詐騙者會(huì)試圖誘騙您和貴組織的用戶(hù)放棄憑據(jù)或其他敏感數(shù)據(jù)。如果您看到任何下述跡象，請(qǐng)務(wù)必保持高度警惕。

[[278380]]

迄今為止，網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程學(xué)一直是排名第一的根本原因 (root-cause) 攻擊媒介，并且自從計(jì)算機(jī)本身被發(fā)明以來(lái)，它們就已經(jīng)存在了。

20 世紀(jì) 80 年代初期，在互聯(lián)網(wǎng)還沒(méi)有成為真正意義上的 “互聯(lián)網(wǎng)” 之前，我就曾遇到一個(gè)名為 “如何獲取一個(gè)免費(fèi)的 HST 調(diào)試器 (How to Get A Free HST Modem)” 的文本文件。當(dāng)時(shí)，美國(guó) Robotic HST 9600-baud (!!) modems 可是令人 “垂涎欲滴” 的存在，所以，我禁不住誘惑快速打開(kāi)了該文本文件。只見(jiàn)上面寫(xiě)著，“偷一個(gè)!!”。我心里罵道，“真是個(gè)混蛋”，然后，迅速點(diǎn)擊退出鍵關(guān)閉了該文本文件。

該純文本文件包含不可見(jiàn)的 ANSI 控制代碼，這些代碼重新映射了我的鍵盤(pán)，以至于我按下的下一個(gè)鍵成功格式化了我的硬盤(pán)。自那之后，我學(xué)會(huì)了兩個(gè)教訓(xùn)：第一，如果黑客可以使用文本文件攻擊你，他也可以使用其他任何數(shù)字化內(nèi)容來(lái)實(shí)現(xiàn);第二，任何人都可以通過(guò)適當(dāng)?shù)牟渴鸷蜕鐣?huì)工程手段來(lái)欺騙你。

話(huà)雖如此，社會(huì)工程學(xué)還是有跡可循的：

1. 要求獲取您的登錄信息

社會(huì)工程最簡(jiǎn)單的一個(gè)標(biāo)志就是電子郵件、網(wǎng)站或者電話(huà)要求您提供自己的登錄信息。一旦他們獲取到您的登錄信息，就會(huì)利用這些信息登錄到您的賬戶(hù)，進(jìn)行控制，甚至?xí)?duì)您或您的組織采取進(jìn)一步的措施。谷歌和微軟每天都在與數(shù)百萬(wàn)個(gè)被劫持的電子郵件帳戶(hù)作斗爭(zhēng)。

降低這種風(fēng)險(xiǎn)的一種方法是使用多因素身份驗(yàn)證 (MFA) 或密碼管理器。如果您并不擁有或不知道密碼，就不存在會(huì)被網(wǎng)絡(luò)釣魚(yú)到密碼信息。

不幸的是，并非所有人都應(yīng)用了多因素身份驗(yàn)證解決方案，而且密碼也將長(zhǎng)期伴隨著我們，更不用說(shuō)每個(gè)多因素身份驗(yàn)證解決方案實(shí)際上都可以通過(guò)多種方式被黑客入侵。就目前而言，我已經(jīng)知道有 30 多種方法可以用于破解多因素身份驗(yàn)證。

詐騙者正越來(lái)越多地傾向于使用電話(huà)呼叫來(lái)實(shí)施社會(huì)工程攻擊。他們會(huì)打電話(huà)給目標(biāo)受害者并聲稱(chēng)自己來(lái)自微軟公司，檢測(cè)到您的計(jì)算機(jī)系統(tǒng)已感染病毒，并表示愿意主動(dòng)提供幫助，或者是聲稱(chēng)您的信用卡/Paypal/銀行賬戶(hù)已被黑客入侵，如果您愿意提供當(dāng)前的登錄信息，他們將很高興幫助您阻止黑客入侵。但是記住，千萬(wàn)別這樣做!

