《社会工程:安全体系中的人性漏洞》摘要与心得

《社会工程:安全体系中的人性漏洞》摘要与心得

注:【】部分为笔者心得,非原文摘抄。

  • 必须置身事外才能全面地理解安全,从本质上来说就是把自己作为一个局外人,尝试用其它方式来进入系统。
  • 大部分人因为自信满满而对潜在的问题视而不见。
  • 制造恐慌、运用影响力、采用操纵策略和建立信任感等方法都可以让受害者消除戒备。
  • 承认系统有漏洞并且可能被攻破,是让系统更加安全的首要条件。
  • 社会工程的定义:一种操纵他人采取特定行动的行为,该行动不一定符合“目标人”的最佳利益。其结果包括获取信息、取得访问权限或让目标采取特定的行动。
  • 对网站的攻击、恶意代码和恶意的内部人员是最具破坏性的攻击形式。
  • 一个未被检查的不满员工可能比一群虎视眈眈的专业黑客所造成的破坏还要大。
  • 读懂身体语言、面部表情和语调信息也可以增强你的沟通能力。知道怎样保护自己和你爱的人,会提升你的价值,让你对外部世界更加敏感。
  • 战争的胜利百分之九十取决于情报。—— Napoléon Bonaparte
  • 即使是最微小的细节也可能促成社会工程人员的成功入侵。
  • 通过暗示前一位顾客已购买,并在交流中使用“优惠”、“优先”等关键词,销售人员能在短时间内就使目标兴趣盎然。
  • 收集信息时不要总想着怎么组织和运用这些数据,创建一个文件或信息收集服务来收集信息才是当务之急。
  • 对于一名社会工程人员来说,数据收集是每次行动的核心。
  • 对社会工程人员来说,应该熟知当地法律,避免做出违法行为,这非常重要!
  • 对于社会工程人员,建立交流模型将帮助确定最好的传送和反馈方式,以及最合适的传输内容。
  • 社会工程基本交流规则:
    • 不要理所当然地认为接收者和你的情况完全一样;
    • 不要理所当然地认为接收者将按照你的方式阐释信息;
    • 交流不是一件绝对的、一成不变的事情;
    • 如果有多人参与交流,应始终假设每个人的情况各不相同。
  • 社会工程人员必须是交流的大师,必须能够有效地进入且留在一个人私密的精神空间,并保证不冒犯目标或令目标反感。制定、实现和实践有效的交流模型是成功的关键。
  • 记住,我们往往只有一次机会打动别人。
  • 交流模型中最困难的部分是确保收集到的信息是可靠的。
  • 有效地引导别人讲心里话说出来,是社会工程成功的关键。
  • 诱导的意思是引出、套出或者得出一个逻辑上的结论。或者,可以将诱导定义为一种引发或者诱发某种特定类型行为的刺激。
  • 有效地使用诱导意味着你能提出具有诱导性的问题,刺激别人采取你所希望的行动。
  • 诱导的效果如此之好的原因如下:
    • 大部分人希望看上去比较有礼貌,尤其是陌生人;
    • 专业人士希望自己看起来见多识广、很有才气;
    • 如果得到赞赏,大部分人通常会越说越起劲并泄露更多的秘密;
    • 大部分人不会为了撒谎而撒谎;
    • 大部分人对貌似关心自己的人会比较友善。
  • 人们在说起自己的成就时常常口无遮拦。
  • 获取的信息越多,攻击的成功率就越高。
  • 掌握交谈的艺术的三个主要步骤:
    1. 表现得自然;
    2. 拥有足够的知识;
      • 不能装成自己不可能成为的人;
    3. 切忌贪婪。
  • 铺垫是一种以隐晦或婉转的方式植入想法或思路的技巧。
  • 诱导的应用在于其有效性、很难察觉及不具威胁性。
  • 精心的吹捧会促使他人说出一些从未透露过的信息。
  • 表达共同兴趣是诱导的一个重要方面。
  • 告诉他人、显示自己的博闻强识、不能容忍错误表达等欲望是人类的天性。
  • 作为社会工程人员,在交流中主动提供信息会迫使目标提供具有共同价值的信息。
  • 在挖掘秘密方面没有比酒精更有效的东西。
  • 人们会构造记忆来契合自己对世界的已有认知。
