心中的愤怒和厌恶接了电话。某知名银行的 客服代表 ( CSR )开始说话了:

CSR: “是南希·史密斯吗？”

南希:“是”

“史密斯女士，我是 XYZ 银行可疑交易部的。为了保证质量，我们所有的电话都被录音了。出于身份验证的目的，我会问您几个您在开户时已经提供给我们银行的安全问题。” (CSR 问了她的出生年月和她的公民身份号码的最后四位数字，然后继续说。)

CSR: “我们注意到在 ABC 购物中心消费了 3000 美元。根据我们的安全政策，超过 2，000 美元的信用卡交易需要在授权前由我们的客户验证。 您是否在 ABC 购物中心进行过此类购买？”

南希:“不”

“史密斯女士，最后一步，我们的安全系统会给您发送一个验证码。我需要输入那个号码来取消你的购买。 请你读给我听好吗？

Nancy:“OK”(几秒钟后，Nancy 收到一个验证码，读给 CSR。

CSR: “谢谢史密斯太太；我取消了那次购买。 还有什么需要我帮忙的吗？

南希:不，谢谢。 现在真的取消了吗？”

史密斯女士，取消了。祝你愉快"

南希:“谢谢你。”

因为这个电话，南希感到如释重负和幸福。如果她懒得回答，她可能会损失 3000 美元。她告诉自己， 没有我的同意或者我不知道，怎么会有人使用我的信用卡呢？我应该去银行问问他们怎么保护我的信用卡。

她没有注意到任何事情，直到她收到了多花了 500 美元的信用卡账单。她马上打电话给客服，然后去了她的银行，但是已经晚了。她明白，她告诉 CSR 的验证码实际上是骗子在所谓的 CSR 与她交谈时用她的信用卡进行购买的验证码。几周后，当警察抓住那些骗子时，事情就明朗了。她只是那些骗子的受害者之一。该诈骗团伙的成员之一是她购买笔记本电脑的电脑商店的 IT 人员。他从商店数据库中窃取了所有的顾客信息，并和他的同伙一起诈骗他们的顾客。

双重骗局行动

经过 11 个月的调查，警方抓获了 96 名诈骗团伙成员。他们被指控在两年的电信诈骗中诈骗了 150 万欧元。

一开始，骗子收集在德国特定购物中心购物并申请汽车抽奖的受害者的凭据(姓名、电话号码)。其次，他们在土耳其用一个所谓的 客服代表 ( CSR )虚构了一个呼叫中心。CSR 是在从德国移民到土耳其的土耳其人中精心挑选出来的，他们德语说得很好。

CSR 拨打这些号码，并告诉受害者他们是从购物中心打来的，他们在抽奖中赢得了一辆汽车，但这辆汽车将从土耳其免税运出，获胜者应该支付运费。大多数所谓的赢家相信了 CSR 的故事，并通过西联汇款向土耳其发送了虚构的运费。

当受害者没有得到任何汽车时，骗局的下一步就开始了，他们开始抱怨，并威胁 CSR 在接下来的几天里向警方报案。

其他队员称受害者为来自西联汇款的人。他们声称有许多像他们一样被骗的德国公民，他们正在与德国警察部队一起开展行动，以抓住骗子，他们需要受害者的帮助。最后，他们要求受害人再次向西联汇款，以便在他们取款时抓住他们。受害者再次寄钱，以节省他们的钱，也有助于警察部队抓住他们。

安迪·马龙

Andy 在国际上享有盛誉，职业生涯长达 21 年，他不仅是世界级的技术讲师和顾问。而且还是微软 最有价值专业人士 ( MVP )和多次获奖的国际会议演讲人，这些会议包括微软 Ignite、IT Pro/Dev Connections、Spiceworld 和网络犯罪安全论坛。他充满激情的演讲风格，加上一种有趣的感觉，已经成为他的标志，并为他赢得了巨大的赞誉。

