人们无法彻底阻止社会工程学，但可以缓解

一名女子走进一家公司的办公楼大厅。这是她第一次踏入这栋大楼。这里的人从未见过她。她不是员工。她不是任何人的客人。她没有任何证件。 

但从人们对她的反应来看，你不会知道这一点。实际上，他们根本没有反应。他们疲惫地忽略了她，就像一个特别乏味的办公室固定装置。甚至不是休息室的足球桌——更像是一个固定在地板上的塑料盆栽：一直在那里，不值得停下来欣赏。

她畅通无阻，大步走到接待处。 

“嗨，”她有点不好意思地说道。

接待员的头从显示器上抬起来，急切的神情表明她很高兴能分心。（会计部的杰瑞又一次回复了所有本该是私密的电子邮件。） 

当她看到办公桌前的陌生人时，她的轻松感很快被困惑取代。她皱着眉头思考着，试图——但没能——找到来访者。

“我不想打扰你，”女人继续说，“但我在隔壁的办公室面试，把咖啡洒在了我的简历上。我能否请你帮我打印一份新的？我这里有文件。” 

这位女士挥舞着手，拿出一个闪存盘。瞧！接待员的脸上露出了笑容。她当然会帮助这个可怜的不幸者。在今天早上洛杉矶交通高峰期说了几句脏话之后，她需要一点善念。

接待员毫不犹豫地将 USB 插入电脑。两人闲聊了几句，她找到驱动器上的一个文件并双击，引发了一系列复杂的事件，最终导致整个网络受到威胁。 

瞧，这份简历根本不是一份简历，而是一个巧妙伪装的恶意软件，现在正秘密地安装在接待员的电脑上。她一点也不怀疑，谁能责怪她呢？这个女人看起来很善良，她的父母把她养育成善良的人。

为什么社会工程学如此有效

您刚刚读到的内容是根据一个真实故事改编的，故事中我扮演一个游客，欺骗一位好心的接待员，让她的公司受到损害。好人有好报，不是吗？

不过我确实需要强调的是，我并没有真正用勒索软件感染任何人的计算机，而且我是在获得许可的情况下进入的。该公司聘请我对该场所进行物理评估。（这是我的工作。）正如您所见，我发现了一些弱点。

但我在进行评估时，总会发现一些弱点，无论是物理的还是数字的。尤其是社会工程方面的弱点。 

尽管经过了各种培训、执法部门的公告、数百万美元的抢劫案故事和专家（比如我！）的警告，社会工程攻击仍然让我们措手不及。

你可能认为这很简单：“不要拿陌生人的 U 盘。”但社会工程学之所以有效，正是因为它利用了我们最基本的人类本能，比如乐于助人的愿望。

诈骗者还会利用其他情绪。

好奇心

攻击者利用人们的好奇心，编造令人难以置信的故事并承诺丰厚的奖励，诱使受害者了解接下来会发生什么。

我们在“杀猪”骗局中经常看到这种伎俩，攻击者假扮为富有的投资者，声称有“机会”让受害者赚到数百万美元。（但不会。）

害怕

攻击者通常会假扮老板、警察或其他权威人士，威胁受害者如果不听话就会被解雇或入狱，以此引起恐惧。这种伪装非常有效，因为我们从出生起就被教导要服从权威人士。 

缺乏

攻击者利用稀缺性进行威胁，就像老式的电视广告一样：“立即行动！售完即止！”

例如，在开放注册期间，诈骗者经常冒充人力资源或健康保险代表：“注册计划的窗口即将关闭，所以你最好尽快给我你的社会安全号码！”

社会证明

攻击者利用社会认同来胁迫受害者。我们大多数人都想融入人群。如果我们收到一封（诚然是可疑的）电子邮件，声称我们是组织中最后一个参加（令人惊讶的侵入性）员工调查的人，我们就会立即接受。

