作为研究分析师和咨询公司行业顾问的安全从业者,或经验丰富或技术纯熟,花费无数时间评估安全技术,帮助企业确定什么技术和产品能更好保护公司数据安全。然而,只需一名恶意或粗心大意的人员,便可抵消所有技术性控制措施的效果。理想很丰满,现实很骨感。真相往往残酷到令人扼腕:人类作为我们最后一道防线的同时,也是我们最大的威胁。
为使人类起到最后一道防线的作用,我们需首先处理好两个令人不安的真相:
所有人都是骗术大师
我们都很容易受骗
我们每个人,从童年很小的时候起,就在经受各种欺骗训练。我们被教导:谎言让生活更容易,让社会环境更舒适。还记得家庭聚会前,爸爸妈妈告诉你,要表现得很享受这种氛围吗?就算被吓到瑟瑟发抖也不能躲开怪叔叔的熊抱?再讨厌芹菜也得给我愉快地吃下去?随着我们渐渐长大,说谎的技术越发炉火纯青——从学会巧妙地转移“这牛仔裤是不是让我屁屁看起来很大?”此类的问题,到娴熟应对另一半问自己喜不喜欢她的新发型,到完美回答老板咨询关于他/她新战略的“诚恳意见”。
这些还仅仅是“善意谎言”类别里的;我们都还没触及牵涉隐瞒、藏匿、欺诈、误导、窃取、诱骗等等真正的弥天大谎。而且,善意和恶意谎言都认同的人大有人在。如果我们坦诚面对自己,我们甚至会承认,我们每个人在一生之中总会被狠狠地骗上那么几次。
如果非要给个我们为什么那么容易受骗上当的主要原因,那必须得是我们的大脑就是那么容易被骗。人类大脑的工作就是过滤并呈现现实。大脑接受大量输入,然后确定哪些是重要的,这些输入的影响是什么,需要什么响应。而且,我们的大脑会走捷径,非常高效地搞定这些判断。千百年来,魔术师、小偷、骗术大师、欺诈师等,学会了怎样劫持这些心理捷径,将之用于争取己方有利地位。
操纵人类大脑的方法,可以用魔术、妙手空空术和催眠术方便快捷地加以展示。不过,即便不能利用上述方法从视觉上直观演示,一些高层次理论和基本原则也是可以通过文字加以叙述的。
原则 1:误导和注意力
人类大脑惯于不断扫描并确定哪些东西需要“锁定”。脑科学家将之称为“注意力焦点”。魔术师和小偷,是利用我们注意力焦点漏洞的大师。他们会把你的注意力引向某个物体或地方,然后在注意力焦点边缘部分或完全在焦点之外,进行他们的“脏活儿”。他们通常会用显眼的大动作,来掩护暗处的小动作。
我们总觉得自己才是自身注意力的主人,但我们的注意力其实很容易被劫持。不幸的是,不仅仅是魔术师知道并利用这一点,罪犯和骗术大师也精通此道。今日,世界仍在努力恢复NotPetya造成的伤害。该恶意软件最初被广泛认为是其表面上呈现出的那样——勒索软件。然而,其本质远比表面现象恶劣。这是一款伪装成勒索软件的数据清除器,极有可能是国家支持的网络攻击。
网络安全世界中,另一个误导的例子,是攻击者对金融服务公司发起DDoS攻击,以转移对账户窃取攻击的注意力。终端用户和银行的目光被DDoS攻击的明显效果吸引,账户窃取和欺诈交易活动就暂时被混淆,不引人注意。
原则 2:影响和关系
大脑思维劫持活动中起效的另一个基本原理,是影响和关系。催眠师、魔术师、扒手,还有罪犯和骗子,全都是撬动影响杠杆和建立信任关系的能手。街头和舞台魔术师、催眠师、扒手,都会努力确保他们的参与者快速建立起一定的信任。这能使他们方便操纵目标对象站哪儿、做什么、看哪里等等。
罗伯特·恰尔蒂尼,亚利桑那州立大学心理学及营销学的名誉教授,撰写了《影响力:说服术的心理学分析》一书。该书被认为是影响力起效机制的权威书籍。恰尔蒂尼的影响力理论,基于6条关键原则:互惠、承诺及一致性、社会认同、权威、喜好、稀缺性。他最近还加上了第7条原则:统一性原则。该原则是关于共享认同的;也就是营销大师赛斯·高汀所说的“部落”。我们越认同他人,越容易被他人影响。
恰尔蒂尼的书值得一看,还有很多在他研究基础之上的衍生作品。然而,全世界的骗子和网络钓鱼者,在下饵时也会利用很多此类技巧。影响力战术还是可以叠加的的,老练的网络钓鱼者会在一封邮件中采用多种影响力战术,让诱饵更加可口。例如,如果网络钓鱼者在一封钓鱼邮件中使用了稀缺性/紧迫性、权威、社会认同和互惠多种战术,就会比不用此类战术或只用一种战术的邮件拥有更多火力。
原则 3:框架和情境
框架对演员、政客和营销人员特别重要,对社会工程师和骗术大师而言,同样十分关键。框架的概念,源自社会科学,基本上就是情境、世界观,或者某人看待现实(或某特定场景)的方式。框架也可以是社会工程师或攻击者用以大隐隐于市的途径(服装、角色演绎、随机应变)。
在演示中使用的框架例子,通常是根据想拟的框架能以多种方式呈现特定效果的场景。举个例子,如果握有内装参与者选项的密封信封,那么既可以预测的方式揭晓(如果想扮演巫师的角色),也可以展现如何影响参与者选择某样东西的能力(扮演精神导师或催眠大师的角色)。
简单讲,框架赋予我们翻译或理解眼前信息或身处情况的上下文环境。事实上,有很多政治、宗教和营销组织在专门搞清人们的各种框架,理解怎样操作或扩展这些框架,以便人们对新的或差异性/难理解的想法持开放态度。框架是非常强大的力量,且它们通常不是基于事实的。当框架和事实相互冲突,事实会被推到一边,而框架被人们紧紧拥抱。FrameWorks总裁苏珊·贝尔斯的名言:“当事实不符合框架,事实被拒绝,而不是框架。”
鉴于所有事都在框架内运作,骗子、网络钓鱼者和其他令人讨厌的家伙,就会学习怎样按框架操作。他们会冒充备受尊敬的权威人士——比如在商业电邮诈骗(BEC)攻击中。框架也会出现在语言使用、攻击媒介选择等等方面。想要深入解析社会工程中的框架,可以看看Social-Engineer.org上《社会工程框架》中“影响他人”一节里的“框架”条目。
结论
理解我们的大脑会被怎样愚弄来针对我们自身,是学习对抗老练攻击者的关键第一步。
我们需要让自己慢下来,三思而后行。这么做,可以让我们摆脱以条件反射/自动的方式行事的情形,让我们得以更逻辑性地处理事务。然后,我们就可以对人们的话语、收到的邮件、所处的情况背后隐藏的行动和潜在动机,反复深入分析,确定是不是有人正试图劫持我们的大脑。