虽然 Andy 的主要关注点是网络安全、合规性和保护，但他也喜欢谈论云技术，如 Microsoft Azure 和 Office 365。由于知识可以追溯到 MS-DOS 2 和 Windows 2.0 时代，所以经常会有有趣的故事可以讲述。但是技术永不停息，安迪继续与微软产品团队合作，创造和交付突破性的材料。安迪也是科幻惊悚片《第七日和 影随形的获奖作者。

社会工程——安迪·马龙

不可否认的事实是，我们都是习惯性动物。从我们出生之前，到我们死去的那一刻，我们的整个生命是一系列永无止境的模式。从学习人类语言的基础，到我们何时吃饭，甚至我们何时以及如何去工作。当然，有些人会提出相反的观点，但是作为一名安全专家，我们的工作就是观察这些模式并分析它们是否存在任何潜在的威胁。航空安全程序可以作为一个完美的例子。作为人类，我们有天生的信任他人的本能。我们的家人和朋友，我们的银行，我们的食品供应商，甚至我们的政府。即使在网上，我们也可以随意地和脸书的朋友聊天，或者用信用卡在网上购物。这很大程度上是基于信任。我们相信，在脸书与我们交谈的人，实际上是我们认为的那个人。或者我刚从银行收到的邮件是真的。但是 如果不是呢？ 信有恶意怎么办？ 如果我们与之交谈的人，并不是他们自称的那个人呢？ 有哪些可能的后果？

社会工程当然不是什么新鲜事。事实上，它已经存在了几千年。一个经典的例子是著名的木马的故事。但在现代数字世界中，社会工程不仅成为网络罪犯青睐的武器，也成为职业黑客青睐的武器。在下一节中，我们将只看几个我最喜欢的社会工程技术，我不仅会解释它们是如何工作的，还会解释为什么。我还将讨论一些补救解决方案。

网络钓鱼

这种经典的攻击方式，我喜欢称之为“路过式攻击”。尽管这种无所不包的方法没有特别针对某个特定的个人，但它非常擅长于覆盖或抛出一张大网，本质上是等着看会有什么回来。通常，这种类型的攻击可能是技术性的，即以恶意电子邮件、链接甚至网页的形式。它也可以是非技术性的，例如有人假装从您的银行打来电话，询问您有关帐户的问题。

在大多数情况下，这种类型的攻击是成功的，因为攻击者试图通过通知受害者有问题需要某种形式的紧急关注来非法获得受害者的响应。

您的网飞帐户将被锁定，或者您的计算机上有病毒，有人可以帮助您根除。在早期，这种类型的攻击相当普遍，很容易发现。网上有成千上万的例子。但是最近，犯罪分子正在使用越来越复杂的方法，这些方法表面上看起来似乎是良性的，但实际上掩盖了更为邪恶的东西。一个例子是不起眼的 快速反应 ( QR )码。它本质上是下一代条形码，类似于一个矩阵或方块，包含一堆杂乱的字符。这种类型的图像以及其他缩短的 URL(微小的 URL)的问题是，接收者无法验证内容，直到链接或代码被点击。问题是，一旦激活，可能就太晚了。

简而言之，许多此类攻击通常会利用恐惧心理，试图诱使受害者采取某种形式的行动。如果是银行发来的邮件，通知你你的账户将被删除。你必须问自己，首先， 你的银行会发送这样的电子邮件吗，为什么？ 解决方法当然很简单，用一点常识。如果您担心，请通过官方电话号码致电您的银行来核实信息，而不是通过电子邮件中显示的电话号码。一点点努力就能很快揭示真相。

在技术性网络钓鱼、不请自来的电子邮件、链接、附件等情况下，千万不要点击来自不可信来源的链接或打开来自陌生人的附件。在这种情况下，诈骗信刚刚告诉你，你已经赢得了尼日利亚彩票，帮自己一个忙，并将其归档在垃圾下。记住，如果听起来好得不像真的，那很可能是个骗局。当然，网络钓鱼有各种各样的变种。 例如，捕鲸通常以定向攻击的形式针对公司内的高级管理人员、首席执行官、首席信息官和首席技术官，具体目的是进行工业间谍活动并最终获得经济利益。在大多数情况下，公司可以通过采用可靠的公司安全策略和生成反社会工程程序来防止此类攻击。这可以通过内部或外部安全意识培训计划提高员工意识来实现。教育和意识是最好的预防。