这就像高中时受到同龄人的压力一样：每个人都在这么做！只不过在这种情况下，“它”的意思是“把你的密码交给黑客”，而不是“在自助餐厅后面抽烟”。

为了激起这些情绪，诈骗者会编造借口（虚假故事）和人格（他们扮演的角色）。例如：

“我是 IT 部门的 Susan。我是新来的，所以你还没听说过我。但你听说过电子邮件迁移，对吧？我需要设置你的新帐户。你是部门里最后一个。如果我能知道你的密码——”

有时我觉得为这些人创办一家戏剧公司可以将社会工程攻击的数量减少一半。为他们提供一个健康的幻想出口。嘿，我明白了——我喜欢在闯入客户大楼时戴假发。

如何阻止

我不是悲观主义者，但我们确实需要面对事实。我们永远无法完全战胜社会工程学。我们永远无法开发出一种攻击者无法用巧妙的伪装欺骗的垃圾邮件过滤器。我们永远无法进行万无一失的测试来区分恶意假冒和真品，无论是来自银行的短信还是简历上沾满咖啡渍的笨手笨脚的女士。

只要人有情感，骗子就会利用这一点。（也许我们的人工智能领主需要加快速度。）

这对我作为首席人力黑客的工作前景来说是个好消息，但对你们其他人来说就不太好了。 

从好的方面来看，多年来我冒充欺诈者（元！）的经历告诉我，我们给潜在攻击者设置的障碍越多，他们就越不可能让我们措手不及。

为此，以下是您的组织可以阻止社会工程攻击的一些最有效的方法。

首先，放慢速度

社会工程攻击之所以依赖恐惧和社会压力等强烈情绪，就是为了让你在思考之前就采取行动。 

哦不——我的老板说如果我不立即支付这张异常大额的发票，我们就会陷入大麻烦。最好赶紧付钱！

我的建议是放慢速度，评估任何短信、电子邮件、电话或其他信息。说起来容易做起来难，但这是抵御社会工程攻击最有效的方法。如果大多数人仔细阅读他们的电子邮件并在做出反应之前提出问题，他们就会开始看到所有危险信号就在眼前显现。 

等一下。我们的供应商付款通常不会这么大。为什么我的老板直接给我发电子邮件，而不是通过会计系统发送？我最好跟进一下。

还有一条建议：在跟进可疑请求时，请尝试使用其他沟通渠道。如果您的老板发了一封奇怪的电子邮件，请打电话给他们确认。如果原始邮件是社交工程攻击，直接回复它会让你直接找到骗子。 

使用真正有效的培训

这似乎很明显，但太多的组织依赖于通用的网络安全培训，而这些培训并未针对其员工所面临的真正攻击。 

我已经数不清有多少次我审查了客户的培训，却发现它已经非常过时，重点关注攻击者不再做的事情。（退出：尼日利亚王子。进入：加密货币投资。）

意识培训应围绕行业标准最佳实践和贵组织的独特环境进行。您是否接到过特定类型的电话？诈骗者在针对您的员工时是否使用特定的借口和角色？将这些内容纳入安全意识培训中。

有一种训练没有受到应有的重视，那就是网络靶场演习。 

网络靶场是模拟真实网络和 网络攻击的物理或虚拟环境。我们使用它们来运行网络危机模拟，让高管和其他团队成员遭受模拟攻击（例如勒索软件感染），并观察他们如何应对。 

网络危机模拟的最大好处或许在于它可以帮您找出危机应对计划中缺少的东西。 

许多组织在进入我们的网络靶场时都制定了计划，但当真正实施时，他们很快发现这些计划存在巨大漏洞：他们没有考虑过的攻击策略、从未分配的责任、从未明确的沟通计划。

通过进行网络危机模拟，团队可以在黑客入侵之前确定谁负责什么以及谁与谁合作。这样，当网络像“这很好”的狗一样烧毁时，没有人会坐在休息室里喝咖啡。

不要相信。一定要核实。

阻止攻击者的最简单方法之一是要求验证每个重要或不寻常的请求：支付发票、共享机密信息、帮助你的 CEO 为清洁人员购买 iTunes 礼品卡。

（好吧，最后一个肯定是个骗局。） 

问题是，许多组织使用的验证因素很容易猜到，例如生日或入职日期。相反，我建议使用更难伪造或发现的因素。

例如，去年夏天，法拉利的一位高管挫败了一起语音钓鱼诈骗案，他向诈骗者询问——他们使用语音克隆工具冒充首席执行官！——是否记得真正的首席执行官最近推荐了哪本书。慌乱的骗子立即挂断了电话。

