社会工程学到底有多可怕

2024-04-27 05:58
文章标签 到底 社会 可怕 工程学

本文主要是介绍社会工程学到底有多可怕,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

题图 | Pixabay 

九号传教士  CFA 持证人 / 高临签约顾问 / CCIE 路由安全方向持证人 / 国家心理咨询师

作者本身从事欺诈/反欺诈/风控相关工作,一直并长期关注/潜伏于黑产产业链中,曾经是某著名黑客论坛社会工程学领域核心成员。

本文转载自作者的知乎问答,已获作者授权,转载文章中去掉了一个中级案例,补充了一个高级案例。

有很多知乎er私信我想了解社会工程学相关的知识,距离第一次关于社会工程学的作答至今已经有一年多了,过去的一年有些忙碌,不过现在我将围绕着社会工程学/信息安全/反欺诈不断的连载。

首先,社会工程学是什么?有人定义为人肉搜索,有人定义为信息窃取。如果一定要我做一个定义的话,社会工程学是通过对社会人的心理弱点、习惯弱点的分析,借助一定的手段达到某些目的的过程。到底是正是邪不好说,具体要看怎么用。按照我的定义,商务谈判也是一种社会工程学,你们说呢?

BTW,严肃脸(- 。-)传教士再次重申,社会工程学不是社工库,不是数据,不是黑产。社会工程学的对象是人!OK?我在讲艺术,有人私信我要库的,有人说数据的关联性就是社会工程学,或者说社工库就是社会工程学,麻烦你们先理解好一条概念——社会工程学到底是什么?! 

a4243e2440715b31d0b46249583deb7d.png

@冰郎站 社会工程学的对象是人!是人!不是数据!社会工程学是艺术,不是黑客盗取数据完成黑产!利用社工库只是社会工程学的一种手段。真正的社会工程学是通过研究社会人的心理弱点以及习惯弱点,通过计划达到目的的学科。

我喜欢把案例讲成故事,因为故事可真可假,结尾可以写本故事纯属虚构,如有雷同纯属巧合。

01

那一年的冰箱还是单身,27岁,干干净净的IT男,因为生活圈子小,每天两点一线,一直没有遇到心仪的女孩。冰箱人很好,随时都带着很傻很萌的微笑,所以身边朋友不时会给冰箱介绍女朋友,可是一直没有看上的。有一天,冰箱和朋友们聚在一起吃饭,突然眼神发愣地看着不远处的一个女孩,怎么形容呢(传教士本人不怎么会形容女孩子)?姑且这样形容吧——可爱脸配职业装,腿细身材一般。可是冰箱就是一眼喜欢上了,叫朋友们帮他要电话。21世纪,野路子搭讪问电话号码的失败率高达80%。于是传教士就制止了冰箱的这种想法,并且承诺一定可以帮他拿到电话号码。传教士走到女孩身边假装路过,拿出手机输入了一些东西,回到饭桌上就对冰箱说,不出意外,明天下午给你这个女孩的电话。也是因为这个电话,陈最终和这个女孩走到了一起。

怎么回事儿呢?传教士看到女孩正在往车的后备箱放东西。女孩打开后备箱时,传教士发现女孩的车牌很有意思,于是就走到女孩旁边假装路过,仔细地观察了女孩车内的摆件,确认不是什么男朋友、老公的车。说起车牌照有意思,传教士在互联网上找了一张类似的图做了一些处理给大家看看。

500b0c13abe7597a7ff8fc3d32027aae.png

第二天传教士找了自己的得意门生八号修女,把记录下来内容交给她,安排了如下的对话。

PART1

八号修女:你好,是这样的,我之前的手机号掉了,麻烦你们帮我更改一下预留信息。

4S店:您好,我们这里是销售部,您要更改信息需要致电售后部或者客服部。

八号修女:能把售后部的电话给我吗?

4店:好的,您稍等。麻烦您记录一下:XXXXXXXXX。

八号修女:好的谢谢。

PART2

八号修女:你好,是这样的,我是车牌号「圣XXXXX」的车主,我之前的手机号掉了,麻烦你们帮我更改一下预留信息。

4S售后:好的,您稍等,帮您查一下,请问您是李女士吗?

八号修女:是的,你帮我看一下我的伊兰特预留的电话号码,我不记得我有没有更改过了,麻烦你给我念一下。

4S售后:好的,稍等,您之前预留的电话号码是:xxxxxxxxx。您看需要更改吗?