  • 很多情况下,人们的记忆库是基于自己的感知和对自己重要的事情而形成的。
  • 通过引导性问题来操纵人们的记忆是可行的。
  • 诱导在应用中的原则:
    • 问题太多会吓跑目标;
    • 问题太少会让对方不自在;
    • 一次只问一个问题。
  • 将谈话想象成一个漏斗,上面是最大的、最“中性”的部分,底部是最窄的、最直接的部分。
  • 懂得如何与他人沟通是诱导者必须具备的技巧。社会工程人员必须适应并且能融入任何环境及情况下的交流。迅速建立与目标的初步信任是关键步骤,没有友好的关系,交流极有可能以失败告终。
  • 一般情况下,伪装得越简单,说明技术越娴熟。
  • 伪装不是扮演某个角色或者出演部分剧情,不是撒谎后不停地圆谎,而是真正成为要扮演的那个人。
  • 伪装的定义是创造虚构的场景以劝说目标受害者泄露信息或者做出某种行为。
  • 创造一个全新的身份,然后用这个身份去获取信息。
  • 娴熟的信息收集技术是伪装成功的关键。
  • 伪装的质量与所收集的信息质量有直接关系。
  • 体现伪装本质的原则:
    • 调查越充分,成功的几率越大;
    • 植入个人爱好会提高成功率;
    • 练习方言或者表达方式;
    • 很多时候,如果低估了电话的作用,可能会减少社会工程上的投入程度;
    • 伪装越简单,成功率越高;
    • 伪装必须要很自然;
    • 为目标提供逻辑结论或下一步安排。
  • 利用他人的不幸来牟利,是这个世界的可悲事实。
  • 自信有助于说服目标相信你就是你宣称的那个人。
  • 自信心始终与任务和自身处境密切相关。不同情况下,我们的自信心是不一样的。—— Tom G. Stevens
  • 自信(只要不是自大)可以建立信任和默契,而且让人感觉很放松。尽量让目标谈论你感到舒服的话题,然后你就可以自信地发挥,这点很重要。
  • 认知失调理论认为:人们倾向于协调自己的信仰、观点乃至几乎所有的认知。如果态度和行为之间存在不协调,就必须要修正这种不协调。
  • 学会用不同的方言与人沟通会给人留下深刻的印象。
  • 学会工作领域的专业表达方式可以使情况有所改观。
  • 使用电话提高伪装的可信度,是得到目标认可最快的方式之一。
  • 保持故事情节、事实和细节的简单性,会增强可信性。
  • 不过分追求细枝末节也很重要。一个简单的伪装允许故事发展,并且允许目标运用想象去填满空隙。不要试图将伪装设计得很精致,只要记住那些伪装中比较关键的小细节即可。
  • 让伪装更加自然的方法:
    • 不要考虑自己的感受;
    • 不要把事情太当真;
      • 只有正确看待小的失败,才能取得更大的成功;
    • 学会找到相关信息;
    • 争取多积累经验。
  • 每次伪装前,都要进行大量的联系,以至于足以使伪装自然得像是幽默与天赋的产物。
  • 我们看待事物的方式而不是事物本身,决定着一切。—— Carl Gustav Jung
  • 正确地解读人们说话、手势、眼神和面部表情中的信号,可以使你看起来像一位精通读心术的人。
  • 让客户认可你的非言语行为、用客户认可的语言表达方式,并且在音量、语调和方言上匹配,这样通常可以免吃闭门羹。
  • 视觉思维者需要视觉输入才能作出决定。
  • 面对听觉思维者时,一定要注意自己的措辞。他们听到的词语表达将决定事情的成败。
  • 要想与动觉思维者沟通,得和他们进行感觉上的联系。
  • 视觉思维者需要看着对方说话才能正确沟通。
  • 在社会工程过程中越是能将人们置于舒适的氛围,成功的几率就越高。人总是喜欢和让他感到舒适的同伴在一起。
  • 从一名社会工程人员的角度来看,恐惧经常被用来诱使目标对象做特定的反应和动作。
  • 机智的对答或不经意间的玩笑可能会是目标马上放松警惕,降低其心理防线。
  • 营造悲伤的气氛也是社会工程常用的手段之一,因为它可以激发人们采取某些行动,比如捐款或者提供信息。
