忧郁的大能猫

好奇的探索者，理性的思考者，踏实的行动者。

Table of Contents:

1.基本常识

社会工程学是啥玩意儿？

俺喜欢把信息安全分为【硬安全】和【软安全】两部分。所谓“硬安全”主要包括具体的IT安全技术（比如：防火墙、入侵检测、漏洞扫描、拒绝服务攻击、缓冲区溢出攻击 ......）；而“软安全”主要涉及管理、心理学、文化、人际交往等方面，与具体的 IT 技术无关。今天所说的社会工程学，实际上就是“软安全”的范畴。
通俗地说，社会工程就是：攻击者利用人自身的弱点（往往是心理学层面）来获取信息、影响他人，从而达到自己不可告人的目的。
相关书籍：《欺骗的艺术》

为啥要了解社会工程学？

• 普及度不够
  首先，社会工程是信息安全中一个经常被忽视的偏僻角落。即便很多 IT 安全领域的从业人员，往往也缺少社会工程学的相关常识。比如很多人都知道什么是防火墙、杀毒软件，但却从来没有听说过“社会工程学”这个词。
• 重视不够
  　　大部分的安全厂商都把注意力集中在“硬安全”方面（比如现在防火墙厂商、杀毒厂商多如牛毛），很少有安全厂商把社会工程挂在嘴边的。以此相反的是：现有的信息安全攻击，大都以“软安全”作为攻击者的突破口，只有一小部分是纯粹通过“硬安全”来进行的。（这又是一个二八原理的生动例子）
  　　为啥攻击者喜欢从“软安全”层面进行突破捏？因为人性的弱点是很难在短时间内得到改善的（尤其是人多大公司、大机构，更是如此）。所以，“软安全”方面会遗留很多可以利用的漏洞，攻击者只要善于利用这些漏洞，就可以轻易侵入。
• 用处大大滴
  　不过捏，光是鲜为人知、重视不足，还不至于让俺花这么多口水大力忽悠。还有另一个原因是：社会工程学的常识非常有用，而且它的用处不限于信息产业（几乎所有行业都用得着）。具体有些啥用处捏？
  　　首先，了解起码的社会工程学常识能够让你对相关的攻击手法（具体参见“这里”和“这里”）有基本的防范，不至于轻易上当。要知道，有很多人被攻击者利用了之后，自己还浑然不觉。
  　　其次，如果你是公司的老板或者某个管理层的头头，你可以在自己的职权范围内进行相关的扫盲培训（后面的帖子会介绍如何防范）。
  　　最后，假如你看完本系列后，发现自己在社会工程方面很有天赋，那或许可以考虑朝这个方向发展。比如搞个商业间谍之类的工作干干，没准也很有前途哦。

2.攻击手法之【信息收集】

攻击者的套路大致可以分为如下几个步骤：信息收集、假冒身份、施加影响、实施最终的攻击。

什么是信息收集？

　　信息收集就是通过各种手段去获取机构、组织、公司（以下统一简称“机构”）的一些【不敏感】信息。为啥特地强调“不敏感”捏？如果信息不敏感，就不会有特别严格的访问限制，攻击者也就容易得手。而且在获取这种信息的过程中，不易引起别人的注意，降低了攻击者自身的风险。

收集的信息有啥用捏？

　　大部分社会工程攻击者都会从信息收集入手。但信息收集往往【不是】攻击者的最终目的，仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后，多半会用来包装自己，以便进行后续的身份假冒。具体如何该包装和冒充，俺会在下一个帖子里介绍。

哪些信息属于不敏感信息？

• 某些关键人物的资料
  这里说的“资料”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。大伙儿注意一下，此处的【关键人物】，
  不一定是名气大或位高权重的人，而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。

• 机构内部某些操作流程的步骤
  每个机构内部都有若干操作流程（比如报销流程、审批流程等），这些流程对于攻击者非常有用。一旦摸清了这些流程的细节，
  攻击者就能知道每一个攻击环节会涉及哪些对象，这些对象分别处于什么部门？担任什么职务？具有什么授权？

• 机构内部的组织结构关系
  机构的组织结构关系包括如下几个方面：各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。

• 机构内部常用的一些术语和行话
  大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时，如果能熟练地使用各种专用的术语和行话， 就可以有效打消其他人的疑虑，并获得信任。

  如何收集到不敏感信息？

• 通过网站和搜索引擎
  　　比如，很多机构的内部操作流程直接放在官方网站上，可以轻易获取。还有很多不敏感信息，攻击者通过 Google 就能找到一大把。

• 通过离职员工
  　　有些时候，某个员工（哪怕是一个很小的角色）跳槽到竞争对手那里，就可以带来很丰富的信息。保本的话，至少能拿到原公司的通讯录；稍好一些的话，还能拿到组织结构图以及更深层次的一些东东。

