本文主要是介绍网络安全意识 | 不知不觉已操控你的心,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
网络安全意识 | 不知不觉已操控你的心
本期文章将延续线上社交的内容,主讲线下社交的安全意识问题。
第一期关于线上社交的文章中,介绍了社交在“线上”这一方面可能存在的安全隐患,攻击手法和存在隐患的常用软件配置。本期文章将会讲述在“线下”这一方面,你可能遇到的问题,攻击手法和潜在的危险。但因为线下与人的交流比较复杂而多样,故本文只做一些经典,常用的手法总结并给出对应的安全建议。
世上的交易往往是风险越高,收益越大,对于社交攻击而言,也是同样。线上社交一类,更多是非主动式的攻击,风险,成本,不良影响相对低,相对应地,它的收益也不会太高。而对于一个更加资深的攻击者而言,线下(当面真实发生的人与人活动)社交攻击虽然风险更大,可能出现的意外状况更多,攻击进程更不可控,但它带来的收益却是足以使人冒险的。
接下来直入正题!
安全问题的本质是信任问题,一个攻击者想要从你的嘴里套出话来,首先就要让你对他产生信任,而使你信任他的最主要手段就是伪装——伪装成“纯路人”或是你工作/生活中的一部分(如,将要共事的伙伴,邻居等等)。但无论是什么样的伪装,目的也只有一个,那就是扮演一个不会显得不正常的身份,做一些看起来“理所当然”的事,完成自己的刺探或是诱导,操纵。
伪装是一个复杂的话题,对于没有经过系统学习的人来说,并没有太好的办法,比较好的就是多渠道验证身份行为了,所以我们本篇文章主要介绍诱导。
诱导
某国国家安全局在培训材料中为诱导下的定义是:**在貌似正常和平凡的对话中精妙地获取信息。**说实话,诱导可能出现在交流的每一处中,着实让人防不胜防。下面就给大家介绍一些攻击技巧,当大家发现交流的另一方可能使用了这样的技巧时,可以提高警惕。
1.赞同。俗称拍马屁,主要目的就是捧你,让你觉得自己好棒棒,让你飘飘然,让你起飞。当然了,夸你不是白夸的,等你飘飘然的时候可能就把什么给说漏嘴了。
举个简单的例子:
”我觉得你能力没有短板啊,在你们组里拔尖了已经,你那是个啥项目为啥不让你负责啊?“
“我听说XX公司是这个行业里最棒的公司诶。” “哈哈,是这样的,我就是XX公司的员工…“
安全建议:请时刻提醒自己谦虚冷静,被异常地夸赞不一定是什么好事情。
2.交换。一般来说,每个人都会有交换意识。也就是说,A给B一条信息,下意识地,B也会给A反馈一条,尤其是当它是这个样子时:
举个简单的例子:“天知地知你知我知,老弟我跟你坦白了,你别跟第二个人说,其实…”
安全建议:不要和别人随便交换信息,不要轻易信任他人。人家给你的信息都不一定是真的,你就把自己卖了。
3.质疑/挑衅。俗称激将法,大家应该心里都有数。
举个简单的例子:“你不可能这么快就写完了作业!作业那么多!” ”理论上说的确如此,但是我…(。-`ω´-)“
安全建议:冷静,冷静,冷静,少说话。
4.引导纠正。人天生就有纠正和教育的欲望,当他人显露出错误或是无知时,你很容易因为想要纠正他而说出什么。
举个简单的例子:“大哥你这工作一个月工资得五千多吧?” “呵,你知道个啥,我一个月七千多。”
安全建议:有些错误无伤大雅,一笑带过即可,没有必要多说话,误事。
5.重复话语。无论是谁都需要安静的倾听者,一个有倾诉欲望的人往往会输出更多。安静的倾听或者时常重复你提过的话,都会让你觉得他在认真听你说话,把你放在心上,且愿意听你说更多,这时候你大概也会真的愿意说更多。
举个简单的例子:“钢铁侠居然对他女儿说爱你三千遍!天呐太让人感动了…” “真的吗?爱你三千遍啧啧啧,换我我也坐电影院哭。” ”是吧你也觉得吧,其实…“
6.引起共鸣。当攻击者和你有了共同的爱好,经历之类的东西时,你们就会有共鸣,从某种程度上说,你们已经有一段融洽的关系连接了。
举个简单的例子:“你也在XX大学待过嗷?院书记老马给我坑坏了当时…你当啥专业的啊?”
安全建议:一个陌生人如果很容易找到和你能产生共鸣的点,那也许就是值得怀疑的,事出反常必有妖,知己不是那么好找的。
7.假设性问题。这个很好理解,就像你男/女朋友问你”如果你先遇到ta,你还会不会和我在一起?“差不多。
安全建议:假设出的那个前提,如果是真实的,那你可能就会暴露出你真实的情况和选择,最好的办法也许只有“不知道”了。
8.酒精。虽然很可悲,但酒精的确是最有效的攻击手段之一。
举个简单的例子:…江小白,五粮液。
安全建议:少喝酒,喝完了少说话,担心自己说错话就睡觉。
总结一下,实际上最重要的只有两点:减少不必要的接触和避免轻易的信任。
说到底,安全问题的本质就是信任问题。你信任你最好的朋友,你的爸爸妈妈,所以你毫无保留,没有警惕,愿意把事情都和他们说;你不会信任一个陌生人,所以不会向他透露秘密,这就是信任问题。一般来说,除了长时间预算的APT(高级持续性威胁)以外,攻击的时间成本都不会太高,攻击者需要用短时间迅速成为你信任的一部分,比如伪装身份——扫地阿姨,维修工,快递小哥,你的老乡等等。所以,请警惕一切信任度和友情值迅速攀升的关系,事出反常必有妖,你以为遇到了知己或是什么幸运,但实际上不一定是什么好事。
敢于直面目标,将自己置于未知中的攻击者有两种:一种是不知天高地厚的愣头青,另一种是真正资深的攻击者。当然前者可能不足为惧,但如果是后者,且ta敢于这么做,那至少也是经过了专业的训练,对自己的能力有一定的信心的攻击者。就像世上没有真正以一换二的事情,想要抵消攻击者所做的努力,防御方也要经过系统专业的训练才行。但只有千日做贼没有千日防贼,真正做到极致的安全可能是无法与业务或正常生活并存的,做到条件允许的,最好情况的安全即可。
当然,也有另一种选择,那就是交给以此为业的专业人士,比如我们~
工具本无好坏,关键在于使用它的人,以上所提到的除了用来应对安全问题外,也不失为日常交流的小技巧哦。最后,希望读者们能记住,并喜欢本系列文章!
这篇关于网络安全意识 | 不知不觉已操控你的心的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!