  • 神经语言入侵(NLP,Neuro-Linguistic Programming):通过一些情绪上的微妙暗示操纵他人达到特定的情绪状态。
  • 一旦发现矛盾的情况,你所要做的应该是挖掘更多的信息。就矛盾之处进行询问,注意观察对方的微表情变化,也有助于对真实情况作出判断。
  • NLP提倡使用嵌入式命令影响目标以某种方式进行思考或采取某种行动。此外,通过变换语调强调句子中的某些词语,使得人们的潜意识将重点放在那些词语上。
  • 语调的上升和下降不能太做作,必须用得很微妙。
  • 构思最有利完成任务的句子,不要指望一句话就能起作用。
  • 不要指望通过说几句话就能让目标言听计从。
  • 让你的声音具有动感。
  • 当想说出的句子中包含一个隐藏的命令时,你要降低语调,通过细微的变化使目标意识不到其中命令的成分。否则你会提醒对方的潜意识,让他觉得什么地方出了问题。如果出现这种情况,他会觉察你的企图,让你难以成功。
  • 如果一门技巧不是与生俱来的,则练习是必不可少的。
  • 声音的音调以及将重音放在某些特定的词语上能够改变整个句子的含义。
  • 选择能够产生最大影响的词语。对于想要目标积极思考的问题选择积极的词语,对于那些不需要目标想太多的事情选择消极的词语。
  • 采访和审讯之间的主要区别在于,采访中目标在身体和心理上都处于舒适的状态,而审讯的目的则是通过审讯的场所和所提问题让目标感到不适来向其施压,从而使其老实交代。
  • 诱导、解读人们的表情和手势及洞悉人类的行为都有助于你成为一名了不起的审讯者。
  • 新手在采访和审讯过程中经常会犯的一个错误就是,总是假设所有的行为改变都有重大的意义。
  • 不要单单留意一个动作,而要留意一连串动作。
  • 越融入环境,越不容易被识破。
  • 如果在某个本不应出现的地方或场合被抓,不要惊慌失措,要让他人觉得你很淡定。你的淡定会让抓住你的人极大地降低警觉,也给予你一个消除疑虑的机会。
  • 在危险的场合表现出淡定,可以获取到很多信息。
  • 镜像手势不仅包含模仿目标的肢体语言,还包括模仿他的手势,让对方更容易跟着你的思路走。
  • 当一个人处于放松状态时,肘部一般会没有拘束地放在身体两侧。当感到威胁或害怕时,身体的自然反应是肘部向胸腔收进。
  • 值得注意的手势至少包括以下几种:
    • 一个张开的手掌可能表明诚意;
    • 指尖搭在一起,表明这个人认为自己很权威;
    • 敲击或击打手指可能表示焦虑;
    • 摸脸可能是思考的迹象,触摸头发可能显示不安,触摸耳朵可能表明犹豫不决。
  • 不要刻意去记手势,而是要记住其附加的信息。
  • 要综合使用面部表情、手势和姿势。它们必须融合在一起,达到一种平衡,以支持你的伪装。
  • 有助于完善聆听技能的步骤:
    • 集中注意力;
      • 高度关注目标对象;
      • 尽量不要提前思考,不要急着去策划下一部反应;
      • 尽量不要被环境因素影响;
      • 密切关注说话者的弦外之音;
    • 提供你在聆听的证据;
      • 不时地点点头,不用太频繁,但是要足以让对方知道你在听;
      • 不要忘记十分重要的微笑;
    • 提供有价值的反馈;
      • 确保所问的是相关的问题;
      • 你的问题必须表现出你在积极地聆听,并且有很强的欲望去获取更深入的理解;
      • 时不时地重述或者概括你所听到的东西很管用;
    • 不要打断对方;
      -打断对方的讲话显得你不顾及他的感受,并且会扰乱说话者的思路。
  • 把好的聆听技巧变为本能,从而不需要绞尽脑汁地去想。
  • 在社会工程需要聆听的场景中,你必须极力压制那些内心的成见,以免影响你取得成果。