勒索软件

从历史上看，计算机病毒当然不是什么新鲜事，网络上充斥着关于它们能力的恐怖故事。通常，通过恶意链接、邮件附件和流氓软件传递，这种不起眼的病毒可用于传递恶意负载，旨在窃取机密信息，甚至破坏计算机或其组件。

这可能是在计算的早期作为一个无辜的恶作剧开始的。这种病毒通常会传递一些愚蠢的信息。然而，在某个时间点，犯罪分子突然意识到在街角贩卖毒品或实现复杂的银行抢劫往往是一种冒险的行为。解决方案是创建恶意软件，这些软件本质上可以提供自动攻击，从而有效地允许犯罪分子同时攻击多个目标。最终目标是破坏受害者的机器或窃取个人或有价值的数据。

正如我们所讨论的，自 90 年代初以来，病毒一直在进化，但近年来，我们看到一种新的威胁出现了，勒索软件。

勒索软件代表了一种新型的恶意软件，它结合了传统的交付机制，如恶意链接或有效载荷，以及附加的加密刺。一旦发送出去，恶意软件就会对受害者的数据进行加密，使电脑变得毫无用处。当然，受害者会得到一张出狱卡，这通常包括支付赎金。显然，一旦被支付，受害者只能希望罪犯会解锁他们的数据，但在许多情况下，可悲的是他们没有。这些类型的攻击通常针对较旧的操作系统，如 Windows 7 或未打补丁的机器，令人遗憾的是，这些攻击给全球许多大型组织造成了严重破坏，包括英国的国民医疗服务体系。

结论

现在，在这几页的范围内，我可以用无数的章节来提供可能攻击您的组织的物理攻击和自动攻击的示例和详细描述。但是，说实话，互联网上充斥着成千上万的这类信息，所有这些信息都可以通过简单的谷歌或 YouTube 搜索找到。

在这几页的范围内，我试图描述什么是社会工程，以及它的许多方面如何被用来造成恶意破坏。所以，你现在问的问题很可能是， 我究竟该如何防御这些攻击呢？

老实说，这里没有金券。现代网络罪犯已经变得很专业，而且利用无数受害者的任务也在不断演变。当然，现在技术在不断变化，新的攻击媒介也在不断出现。 物联网 ( IoT )、机器人、移动应用和区块链都将为犯罪分子提供新的机会，作为安全专业人员，我们必须时刻保持警惕。但如果要我提些建议的话，那就是这个。我们中的许多人从技术的角度来看待网络防御，并且假设在大多数情况下黑客可以相当容易地绕过现代网络。

所以，很有可能，坏人已经在你的网络上了。因此，如果你打算简单地从技术的角度来看待这个问题，开始以不同的方式思考。与其阻止坏人进入，不如开始保护您的数据，使其无法泄露。加密、信息保护、权限管理和文件分类的使用意味着，即使坏人得到了您的数据，对他来说也是无用的，因为这些数据是加密的或者具有某种呼叫总部的功能。

因此，简单地考虑技术解决方案不是答案，您需要像管理层一样思考。如果您的组织没有安全策略，那么应该采用一个。因此，可以就你的企业如何应对社会工程的威胁制定一个策略。通过这样做，员工可以按照统一的程序标准接受培训，从如何接听电话，到如何接待访客并陪同他们参观大楼，甚至是如何处理未经请求的电子邮件。一旦被采用和实现，这些类型的攻击的威胁，虽然从未完全减轻，但有望大大减少。

克里斯·杰克逊

Chris 专门研究 Windows 和浏览器内部。他是网络安全和应用程序兼容性领域公认的专家，基于多年与企业客户和独立软件供应商打交道的实际经验，协助设计产品并创建技术文档、培训和服务产品，供微软内部和外部使用。他是许多技术论文和文章的作者或合著者，并且是世界各地主要行业会议的主讲人。

