社會工程學和欺騙有什麼區別?
社會工程學是更高明的騙術。
社會工程學在意的是對方的非物質資源,詐騙在意的是對方的物質資源;
社會工程學更加的系統,詐騙相對鬆散;社會工程師更有耐心,詐騙者相對沒有耐心;
社會工程師擁有大量的反攻擊手段,詐騙者的反攻擊能力較弱;
社會工程師一般情況下是有目標的,詐騙者是沒有目標的;社會工程師能力要求很高,社會學,心理學,行為學,數據分析,數據收集等等,而詐騙相對來說能力要求較低;防範社會工程師的難度較大,而防範詐騙者的難度較小;詐騙者的升級形態就是社會工程師。沒有社會工程師做不了的事情,只要有時間。
總的來說你可以認為社會工程學更加高級,而詐騙比較低級,詐騙是社會工程學的子集,或者說可以做到的事情之一。
每一個人都應該有防範社會工程攻擊的能力,公司也是一樣。近期有人私信我,希望能讓我幫忙獲取商業機密,請閱讀下文:
在此聲明不為任何組織與個人獲取,商業機密!至於獵頭挖人、婚外情調查這種事情,看您的議價資本了。
我瀏覽了一下大部分的答案,都很片面。大學的時候,專門用了兩年時間研究社會工程學。我在這裡重申!
社會工程學是門藝術,是一門藝術!不要跟我說人肉就是社會工程學!內容很多,我會在本文最後告訴大家一些日常生活中反社工攻擊的方法。
以下是wikipedia上的解釋
Social engineering is a discipline in social science that refers to efforts to influence particular attitudes and social behaviors on a large scale, whether by governments, media or private groups in order to produce desired characteristics in a target population. Social engineering can also be understood philosophically as a deterministic phenomenon where the intentions and goals of the architects of the new social construct are realized.
Social engineers use the scientific method to analyze and understand social systems in order to design the appropriate methods to achieve the desired results in the human subjects.
Decision-making can affect the safety and survival of literally billions of people. The scientific theory expressed by German sociologist Ferdinand T?nnies in his study The Present Problems of Social Structure,
[1]
proposes that society can no longer operate successfully using outmoded methods of social management. To achieve the best outcomes, all conclusions and decisions must use the most advanced techniques and include reliable statistical data, which can be applied to a social system. According to this, social engineering is a data-based scientific system used to develop a sustainable design so as to achieve the intelligent management of Earth』s resources and human capital with the highest levels of freedom, prosperity, and happiness within a population.
As a result of abuse by authoritarian regimes and other non-inclusive attempts at social engineering, the term has in cases been imbued with a negative connotation. In British and Canadian jurisprudence, changing public attitudes about a behaviour is accepted as one of the key functions of laws prohibiting the behaviour. Governments also influence behavior more subtly through incentives and disincentives built into economic policy and tax policy, for instance, and have done so for centuries.