如果有人(可能包括您的 IT 人員)想獲取您的登錄信息，請(qǐng)務(wù)必提高警惕。

2. 要求您執(zhí)行內(nèi)容

要求您執(zhí)行內(nèi)容是您正在遭受社會(huì)工程攻擊的另一個(gè)最常見(jiàn)的標(biāo)志。它可能來(lái)自電子郵件、訪問(wèn)的網(wǎng)站或是社交媒體帖子等等。電子郵件會(huì)將您推送到一個(gè)受感染的網(wǎng)站，該受感染的網(wǎng)站會(huì)向您發(fā)送一條彈出信息，聲稱(chēng)您需要運(yùn)行此類(lèi)更新才能繼續(xù)在網(wǎng)站上運(yùn)行。

社交媒體網(wǎng)站將聲稱(chēng)有一段令人興奮或激動(dòng)人心的視頻需要您觀看(具體參見(jiàn)下述示例)。但當(dāng)您嘗試播放該視頻時(shí)，它又表示您需要安裝一些特殊的軟件(例如，視頻編解碼器)才能觀看該視頻。

要知道，您正在執(zhí)行或安裝的都是惡意代碼，稱(chēng)為 “dropper file”，該文件會(huì)試圖接管您的計(jì)算機(jī)設(shè)備，然后通過(guò) “dial home” 功能獲取其他惡意軟件和執(zhí)行說(shuō)明。該 dropper file 一般很小，可以自動(dòng)更新以逃避反惡意軟件的檢測(cè)。

3. 惡意或可疑的鏈接

網(wǎng)絡(luò)釣魚(yú)欺詐的另一個(gè)重要標(biāo)志就是看起來(lái)與主題無(wú)關(guān)，但外觀卻與合法的互聯(lián)網(wǎng)域名或統(tǒng)一資源定位符 (Uniform Resource Locator, URL) 極為相似的惡意鏈接。

您必須教會(huì)自己和企業(yè)組織中的其他人如何發(fā)現(xiàn)虛假URL域名。大多數(shù)互聯(lián)網(wǎng)瀏覽器會(huì)通過(guò)加粗來(lái)凸顯真實(shí)的URL域名。

上述 URL 域名為 www.amazon.com，其后所有的內(nèi)容都是指向具體內(nèi)容或媒體，而不再是DNS域名的一部分。

至關(guān)重要的是，您必須教會(huì)你認(rèn)識(shí)的所有人學(xué)會(huì)如何區(qū)分虛假域名與真實(shí)域名。例如，下圖展示了一封聲稱(chēng)是來(lái)自Apple技術(shù)支持的電子郵件?；貜?fù)電子郵件地址中帶有 “appleidicloudsupport” 一詞，但附加的域名是 “entertainingworkshop.com”。所以，這絕對(duì)不是 Apple 的真實(shí)域名。

您可以教人們將鼠標(biāo)懸停在 URL 上來(lái)顯示其真實(shí)含義。但不幸的是，越來(lái)越的人正在使用移動(dòng)設(shè)備上的許多瀏覽器和 SMS 客戶(hù)端來(lái)查看信息，但它們并不總是允許懸停操作(盡管更多的瀏覽器從一開(kāi)始就只是顯示真實(shí)的 URL)。

4. 壓力事件 (stressor event)

在幾乎所有的社會(huì)工程場(chǎng)景中——無(wú)論是在線(xiàn)的還是通過(guò)電話(huà)——攻擊者都會(huì)使用 “壓力事件”。所謂 “壓力事件” 指的就是一些懸而未決的緊急事件，對(duì)于這些事件而言，如果您不立即采取正確的措施(當(dāng)然是攻擊者提供的意見(jiàn))，將會(huì)發(fā)生不好的事情。示例包括：

• 提供您的登錄憑據(jù)，否則您的帳戶(hù)將被永久鎖定;
• 運(yùn)行(偽)軟件更新，否則您存儲(chǔ)的內(nèi)容將被刪除;
• 提供您的帳戶(hù)/信用卡/銀行帳戶(hù)信息的所有權(quán)證明，否則該信息將被永久關(guān)閉;
• 您被發(fā)現(xiàn)并拍攝了網(wǎng)上沖浪色情影片，并將其向全世界展示;
• 需要立即支付罰款，否則您將被逮捕入獄;
• 需要立即付款，否則業(yè)務(wù)交易將失效;