• 通过垃圾分析
  　　很多机构对于一些普通的打印材料，直接丢到垃圾桶，不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。
  　　举一个简单的例子：很多公司每当有新员工入职，人事或者行政人员都会打印一张清单给新员工。清单上面可能会有如下内容：
  公司内部常用服务器（比如打印服务器、文件服务器）的IP地址
  新员工外部邮箱的名称和默认口令
  公司内部系统（比如 ERP 系统、MIS 系统等）的用户名和默认口令
  某些内部系统的简单使用说明
  　　如果某个新员工没有【立即】修改默认口令（有相当比例的新员工不会在入职当天立即修改【所有的】默认口令），并且把这个清单直接丢到垃圾桶。那对于垃圾分析者来说，可就捡了大便宜啦！
  　　不过捏，垃圾分析方法属于苦差事。使用此招数，每次都要捏着鼻子，在垃圾箱里翻上好几个小时。但还是有很多商业间谍乐此不疲。

• 通过电话问讯
  　　某些攻击者直接打电话给前台或者客户服务部，通过某些技巧（后面的帖子详述），就能套出很多有价值的信息。
  　　为啥攻击者特别偏爱于前台和客服人员捏？这里面可是大有讲究啊！一般来说，前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成具有如下特质：不怨其烦、热情好客、乐于助人。所以，这类员工会比较有耐心，也比较能满足攻击者的一些（哪怕是有点无理的）要求。

3.攻击手法之【假冒身份】

　　为了避免某些同学误解，有必要事先澄清一下：“信息收集”、“假冒身份”、“施加影响”这三个手法不是孤立存在的，而是有机结合的。攻击者在干坏事的时候，总会混用这三个手法以达到最终目的。俺只是限于时间和篇幅，所以才大卸三块，分开来介绍。

为啥要假冒？

　　假冒身份说白了就是“包装”。攻击者又不是傻冒，他们当然不会轻易暴露自己的真实身份，自然要找一个马甲来伪装一下。一般来说，攻击者会根据面对的目标来选取针对性的马甲。选好马甲之后，还要在某些细节上稍微粉饰一下，让人觉得更加逼真。
　　总而言之，包装要为后续的“施加影响”埋下伏笔，打好基础。

包装要达到啥效果？

按照二八原理，大部分人都是感性的。包装的效果，就是要充分利用和挖掘人【感性的弱点】。

• 博取信任
  　　还记得上一个帖子提到的那些“不敏感信息”吗？攻击者会利用这些信息来证明自己是机构内的人，从而得到信任（具体看文本后面的实例）。博取信任是先决条件，只有先取得信任，攻击者才能再接再厉，继续博取好感、博取同情、树立权威等等。

• 博取好感
  　　博取好感显然是没啥坏处的。如果对方产生了好感，攻击者就便于提出更进一步的要求。比如很多保险推销员就善于利用各种手段来博取好感。

• 博取同情
  　　大部分人或多或少都有一点同情心，某些攻击者会刻意示弱，从而让对方产生一些同情心，然后借机提出一些要求。从这个角度来讲，很多乞丐也利用了社会工程学的技巧。

• 树立权威性
  　　很多人都会对权威人物有一种轻信和盲从。所以，树立权威性也有助于攻击者后续的“施加影响”。

  如何包装？

• 选择身份
  　　要达到上述的效果，首先要选择特定的身份。选择身份是很有讲究的，要综合考虑多方面的因素。由于俺不是教你如何搞社会工程攻击，所以俺只能是简单说一说。
  　　要博取好感，攻击者可以通过建立认同感来达到。比如对方是某个秘书，攻击者会谎称自己是另一个部门的秘书（职务上的认同）。关于认同感，后面的帖子会详细介绍。
  　　要树立权威性，可以通过冒充公司内更高级别的人物（或者和高层相关的人，比如某领导的秘书）。这个招数对于那些等级森严的公司，效果挺好。