R. D. Ingthorsson states that a human being is a biological creature from birth but is from then on shaped as a person through social influences (upbringing/socialisation) and is in that sense a social construction, a product of society.
廣義的社會工程學的定義是用來解決社會問題的,社會工程師使用科學的方法分析、理解社會系統為了設計適當的方法來獲得期望的結果。而狹義的社會工程不就是黑客入侵那點兒事兒。即使狹義的社會工程學,也不是簡單的人肉,欺騙。
各位所看的美國電影電視連續劇里《White Collar》《Catch Me If You Can》《 POI》 中很多地方都用到了社會工程學。談到社會工程就不得談一本書《The Art of Deception》Kevin David Mitnick
他可是一個傳奇人物,在黑客界,可以獲得世界頭號黑客的頭銜,不是蓋的,如果大家有興趣拜讀一下這本書,這本書里講述的是一些基本的社會工程學技巧思路還有套路,當然很多套路用到今天肯定已經LOW爆了,Catch Me If You can很多看過的影迷都會覺得,OH 天哪,這麼神奇么?但我告訴你別學,學了死定了,這些手段方式套路都是有時代性,時代印記的。
說了那麼多,如果以上電影,電視劇你都沒有看過,那麼好吧,請往下看。
BTW:社會工程學不一定要計算機學的很好,黑客技術學的很好,都說了社會工程學是一門藝術!社會工程學是對人的,一定要糾正這個錯誤的觀念,在百度百科上,社會工程學的定義是錯的!是錯的!是政治需要。
------------------------------------分割線---------------------------
在開始之前先跟大家講一個也許大家會感興趣的,但是會細思極恐的故事:
我大學的時候有個女同學,人很好,長得一般,遇到了一個東北小帥哥,這個東北小帥哥,不僅騙這個女孩寫畢業論文,還騙她5000元錢自己出去揮霍。哭訴著跟我說,那時候哥,爺們呀,一口要幫她,怎麼幫呢,正好畢業前我在研究社會工程學,不如就練練手吧,於是開啟了我的第一次社會工程學實踐之旅。
初級社工最先學會的就是收集信息,有一個術語叫ITI,就是信息與信息之間的關聯性,這東北小哥的學校,名字,電話,專業,qq,郵箱,哪個城市的。想知道他的身份證號,難么?不難,哪裡有?學校啊,百度一下小哥的學校就業辦的電話,用填空法問:您好,我是某某公司的,您校學生投簡歷到我公司,我想跟您核對一下基本情況是否屬實,請您配合一下。問卷表中把已知信息告訴對方,留下未知信息讓對方說。各位注意!很多騙術里,填空題是最基本的哦。身份證號get以後能幹嘛?大家知道以前的郵箱是什麼樣嗎?沒有二次驗證,沒有手機找回密碼,而是用備用郵箱找回密碼。問題來了,備用郵箱的如果密碼掉了,請問怎麼找回?問題回答。我記得當時的問題是,我的生日是多久?哪裡來?身份證!有了備用郵箱,那個年代就相當於有了手機。接著這條線展開,我們還能找到什麼?那個時候流行人人,也就是校內網,一般都是郵箱註冊,馬上找回密碼?不!不能打草驚蛇,接著看還能幹什麼,09年成都的社保系統還沒有改,身份證號的後六位就是查詢密碼,可以查到什麼?交社保的公司名稱,nice,工作單位也有了。學校里還可以查到什麼?父母的工作單位吧,電話吧。ok get,接著呢,那個時候沒有微信,qq是最主要的聊天工具,qq密碼沒有,怎麼辦?比較精妙的套路來了,剛才不是有人人沒有找回密碼么?現在找回,找回以後密碼是更改過的呀,原密碼還是不知道,但我判斷人人密碼和qq密碼應該是一樣的。所以一旦我改了密碼,小哥立馬就能發現,肯定也會通過找回密碼的方式,可是備用郵箱密碼也不對,怎麼辦?我再合適的時間給他一封qq郵件,做的和人人的版本一樣,連郵箱名都只差域名,大概意思是發現賬號異常,需要他輸入上一次密碼,回復確認。(像不像後來出現的電信騙局?)他真回了。qq get。然後看了他各種與各種女的曖昧的qq信息,還有06年給張含韻那封沒有發出去的求愛信。哈哈哈哈哈哈,笑蹦!所有資料收集好了,打包好了,一封郵件發給他的導師,說他論文是抄襲的,指出了原論文,給他公司女領導發郵件,說想和她用missionary position等等壞事兒。所有他的曖昧,以及乾的壞事,一直追到他換了第三份工作,最後他給自己備用郵箱發郵件,求我饒了他。到最後他都不知道我是誰。。。。
----------------好累,明兒接著寫-----
---------------才有時間更新接著寫。-------------
---------------今天講第一課:信息挖掘---------------------
看完了這個真實的故事有沒有細思極恐,有沒有覺得信息保護的重要性?這只是社會工程學的第一課。我們把第一課叫做信息挖掘。信息挖掘適用職業:偵探,百無一用的警察(當然普通案件的警察不可能會用這些的,別犯傻了好么),個貸風險審核員,以及國外的保險調查員。由於信息與信息間有著重要的關聯性,邏輯性,我們需要標註,整理,推倒。我習慣用MBA課上經常講到的思維導圖來做信息挖掘會簡單許多,這也各位經常在美劇里看到FBI在牆上掛出連環殺人案地圖,信息,紅線。
這樣吧,我們來假設一種情景,你有一個很喜歡的女同事叫月如,你想追她,如何進行信息挖掘?