這種 “壓力事件” 的原理是，攻擊者希望在響應(yīng)請(qǐng)求時(shí)只留給您非常少的思考時(shí)間。曾經(jīng)有電話(huà)欺騙我妻子說(shuō)我被綁架了并且正在遭受酷刑，電話(huà)那端甚至還發(fā)出慘叫聲以增強(qiáng)謊言的可信性。當(dāng)我結(jié)束短途旅行回到家中后，我的妻子抱著我泣不成聲，好像我剛剛逃脫了一些可怕的事情一樣。細(xì)想一下，這件事確實(shí)很可怕，因?yàn)樵p騙者一定是從我家門(mén)口看到我外出了，并且還知道我的家庭電話(huà)號(hào)碼。而且現(xiàn)實(shí)生活中這類(lèi)騙局仍然經(jīng)常發(fā)生。

面對(duì)這種壓力事件，請(qǐng)務(wù)必放慢腳步，停下來(lái)好好思考一下。要知道，現(xiàn)實(shí)生活中的壓力事件很少使用激動(dòng)的語(yǔ)言。例如，即便美國(guó)國(guó)內(nèi)稅務(wù)局 (IRS) 或是警方希望您支付一些費(fèi)用以避免出現(xiàn)更為糟糕的后果，他們通常也只會(huì)采用一些非常正式，或者可以說(shuō)是很呆板的語(yǔ)言，而不會(huì)直接威脅您將面臨逮捕入獄的結(jié)果。

5. 發(fā)件人有兩個(gè)電子郵件地址

盡管不能 100% 保證，但是任何使用不同顯示地址 (RFC 5322) 和回信地址 (RFC 5321) 到達(dá)的電子郵件都可能是惡意的。

擁有兩個(gè)不同的電子郵件地址是非常常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)技巧，由此他們可以顯示一個(gè)電子郵件地址(看似合法的)和另一個(gè)電子郵件真正所屬的“真實(shí)”電子郵件地址。合法的營(yíng)銷(xiāo)和技術(shù)支持電子郵件有時(shí)也會(huì)這樣做，但在大多數(shù)情況下，在發(fā)件人中看到兩個(gè)不同的電子郵件地址則表明其是存在惡意的。

除此之外，如果您認(rèn)識(shí)的某個(gè)人正在使用新的、奇怪的電子郵件地址給你發(fā)郵件時(shí)，也要提高警惕。那些自稱(chēng)是 CEO 的網(wǎng)絡(luò)釣魚(yú)者可能正通過(guò)他們的家庭賬戶(hù)，使用發(fā)件人中帶有 CEO 姓名的 Gmail / Hotmail / Yahoo 電子郵件地址向您發(fā)送電子郵件。

6. 要求更改銀行或電匯指示

商業(yè)電子郵件妥協(xié) (BEC) 欺詐已經(jīng)是一個(gè)價(jià)值 260 億美元的大問(wèn)題，其已經(jīng)超過(guò)勒索軟件成為最大的社會(huì)工程騙局。BEC 欺詐多數(shù)以偽造發(fā)票、要求將錢(qián)轉(zhuǎn)移到新的銀行賬戶(hù)，或是通過(guò)電子郵件要求更新現(xiàn)有的電匯指示等形式出現(xiàn)。一些詐騙者會(huì)入侵您定期付款的受信任的第三方，并向您發(fā)送更新電匯指示的電子郵件，然后就等著您支付定期排定的發(fā)票付款即可。

在這種類(lèi)型的攻擊中，受害者通常過(guò)了幾個(gè)月時(shí)間都不知道自己已經(jīng) “中招”，直到其中一方催促另一方支付未付的或逾期的款項(xiàng)時(shí)，他們才會(huì)意識(shí)到自己已經(jīng)遭到攻擊。所以，面對(duì)任何要求更改付款方式的電子郵件(無(wú)論是否合法)，都應(yīng)該立即與要求做出更改的另一方打電話(huà)確認(rèn)。