八号修女:噢,那就是对的,谢谢哈。

Phone Nubmer get!WeChat get!从此热聊开始。

e1aa7144838c8b68ae12730cd947ce4e.png

案例分析

4S店为了销量和宣传制作了很多含有店招的信息,而销售服务型企业员工很自然地假想每一个来电的人都是自己的client,同时急切地想在客户面前表现出良好的服务态度和服务水准,很自然地就放松对client ID的check。而在部门选择的时候之所以没有选择客服部,是因为客服部在服务客户上更加专业一些,所以理论上激警的可能性会高一些。

解决办法

换了就是了啊。

02

要理解这个案例,我们得从定义入手。“ 社会工程”一词其实并不被大众所知,所感,所正确理解;或者说它的形式起源、创造者背景、应用方向以及传播方式,没有能够给这门“技术”以准确的定义。当我们在谈论社会工程的时候,具有两个显而易见却又很容易忽视的要素:社会与工程。将由人组成的社会体系中的要素中的数据、信息、行为认知等进行有目的的组合分析,为某一个特定目的建立相对低成本的模块运行路径。如果我们使用这个定义,你会惊奇地发现,社会工程实际早就已经覆盖我们生活的方方面面,甚至横跨古今。

讲一个远古时期的案例——特洛伊战争(Trojan War,公元前1250年)。相信很多学计算机的人就算不知道历史成因,也至少听过特洛伊木马的故事,20世纪的我们对病毒的广义定义在很长一段时间内都叫木马程序,这是为了方便大家理解。

如果你仔细去研究这一段历史,你会发现特洛伊木马其实是一个社会工程学的经典案例。特洛伊战争打了整整10年,围城用了9年时间,交战双方分别是希腊联军与特洛伊人。其实,从实力上讲,希腊联军是呈碾压态势的,之所以用了10年时间,不是因为特洛伊人民有多么骁勇善战,而是特洛伊城的特殊性——特洛伊城是一个具有独立生态体系并且防御极佳的城邦,通过内部体系自循环便可长居而守。

我们把特洛伊城看成是一个完整而安全的国家或者公司运转体系,有着出众的软硬件以及防御体系,能攻破吗?能!无非就是人力、物资和时间成本而已。在这里我也想普及一个概念,没有绝对安全和绝对没有风险的说法,所有的安全与风险都要放在特定的时间段内去看。

说回特洛伊战争,经过9年的对垒,双方对彼此的战略战术都有了很清楚的认知,如果不出意外再打10年都分不出胜负。于是希腊联军方面就开了一次会盘点了一下情况——当大家都在想着怎么才能攻破城墙长驱直入的时候,代表赫拉克勒斯方的智囊安图恩提出了一个猜想(我愿称之为希腊版哥德巴赫猜想)——我们为什么不能让特洛伊人为我们打开城门?安图恩说道:“我猜里面的人都已经憋疯了,物资极度匮乏。我们可以携物资,大军向前进挺近80普勒戎(古希腊的距离计量单位),发起总攻然后假装兵败,我们只要假意撤退,把物资分散留在这80普勒戎的范围内,同时我们用一个巨大的容器来装我们的勇士,让他们认为是战利品运回城中,等到夜晚举城欢庆,全民烂醉的时候,咱们的勇士为我们打开这城门长驱直入。” 唯一的问题就是,巨大的容器很容易让人产生好奇心——里面装的是什么?这个时候特洛伊人的信仰习惯就成了他们的弱点了,特罗伊是一个崇拜马的城邦,这就决定特罗伊人会把这批巨大的陶马作为战利品,而不是祭天品确保了送进去的勇士能完美地完成任务。

案例分析

故事讲完了,我们仔细地拆解一下这场战争要素。目的是什么?攻城,最低成本的攻城。方式是什么?开城门。数据、信息和认知行为分别是什么,守城门的人手,特洛伊人的信仰,物质匮乏带来的对战争遗留物质的盲目认知,以及战后的狂欢。

回到开始的定义你会发现,希腊联军通过分析特洛伊城邦的信仰、现状,以及可能的认知偏差,为打开城门,专门设计了特洛伊木马攻城的方案! 

这就是社会工程的最高奥义。

推 荐 图 书

4eec0118ec56a538c49f8d30b4a964c3.png

扫描以下二维码可以购买

8b51e0238416b4023f2b81dc48c4bca6.png

满 100 减 50 

最后 2 天

这篇关于社会工程学到底有多可怕的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/939679

相关文章

【H2O2|全栈】Markdown | Md 笔记到底如何使用?【前端 · HTML前置知识】

Markdown的一些杂谈 目录 Markdown的一些杂谈 前言 准备工作 认识.Md文件 为什么使用Md? 怎么使用Md? ​编辑 怎么看别人给我的Md文件? Md文件命令 切换模式 粗体、倾斜、下划线、删除线和荧光标记 分级标题 水平线 引用 无序和有序列表 ​编辑 任务清单 插入链接和图片 内嵌代码和代码块 表格 公式 其他 源代码 预

[机缘参悟-222] - 系统的重构源于被动的痛苦、源于主动的精进、源于进化与演进(软件系统、思维方式、亲密关系、企业系统、商业价值链、中国社会、全球)