网络安全在电影、书籍和电视中被美化。通常当我和刚开始学习这门学科的人交谈时，他们很难抑制自己开始钻研的渴望。他们的想法转向数字取证和恶意软件逆向工程，他们非常兴奋地开始与一个有价值的人类对手进行这场数字象棋游戏。他们迫不及待地开始安装 mimikatz 或 Metasploit，并开始查看恶意软件。毕竟， 游戏不就是这么玩的吗，有复杂的恶意软件，有汇编语言和 ADA Pro 的专业知识？ 深科技不就是这么回事吗？

然而，当我想到网络安全时，我的思绪会转向经济学。 对对手来说，要达到他们想要的结果，最划算的方法是什么？ 当然，他们可以利用软件中的缺陷，但他们也可以很容易地利用人类行为中的缺陷，而且通常这样做的成本低得多，风险也小得多。社会工程几乎总是攻击者战术的关键部分，因为它具有经济意义！

当我们进入这个经济领域时，事情变得更加清晰和复杂。在一个组织经历了 非常糟糕的一天之后，事后分析通常会检查所有可能阻止攻击的事情。当然，后见之明总是 20/20，回想起来，在其他潜在的妥协指标中，显然是妥协指标的东西在当时并不总是显而易见的，结果只是噪音。

真正的问题是，防御所有可能的对手没有经济意义。如果我花了 10 亿美元来防范一个风险，如果这个风险实现了，最终会让我损失 100 万美元，那么我做了一个非常糟糕的投资，往好了说是 9.99 亿美元的损失，往坏了说是 10 亿美元的损失！

我总是建议投资到不再让我赚更多钱的程度，因为每次我选择在网络安全上投资 1 美元，这意味着我有意选择不投资 1 美元到我可以投资的其他东西上，无论是人、新技术，还是未雨绸缪。因此，当我选择投资时，应该是因为这是 1 美元的最佳用途，无论是因为它增强了我的品牌(安全性可以成为一个差异化因素)，保护它免受信任失败的损害，还是直接阻止访问我的宝贵数字资产(例如，直接将钱转出我的账户)。

难的是知道在哪里设定合适的投资水平。因为，当你超过那个投资水平，你就赚不到额外的钱了。你可能真的更安全，但不是以一种真正转化为投资回报的方式。

我喜欢用类比来说明这个概念。

首先，想一个运动队。我选择在我的球员身上投资越多，就我吸引观众、赢得奖杯以及确保球队背后的业务健康发展的能力而言，结果可能就越好。显然，在这种情况下，我可以选择在一个大大提高我的团队获胜(或吸引观众)能力的球员身上投入大量资金，我将获得投资回报。一个超级明星球员可能会让我的收入增加 50 倍，所以我可以证明这个球员相对于普通球员来说更高的薪水是合理的。

或者，想象一个打扫仓库的清洁工。这确实是一项艰苦的工作，在某种程度上，你可以根据他们有效清洁的能力来区分。但是，即使他们是世界上最有效率的看门人，他们的工作效率也可能只有普通看门人的 1.2 倍！这意味着，为了经济上的合理性，我应该给我最有效率的看门人支付比平均水平高 1.2 倍的工资。我当然可以付给他们更多，但这只会让我的利润更少！

让我们将这一类比应用于我们的网络安全投资。假设我有一项高价值的数字资产，我投资的越多，我可以消除的风险就越大。我只需要将实现风险的概率乘以实现风险的成本，这就转化为我的投资回报。投资增加 50 倍可能会带来 50 倍甚至更多的回报。然而，对于低价值的资产，实现这种风险的成本减少了，同时，为避免这种风险而投资的合理金额也减少了，我可能只能证明投资 1.2 倍来保护这种资产是合理的。这是重要的一课，如果什么都重要，那么什么都不重要！

啊，但问题就在这里，我们在评估安全事故的可能性和实现风险的成本方面糟糕得令人吃惊！

• 今年有人会泄露你的社交媒体账户的可能性有多大？
• 某人从您的账户发起电汇的可能性有多大？
• 利用软件漏洞加密关键文件并向您勒索赎金的概率有多大？

这些都是很难回答的问题！

同样，我们也很难理清妥协的代价:

