安全體系中的人性漏洞
——基于社會工程學分析網絡詐騙
詐騙無處不在
最近陳輔導員每天都會在院級群里發“詐騙日報”,還要求我們轉到各自的班群,讓同學們提高警惕性。“詐騙日報”的內容諸如以下:
3月18日詐騙警情:1、13時9分中大學生被人通過電話冒充朋友借錢詐騙5000元;2、15時廣中醫老師被人以給專家送禮為由詐騙24000元;3、16時35分廣工學生在網上出售虛擬物品,被人冒充客服以帳戶凍結和提現失敗為由詐騙6850元;4、19時56分星海學生被人冒充銀行客服以兌換積分為由詐騙4935元。
3月20日詐騙警情:1、17時37分貝崗事主被人冒充銀行客服以提高信用卡信用為由詐騙100000元;2、18時17分廣工學生在網上購物被詐騙8406元。
3月23日詐騙警情:1、10時21分廣中醫學生被人通過電話冒充老師詐騙1000元;2、10時38分廣工學生被人通過電話冒充學校領導詐騙4000元;3、11時34分廣中醫學生被人通過電話冒充學校領導詐騙4000元;4、15時8分華師學生在網上購買電影被詐騙2000元;5、16時6分廣大學生被人冒充公安以其身份信息被盜用現有違章罰款為由詐騙6000元;6、18時20分廣工學生被人冒充客服以退款為由詐騙5070元。
我們表示很無奈的轉了,還私下議論——“這些人怎么這么傻啊!”、“這么明顯的騙局都會上當!”、“我怎么沒被騙過?好像被騙一次啊!”、“他們怎么這么有錢呀?”……其實,詐騙無處不在,事實無數次證明了,越是“高傲”的人到時候會被騙的越慘。這不單單是防御住“天上掉餡餅”的心理這么簡單,往常我們看到的詐騙案都是騙子們廣撒網的結果,為了數目不要效度,詐騙對象無區別,所以我們身為有正常智商的群體,在頭腦不發熱的情況下,防御起來往往比較簡單。但是如果一個騙子發現你是一條大魚,愿意花時間專門為你設計一套詐騙系統,那么這個時候,你就會被騙的很慘。為了避免這種情況的發生,詐騙系統中的技術與詐騙技巧都非常值得我們研究。
我曾看過一部電影,名叫《我是誰:沒有絕對安全的系統》,當時看了之后,就立刻迷上了主角高超的黑客技術和社工技巧。于是將這部影片反復看了三遍,私下又查閱了很多有關“社會工程學”的文章,還研讀了《社會工程——安全系統中的人性漏洞》、《線上幽靈》、《欺騙的藝術》等一些書籍。下面就針對我的經驗,來談一談網絡詐騙,分析一下人們究竟為什么會這么“傻”的“輕易”上當。
電信詐騙分析
電信詐騙是網絡詐騙的一種,也是最普通的一種詐騙形式。主要分為“電話詐騙”與“短信詐騙”。
電話詐騙
至于電話詐騙,可以參考下《暴走大事件》這個脫口秀節目,最近幾期都有騙局流程展示。這類是比較好防范的,平時和他們聊聊也無傷大雅,緩解下日常生活無聊的氛圍,反正電話費也基本上是騙子出。但是只要涉及到了“轉賬”、“金錢”,別說是陌生人了,就算是熟人也不要轉。譬如前端時間比較火的“猜猜我是誰”,“我是你輔導員”這兩種游戲,都是比較好玩的。相對于前一種,后一種較為高深,很明顯兩個騙術不在一個級別上。
“我是你輔導員”的進化版,是騙子能夠叫出你的名字,知道你的班級和學號等等個人信息,也知道他扮演的“輔導員”的辦公室、學院和姓名,這個時候,主要利用了學生們普遍對輔導員存在畏懼心理。輔導員要求包點紅包意思意思?輔導員遇到困難了需要你的幫助?人之常情!怎能不包?怎能不幫!
于是就被騙了。
在這個信息社會,拿到你的個人信息比去菜市場買到無農藥的菜還容易。所以即便說出了你的信息,你也不能相信他。要保持對別人的高度不信任,不要輕易信任別人。
其他種類的電話詐騙也無外乎是耍各種套路,利用受害者的“畏懼心理”、“貪圖小便宜心理”,進行各種花式布陣,最后將軍,要你轉賬。這最后一步是這種騙術的關鍵,如果不成,是騙子虧了,虧了電話費虧了時間……
短信詐騙
短信詐騙,也是比較難以防范的,主要利用是自己的名號,來叫你參與某些活動,在活動中騙取個人信息和錢財。
當然對于下面這種低智商的,我就不分析了。不過要知道,它也是屬于“利用名號”、慫恿你“參與活動”、“騙取金額”。
名號:人類抵抗軍的首領,活動:保衛地球,目的:轉賬路費。
恩,這個騙術還利用了受害者的“虛榮心”。
下面的這幾個“銀行詐騙”,比較難以識別。
乍一看,建行的短信哎,號碼也是對的。我原來有這么多積分,趕緊去兌換一下吧!
