社会工程
问题是大部分人因为自信满满而对潜在的问题视而不见,觉得锁很好、门很厚、安全系统很高级,而且还有看门狗,就足以把大部分人“拒之门外”了。
没脸没皮的小黑客会为一个简单的攻击花费上百个小时,而掌握社会工程技术的高级黑客只需一小时甚至更短的时间。
2003年,计算机安全研究所和FBI的一项联合调查发现,77%的被调查公司声称员工报复是安全入侵事件的主因。
掌握知识是防御大部分社会工程攻击的最佳手段。
在挖掘秘密方面没有比酒精更有效的东西,这一点很悲哀,但却是事实。
1957年,心理学家利昂·费斯廷格(Leon Festinger)提出了认知失调理论。该理论认为,人们倾向于协调自己的信仰、观点乃至几乎所有的认知。如果态度和行为之间存在不协调,就必须要修正这种不协调。
我们看待事物的方式而不是事物本身,决定着一切。——卡尔·古斯塔夫·荣格(Carl Gustav Jung)
制造无能为力的感觉 这是应用于战时审问的一种恶意方法,会令目标对自己的信念逐步丧失信心。
让目标产生强烈的情绪反应 强烈的情绪反应包括怀疑、罪恶感及耻辱等。如果情绪足够强烈,就会让目标改变整个信念系统。
如果不将知识用于实践,它就没有任何价值。——安东·契诃夫
你需要恐惧,因为适当的恐惧能拯救你的生命,至少可以保护你的身份信息和公司。
大部分人都觉得自己的家是安全的,直到有一天忽然发现自己被锁在了门外。
必须置身事外才能全面地理解安全,从本质上来说就是把自己作为一个局外人,尝试用其他方式来进入系统。
问题是大部分人因为自信满满而对潜在的问题视而不见,觉得锁很好、门很厚、安全系统很高级,而且还有看门狗,就足以把大部分人“拒之门外”了。
承认系统有漏洞并且可能被攻破,是让系统更加安全的首要条件。
一直坚信系统坚不可摧的人就仿佛蒙着眼睛全速奔跑。
如果你认为自己不可能被骗,那么你就是我最想骗的那个人。
知己知彼,百战不殆。——孙子
没脸没皮的小黑客会为一个简单的攻击花费上百个小时,而掌握社会工程技术的高级黑客只需一小时甚至更短的时间。
没有绝对的安全,除非你拔掉所有电源并躲进深山老林
卡巴斯基实验室是开发病毒防护软件的顶尖厂商之一,他们估计2009年的社交网络中有10万多个恶意软件样本传播。
在最近的一份报告中,卡巴斯基估计“针对社交网络的攻击的成功率是其他形式攻击的10倍”。
减弱攻击影响的唯一正确方法是知晓其存在、掌握其原理并懂得攻击者的思维过程和心理。
2003年,计算机安全研究所和FBI的一项联合调查发现,77%的被调查公司声称员工报复是安全入侵事件的主因。
赛门铁克公司的数据丢失防护部门Vontu(http://go.symantec.com/vontu/)声称,每500封邮件中就有一封包含机密数据。
66%的受访者认为他们的同事而非黑客会给客户隐私带来最大的风险,只有10%的受访者认为黑客是最大的威胁
员工会故意隐藏不满的程度以降低职业风险。但当不满加剧时,他们就可能进行盗窃及破坏等各种犯罪了。
骗子总是利用他人的贪婪等心理,诱发人们“发财致富”的想法。
掌握知识是防御大部分社会工程攻击的最佳手段。
战争的胜利百分之九十取决于情报。——拿破仑·波拿巴
在谷歌搜索框中输入site:microsoft.com filetype:pdf,就能得到microsoft.com网站上的所有PDF文档列表。
交流模型越精巧、越清晰,花在交流上的时间就越少。——约瑟夫·普利斯特利(Joseph Priestley)
人际交流会传送两个层次的信息:语言的和非语言的。
社会工程人员必须是交流的大师,必须能够有效地进入且留在一个人私密的精神空间,并保证不冒犯目标或令目标反感。
交流模型中最困难的部分是确保收集到的信息是可靠的。
专家级的诱导就是指目标愿意回答你的任何问题。
诱导使用起来效果很好,因为其风险较低且通常很难被察觉。大部分情况下,目标甚至不知道什么时候泄露了信息。如果被怀疑动机不纯,则可以“不过随便问个问题”为由假装生气、蒙混过关。