• 外貌的粉饰
  　　除了选取身份，一些外貌的细节也很重要。由于大多数攻击者采用电话的方式沟通，那些嗓音略带磁性（仅限于男性）或者充满柔情（仅限于女性）的家伙，就很占优势啦。
  　　大多数攻击者都不会贸然现身（现真身的风险可大了）。万一在特殊情况下需要亲自出马，到对方的机构去拜访，有经验的攻击者都会选取得体的着装，以便和假冒的身份相称。在这种情况下，攻击者的长相也是一个关键因素。那些相貌堂堂、一表人才、玉树临风的家伙，第一眼就会让对方产生好感并放松警惕。
  　　顺便跑题一下。我在本系列开篇的扫盲帖里面不是强调过天赋的重要性吗？所谓的社会工程学天赋，不光是脑瓜子机灵，嗓音和相貌也不能太差哦（尤其是嗓音）。俗话说得好：天生嗓音差不是你的错，但跑出来混社会工程就是你的不对啦！

4.攻击手法之【施加影响】

博取好感

　博取好感是施加影响的手法中，最基本的招数。具体的技巧有很多种，咱今天只介绍常见的几种。

• 通过外在特征的“光环效应”

此处所说的外在特征，包括相貌、嗓音、着装、甚至姓名等诸多方面；此处所说的“光环效应”（也叫光晕效应、晕轮效应），是指对某人的某个局部特征的看法被扩大化，变成对此人整体的看法。

比如很多歌星、影星仅仅由于演技好，其 fans 就把演技扩大化，认为他们/她们样样都好。其实演技好和人品好没有必然联系。
所以俺在前一个帖子里强调社会工程的攻击者需要有好的嗓音（有时甚至需要有好的相貌），就是为了能发挥光环效应。
* 通过相似性来博取好感
　　所谓的“相似性”，范畴很广，常见的有如下一些：同学、同乡、同校（校友）、爱好相同（比如都喜欢看球，甚至都喜欢某个球星）、经历相同、等。
很多攻击者善于通过看似不经意的闲聊，和被攻击者扯上某种关系，让被攻击者的好感油然而生。

通过互惠原理来骗取好处

• 初级招式：“投桃报李”式
  　　“投桃报李”式比较好理解，简单说就是给予对方一点小甜头，然后再索取点小回报。
  　　为了形象点，举例说明：
  　　比如有个攻击者在信息收集阶段，想了解某个连锁商店店长的信息。攻击者打电话给该商店（接电话的是某店员），谎称自己是一位长期客户，由于该店的服务很好，想写封表扬信给店长。店员一听就很爽，立马就把店长的详细信息告知对方。
• 高级招式：“拒绝-退让”式
  　　“拒绝-退让”式比“投桃报李”式要高级一些。这个招式实际上包含了互惠原理和对比原理，如果把握得当，效果比“投桃报李”要好很多。具体的实施分两个步骤进行：先提出一个很高（比较过分）的要求（以下简称 A），对方多半会拒绝；然后，攻击者主动作出让步（撤回该要求），再提一个（相对 A 来说）比较低的要求（以下简称 B），这时对方多半会答应。其实 A 仅仅是一个烟雾弹，并不是攻击者的真实意图。攻击者真正想达成的是 B。
  　　这个招式的难点在于把握A的尺度。A必须和B形成比较明显的反差（利用对比原理），通过A来衬托出B的微不足道。这样，对方拒绝了A之后，潜意识里觉得B反正很微不足道，再加上互惠原理的作用，就会很容易地接受B。
  　　比如有些攻击者在收集信息时，可以先索取某个比较敏感的信息，如果对方拒绝了，就转而索取一个不敏感的信息。

通过社会认同来施加影响

　　所谓的“社会认同”，通俗地说就是人云亦云、随大流。大多数人都有这个毛病，否则也不会有那么多跟风、赶时髦的家伙了。
　　那社会工程者如何运用这个伎俩捏？一个常见的方法就是“造势”。通过制造某种舆论来引导（或者叫“误导”）被攻击者，从而达到目的。这种方式有两个要点：
　　首先，要达成某种规模效应。一旦规模形成，由于“社会认同”的影响，就会变成正反馈，导致越来越多的人被卷入。
　　其次，要注意引导的技巧。具体要如何“引导”捏？常见的有：“制造狂热”、“制造恐慌”、“制造愤怒”、“制造反感”等方式。当人们处于狂热、恐慌、愤怒、反感等状态时，会变得情绪化。这时候，感性的因素就会占主导，同时会丧失理性的判断，从而被一小撮人所利用。
　　从本质上分析，这两个要点依然是借助了心理学层面的因素来起作用。关于造势的例子，大伙儿可以看看源自 IT 行业的 FUD（Fear, Uncertainty, Doubt，具体解释见“这里”）手法。
　　写到这里，突然联想到：其实天朝的毛太祖，就是造势、造舆论的高手啊！上述的两个要点发挥得炉火纯青，不得不令人佩服啊！