7. 使用錯(cuò)誤的昵稱(chēng)或全名

這個(gè)跡象很小，但卻十分有效。許多網(wǎng)絡(luò)釣魚(yú)欺詐被捕獲的原因，僅僅是因?yàn)槭占俗⒁獾搅?xí)慣使用昵稱(chēng)或簡(jiǎn)寫(xiě)(例如 Bill)的發(fā)件人突然使用了完整的正式姓名(例如 William B. Montague);或者該人通常不會(huì)使用自己的名字來(lái)編輯電子郵件，反之亦然;或者他們沒(méi)有像平時(shí)那樣將該人的姓名放在電子郵件的開(kāi)頭，或者沒(méi)有使用收件人的非正式昵稱(chēng)等等。

這種情況通常是由于攻擊者不了解即便是純商業(yè)的電子郵件通常也會(huì)伴隨一些小的非正式信息。注意這些小細(xì)節(jié)可以在關(guān)鍵時(shí)刻幫助您避免很多不必要的損失。

8. 無(wú)法接聽(tīng)電話(huà)

社會(huì)工程詐騙者通常無(wú)法接聽(tīng)您打來(lái)驗(yàn)證請(qǐng)求的電話(huà)。他們通常會(huì)聲稱(chēng)自己無(wú)法/不方便接聽(tīng)電話(huà)，所在位置沒(méi)有可用的電話(huà)，不允許使用所在位置的電話(huà)等等借口來(lái)推諉。而他們拒絕接聽(tīng)電話(huà)的原因通常是由于他們是外國(guó)人，其口音與他們所聲稱(chēng)的人有所不同，擔(dān)心接聽(tīng)電話(huà)會(huì)暴露身份。

浪漫和約會(huì)騙局(旨在騙取錢(qián)財(cái))尤為如此。在這種攻擊場(chǎng)景中，欺詐者會(huì)聲稱(chēng)出于多種原因只能使用即時(shí)消息傳遞信息。這些借口包括：他們是受過(guò)“國(guó)家訓(xùn)練”或正在執(zhí)行絕密任務(wù)的軍事人員等等。這種情況非常有趣，因?yàn)楸M管他們無(wú)法接聽(tīng)電話(huà)，但他們每天仍然有時(shí)間可以聊上幾個(gè)小時(shí)的天……而且可以通過(guò)多種方式接收到您寄給他們的錢(qián)。

請(qǐng)注意，在這種浪漫騙局中，欺詐者都會(huì)營(yíng)造一種近乎完美的身份特征，接近您并在幾天之內(nèi) “愛(ài)” 上您。如果他們聲稱(chēng)自己是美國(guó)軍人，您可以要求他們通過(guò)軍事 .mil 賬戶(hù)向您發(fā)送電子郵件。所有美國(guó)軍人都有 .mil 電子郵件賬戶(hù)，而且其使用通常與高度安全的 MFA 智能卡(也稱(chēng)為 CAC卡)相關(guān)聯(lián)，因此欺詐者無(wú)法使用或獲取到 .mil 賬戶(hù)。如果有人聲稱(chēng)自己來(lái)自美國(guó)軍方，但是出于某種原因無(wú)法通過(guò)其 .mil 賬戶(hù)向您發(fā)送電子郵件，請(qǐng)務(wù)必提高警惕。

社會(huì)工程學(xué)的以下兩個(gè)跡象與從在線(xiàn)站點(diǎn)買(mǎi)賣(mài)商品尤為相關(guān)。

9. 買(mǎi)家太過(guò)通融

初來(lái)乍到在這種專(zhuān)門(mén)為此類(lèi)商品設(shè)計(jì)的網(wǎng)站上(例如 Craigslist 或 eBay)在線(xiàn)買(mǎi)賣(mài)商品的人可能并不知道這些服務(wù)都是騙局藝術(shù)家的溫床。通常來(lái)說(shuō)，他們是最早嘗試購(gòu)買(mǎi)您的產(chǎn)品或是想要將其出售給您的那批人。他們不會(huì)談價(jià)還價(jià)，并且樂(lè)意支付任何雜費(fèi)、運(yùn)費(fèi)、稅金和其他費(fèi)用等。如果他們正在出售或出租房產(chǎn)，那么他們提供的價(jià)格會(huì)遠(yuǎn)低于市場(chǎng)價(jià)格，但條件是不能親自面談。