诱导的效果如此之好的原因如下:
大部分人希望看上去比较有礼貌,尤其是对陌生人;
专业人士希望自己看起来见多识广、很有才气;
如果得到赞赏,大部分人通常会越说越起劲并泄露更多的秘密;
大部分人对貌似关心自己的人会比较友善。
一些专家认为掌握交谈的艺术需要3个主要步骤。
(1)表现得自然。
(2)拥有足够的知识。
(3)切忌贪婪。
铺垫本身就是一种技巧。以一种隐晦或婉转的方式植入想法或思路
假装高深。一般情况下,如果对方具有某一方面的知识,和他讨论相关问题并无不当。攻击者可以审慎地利用这一点,首先展示一些信息,假装知道一些内情,然后使用诱导技术展开话题。过程中可以把别人的观点当成自己的说出来,进一步强化自己的专家假象。
在挖掘秘密方面没有比酒精更有效的东西,这一点很悲哀,但却是事实。
我曾经看到过一件T恤上写着:“互联网上,男人是男人,女人是男人,小孩子是等待着你的FBI探员。”
伪装不是扮演某个角色或者出演部分剧情,不是撒谎后不停地圆谎,而是真的成为那个人。
1957年,心理学家利昂·费斯廷格(Leon Festinger)提出了认知失调理论。该理论认为,人们倾向于协调自己的信仰、观点乃至几乎所有的认知。如果态度和行为之间存在不协调,就必须要修正这种不协调。
人们都希望被告知下一步该做什么。
我们看待事物的方式而不是事物本身,决定着一切。——卡尔·古斯塔夫·荣格(Carl Gustav Jung)
亲和力是销售培训人员和销售人员经常提到的字眼,这是获取信任、显示信心的一个非常重要的方面。
厌恶是一种情绪,它是肌体对于看起来、闻起来甚至想起来觉得恶心的事物的一种反应。
采访中目标在身体和心理上都处于舒适的状态,而审讯的目的则是通过审讯的场所和所提问题让目标感到不适来向其施压,从而使其老实交代。
其他人谈他自己,直到他觉得够了,这样你会被视为一个“不可思议的朋友”、“完美的丈夫”、“伟大的聆听者”、“完美的销售员”或其他任何你想得到的头衔。
人们在一分钟时间里只能说出150个单词,但在同样的时间里却能够思考500~600个单词。
人们所作出的大部分决定都是下意识的,如怎样开车上班、冲咖啡、刷牙及穿什么衣服等都没有经过真正的思考。
当人们最终有意识地作出决定时,他们的决定不仅依据听到的内容,决策过程还会涉及视觉、感觉和情感。
晓之以理,不如示之以利。——本杰明·富兰克林
人们更愿意听从他们眼中的权威人士的指导或建议。要找到足够自信、敢于直接质疑权威的人是很难的
人们喜欢那些喜欢自己的人。
当目标基于熟悉的流程无法作出决定的时候,操纵的人可以给他灌输想法、价值观、态度或者道理。
操纵有6种使用方法,适用于洗脑及那些不那么阴险的方式。
提高目标的暗示感受性 在最极端的情况下,睡眠或者食物匮乏会提高目标的暗示感受性。在缓和的方式下,时间紧迫的隐晦暗示会让目标更容易受影响。
获取目标环境的控制权 这一技术包括的范围很广,从基本的方法,如控制目标能够访问的信息类型和数量,到某些微妙的方法,如获取目标的社交网站的访问权。
制造怀疑 动摇并深挖目标的信仰系统,这对控制目标采取你想要的行动会大有裨益。
制造无能为力的感觉 这是应用于战时审问的一种恶意方法,会令目标对自己的信念逐步丧失信心。
让目标产生强烈的情绪反应 强烈的情绪反应包括怀疑、罪恶感及耻辱等。如果情绪足够强烈,就会让目标改变整个信念系统。
严重威胁 对生理痛苦或者其他可怕情形的畏惧能够让目标在压力之下崩溃。
安全之本在于教育。——马蒂·阿哈罗尼
软件的最新版本通常修补了其安全漏洞,至少是其中的大部分。如果某款软件的安全记录很糟糕,尽量不要使用它,请选择一些漏洞较少的软件。
如果不将知识用于实践,它就没有任何价值。——安东·契诃夫
你需要恐惧,因为适当的恐惧能拯救你的生命,至少可以保护你的身份信息和公司。