除非你经营图书馆，否则你可能无法将所有验证都基于图书推荐。但你可以做其他事情。我的一位客户使用每周一更改的轮换密码。不幸的是，这是他们使用的唯一验证因素，所以我仍然能够通过欺骗某人给我密码来破解他们的系统。

这就引出了我的下一个观点：层级。不要要求一个验证因素。要求两个或三个。请求的利害关系越大，要求的因素就越多。当骗子需要收集多条信息时，欺骗任何人的难度就会大得多。

确保人们能够践行你所言

你可以让每个人都接受最先进的培训，并制定严密的政策。如果人们没有所需的工具来实践你所宣扬的理念，那么这一切都毫无意义。

让我们回到我上面讲的故事。我在其中进行了一些创造性的发挥。没有人注意到我是不对的。有一个人注意到了——我跟着进大楼的那个女人。

瞧，员工需要刷卡才能进入。我没有，所以我不得不使用古老的“紧跟”艺术——即紧跟在某人后面，这样他们就会为你开门，因为当着你的面猛地关上门是很不礼貌的。

当我跟着这个女人时，我看得出她知道有什么事发生了。她对我投来的白眼说明了一切。我意识到自己的身份暴露了，我做好了准备，准备迎接一个魁梧的保安把我抱起来，像卡通片里那样把我扔出去。

令我惊讶的是，这并没有发生。我像恶意软件精灵一样四处游走植入 USB 数小时，然后在接待处上演了一场高潮对决。 

当我站在那里，看着接待员打印我的简历时，我听到身后发生了一段有趣的对话。有人在描述他们见过的一个人，天哪，听起来真像我。我的着装。我的身高。我的头发颜色。

我小心翼翼地快速回头看了一眼。她就在那里。门口的那个女人正在向一名保安介绍我，保安正在浏览笔记本电脑上的摄像头。我站在离她只有几英尺远的地方，正在找我。

不管怎样，我还是能够偷偷溜出去而不被发现。 

当我回去与客户讨论评估结果时，我问的第一件事是：“为什么花了这么长时间？”我进入大楼时，那位女士发现了我，但直到三四个小时后她才举报我。 

我们做了一些调查，结果发现她早就想举报我了。她只是不知道该怎么做。她花了几个小时才找到正确的电子邮件地址，又花了几个小时等安全部门回复她。 

我经常看到这样的事情：有人发现我跟在后面。我用最轻快的声音说：“谢谢！”他们上下打量着我。他们不认识我。但他们该怎么办呢？

他们不知道该说什么。他们不知道如何阻止别人跟在后面，也不知道如何礼貌地拒绝陌生人使用打印机的请求。当人们本能地想要帮助别人时，他们不一定会学会质疑别人——更不用说直截了当地说“不”了。

我的观点是，仅仅发布诸如“不要让陌生人进入大楼”或“向安全部门报告可疑人员”之类的命令是不够的。向员工详细讲解该流程，并让他们有机会在培训中练习。

如果您看到有人没有佩戴身份证，而且他们看起来不熟悉，请阻止他们。询问：“我能帮您吗？让我们帮您办理登机手续。”如果有人要求使用打印机，请说：“我需要先为您办理一个身份证——这只是一个形式！让我们赶紧去安检吧。” 

不要指望人们记住这些步骤。当你面对真正的攻击时，很容易慌乱。确保每个工作站（每个设备和办公桌）都有一份随时可用的指南，以应对物理和数字社交工程攻击。包括重要的电话号码、电子邮件地址和分步报告说明。 

如果那女人一见到我就采取行动的话，我就绝对骗不过接待员了。

所以，如果你认真想想，这是她的错，不是我的错。

原文始发于微信公众号（河南等级保护测评）：人们无法彻底阻止社会工程学，但可以缓解