  • 对信息而不是对人作出反应。如果你不赞同一个人的信仰或立场,给他足够的面子,可以使对方感觉跟你相处非常舒服。甚至在不赞同时,你可以聊聊别的来转移注意力。
  • 反射式响应具有几项基本原则:
    • 积极聆听;
    • 当需要作出回应时,注意自己的情绪;
    • 用你自己的语言重复目标提供的内容;
    • 可以用一些含糊的语句来做出反应。
  • 社会工程的目标是收集信息,进入那些不允许你进入的地方或者获取无权得到的信息,或者促使目标对象做出常理下不会做的行为。
  • 如果没有共识,对话将会陷入僵局。从社会工程背后的心理学原则来讲,共识是支柱之一。
  • 建立共识的前提是喜欢对方,因为人们可以看穿虚情假意。
  • 建立对目标的真正兴趣可以使你更容易建立共识。
  • 接触目标之前,要检查自己的仪表和其它可能影响对方的个人因素。
  • 尽量确保你的外表没有任何扎眼的、让人不远亲近的东西。
  • 【身边常备漱口水。】
  • “7-38-55定律”:统计数据表明,人们对你的印象只有7%取决于谈话的内容,38%在于肢体语言和语调,而55%在于外表。
  • 如果满脑子都是最终目的,那么你一定会给对方留下负面印象。
  • 让别人去聊他自己可以使你更受欢迎。
  • 认真倾听他人说话,尝试确定并理解其潜在的情感,然后站在他的角度去思考,可以让人觉得你是真的感同身受。
  • 表达同情时不要显得盛气凌人。
  • 如果你的情感处于封闭状态,表达同情将变得非常困难;如果你乐于与他人交往的话,表达同情就变得非常容易。
  • 人们在对某些事情抱有思维定势时往往会变得有些自以为是。自以为是或者武断的态度可以改变一个人对所述事情的反应。即使什么都不说,你也会在心里想,这会体现在你的肢体语言或面部表情上。
  • 培养自己对别人思考及做事方式的好奇心,而不要固步自封。好奇心可以防止你作出草率的决定。在寻求帮助或请求得到更多的信息时,这会让人觉得你很谦逊。
  • 保持心胸开阔,探究并接受别人在某一话题上的想法,即使这些想法与你的想法有所不同。
  • 人类的基本心理需求:
    • 归属/联系/爱
    • 权力/地位/能力
    • 自由/责任
    • 娱乐/学习
  • 共识可以在人与人之间创建超越得失的关系。
  • 满足对方的需求可以大大增加建立共识的机会。不要让对方觉得你别有用心,而是真心诚意地去帮助他。
  • 可以使对方即刻放松下来的NLP技术:
    1. 呼吸频率保持一致;
    2. 语音、语调保持一致;
      • 对于口音,原则是不要模仿,除非你能运用得得心应手,否则不要尝试,不伦不类的口音会毁掉共识;
    3. 肢体语言保持一致。
  • 预期定律:人们常常遵循他们感受到的别人的期望或要求来做决定。
  • 一些行之有效的嵌入式指令基本原则:
    • 指令要短,3~4个词即可;
    • 些许强调会更加有效;
    • 蕴含在普通的语句中最有效;
    • 配以适当的面部表情和肢体语言。
  • 演讲者以故事和引用的方式来传达信息会更为有效。
  • 人类思维缓冲区溢出 = 预期定律 + 思维铺垫 + 嵌入式指令
  • 理解人们的思维方式、思维定势形成的原因以及怎样改变他们的想法,这是成为一名社会工程人员的必修课。
  • 晓之以理,不如示之以利。—— Benjamin Franklin
  • 说服目标对象的5项基本原则:
    1. 目标明确;
    2. 构建共识;
    3. 洞悉环境;
    4. 灵活应变;
    5. 内省。
  • 社会工程的全部目的就是影响目标采取一项不一定符合他们最佳利益的行动。
  • 要构建共识,首先需要从目标的心理状态入手,即尝试了解他们的心情。
  • 不能在言语上攻击目标对象和他的习惯,而是必须理解和接受对方的心情,这样才能与之建立共识,最终产生影响。
  • 只有能够真正站在对方的角度考虑问题时,才能构建坚实的共识,否则你意图影响他人的努力将归于失败。