天下根本沒(méi)有免費(fèi)的午餐這類(lèi)東西，如果買(mǎi)主或賣(mài)主不僅要全額支付您給出的價(jià)格(或者為他們正在出售的東西提供拆臺(tái)買(mǎi)賣(mài))，并以對(duì)您有利的其他方式給出讓步，那這場(chǎng)交易很有可能是一個(gè)騙局。

10. 強(qiáng)迫您 “關(guān)閉服務(wù)”

大多數(shù)在線(xiàn)銷(xiāo)售和拍賣(mài)網(wǎng)站都清楚地知道騙子藝術(shù)家正在瞄準(zhǔn)他們的網(wǎng)站和服務(wù)。出于這種原因，他們已經(jīng)內(nèi)置了保護(hù)機(jī)制以確保買(mǎi)賣(mài)雙方的利益。

由于這些保護(hù)機(jī)制發(fā)揮了作用，所以欺詐者通常會(huì)鼓勵(lì)或強(qiáng)迫受害者 “關(guān)閉服務(wù)”，并聲稱(chēng)這樣可以幫助他們節(jié)省一部分資金。詐騙者會(huì)建議受害者使用他們 “信賴(lài)的托管服務(wù)” 或信賴(lài)的托運(yùn)人。他們說(shuō)，與其讓受害者使用 PayPal(該服務(wù)會(huì)收取費(fèi)用)，不如直接讓他們向您發(fā)送一張支票，讓您可以免費(fèi)在常規(guī)銀行進(jìn)行兌換，諸如此類(lèi)。一旦受害者聽(tīng)信了欺詐者的話(huà)，關(guān)閉了旨在保護(hù)買(mǎi)賣(mài)雙方權(quán)益的某種服務(wù)，騙子們就可以輕松地實(shí)施其余的犯罪活動(dòng)。

我曾見(jiàn)過(guò)一個(gè)女人在賣(mài)她的卡車(chē)，騙子并沒(méi)有使用在線(xiàn)服務(wù)來(lái)購(gòu)買(mǎi)該卡車(chē)，而是提出親自面談并用現(xiàn)金付款的方式。后來(lái)，騙子來(lái)了并且支付了該賣(mài)家(少量)現(xiàn)金，然后將自己的身份證件抵押在賣(mài)家處要求開(kāi)車(chē)去 “試駕”。賣(mài)家同意了，但是騙子卻一去不復(fù)返了，最后這輛價(jià)值 4 萬(wàn)美元的卡車(chē)就被騙子用 400 美元騙走了。當(dāng)然了，抵押的身份證件是偽造的。

所以說(shuō)，如果有人試圖勸說(shuō)或強(qiáng)迫您從打算購(gòu)買(mǎi)或出售商品的服務(wù)或站點(diǎn)上 “關(guān)閉服務(wù)”，請(qǐng)務(wù)必保持警惕。更安全的做法是，不要照著騙子的話(huà)做或是參與其中。

上述 10 個(gè)社會(huì)工程學(xué)跡象是犯罪分子試圖欺騙您時(shí)最常用的方法。在這種情況下，最常見(jiàn)的問(wèn)題是，默認(rèn)情況下，電子郵件、SMS 和電話(huà)的身份驗(yàn)證機(jī)制不夠充分。任何人都可以假冒成其他人來(lái)騙取信任。所以，我們需要更多內(nèi)置的、必需的身份驗(yàn)證機(jī)制。而在這種更安全的驗(yàn)證時(shí)代到來(lái)之前，我們需要對(duì)這些跡象保持高度警惕，并對(duì)可疑的人進(jìn)行審查。

【本文是51CTO專(zhuān)欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文