目录 前言:系统的重构源于被动的痛苦、源于主动的精进、源于进化与演进 一、软件系统的重构 1、重构的定义与目的 2、重构的时机与方法 3、重构的注意事项 4、重构的案例分析 二、大脑思维的重构 1、大脑思维重构的定义 2、大脑思维重构的方法 3、大脑思维重构的挑战与前景 三、认知的重构 1、定义 2、目的 3、方法 四、实例 五、总结 四、婚姻家庭的重构 1、婚

Linux block_device gendisk和hd_struct到底是个啥关系

本文的源码版本是Linux 5.15版本,有图有真相: 1.先从块设备驱动说起 安卓平台有一个非常典型和重要的块设备驱动:zram,我们来看一下zram这个块设备驱动加载初始化和swapon的逻辑,完整梳理完这个逻辑将对Linux块设备驱动模型有深入的理解。 zram驱动加载的时候会调用zram_add函数,源码如下: 1887/*1888 * Allocate and initia

MVVM到底是什么

MVVM到底是什么 文章目录 MVVM到底是什么一、MVVM是什么二、为什么这么定义1. 分离关注点2. 提高可维护性3. 数据绑定和事件驱动4. 支持前端框架的发展 三、底层逻辑1. ViewModel层2. 数据绑定3. 事件驱动4. 响应式系统 四、扩展与高级技巧1. 组件化开发2. 双向数据绑定3. 计算属性和侦听器4. 插槽

计算机,数学,AI在社会模拟中的应用

国家智囊团会使用社会模拟器来预测社会动向和一些问题的涌现,亚洲社会仿真学会(ASSA)最近在武汉成立,旨在推动大型社会模拟器的研发和应用。 未来随着计算机算力的提升以及人工智能的进化,我们每个人都可能在计算机中被建模甚至整个社会的自然环境生态等都会被详细的计算进去,从而更详尽的模拟社会细节。 这种高精度的模拟可以帮助我们更好地理解和预测社会动态,制定更有效的政策和措施。例如,可以模拟交通流量以优

我们在学习Spark的时候,到底在学习什么?

我必须要说,Spark这个框架出现之前,我对很多大数据领域的框架源码甚至都是嗤之以鼻的。 很多小伙伴在群里或者私信留言问我关于Spark的学习路径问题。 Spark发展至今,应该说已经非常成熟了。是大数据计算领域不得不学习的框架。尤其是Spark在稳定性和社区发展的成熟度方面,基本可以吊打其他的大数据处理框架。 我之前发过一篇关于阅读Spark源码的文章:《Spark源码阅读的正确打开方式》

【硬刚大数据】我们在学习Flink的时候,到底在学习什么?

⭐⭐欢迎关注博客主页:https://blog.csdn.net/u013411339 ⭐⭐欢迎点赞 👍 收藏 ⭐留言 📝 ,欢迎留言交流! ⭐⭐本文由【王知无】原创,首发于 CSDN博客! ⭐⭐本文首发CSDN论坛,未经过官方和本人允许,严禁转载! 本文是对《【硬刚大数据之学习路线篇】从零到大数据专家的学习指南(全面升级版)》的面试部分补充。 这是一篇指南和大纲性质的文章。

【硬刚大数据】我们在学习Spark的时候,到底在学习什么?

欢迎关注博客主页:https://blog.csdn.net/u013411339 欢迎点赞、收藏、留言 ,欢迎留言交流!本文由【王知无】原创,首发于 CSDN博客!本文首发CSDN论坛,未经过官方和本人允许,严禁转载! 本文是对《【硬刚大数据之学习路线篇】从零到大数据专家的学习指南(全面升级版)》的面试部分补充。 很多小伙伴在群里或者私信留言问我关于Spark的学习路径问题。

WIFI贴项目到底是不是“骗局”呢?由我来揭秘!

各位亲爱的朋友们,大家好!我是你们的老朋友鲸天科技千千,一直在这片互联网的热土上耕耘。相信你们对我都不会陌生,因为我常常分享一些互联网上的新奇项目和实用技巧。如果你对我的内容感兴趣,别忘了点个关注哦! 首先很多人交了几千几万的学费入局,我想说你真的被割韭菜了,这个项目本身没什么技术性,都是赚广告收益,收加盟代理费就是在割韭菜,共享经济本身互利互惠,推广员在赚的同时公司也在其中谋利。 共享WiF

到底什么样的程序员算全栈程序员

        与其他互联网热词一样,”全栈“程序员也是英译过来的,英文全文是:Full-Stack Developer,你想啊,中国人民怎么会用客栈的栈、堆栈的栈来形容工程师呢?   谈论一个概念,首先得给伊个定义,一般来说,全栈工程师就是指技术多面手,掌握多种技能,能够独立完成 non-trivial application 的人。non-trivial 怎么解呢?就是有一定复杂度