  • 人类的大脑在处理信息时每秒钟能够计算2亿亿次。—— Chris Westbury,阿尔伯塔大学认知神经心理学家
  • 在尝试影响他人时尽量减少内心活动。
  • 顺势而为,按照需要调整目的和方法,当事情不能按照计划进行时不要死板。
  • 情感几乎控制着每个人所做的每件事。
  • 回报是一种固有的期望,指的是在他人对你好的时候你会给予友善的回应。
  • 送出的不能是完全没有用的东西,必须是有价值的东西。
  • 对接收者来说,礼物的价值越高或者越意外,受惠的感觉越强烈。
  • “礼物”必须完全免费,必须于对方具有很高的价值。
  • 很多公司误以为以下物品是好的礼物:
    • 美丽夺目的公司宣传册;
    • 无用的小玩具;
    • 关于你的公司或产品的销售资料;
  • 为对方提供一条有价值的、会带来好处或者有用的信息会比实际的礼物更能引起对方的兴趣。
  • 寻找适当的小机会送出一些信息,会突显你在接收者眼中的价值,更重要的是让接收者感激你。
  • 义务就是基于社会、法律和道德要求,以及责任、合约或者承诺,人们认为必须要做的事。
  • 当目标是客户服务人员时,通常可从义务入手进行攻击。
  • 可以简单地通过高明的称赞来实行义务战术。例如,先称赞某个人,然后提出一个请求。
  • 对别人友好,给他们需要的东西,甚至是简单的赞美,都能使他们觉得有义务帮你。
  • 关于让步及其正确使用的基本原则:
    • 表明你让步;
    • 要求和定义回报;
    • 视情况做出让步;
    • 分批做出让步;
  • 让步必须对接受方具有价值。
  • 总体上来说,人们渴望得到那些难以企及的东西,因为这些东西看起来更有价值。别人的关注亦遵循这一规律。
  • 稀缺制造出一种欲望,而欲望导致人们做出一些事后可能会后悔的决定。
  • 要想“稀缺”发挥作用,要么这种稀缺是真的,要么就要坚持你的观点,让它看起来是真的。
  • 对于真正需要的物品,人们会高估其价值。
  • 如果信息是私有的、受限制的且难以得到,并且你愿意与他人分享,你在他们眼中就极具价值。
  • 装扮成权威人物是社会工程人员混入公司的主要手段。
  • 在适当的情况下,人们更可能对来自权威的主张作出快速的反应,即使这种所谓的权威根本未露面。—— 《The ‘Social Engineer’ of the Internet Fraud》,Jonathan J. Rusch
  • 人们会受一小群采取同样行动的人的影响,这就是社会权威。
  • 如果毫无防备地顺从权威,就会不顾现实地服从于权威符号。
  • 言行一致降低了信息在处理的必要性,并且为作出复杂的决策提供了捷径。
  • 要使大部分人采取特定的行动、透露信息或者泄露秘密,承诺和言行一致可能是很大的影响要素。
  • 使用承诺和言行一致操纵他人的关键在于初始承诺。也就是在作出承诺、明确立场之后,人们会更加愿意同意那些和他们初始承诺一致的要求。—— 《影响力》
  • 必须了解目标,这样才能成功装扮成目标期望的样子。服饰、发型及珠宝饰件都不要让目标震惊、惊讶或厌恶。让他感觉自然,慢慢创造出让他喜欢你的气氛,再通过构建信任关系走向成功。
  • 一个人受到他人的恭维时,会倾向于继续谈话,以听到更多的肯定之言。这种恭维会增加目标的自我肯定,让他感觉你比其他人更了解他。
  • 通过如下4步能够让人们喜欢你:
    1. 自信而积极的态度;
    2. 建立共识;
    3. 与目标和环境保持同步一致;
    4. 有效地进行沟通。
  • 人们会在遇见他人的头两秒内决定是否喜欢这个人,要改变第一印象是很困难的。
  • 具备良好的表达能力和不同场景的沟通技巧会让你更受欢迎。你表现出来的就是他们感觉到的。面部表情、肢体语言及着装等必须反应良好和积极的态度。
  • 询问很多问题、主动聆听及对别人说的话题感兴趣等,这样的行为有助于让人们喜欢你。
