安全体系中的人性漏洞
——基于社会工程学分析网络诈骗
诈骗无处不在
最近陈辅导员每天都会在院级群里发“诈骗日报”,还要求我们转到各自的班群,让同学们提高警惕性。“诈骗日报”的内容诸如以下:
3月18日诈骗警情:1、13时9分中大学生被人通过电话冒充朋友借钱诈骗5000元;2、15时广中医老师被人以给专家送礼为由诈骗24000元;3、16时35分广工学生在网上出售虚拟物品,被人冒充客服以帐户冻结和提现失败为由诈骗6850元;4、19时56分星海学生被人冒充银行客服以兑换积分为由诈骗4935元。
3月20日诈骗警情:1、17时37分贝岗事主被人冒充银行客服以提高信用卡信用为由诈骗100000元;2、18时17分广工学生在网上购物被诈骗8406元。
3月23日诈骗警情:1、10时21分广中医学生被人通过电话冒充老师诈骗1000元;2、10时38分广工学生被人通过电话冒充学校领导诈骗4000元;3、11时34分广中医学生被人通过电话冒充学校领导诈骗4000元;4、15时8分华师学生在网上购买电影被诈骗2000元;5、16时6分广大学生被人冒充公安以其身份信息被盗用现有违章罚款为由诈骗6000元;6、18时20分广工学生被人冒充客服以退款为由诈骗5070元。
我们表示很无奈的转了,还私下议论——“这些人怎么这么傻啊!”、“这么明显的骗局都会上当!”、“我怎么没被骗过?好像被骗一次啊!”、“他们怎么这么有钱呀?”……其实,诈骗无处不在,事实无数次证明了,越是“高傲”的人到时候会被骗的越惨。这不单单是防御住“天上掉馅饼”的心理这么简单,往常我们看到的诈骗案都是骗子们广撒网的结果,为了数目不要效度,诈骗对象无区别,所以我们身为有正常智商的群体,在头脑不发热的情况下,防御起来往往比较简单。但是如果一个骗子发现你是一条大鱼,愿意花时间专门为你设计一套诈骗系统,那么这个时候,你就会被骗的很惨。为了避免这种情况的发生,诈骗系统中的技术与诈骗技巧都非常值得我们研究。
我曾看过一部电影,名叫《我是谁:没有绝对安全的系统》,当时看了之后,就立刻迷上了主角高超的黑客技术和社工技巧。于是将这部影片反复看了三遍,私下又查阅了很多有关“社会工程学”的文章,还研读了《社会工程——安全系统中的人性漏洞》、《线上幽灵》、《欺骗的艺术》等一些书籍。下面就针对我的经验,来谈一谈网络诈骗,分析一下人们究竟为什么会这么“傻”的“轻易”上当。
电信诈骗分析
电信诈骗是网络诈骗的一种,也是最普通的一种诈骗形式。主要分为“电话诈骗”与“短信诈骗”。
电话诈骗
至于电话诈骗,可以参考下《暴走大事件》这个脱口秀节目,最近几期都有骗局流程展示。这类是比较好防范的,平时和他们聊聊也无伤大雅,缓解下日常生活无聊的氛围,反正电话费也基本上是骗子出。但是只要涉及到了“转账”、“金钱”,别说是陌生人了,就算是熟人也不要转。譬如前端时间比较火的“猜猜我是谁”,“我是你辅导员”这两种游戏,都是比较好玩的。相对于前一种,后一种较为高深,很明显两个骗术不在一个级别上。
“我是你辅导员”的进化版,是骗子能够叫出你的名字,知道你的班级和学号等等个人信息,也知道他扮演的“辅导员”的办公室、学院和姓名,这个时候,主要利用了学生们普遍对辅导员存在畏惧心理。辅导员要求包点红包意思意思?辅导员遇到困难了需要你的帮助?人之常情!怎能不包?怎能不帮!
于是就被骗了。
在这个信息社会,拿到你的个人信息比去菜市场买到无农药的菜还容易。所以即便说出了你的信息,你也不能相信他。要保持对别人的高度不信任,不要轻易信任别人。
其他种类的电话诈骗也无外乎是耍各种套路,利用受害者的“畏惧心理”、“贪图小便宜心理”,进行各种花式布阵,最后将军,要你转账。这最后一步是这种骗术的关键,如果不成,是骗子亏了,亏了电话费亏了时间……
短信诈骗
短信诈骗,也是比较难以防范的,主要利用是自己的名号,来叫你参与某些活动,在活动中骗取个人信息和钱财。
当然对于下面这种低智商的,我就不分析了。不过要知道,它也是属于“利用名号”、怂恿你“参与活动”、“骗取金额”。
名号:人类抵抗军的首领,活动:保卫地球,目的:转账路费。
恩,这个骗术还利用了受害者的“虚荣心”。
下面的这几个“银行诈骗”,比较难以识别。
乍一看,建行的短信哎,号码也是对的。我原来有这么多积分,赶紧去兑换一下吧!