通过权威来施加压力

　　大部分人都有服从权威的倾向。因此攻击者可以通过树立或借助权威，让对方服从自己的一些不太合理的要求。
　　比如有的攻击者假冒成某 VP（Vice President）的秘书，声称该 VP 急需某某文件或资料，那么对方就会迫于压力而答应。这个招数在等级森严的组织机构，效果特别好。

你该如何【防范】？

组织机构该如何做？

• 普及教育
  一些常识性的基础培训是很重要滴。按照二八原理，20%的简单培训就可以防范80%的潜在攻击。由于“人”是社会工程攻击的主要对象，并且有经验的攻击者都善于寻找组织机构的弱点，所以普及教育务必要涵盖到每一个人（连公司的扫地阿姨也不要放过哦:-）。
  　　另外要强调的一点是：要重视对新员工的培训。很多时候，新员工往往是攻击者的突破点。首先，新员工初来乍到，跟周围的同事不熟，容易把攻击者误认为同事；其次，新员工往往怕得罪人，容易答应攻击者的各种要求。
• 严格的认证
  　　认证（Authentication）是一个信息安全的常用术语。通俗地说，认证就是解决某人到底是谁？
  　　由于大部分的攻击者都会用到“身份冒充”这个步骤，所以认证就显得非常必要。只要进行一些简单的身份确认，就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料（参见“这里”的示例），你可以把电话打回去进行确认（最好是打回公司内部的座机）。
• 严格的授权
  　　授权（Authorization）和认证一样，也是一个常用的信息安全术语。通俗地说，授权就是解决某人到底能干啥？
  　　对于组织机构来说，授权要尽量细化、尽量最小化。
  　　举个例子。如果某软件公司中，所有的程序员都可以访问所有的源代码，那源代码泄漏的风险就很大。只要有一个人出问题，攻击者就可以得逞。反之，如果每个人只能访问自己开发的那部分代码，那安全风险就会小很多。即使某人上当受骗，也只会泄漏部分代码。
• 信息分类
  　在组织机构中，最好要有信息分类的制度。根据信息的重要程度，定出若干级别。越是机密的信息，知道的人越少。
  　　比如在我负责的团队中，源代码的敏感度高于软件安装包。因此，源代码服务器只有开发人员能够访问；而放置安装包的发布服务器，大部分人（比如测试人员、产品人员）都可以访问。
• 文化
  俺已经介绍了“通过权威来施加压力”的攻击手法。如果某个组织机构的等级很森严，就容易给攻击者留下利用的机会。还有一些组织机构，里面的人员都是好好先生，每个角落都是一团和气。这种机构和等级森严的组织一样，容易被攻击者利用。
  　　所以，假如你碰巧是组织机构内部的一个实权人物，或许可以尝试改变一下现状。不过俺要提醒一句，一个组织机构（尤其是政府机构）的文化是很难轻易改变滴。所以，别对这个招数报太大希望 :-(
• 别乱丢办公垃圾

个人该如何做

• 多了解一些社会工程学的手法
  　　俗话说：知己知彼，百战不殆。如果你不想被人坑蒙拐骗，那就得多了解一些坑蒙拐骗的招数。除了俺提到过好几次的《欺骗的艺术》（凯文·米特尼克所著），你还可以通过互联网找到很多类似的资料。这些资料有助于你了解各种新出现的社会工程的手法。
  　　另外，很多文学作品、影视节目也会掺杂社会工程学的情节。比如前段时间热播的《潜伏》，里面的主人公余则成显然是一个社会工程学老手。细心的同学应该能从中窥探到不少奥妙。

• 保持理性
  　　在如何施加影响的帖子里，俺已经列举了很多种手法。这些手法不外乎都是利用人【感性】的弱点，然后施加影响。所以，尽量保持理性的思维（尤其在和陌生人沟通时）有助于减少你被攻击者忽悠的概率。

• 保持冷静
  　还有一些“社会工程学”的惯用伎俩是【制造恐慌】。大部分人在慌乱之中就容易入套。
  　　所以，保持冷静也很重要。不过捏，还是刚才那句话——说起来简单，做起来未必简单。

• 保持一颗怀疑的心
  　　这年头，除了骗子是真的，啥都可能是假的。比如，你收到的邮件，发件人地址是很容易伪造滴；比如，你公司座机上看到的来电显示，也可以被伪造；比如，你收到的手机短信，发短信的号码也可以伪造。
  　　所以，保持一颗怀疑的心，也是非常必要的啊！

• 别乱丢生活垃圾 :)
  　　不光上述提到的办公垃圾有潜在风险，生活垃圾一样也会被垃圾分析者利用。比如有些粗心的同学会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者，你没准就麻烦了。