我們來畫圖:
&好了我們把所有能夠想到的信息隨意的放在圖中,想到什麼畫什麼,我們將男性,女性,出生地,生日,身份證,電話,住址。規定為人物屬性。工號,工資,車牌,車型,工作單位,畢業院校之類的定義為基礎信息。郵箱等網路賬號定義為擴展信息,然後黃色方框定義為習慣。看看經過整理以後會是什麼樣子。我們將任何邏輯上有關係的兩組信息連線。連線處選擇獲取方法,如果是單向獲取,就是單向,如果任何一個都可以獲得另一個,則用雙向。
好了我們把所有能夠想到的信息隨意的放在圖中,想到什麼畫什麼,我們將男性,女性,出生地,生日,身份證,電話,住址。規定為人物屬性。工號,工資,車牌,車型,工作單位,畢業院校之類的定義為基礎信息。郵箱等網路賬號定義為擴展信息,然後黃色方框定義為習慣。看看經過整理以後會是什麼樣子。我們將任何邏輯上有關係的兩組信息連線。連線處選擇獲取方法,如果是單向獲取,就是單向,如果任何一個都可以獲得另一個,則用雙向。
&這是一幅簡圖(DEMO),受知乎政策影響,每一根連接線上我取消了獲取方法的標註,我用三個例子來看這幅圖應該怎麼看。
這是一幅簡圖(DEMO),受知乎政策影響,每一根連接線上我取消了獲取方法的標註,我用三個例子來看這幅圖應該怎麼看。
1.比如看身份證號這一個圖標,我們可以看到我們可以通過什麼方法獲取身份證號。畢業院校、工作單位。如何獲取,工作單位有人力資源部,有一張表,或者HR管理系統里,畢業院校有學生檔案。有些人說可以問啊,我想說如果你直接去問,你是不是傻呀。我們當前討論的是如何讓主角不知情的情況下,做信息挖掘。看過前面故事的朋友應該知道去畢業院校問信息的方法(之前是基礎版還有很多改版自己思索)。至於如何進入HR系統以及如果讓HR幫你調檔案來,取決於你在什麼位置什麼環境用什麼方法。如果你已經用了畢業院校找身份證的方法失敗了,就去掉一條線。如果用這個方法,你已經獲得了這個信息,就去掉之間的其他所有線條。最後你會發現這圖會變得簡單。
2.看看車型推收入,這個其實比較奇葩但很實用,我給大家簡單的講講這個推斷部分收入的辦法,我們看得到車型,就能看到車牌照,牌照下方一般有買車人購買4s店的電話,打過去,用如下話術:你好,我的車牌號是xxxxx,寶馬X1,在你們這兒買的車,麻煩你給我一個你們金融部的電話,上個月扣了我兩倍的月供,金融部一般不會核對客戶電話以及信息,對於他們來說,你只要說對了車型,車牌號,車主,他們不會核對其他信息,自然你想知道什麼都可以問了,比如我的月供到底是多少?怎麼能亂扣呢?如果你辦理了按揭,對方會順著你的思路下去,如果你沒有辦理,全款買的對方也會告訴你。而車貸月供反應了收入整體水平(這裡的收入,包括了工資,兼職,甚至被老闆包養給的小費)。結尾很重要,結尾的時候一定不要草草了事,記得說,哦哦,我查了,原來房貸和車貸一起扣了。不好意思啊。
3.硬關聯:比如身份號和社保號,這種屬於硬關聯,兩者共用賬號。
以上是信息挖掘的基本課程,至於方法需要慢慢的累計思考與嘗試。
-------------有朋友私信我,問能不能給一個社會工程學的樹狀圖,我會盡量的在下一節把樹狀圖給出來---------------------------
很零碎的更新
BTW:
下一節如何把屬性-基礎信息-擴展信息-習慣串聯起來。遛狗去了。。。。。。
-------2016年11月27日更行
有朋友問有沒有關於庫的信息,相關內容放在最後來講。
真正的社會工程學大師至少需要以上技能中3項以上達到精通。
我們第一步學習的是數據分析:然後數據收集,分析是基礎課程。多畫圖,多練習,勤能補拙,這一項技能具備精通(500+以上的技能點)以後,基本上秒殺所有小警察。
法律務實:為什麼要單獨寫出來?
違法成本低是具有中國特色社會主義的標籤,但是不代表沒有成本,只是相對來說成本較低。然而很多時候,社會工程學大師就像玄學裡的陰陽師,遊走於灰色地帶,他們所面對的不是法律條文,而是實際執行層面的問題。
今天我們說說社會工程學裡的另一個主題叫反偵察。這裡的反偵察主要針對(caiguai)的不是公安部門。
一束光透過三稜鏡,讓人類見到了7彩世界,而我們卻將萬物化為陰陽合二為一。
世界有陽光,便有黑暗,生生不息,接下來我將帶領大家進入暗世界。PS:以上內容請勿用於非法勾當,本人只是提供相關思路解析。歡迎小警察學習,提高破案率!