然后被骗了。
整个过程,没有叫你转账,自认为很安全,还是银行发来的短信,但是还是被骗了。为什么呢?它叫你兑换积分的时候,会让你填写你的银行卡号和网银密码,登录系统。这个时候,他就拿到了你的银行卡账号和密码,就可以自己去取你的钱了。
首先,即便是银行的短信也不能相信。这个短信主要有两种手段来伪造,一是通过Android短信管理器程序,平时不小心下了什么有毒的软件就会被感染;二是伪基站。就像下面这个设备,一个年轻人背个背包,骑个自行车在小巷里转悠两圈,背包里的伪基站就会截断附近的信号,伪造号码给附近的人群发短信。伪基站基本上大家可以这么理解,它会截断手机正常的信号,然后让手机接入这个伪基站的信号,然后给你发送信息,你收到后呢,又会再次释放这台手机到正常的通讯基站上去。基本上制作的门槛很低,伪基站的制造商也很注重用户体验:考虑到从业人员的安全,最新款的伪基站可以放入双肩包,可以手机操作。真正实现了“给我一台设备,我可以坑10万人”的远大理想。操作模式也很简单,背上背包,踏上单车,哪里热闹,去哪转悠。
当然,有些更高级的不会叫你输账号密码,而会要你下一个软件,这个软件会在你之后使用网银或者支付宝付款的时候截取你的账号信息。
之后他们会处理这些数据,一是直接卖掉,二是卖给洗钱师。简而言之,受骗后几乎无法追回。
你可能认为,你有密保,不怕被盗。那你就错了……
所以说,之前那个木马程序不单单会钓你的账号信息,还会拦截验证码短信……
这类短信诈骗也有我开始总结的规律——
名号:银行,活动:兑换积分,目的:安装软件。
这一类诈骗短信就不安套路出牌了,还能叫出的你名字,主要利用受害者的“畏惧心理”……
简而言之,和“银行短息”一样,短信里有链接千万不要点!
下面我介绍一类比较绝的诈骗案例,首先模拟一个情境,最近股市走跌,前景非常不好,有一天你突然收到了一封短信,它告诉你今天xx股会涨。你不以为然。
第二天,你又收到了这个号码的短息,它告诉你今天xx股会跌。你看了一下,发现昨天是它是涨的,而且今天确实跌了。
第三天,第四天,第五天,第六天,连续四天,它都给你发短息并且对这个股的预测都正确了!
第七天,它告诉你,前面六天预测是某软件的预测结果,六天是一个试用期,你是否想要购买这个软件?(或者他直接说他是这个股的暗箱操作者,要不要加入xx培训班接受培训)你会怎么选择呢?
连续六天都对了!肯定参加啦!
其实不然,这也是一个很简单的骗术,只是放到个人上很难看透,要放到社会群体上去俯视他。连续六天猜对的概率是1/32,但如果他是把32种情况都组合分配一下群发给不同的人呢?如果群发320条,就有10个人非常有可能上当,3200条就是100个人,这个效率还是非常可观的。
刷单类诈骗分析
这类骗术主要就是叫你自己垫钱帮某个网店刷单,然后有高回报。其实这类骗局普通存在,为什么总会有人上当呢?原因很简单,他在骗你的时候会告诉你如果他不给钱,你可以通过淘宝退款,每个人都知道,如果15天内不点击交易,淘宝是不会把钱打给商家的。另外,这个刷单活动具有高回报,有点像高利贷。
其实不然,你是不能退款的。因为他要你刷的都是“点卡”类的商品。
这类骗局,一个拼音你都不要信,更不要参与。毕竟,就算是真的,刷单也属于违法行为。
电商中的诈骗分析
比如你在开网店的时候,淘宝会给你发消息,叫你去缴纳保证金。如果你是第一次做卖家,这类骗局真的是防不胜防。
利用了卖家的好奇心理、对事物的新鲜劲儿进行诈骗。
另外就是退款的时候进行诈骗,叫你给xx账号打钱。退款就应该走正规流程,只要涉及到转账,一定一定要留千万个心眼。
点对点诈骗分析
这类诈骗不单单会骗钱,可能还会是骗取重要情报。这个情报对你个人而言可能不重要,但是可能是骗子进行下一步诈骗的垫脚石、又或者是对某些企业很重要的信息。所以,在一些很正规的大公司,一般会请社工专家进行渗透测试,让他们骗一骗员工,谁被骗了今年的奖金可能就没了。另外,新员工入职前需要进行专门的培训。这个培训会告诉他们严格禁止做某些平时经常做看起来“人畜无害”的事——比如公司内不得连外网、公司内不能插个人U盘、没有证明不能放员工以外的人进入办公区、不能将垃圾带出公司、扔废纸前使用碎纸机……
如果是进行这类诈骗,那么它一定有着高超的技巧,一般有着固定流程——信息收集、伪装身份直接或间接与你接触。信息收集相当于人肉,如果你是一个生活有规律的人,就比较危险了。伪装身份的时候一般会植入你的个人爱好,融入神经语言程序学与你交谈,谈话中不自觉的就透露了你的个人信息。
这类骗局比较少,但是很难破解,因为他涉及的层面比较多,不单单是“贪图小便宜”那么简单了,还有“回报”、“义务”、“让步”、“权威”、“稀缺”、“承诺”、“喜欢”、“共识”等等因素。这里就不在细说了。(可参考文末的福利。)
总结
网络诈骗通常就是利用了人们的“贪欲”,就像那句老话,“永远不要相信天上会掉馅饼的好事”。正如人的七情六欲无法摒弃一样,想要杜绝诈骗也绝不可能。因为,人性才是系统中最大的漏洞。
我们只能在一次又一次的诈骗案例中汲取教训,分析一下这些案例的规律,找出应对措施,至少要保证自己遭遇它们的时候,不要轻易上当受骗。
福利:社会工程学书籍pdf版下载