然后被騙了。
整個過程,沒有叫你轉賬,自認為很安全,還是銀行發來的短信,但是還是被騙了。為什么呢?它叫你兌換積分的時候,會讓你填寫你的銀行卡號和網銀密碼,登錄系統。這個時候,他就拿到了你的銀行卡賬號和密碼,就可以自己去取你的錢了。
首先,即便是銀行的短信也不能相信。這個短信主要有兩種手段來偽造,一是通過Android短信管理器程序,平時不小心下了什么有毒的軟件就會被感染;二是偽基站。就像下面這個設備,一個年輕人背個背包,騎個自行車在小巷里轉悠兩圈,背包里的偽基站就會截斷附近的信號,偽造號碼給附近的人群發短信。偽基站基本上大家可以這么理解,它會截斷手機正常的信號,然后讓手機接入這個偽基站的信號,然后給你發送信息,你收到后呢,又會再次釋放這臺手機到正常的通訊基站上去。基本上制作的門檻很低,偽基站的制造商也很注重用戶體驗:考慮到從業人員的安全,最新款的偽基站可以放入雙肩包,可以手機操作。真正實現了“給我一臺設備,我可以坑10萬人”的遠大理想。操作模式也很簡單,背上背包,踏上單車,哪里熱鬧,去哪轉悠。
當然,有些更高級的不會叫你輸賬號密碼,而會要你下一個軟件,這個軟件會在你之后使用網銀或者支付寶付款的時候截取你的賬號信息。
之后他們會處理這些數據,一是直接賣掉,二是賣給洗錢師。簡而言之,受騙后幾乎無法追回。
你可能認為,你有密保,不怕被盜。那你就錯了……
所以說,之前那個木馬程序不單單會釣你的賬號信息,還會攔截驗證碼短信……
這類短信詐騙也有我開始總結的規律——
名號:銀行,活動:兌換積分,目的:安裝軟件。
這一類詐騙短信就不安套路出牌了,還能叫出的你名字,主要利用受害者的“畏懼心理”……
簡而言之,和“銀行短息”一樣,短信里有鏈接千萬不要點!
下面我介紹一類比較絕的詐騙案例,首先模擬一個情境,最近股市走跌,前景非常不好,有一天你突然收到了一封短信,它告訴你今天xx股會漲。你不以為然。
第二天,你又收到了這個號碼的短息,它告訴你今天xx股會跌。你看了一下,發現昨天是它是漲的,而且今天確實跌了。
第三天,第四天,第五天,第六天,連續四天,它都給你發短息并且對這個股的預測都正確了!
第七天,它告訴你,前面六天預測是某軟件的預測結果,六天是一個試用期,你是否想要購買這個軟件?(或者他直接說他是這個股的暗箱操作者,要不要加入xx培訓班接受培訓)你會怎么選擇呢?
連續六天都對了!肯定參加啦!
其實不然,這也是一個很簡單的騙術,只是放到個人上很難看透,要放到社會群體上去俯視他。連續六天猜對的概率是1/32,但如果他是把32種情況都組合分配一下群發給不同的人呢?如果群發320條,就有10個人非常有可能上當,3200條就是100個人,這個效率還是非常可觀的。
刷單類詐騙分析
這類騙術主要就是叫你自己墊錢幫某個網店刷單,然后有高回報。其實這類騙局普通存在,為什么總會有人上當呢?原因很簡單,他在騙你的時候會告訴你如果他不給錢,你可以通過淘寶退款,每個人都知道,如果15天內不點擊交易,淘寶是不會把錢打給商家的。另外,這個刷單活動具有高回報,有點像高利貸。
其實不然,你是不能退款的。因為他要你刷的都是“點卡”類的商品。
這類騙局,一個拼音你都不要信,更不要參與。畢竟,就算是真的,刷單也屬于違法行為。
電商中的詐騙分析
比如你在開網店的時候,淘寶會給你發消息,叫你去繳納保證金。如果你是第一次做賣家,這類騙局真的是防不勝防。
利用了賣家的好奇心理、對事物的新鮮勁兒進行詐騙。
另外就是退款的時候進行詐騙,叫你給xx賬號打錢。退款就應該走正規流程,只要涉及到轉賬,一定一定要留千萬個心眼。
點對點詐騙分析
這類詐騙不單單會騙錢,可能還會是騙取重要情報。這個情報對你個人而言可能不重要,但是可能是騙子進行下一步詐騙的墊腳石、又或者是對某些企業很重要的信息。所以,在一些很正規的大公司,一般會請社工專家進行滲透測試,讓他們騙一騙員工,誰被騙了今年的獎金可能就沒了。另外,新員工入職前需要進行專門的培訓。這個培訓會告訴他們嚴格禁止做某些平時經常做看起來“人畜無害”的事——比如公司內不得連外網、公司內不能插個人U盤、沒有證明不能放員工以外的人進入辦公區、不能將垃圾帶出公司、扔廢紙前使用碎紙機……
如果是進行這類詐騙,那么它一定有著高超的技巧,一般有著固定流程——信息收集、偽裝身份直接或間接與你接觸。信息收集相當于人肉,如果你是一個生活有規律的人,就比較危險了。偽裝身份的時候一般會植入你的個人愛好,融入神經語言程序學與你交談,談話中不自覺的就透露了你的個人信息。
這類騙局比較少,但是很難破解,因為他涉及的層面比較多,不單單是“貪圖小便宜”那么簡單了,還有“回報”、“義務”、“讓步”、“權威”、“稀缺”、“承諾”、“喜歡”、“共識”等等因素。這里就不在細說了。(可參考文末的福利。)
總結
網絡詐騙通常就是利用了人們的“貪欲”,就像那句老話,“永遠不要相信天上會掉餡餅的好事”。正如人的七情六欲無法摒棄一樣,想要杜絕詐騙也絕不可能。因為,人性才是系統中最大的漏洞。
我們只能在一次又一次的詐騙案例中汲取教訓,分析一下這些案例的規律,找出應對措施,至少要保證自己遭遇它們的時候,不要輕易上當受騙。
福利:社會工程學書籍pdf版下載