• 如果您的品牌与一起高调的违规事件有关联，总成本是多少？
• 如果您所有运行 Windows 7 的计算机在接下来的两个小时内被加密，总成本是多少？
• 如果你的首席科学家的主计算机被外国的国家控制，总成本是多少？

在没有绝对的情况下(是的，这些数字可能是可计算的，给定无限的时间和预算，但那是时间和预算不是用来辩护的！)，您需要粗略估计在防御方面的投资，这可能会结合一些直觉、一些统计数据和您可以找到的关于当前威胁环境的任何数据，以及您自己对组织弱点的内部了解。

一旦你对投资多少有了概念，你需要开始考虑如何投资这笔钱。我认为组织犯的一个最大的错误是试图建立一个今天市场上可用的所有不同类型的安全软件的分类，作为一个巨大的检查列表，然后经历一个为每个类别确定 最佳 的艰苦过程。

这种策略经常出现的结果是次优的:

• 同类最佳产品通常会导致产品不能很好地协同工作，从而导致影响用户工作效率的性能和可靠性问题
• 运营成本飙升，因为团队必须培训和管理多种工具
• 关键的不断发展的攻击媒介没有受到保护，因为它们不符合现有的产品类别

记住，进攻者用图形思考，防守者不应该用线条思考！

幸运的是，我们开始看到这种 最佳 思维演变成一种基于完整场景的防御(例如， 最佳套件)，并且围绕着防御坚定的人类对手所使用的不断演变的战术。复杂性往往是安全性的大敌，不花时间让产品很好地协同工作反而会花时间保护您的组织免受真正对手的攻击！

因此，当我们开始转向完整的场景防御而不是单独的点防御时，我们需要开始考虑我们对手的目标。

对一些对手来说，目标是渗透和偷窃。有时盗窃正在进行中，他们希望保持植入状态，并在数据生成时继续窃取额外的数据。然而，随着许多以前更有价值的数字资产的价值继续下降(例如，由于如此多的社会安全号码已经被盗，额外被盗号码的增量价值继续下降)，离散盗窃正在转化为赎金。是的，这是一种时间点支付，但其价值通常会高于过滤后数据的预期长期价值。

但我们还应该了解另一个对手，那个只想看着世界燃烧的对手。他们可能想摧毁你，因为你代表着竞争，或者只是为了激发恐惧。有时候，他们只是喜欢产生熵和无政府状态的感觉。

一旦我们开始模拟出对手可能在寻求什么，我们接下来需要开始考虑他们可能如何追求这个目标。但要做到这一点，我们必须记住，我们有人类的敌人。是的，这意味着他们可以惊人的聪明，但这也意味着，像我们一样，我们可以期待他们懒惰！

例如，有报告称，使用复杂的面具和假肢就能击败多因素身份认证。而且，虽然可能， 这是一个对手会选择的道路吗？ 如果我需要你的精密假肢，我也需要你的设备，我有另一条便宜得多的途径。我没有成为假肢专家，而是拿着锤子走向你，要你的设备，然后要求你看着它。

人们通常渴望取悦他人，渴望得到肯定，并且经常是利他的。这些特征使我们面临社会工程的巨大风险。

当用户名和密码继续存在时，我们将继续面临忘记密码的问题。如今，对手破解密码要比普通用户记住密码容易得多。预计到这种遗忘，我们有密码重置问题，旨在唯一识别你，要求你回忆起诸如你的第一辆车是什么这样的个人琐事问题。但是，对手只需要确定一组密码重置问题，并在脸书上发起一个状态共享，邀请你回答关于你自己的这类问题，据称是为了更好地了解你的朋友，但也是为了披露这些关于你的所谓隐藏的琐事，让对手在未经你同意或不知情的情况下更容易重置你的密码。

转向多因素身份认证是降低这种风险的有效方法，尽管肯定不是唯一的方法(在某些情况下甚至可能不是最重要的方法)。当你努力将稀缺的投资资金用于应对最重要的风险时，一定量的风险分析和优先级排序是至关重要的！

