社会工程学——一门不可表述的学科

互联网综合运营,试着以全网的角度去看互联网

社会工程学

社会工程学,一门黑客必备技能,同时也是诈骗·欺诈·心理咨询师等经常使用或涉足的一门学问。

维基百科的定义是:操纵他人采取特定行为或泄露机密信息的行为。它与骗局和欺骗类似,故该词常用于代指欺诈或欺骗,以达到采集信息、欺诈访问计算机信息的目的,大多数情况下攻击者与受害者不会有面对面的接触。

虽然常常被冠以恶名,但从“免费礼品”“免费送”“把妹”“买就送”······等实际运用中可见一斑。实际上社会工程学已经触及了生活中的很多方面。

举例来说,医生·心理学家及临床医学通常使用一些社会工程中的因素来“操纵”病人,使其采取对病人有益的行动。相反,骗子则采取某些因素来说服目标,使其采取给自身带来损失的行动。两者结果迥异,方法类似。

社会工程不是一种独立活动,而是由在一个框架下经过一系列的各种技巧组合形成的。如同美食一样,也不是某一种成分,而是经过精心组合、调配和各种配料及炒制手法生产出来的。社会工程学就是用少量的诱因,加以操纵与伪装,诱导目标完成想让他完成的动作。


01
PART
我!秦始皇!打钱!

一般情况下,骗局开始与向目标发送一封邮件(当然也可以是一条短信),告知对方被选中进行一笔很赚钱的交易,但是需要一点小小的帮助。如果目标愿意帮助发信人从一家银行提取一大笔钱,那么他就可以分到一部分,一旦目标相信这件事,并愿意提供帮助,那么他就会面临一个问题,而解决这个问题是需要支付一笔费用(比如账户解冻)。在支付这笔费用之后,马上又来了一个问题,需要支付另外一笔费用。每个问题都是最后一个问题和最后一笔费用。

随着这种骗局被大量曝光,相信这种套路的人也基本不会中套了。但这个骗局进入了骗局2.9版本。

首先通过政府公文、论文、单位机构等台头这样类似可信度高的噱头,先让目标不反感进而可以诱导受害人继续走下去。

然后会给与一定的真实的优惠、红包、甚至金钱,但通常是后续以更大的利益为诱饵。尤其是这个诱饵看起来很容易实现。

国外的操作手法一般是一张小额支票或者假的支票,国内的手法一般是一个暂时无法体现的红包。

说到这里,是不是发现我们的市场营销,引流拉新等环节很多也采用了相同的手法?

以前我们可能是以小额现金红包方式鼓励拉新。后来发现效果随着人们的活久见及胃口越来越大,小额现金红包效果不怎么好用之后,于是推出了2.0红包玩法。

比如拼多多推出的新客注册之后立即可得90元大红包(具体的金额看实际情况),满100元之后可以体现。

为了尽早体现100元,鼓励你每天去签到、拉朋友注册、参与各类活动。于是你会发现,你签到一次不过几分钱,玩各种活动(每天次数限制)不过一毛钱,为了补上剩下的10元钱,你得付出海量的时间。10元看着不多,但对普通人来讲,基本很难实现。

社会工程,可以是善意的,也可以是恶意的,可以有激励作用,也可以毁灭作用。那么各种社工人员有哪些?


02
PART
我是社工,我是谁?

/黑客:随着网络完全软件性能越来越高,攻击软件越来越困难,于是采用社工方式,通过硬件或者个人技巧获取目标信息。

/渗透测试员:学习使用黑客技巧,以帮助客户,确保客户安全。拥有黑客技巧,但不会伤害目标。

/间谍:把社会工程当成了生活方式。是这门学科的专家。

/身份窃贼:在受害人不知情的情况下,使用他的身份信息、银行信息、地址、联络方式等。冒充身份、设置骗局。

/不满的员工:对公司不满,与企业进入敌对状态,故意隐藏关键信息或者破坏·转移信息等。

/骗子:利用人性的弱点,通过“色”“贪”“欲”等需求,通过造势或者打造周边态势与局面,从而请君入瓮。

/猎头:诱导、读懂人的心理动机。

/销售:销售必须掌握很多与人交往的技巧,销售的过程包括:信息采集、诱导、影响、心理把握等技能。

/GOV:为了和谐,不写。

/医生·心理医生·律师:采用诱导、正确的谈话方式和询问策略,乃至心理原则,来操纵目标采取所期望的行动。


03
PART
社会工程的SOP

还是为了和谐,对以下内容做简化再简化···,需要的话,私信。

(你看,我也顺带做了一个诱导动作)

第一步:信息收集

           ·收集信息

           ·信息源

           ·交流模型

第二步:诱导

           ·铺垫

           ·烘托

           ·沟通与交流

第三步:伪装:如何成为任何人

           ·调查

           ·植入

           ·提前量设计

第四步:心理战术:社会工程学心理

           ·思维模式

           ·微表情

           ·神经语言程序学

           ·采访与审问

           ·达成共识

           ·大脑思维溢出--宕机

第五步:影响及说服


04
PART
简单的攻击方式

假设我们需要知道一家公司的客户资料,比如我想知道同行的客户资料,以便我后续用来挖墙脚。但是又没有黑客技术来做远程的渗透和攻击。于是,决定利用社工的方式来获取对方电脑里面的信息。

通常来讲,作为同行对手,信息应该是非常清楚的。所以直接跳转第二步,诱导·伪装,而诱导伪装我们有无数种办法,比如说伪装成客户。我们以这身份来做对应演练:

客户:

              ·准备一个带有病毒文件的U盘

              ·准备一个所谓的项目文件

以资料太大,所以直接带来了U盘为借口,然后就在你们公司电脑上看或者打印,而且因为时间有限,马上就要处理其他事情,比如赶飞机?

所以最好下载下来到电脑里面。

中间的过程、理由、借口等自然看社工人员的表演,但只要U盘插入了对方的电脑点击,病毒自然就会开始运行,开始获取目标资料。

在潜在客户拜访并有可能成交的情况下,一个小小的使用电脑的请求,我想一般人都不会拒绝。而社工也可以利用人性中的—利他原则来完成一次攻击。

再看看我们现在网络上充斥着各种交友软件,各种营销平台,各类的商业信息等,这些都可以直接获取信息。还有一些可以通过各种手法·连环骗局等获取信息的,就如同上一篇文章:用黑客手法去做外贸B2B一样有多少是对人心设防的呢?


0我是栓牛石

关注我们“互联网综合运营”会有更多项目和方法奉上!