1.偽造身份(CNID):大家在電影里經常看到特工進入一個地方以後需要新的身份,這個新的身份製造起來容易么?不難!下面我來為大家揭秘,在國內偽造身份的玩法。
&(數據來源:世界人口網2015年)
(數據來源:世界人口網2015年)
隨著城鎮化進程的加速,目前農村人口的佔比有45.23%,根據中國的人口基數,這個數量級已經是非常龐大的了。然而在這樣大的基數下,又有多少農村人口一輩子都沒有用過身份證?不得而知,但是有一種身份證獲取渠道,就是利用這一點,在派出所首次拍照登記的時候,換人!2007年的時候這樣一張身份證的成本大概在700元左右,這700元相當於貧困山區半年的伙食費。現在這樣一張身份證的成本大約在1500左右。由於ZF監管的加強,後來改為利用農村人對只是的匱乏,直接購買成套的身份證+銀行卡+實名認證的電話卡。這樣一套相對安全的身份信息,大概在2000元左右。還有一種號稱世上最牛逼套件,江湖中傳聞:10w+一套,身份證+銀行卡+護照+U盾+實名認證電話卡,照片略加修改和使用者本人,看上去很像,但在面部識別技術參數上做出了細微的調整,像而不是!
&以上照片來源於暗商家。
以上照片來源於暗商家。
這樣來說好像擁有一個全新的身份並不難吧?優秀的社會工程師,會在各種角色的轉換中遊刃有餘,上至教授,下至保潔,切入身份,對社會工程來說至關重要。
偽造身份或者叫創建身份,其實接下來就需要樹狀圖中的另一項知識作為補充,相關行業實踐。
身份與語言必須與相關行業術語匹配:
簡單的說,你說你是做金融的,連基本的三張表,你都不知道,你混個毛線?什麼是資產負債率,什麼是資金周轉率,什麼是供需關係,什麼是管理經濟學?完全不知道,和能說一點兒,在社會工程學裡的概念就是0和1。在聽者的觀念里是,學藝不精和不懂的概念。
在《欺詐與藝術》這本書中有一句話說的很對,計算機可以通過防火牆保護數據,而人成為了最佳突破口。
「激警」:就是在社會工程學裡的大忌,讓被社工的人有了警覺。據統計70%的激警來源於語言術語與行業者本身術語相駁。然後一旦引起對方激警後,成功的概率不到10%。
在社會工程學實踐中,我曾經單槍匹馬拿下某上市公司所有財務數據、銷售數據、客戶信息。當然只是實踐,拿到以後加密保存作為戰利品。當然違法的事兒咱不幹,重複三遍!
在此聲明不為任何組織與個人獲取,商業機密!獵頭挖人、婚外情調查這種事情,看你的議價資本了。
----------------------------今天就更新到這裡。
除了欺騙,社會工程還包括色誘、賄賂、策反、引誘、刺激、洗腦等手段,尤其像賄賂、策反這種,完全沒有欺騙,讓對方心甘情願地泄露秘密。
高二讀完那本【欺騙的藝術】,社會工程學,坦白講是欺騙。竊書也是偷→_→但社工用到很多的東西,發掘人性的弱點,用到心理學,社交等等一系列手段。其實用「騙」不如「套」更恰當。套話,套取密碼和機密。需要很強的邏輯思維能力,心理學和溝通能力。
下面我舉一個小例子。
某天你看到了一個可執行文件,名字叫做"不要運行我,我是病毒.exe"可是,有的人還是忍不住運行了程序,然後電腦掛了。這樣,你能說我欺騙你了嗎!!!我都告訴你,我是病毒了。你還想讓我怎麼說,你才不運行我。最大的漏洞是人。《沒有絕對安全的系統》我舉個例子,csdn下載站被拖庫的案例。
為什麼他們被拖庫以後,我們的信息受到了威脅?