一般来说，最近的趋势是保护用户不同意攻击，这是太常见的情况。我们平衡了这一点和生产率，目标是尽可能容易地做正确的事情，但尽可能难地做错误的事情。

例如，文档加密可以有效地防范信息窃取。一个坚定的对手可能只是试图欺骗你直接提供信息，在他们需要帮助的时候假装是同事或高管。有了数字版权管理，这个文档只不过是一系列加密的比特。(现在他们必须进入有权打开文档的人的设备/帐户！)如果你能简化申请的过程，你就降低了有人无意中诱骗你发送机密文件的风险。在微软，我们现在在所有的 Office 应用程序中都有带快速链接的工具栏来保护我们的数字信息，我们仍在努力保持它们的一致性，用户培训和文档库中的默认设置会有所帮助。(我仍然不得不定期提醒那些发邮件说， 请不要在公司外分享 那个 嘿，有一个 Azure 信息保护模板强制执行那个，为什么不用它呢？)

仍然有许多卫生方面的事情是所有组织都应该做的(大多数组织还没有全部做到)。请确保您修补了您的软件，保护您的特权凭证免受凭证盗窃，更新您的操作系统、中间件和应用程序(并打开安全功能！)，但是当您继续实现和发展您的策略时，请继续考虑您的组织和对手的经济状况，以便做出最佳的防御决策！思考人类的弱点，无论是在你的组织内部还是与你的对手，并适当地制定你的策略。祝你们好运，网络战士们！特例。秘密调查 It 团队的一名成员相当具有挑战性。关于如何完成任务，我们必须跳出固有的思维模式。我们最终想出了一个我们认为可行的计划。这位 CSO 是一位退休的联邦调查局特工，仍然与联邦调查局有联系。我们告诉他，他经常会接到一个电话，警告他他们的网络或管理人员(最近去了海外)的笔记本电脑可能会受到威胁。我们会假装是为某个政府机构工作的私人承包商，调查一个未披露的网络威胁。因为我们应该是谁，他们做了什么，我们会假装我们不能与他分享我们的调查细节。根据计划，我们会在嫌疑人工作的时候出现，并带上他的笔记本电脑。按照这个策略，我们走进首席安全官的办公室，给首席信息官打电话，进行了一场奥斯卡级别的表演，让他相信我们是谁，我们在那里要做什么。CSO 确认了我们的身份，并告诉嫌疑人他已经接到电话，知道我们要来。嫌疑人最初对 CSO 没有在我们到达之前与他分享这些信息感到不安，但我们说服他 CSO 被指示在我们到达之前不要与任何人分享这些信息。我们请求首席信息官和他的工作人员帮忙收集过去三个月内曾出国旅行的高管的所有笔记本电脑，显然知道他是其中之一。作为场景的一部分，我们对总共 12 台笔记本电脑进行了法医成像。雕刻的互联网文物显示，嫌疑人实际上是在使用基于网络的界面登录首席执行官和其他高管的电子邮件，以及他们不知道的许多其他事情。一旦我们从他的笔记本电脑中恢复了证据，我们就回到客户的位置，拿着从他的电脑中恢复的证据与首席信息官对质。当他看到打印输出时，他承认了我们发现的每一个不当行为。

丹尼尔·魏斯

Dan 已经在 IT 行业工作了 20 多年(自 1995 年起)，他曾在政府、慈善机构、系统集成商、企业和行业/基础设施等各个领域工作，从事技术和解决方案工作，并提供安全服务和安全咨询。目前，Dan 领导着 Kiandra IT 的安全团队。作为 red 团队的领导者，他在渗透测试和安全服务方面为测试人员提供指导，并在澳大利亚一些最安全的环境中进行测试。

Dan 也是演讲巡回赛的常客，在各种关于网络安全、网络犯罪、黑客和 darknet 的会议和活动上发表演讲，并发表了许多关于安全的文章/媒体。

社会工程被定义为影响一个人采取可能符合或不符合其最佳利益的行动的任何行为，如说服人们透露机密信息或做某事、点击链接、打开附件等。

社会工程可以非常容易，并且经常产生巨大的成果。

史蒂夫·赖利有一个关于防御第 8 层的最古老和最好的演示，我强烈推荐它。Steve 指出了以下类型的漏洞，我可以肯定这些漏洞在我们的项目中一直都很有效，我们已经将他的演示合并到了我们的测试人员培训中。