  • 预先录制的笑声对拙劣的笑话最有效。
  • 社会认同的原则:我们确定什么事是正确的一种方法是看看其他人人为什么是正确的,如果在其它场合看到别人也做某件事,我们会更加坚信这样做是对的。
  • 社会认同在以下两种情况下最具影响力:
    1. 不确定:在人们不确定并且形势不明的情况下,他们更可能观察他人的行为,并认为这种行为是对的;
    2. 相似性:人们更倾向于跟随与自己类似的人的引导。
  • 影响和说服的艺术是让他人以你希望的方式想要去做、行动、思考或相信的过程。
  • 为目标创造动机是社会工程的超级武器。
  • 框架被定义为生活中的信息和经历,能够在人们必须作出决定的时候改变其反应的方式。
  • 参考框架是一组看法、条件或假设,它们决定了人们如何接近、认知或理解某一事物。
  • 框架必须与个人的核心信仰一致才能成功,除非你的目标是通过框架改变目标的核心信仰。
  • 框架从来都不是从头构建出来的。框架总是根据已有文化符号提出的,涉及个人信仰和经验的核心。
  • 框架桥接:就某一主题而言,思想上一致但结构上互不关联的两个或多个框架的联接。
  • 理解目标的框架意味着知道他将如何对待你——不是如何对待社会工程人员,而是如何对待你伪装的角色。
  • 框架放大是指对一个与某议题、问题或者一组事件有关的解释性框架进行阐述及激励。
  • 通过省略、遗漏故事的细节,或者干脆不提这件事,媒体让人们得出了似乎是自己的结论,事实上这一结论来自媒体。
  • 适当改变呈现、设定道德选择和价值困境的方式,会对人们的政治选择和政策产生意义深远的影响。
  • 操纵的目的就是要战胜目标的批判性思维和自由意志。当目标基于熟悉的流程无法作出决定的时候,操纵的人可以给他灌输想法、价值观、态度或者道理。
  • 动摇并深挖目标的信仰系统,这对控制目标采取你想要的行动会大有脾益。
  • 人们会将特定的声音、行为与感觉和情绪相关联,形成条件反射。
  • 在播放音乐的情况下,购物者在大卖场内的购物时间平均会增加18%。
  • 人们选择操纵他人的主要原因可以分成三类:
    1. 金钱激励;
    2. 意识激励;
    3. 社会激励。
  • 不是所有的操纵都是恶意的,但要以正确的方法使用。
  • 操纵并不是让人们喜欢你的所作所为并且感到舒服,而是强迫他们做你想要他们做的事。
  • 操纵的一个目的是制造焦虑、紧张和过度的社会压力。
  • 用恐惧、愤怒或者激动等情绪扰乱了目标之后,可以为他植入不同的信念。这些情绪会导致暗示接受性提高和判断力下降。
  • 逐渐削弱目标的信念、意识或者对某一情形的情绪控制会让他不安。这一战术具有很强的负面效果,因为它让目标怀疑他通常认为是对的东西。
  • 让目标感觉脆弱或者无能为力是另一种阴暗但很有效的战术。
  • 让目标感觉没有时间思考或者情况特别紧急,也会让他觉得无能为力。
  • 与让目标感到无能为力这一战术密切相关的就是让他们觉得内疚、耻辱、焦虑或者丧失特权。
  • 如果让目标觉得完全无能为力,他就会认为向攻击者屈服是相当合理的。
  • 不要让目标的表现影响你的情绪,这点非常重要。一旦让你的情绪介入其中,就是目标在操纵你了。你当然会产生情感,但是要控制自己的感觉并注意表露感情的方式。
  • 你不能失去控制。你也要尽量控制负面情绪,这样才能始终控制局面。
  • 必须从精神面貌上表现出你会得到想要的,这种信念会制造出新的肢体语言和面部表情,从而让你更好地伪装。
  • 当想表达负面情况并且不想让目标重复时,就用过去时。利用这一技巧,可以将过去的负面态度和行为放到他的回忆中,给他一个“重新开始”的机会,让他为你做一些好事。
  • 如果不事先思考如何处理潜在的交流障碍或者破坏性影响,而是等到临场发挥,则大多数情况下会出现问题。
  • 理解什么会触发目标想要采取某一行动,并让目标觉得这一行动对他来说有好处——这就是影响力的用途。
