黑客心理学:社会工程学原理
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第1节 社工攻击的特点及简史

信息安全中的“社会工程学”的出现与美国“世界头号黑客”凯文·米特尼克事件有种某种联系。米特尼克从1983年开始黑客入侵并逐渐升级,犯下多种罪行,1988年被捕,1999年判刑68个月。2000年1月21日,他获得假释出狱,结合自身经历,在2002年出版了一本畅销书——《欺骗的艺术》。该书详细介绍了他(和其他黑客)专门利用人性的善良、人的轻信和人性弱点的攻击手段,并美其名曰“社会工程学攻击”。虽然至今没有公认的对“社会工程学”的严格定义,但是从该书题目的关键词“欺骗”两字,便可粗略知悉“社会工程学”的大意。当然,必须从学术上严肃正名的是:研究“社会工程学”,绝不是想当骗子;社会工程学,也绝不仅仅是“厚黑学”中的“欺骗”,而是有更深刻内涵的心理学核心。本书的主要目的,就是试图揭示该核心。

有趣的是,原本名为《欺骗的艺术》的书翻译成中文时,根据内容管理需要,去掉了一些易模仿或产生犯罪冲动的细节,强化了米特尼克保释后提示相关人员、相关部门防范入侵的描述,并更名为《反欺骗的艺术》。其翻译过程及书名选择在出版界和技术界均有不同的议论。——编辑注,传到中国后却被善意地反译为“反欺骗的艺术”[6];好像那位“世界头号黑客”是“反欺骗”的英雄一样!无论如何,将“欺骗”改为“反欺骗”,都显得意味深长。我们无意深挖其原因,只是想严肃地指出:全球信息安全界,必须认真正视,并全面深入研究“社会工程学攻击”;除非红客和用户不顾自己的信息安全!

其实,社会工程学攻击,以下简称为“社工攻击”,或更简称为“社工”,是黑客众多攻击手段中的一类[7,8],它们具有以下特点:

(1)攻击的直接对象是鲜活的“人”(用户或红客),而不是冷血的“设备”,虽然可以运用各种设备来当武器。由于“人”是所有计算机系统的核心,所以一旦“人”被攻破(如用户的银行密码被骗取),那么接下来再辅以其他硬件或软件攻击手段(如克隆一张银行卡),便可轻松达到黑客的攻击目的(如取走你的钱)。

(2)虽然攻击的是“人”,但是黑客与被攻击的“人”之间,并无直接的身体接触(如绑架、“碰瓷”、入室盗窃等手段,都不属于社工攻击,至少不是网络黑客所关注的社工攻击);所以,社工攻击的武器其实只是“信息”,攻击成果的表现形式也是“信息”。反正,即使是“人”被攻破了,受害者也几乎感觉不到痛,甚至“自己被卖了后,还在帮骗子数钱”;待到黑客的全套攻击最终完成时,受害者再哭天抢地,都已晚了。

(3)社工攻击仍然是一种赛博式攻击,即攻击并非一蹴而就,而常常需要与被攻击者之间进行多次信息互动,诱导受害者有意无意地协助黑客一步一步地逼近最终目标。换句话说,在攻击过程中,黑客需要针对被攻击对象的具体反应(即反馈)进行“微调”;然后,对相应的“反馈→微调→反馈”封闭循环链,再进行反复迭代,直到黑客达到目标为止。社工攻击的最典型例子,便是大家熟悉的电信诈骗:按照事先准备好的剧本,骗子设法使受害人落于陷井,对骗子坚信不疑,诱导受害人乖乖地把钱交出来,甚至连警察想拦都拦不住!如果我们还没把“赛博式”过程描述清楚的话,那么请回忆一下赤壁大战中,曹操是如何被“赛博式”手段、一步一步地诱致失败的:先让曹操杀掉自己的水师头目,然后把自己的船连成一体,由黄盖驾火船冲入船阵,逆风纵火,最后败逃华容道等。由此可见,黑客的社工攻击,是一种赛博式攻击;但是,赛博式攻击,可不仅仅限于黑客的社工攻击。

(4)社工攻击正在成为黑客攻击的常用手段,甚至在所有重大黑客事件中,社工攻击几乎都是主力军。

(5)社工攻击的另一个突出特点是:如果你不了解它,那么它将威力无穷;如果你知道它正在攻击你,那么你很容易化解。比如,当你判断出正在接听的电话是诈骗电话时,即使骗子再高明,你也不会上当,甚至还可以随心所欲地戏弄骗子。可是,情形的严峻性在于,社工的攻击对象,往往是全无防备的、善良的普通网民,而且每一个网民都可能成为受害者。因此,对付黑客的社工攻击,绝不只是安全专家的任务,必须“全民皆兵、众志成城”。这也是出版本书的原因之一。

综合社工攻击的上述特点,请问:我们还有必要假装清高,而对“社工攻击”不屑一顾吗?我们还能假装强大,而视“社工攻击”为无物吗?

更进一步地说,“社工”的名称虽是新的,但其思路绝不是新的。古今中外的正史、野史、传说、神话故事等,无不留下社工的身影。想当年在伊甸园中,那条蛇就是利用社工思路引诱夏娃吃了一个苹果的,并让亚当也吃了;在另一个“当年”,铜制兵器精良、部众勇猛、生性善战的蚩尤,本来可以轻松战胜炎黄联军的,但由于后者善于社工谋略,最后竟然以弱胜强。历史上社工思路的成功故事,多如牛毛:猛张飞在长坂坡,“当阳桥头一声吼,吓退数十万曹军”,就是平时积累的社工信息在关键时刻突然爆发的结果;诸葛亮七擒孟获,其目的就是要用社工思路平定后方,达到长期稳定的效果;孙悟空依靠社工小技,钻进了铁扇公主的肚子;甚至可以这样说,历史上的许多成功人士,都是社工思路运用的高手。关于社工的学术专著,绝对不止车载斗量,只不过书名有所变化而已,比如,《三十六计》中,计计皆含社工精华;《孙子兵法》十三篇中,篇篇都是社工的杰作。

总之,如果人类历史抽去社工思路,将会失去许多精彩。社工攻击的招数变化之多,真实案例之精彩,完全不亚于任何小说、科幻片和谍战片。

如果仅仅停留在外观层次,那么人类将无法搞清社工攻击的运行规律,更不知到底有多少种“社工攻击”手段,就像站在分子层次人类将永远无法知道“世界上到底有多少种物质”一样。但是,如果深入到元素的层次,那么形成世界上所有物质的元素个数就少得可怜了,只需一张小小的门捷列夫元素周期表便能穷尽。本书将借助心理学,深入到人性的底层本质,力争穷尽组成无数种社工攻击的有限个“元素”!为此,首先得搞清社工黑客的世界观,正如现代心理学鼻祖卡尔·古斯塔夫·荣格所说:决定一切的是我们看待事物的方式,而非事物本身。