责任的分散

如果可以让目标相信，他们不只是对自己的行为负责，他们更有可能同意社会工程师的要求。社会工程师可能会删除参与决策过程的其他员工的姓名，或者声称另一名地位更高的员工授权了该行为。

那个非常重要的人说你不会承担任何责任。

逢迎的机会

如果目标认为遵守要求会增加他们获得回报的机会，那么成功的机会就更大。这包括获得对竞争对手的优势，与管理层搞好关系，或者在电话中为一个不知名但听起来性感的女性(尽管通常是电脑调制的男性声音)提供帮助。

看看你能从中得到什么！

信任关系

通常，社会工程师会花时间与目标受害者建立信任关系，然后利用这种信任。在与目标进行了一系列积极的小互动后，社会工程师开始了大罢工。这个请求有可能会被批准。

他是个好人，我想我可以信任他。

道德义务

鼓励目标出于道德责任感或道德义愤而行动会增加成功的机会。这种利用需要社会工程师收集关于目标和组织的信息。如果目标相信存在遵从将会减轻的错误，并且可以使其相信检测是不可能的，则成功的机会增加。

你一定要帮我！你对此不生气吗？

内疚

如果可能的话，大多数人都试图避免负罪感。社会工程师通常是心理剧大师，他们创造的情境和场景旨在拨动心弦、操纵同理心和制造同情。如果同意请求将导致避免内疚的感觉，或者不同意所请求的信息将导致请求者的重大问题，这些通常足以权衡赞成遵从请求。

什么，你不想帮我？

识别

目标越能认同社会工程师，请求就越有可能被批准。社会工程师将基于在接触之前或接触期间收集的情报，尝试与目标建立联系。油嘴滑舌是社交工程师擅长的另一种特质，并被用来提高顺从性。

你和我真的是一类人，嗯？

乐于助人

社会工程师依赖于人们乐于助人的愿望。漏洞包括请人帮忙开门，或在帮助下登录帐户。社会工程师也意识到许多人拒绝技巧差，依靠缺乏自信来收集信息。

你能帮我一下吗？

合作

与目标的冲突越少越好。社会工程师通常充当理性、逻辑和耐心的代言人。仗势欺人、发号施令、生气和惹人讨厌很少能让你顺从。这并不是说这些策略不会被作为打破顽固抵抗的最后一搏。

让我们一起努力吧。我们能做的就这么多。

害怕

这通常是最后的立场。社会工程师会利用恐惧来试图胁迫目标。这可能具有威胁性，通常是由于目标的合作失败或缺乏经验或对目标的失败感到沮丧而发生的。

你不知道我是谁吗？如果你不帮我，我会让你被解雇的！

所有社会工程攻击都会利用这些漏洞，如伪装、网络钓鱼和欺诈。

攻击的成功取决于许多因素，包括:

• 人员类型和职位 : 他们是面向客户的吗，比如服务台人员或接待员？如果是这样，他们更有可能提供帮助。
• 他们有多忙:与上一点类似，他们的目标是继续下一个电话或下一个任务吗？
• 男性或女性:平均来说，我发现我们利用女性进行社会工程攻击的成功率比男性高 40%。女性自然更值得信赖。
• 他们的社交程度如何:我们通常会发现，社交媒体曝光率高且非常公开的人更有可能回复社交媒体的请求和包含图片的电子邮件。很多时候，这些类型的人需要的关注。
• 教育:用户对技术的了解程度如何，他们对社交工程攻击的意识如何，以及他们是否有高度的怀疑？

和前面所有的要点一样，做好你的功课，知道你的分数。

网络钓鱼

网络钓鱼属于社会工程的范畴，并且一直是并将继续是当今大多数组织的最简单的方法。网络钓鱼非常危险，因为它通常会绕过所有现有的防御措施，而且被发现的可能性很低。

大家都知道的常见指标如下:

• 发件人未知，或者您不希望收到来自此人的电子邮件
• 发音相似的域名，eBay-secure.com，paypol.com等等
• 基于激励的调查、奖励
• 缺少徽标、拼写和/或语法错误
• 普通问候
• 带有备用 URL 的链接，如缩写(tinyurl、bit.ly等)

他们继续工作的原因有很多:

• 人的因素，有时用户知道它看起来不可靠，但出于好奇或困惑还是会继续。

• 人们有一种乐于助人(和好奇)的自然欲望。

• 用户会分心、疲劳，并且只需稍微集中一下注意力，例如新生儿的疲劳。

• 用户缺乏网络安全意识。

• 用户期待一个包裹或类似的东西，并将网络钓鱼误认为是真正的电子邮件。

• 恐惧。一个经典的社会工程策略是利用恐惧来引发不加思考的即时反应，如超速摄像头罚款通知、首席执行官的电子邮件等等。

每天，网络钓鱼电子邮件都变得越来越复杂，越来越难以识别，这就是为什么您必须了解最新的技术和活动。

最近的营销活动利用了公用事业账单和 Office 365 场景，如下所示:

适合我们的经典场景包括新系统场景，如新的电子邮件归档、AV 或云服务。商品推销和免费的东西(人们对免费的 T4 这个词非常着迷)。dropbox、sharepoint 等虚假通知在过去也取得了成功。重要的是，广告的外观和感觉要尽可能真实。在我们的侦察中，如果我们通过元数据或其他公共信息发现某个组织正在使用 ADP 来支付工资，我们将创建一个名为adpp.com或类似的新网站和域名，并使用它。

如果我们通过 LinkedIn 找到一个应付账款的人，他们是发送虚假的未付发票的最佳人选。当然应该称呼他们，不要用通用名！

同样，有针对性的电子邮件或全球活动应该是具体的，并似乎合法的目标。

除此之外，我可以告诉你，我和我的团队使用社会工程进入了大量高度安全的环境。这包括网络钓鱼、物理访问、USB 掉线和假冒/恶意 Wi-Fi 接入点。

我们的网络钓鱼评估平均产生 20%的点击率，其中 25%的人乐意向我们提供他们的密码。我们也有 1-2 个惯犯。惯犯是指那些两次或多次回到钓鱼网站，并多次给我们他们的密码的人，以防第一次没有成功。

我们已经突破了物理环境，装扮成空调/服务人员到达现场— 我们收到警报，您的服务器机房的 HVAC 系统有问题，我们在这里调查，或者，我们在这里测试火警，通过模仿合法用户，我们将利用经典策略，例如在模仿合法员工时尾随。

在我最早的一次约会中，我记得为一家大型互联网营销公司进行评估。该公司有两个无线网络，一个是客户网络，另一个是企业网络，就像当今的大多数组织一样。显然我在寻找那些网络的密码。从外面看，它们相当安全，包括防火墙、IPS、MFA 等等。于是，我打电话给前台——嗨，我是来自 XYZ 的丹，我和比尔一起做销售(当然我并不认识比尔，我只是从 LinkedIn 上得到他的详细信息)。比尔告诉我，我应该联系你以获得无线密码，这样我就可以为周五为你们做的演示做准备。她回答我，哦，当然，你想要哪个密码？客人还是公司？我在装傻— 我想比尔告诉我我需要公司的。然后她回答道，我告诉你，为什么我不把两个密码都用电子邮件发给你，然后你就可以知道你想用哪一个了？我就像，听起来很棒。所以，她把它们发了过来，我那天很早就完成了。

我们也成功地使用了 USB 插座。在过去，以及 Windows 的早期版本中，我们可以使用自己的代理和自动运行程序，但现在我们利用诸如橡皮鸭这样的工具来生成自己的外壳代码，并绕过 https://hakshop.com/products/usb-rubber-ducky-deluxe 的限制。

Please refer to the link www.packtpub.com/sites/default/files/downloads/LearnSocialEngineering_ColorImages.pdf for the images of this chapter.