  • 物理安全是指企业或个人为保障安全所采取的不涉及计算机的措施,通常涉及锁、摄像机及窗户传感器等工具。
  • 社会工程人员绝对不能使用录音录像设备故意去记录他人的窘态或窥探别人的隐私。
  • 仅有工具是没有用的,掌握工具的功能并实际运用才是重点。
  • 安全之本在于教育。—— Mati Aharoni
  • 令自己和自己的故事可信,从而使目标的思维与你的思维一致,这是伪装的关键之一,能使你的伪装更加完美,并使目标对你的话深信不疑。
  • 搜集的信息越多,就越容易发现漏洞,这是社交工程通向成功的道路。
  • 必须提出有力的问题并抓住关键点来吸引目标的注意。
  • 伪装需要创建一个现实的、能操纵目标感情和行为的角色。
  • 不要轻易相信任何人。
  • 思维不拘一格且快速切换是社会工程人员的标准技能。
  • 预防和减轻社会工程攻击的6大步骤:
    1. 学会识别社会工程攻击;
    2. 制定提高个人安全意识的计划;
    3. 充分认识社会工程人员意图获取的信息的价值;
    4. 及时更新软件;
    5. 编制参考指南;
    6. 从社会工程审计案例中吸取经验教训。
  • 不要等到攻击发生后才意识到它们的危害会有多严重。
  • 一般来说,你越了解攻击的方式,就越容易识破它们。
  • 在向某人提供信息前,要判断与你通话或者交涉的这个人是否有得到信息的权限和必要。
  • 不管对话的哪个阶段,都要思量你打算透露的信息的价值。
  • 社会工程审计的基本定义:雇佣专业安全人员模仿恶意社会工程人员所使用的攻击方式对企业中的人、规章以及物理环境所进行的安全测试。
  • 恶意社会工程人员与专业安全审计人员主要有三点不同:
    1. 通常,专业的安全审计人员会遵循道德与法律上的约束;
    2. 专业安全审计人员的目的是帮助客户,而不是窃取客户资料、使客户陷入窘境或者伤害客户;
    3. 专业的安全审计有一定的范围限制,而真正的攻击者则不受这些限制。
  • 制定审查目标时,针对关键方面列出从0到10不等的强度等级:
    • 判断员工是否会点击或打开来自陌生人邮件中的链接或文件;
    • 判断员工是否会登录某个网站,输入个人或业务相关的信息;
    • 判断通过电话或者在工作场所或个人场所面对面的交流可以从员工口中获取多少信息;
    • 判断办公环境中的锁、摄像头、传感器和门卫的安全等级;
    • 确定社会工程人员是否有能力构建一个恶意U盘或DVD,并诱导员工把它用在工作电脑上。
  • 在策划攻击时,需要极力避免以下几点:
    • 攻击目标的家人和朋友;
    • 伪造犯罪或不忠的证据,让目标名誉扫地;
    • 根据当地的法律,冒充执法人员可能是违法的;
    • 闯入目标的家;
    • 利用目标的风流韵事或窘迫状况进行敲诈。
  • 如果不将知识用于实践,它就没有任何价值。—— Anton Chekhov
  • 好的伪装并不是纯粹的说谎和编故事,而是在短时间内变身成为所伪装的角色。你的一切,包括想法、动作、说话方式和动机,都应该体现所伪装角色的特征。如果你做得足够好,就会取得目标的信任。
  • 积极地利用恐惧,切忌生气和消沉。制定一个改变自我的计划,然后培训自己、家人和员工,学会观察、提防和防御社会工程攻击。
  • 许多公司从未对呼叫中心和技术支持部门做过正式、认真的社会工程安全培训,而这些部门常常是社会工程攻击的首选目标。
订阅
提醒
guest
0 评论
Inline Feedbacks
View all comments
普人特福的博客cnzz&51la for wordpress,cnzz for wordpress,51la for wordpress
0
Would love your thoughts, please comment.x
()
x