我解釋一下原理。
1.信息安全的威脅
所以,一旦你在某個網站上的用戶名密碼數據都被竊取走了,那麼就意味著你的所有賬號都會失竊。這就是社會工程學最簡單的基礎知識。
1.1
利用人類懶惰的心裡,因為他們不可能記住那麼多賬號和密碼,所以他們通常都會使用自己常用的賬號和密碼進行登陸,方便大腦管理這些賬號和密碼。 社會工程學是利用人類的心裡學、人類的潛意識行為來進行信息的收集、破解的。2.欺騙
假設說,你是一名伺服器管理人員,突然有一天,你的BOSS用急促的語氣跟你說,馬上給我伺服器的管理密碼。你會怎麼處理?我相信下意識的,你都會將密碼和賬號密碼數據告訴你的BOSS。
不好意思,電話里的,很有可能是黑客模仿你BOSS的語氣,或者是用你BOSS的錄音跟你通話。或者是用某種聲音處理軟體製作而成的。
好了,你看看美國的核潛艇的許可權就知道了,人家在發射核彈頭之前,都會要求給予命令的commander提供暗號,這個暗號可能是一串明文密碼,也有可能是口頭的一個代號例如「甜心餅乾」等,這個暗語就是為了防止欺騙而生的東西。欺騙的藝術------凱文米特尼克
數據關聯+信息推理+欺騙
欺騙∈社會工程學某些(很多)環節會用到欺騙。《欺騙的藝術》,一本故事書。
請百度終極設防 裡面就有關於各種社會工程學和欺騙的相結合的技巧
就是名字好聽點,社工是凱文米特尼克在《欺騙的藝術》總提出來的
社會工程學裡的狹義社會工程學可以理解為欺騙 但是不僅僅是欺騙
牛人
舜鑫投資帶你認識詐騙中的「社會工程學」
什麼是社會工程學,它是一門怎樣的學問,又是怎麼和詐騙聯繫在一塊的呢?聽起來好抽象,今天舜鑫投資就為你揭開它的神秘面紗。
什麼是社會工程學?
百度百科是這樣說的。社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法,總體上來說,社會工程學就是使人們順從你的意願、滿足你的慾望的一門藝術與學問。
從理論上講可能聽起來有點抽象,我們舉幾個例子就能很好的理解其中的意思了,其中《越獄》中就很好的利用了社會工程學的知識。
社會工程學在《越獄》中的應用?
在第一季第二集中米勒向獄友暗示逃獄的計劃,維斯特莫蘭嘲笑他坐牢三天就想越獄,米勒通過維斯特的反應知道他目前沒有越獄的想法,就沒有跟再說了越獄的事情,但是後來一集正是由於知道了米勒有過越獄計劃,維斯特主動找到了米勒。
徐玉玉的案件
2016年高考,徐玉玉以568分的成績被南京郵電大學錄取。19日下午4點30分左右,她接到了一通陌生電話,對方聲稱有一筆2600元助學金要發放給她。在這通陌生電話之前,徐玉玉曾接到過教育部門發放助
學金的通知。「18日,女兒接到了教育部門的電話,讓她辦理了助學金的相關手續,說錢過幾天就能發下來。」徐玉玉的母親李自雲告訴記者,由於前一天接到的教育部門電話是真的,所以當時他們並沒有懷疑這個電話的真偽。試看網上爆料的所有詐騙新聞,都是因為受害者一時高興,頭腦發熱,失去了應有的判斷力,最終上當受騙的。
在徐玉玉的案件當中,犯罪分子充分利用了社會工程學的手段來謀取財力,首先通過網上查找出有關徐玉玉大量的個人信息,再通過電話的溝通,掌握徐玉玉的心裡,知道她需要錢的急迫,然後一步步誘導徐玉玉,最後導致悲劇的產生。
對社會工程學的看法?
隨著社會的快速發展使我們生活發生了許多改變,但是事情總有兩面性,科技信息的發達給我們的生活帶來了許多的便利條件,但是同時也滋生了許多困擾。大數據勢不可擋地改變了人們的生活方式。它給我們帶來的便捷和驚喜超乎想像,但也讓我們在新生活里裸奔——掌握技術的野獸隨時準備在黑暗中偷襲你。我們的生活,在變得越來越智慧的同時,似乎也越來越危險了。
請後續接著關注舜鑫投資有關詐騙專業知識。
推薦閱讀:
※大數據時代的反社工的方法有哪些?
※有哪些比較好用的不用註冊的社工庫?
※如何讓已經知道你wifi密碼的鄰居主動另外購買房東的網路?
※你經歷過或你知道的最牛的人肉搜索的過程是怎樣的?
※如何看待人肉搜索這一社會現象?
TAG:社會工程學 |