读社会工程：防范钓鱼欺诈（卷3）01钓鱼攻击

1. 概述

1.1. 自从人类发明电子邮件以来，它就被骗子和社会工程人员用来进行信用卡、金钱和信息等方面的欺诈

1.2. 随着人们的生活压力和工作负担加重，以及科技产品的日益普及，骗子和社会工程人员知道电子邮件是渗透进我们的工作和生活的利器

• 1.2.1. 网络钓鱼邮件（phishing e-mail）

• 1.2.2. 鱼叉式网络钓鱼（spear phish）

• 1.2.3. 恶意来电（malicious phone call, vishing）​

1.3. 钓鱼工具和建筑工具没什么区别

• 1.3.1. 拥有工具并不会使你成为一名建筑师

• 1.3.2. 仅仅购买工具并不能保证你的安全，也不会让你有能力教导其他人防范钓鱼攻击

1.4. 现有的安全防范意识训练采用的方法和方式的确不奏效

• 1.4.1. 如果训练中没有互动或者训练时间过长，那么人们就会在训练时开小差

1.5. 当你学会辨认钓鱼攻击，熟悉钓鱼攻击工具，知道如何选择好搭档以后，也可以通过创建钓鱼攻击项目来提高你的技术水平，同时帮助你的同事、家人和朋友抵御钓鱼攻击

2. 网络钓鱼基础

2.1. 网络钓鱼

• 2.1.1. 以对收件人施加影响或获得个人信息为目的，发送看似来自权威来源的电子邮件

• 2.1.2. 网络钓鱼就是坏人发送一些鬼鬼祟祟的电子邮件

• 2.1.3. 结合了社会工程学和诈骗技巧

• 2.1.4. 可能是一个电子邮件附件，会加载恶意软件到你的计算机，也可能是到非法网站的一个链接，这些网站会诱骗用户下载恶意软件或泄露个人信息

• 2.1.5. 网络钓鱼者的动机往往相当典型：钱或信息（通常也和钱有关）​

• 2.1.6. 很多发件人并不是以英语为母语的

• 2.1.7. 无论采取怎样的技术控制和安全策略，公司仍然和普通人一样容易受到网络钓鱼攻击

2.2. 鱼叉式网络钓鱼是一种非常有针对性的攻击方式

• 2.2.1. 攻击者花时间对目标进行研究，然后创建与目标个人信息相关的或者私人化的电子邮件

• 2.2.2. 鱼叉式网络钓鱼非常难以检测，也更加难以防御

• 2.2.3. 在组织中的地位越高，越有可能成为鱼叉式网络钓鱼攻击的目标，因为攻击者所花费的时间和精力将会得到不菲的回报

• 2.2.3.1. 整个经济体而非个人的损失会非常严重

2.3. 如果攻击者并非普通犯罪，动机也不是迅速赚钱，那么攻击的理由和攻击者本身就会变得非常可怕

• 2.3.1. 出于政治目的或者个人信仰而让大型组织难堪

2.4. 邮件来自你认识的人并不代表邮件就是安全的

• 2.4.1. 骗子使用的最简单的诈骗手段之一就是邮件诈骗，指将发件人一栏信息伪造为你认识的人或者其他合理来源

2.5. 骗子为他们的故事增加可信度的另一种方法是网站克隆

• 2.5.1. 骗子对合法网站进行克隆以欺骗你输入个人可识别信息（personally identifiable information, PII）或登录凭据

• 2.5.2. 网站克隆的确是一种非常有说服力的方式，能让人们相信钓鱼邮件的内容是真的

2.6. 语音钓鱼（vishing）或电话钓鱼

• 2.6.1. 骗子会给刚收到钓鱼邮件的人打电话

• 2.6.1.1. 如果你从多个渠道听到同一个故事，那么这个故事就会听起来更加可信

• 2.6.2. 多种恶意目的，从增加邮件的真实性和可信度到直接请求保密信息等

• 2.6.3. 从反面强调了保护个人可识别信息的重要性

2.7. 点击链接这个行为并不能说明你笨，这只是一个由于你没有考虑周全而犯下的错误，或者是由于你没有足够的信息而做出的一个错误决定

3. 常见的钓鱼手段

3.1. “尼日利亚419”骗局

• 3.1.1. 也称为预付款骗局

• 3.1.1.1. 很多都来源于尼日利亚

• 3.1.1.2. 数字419指的是尼日利亚刑法中的欺诈类犯罪的编号

• 3.1.2. 原因

• 3.1.2.1. 贪婪

>  3.1.2.1.1. 这是第一原因，也是最基本的原因>  3.1.2.1.2. 如果你可以说服自己总有一天会中彩票的话，那么进一步说服自己真会有陌生人让你拿着他的钱，可能也不是那么困难

• 3.1.2.2. 缺乏教育

• 3.1.2.3. 过于轻信

• 3.1.3. 实际上它的历史已经有200多年了

• 3.1.3.1. 在平邮信的时代，这种骗局需要花很长的时间才能生效，但是它仍旧生效了

• 3.1.4. 不变的基本特征

• 3.1.4.1. 金钱的数额巨大

• 3.1.4.2. 他们相信你，一个对他们而言完全陌生的人，让你去转账、付款或者持有这笔钱

• 3.1.4.3. 你会获得一定的报酬，但你需要做：

>  3.1.4.3.1. 为他们提供你的银行账户信息以便他们给你转账>  3.1.4.3.2. 协助他们付转账费用，主要是由于不稳定的政治局势或个人原因而导致他们无法自己支付转账费用

3.2. 金融类主题

• 3.2.1. 金融类主题是钓鱼攻击者的最爱

• 3.2.2. 任何威胁到金钱的事情都是可怕的

• 3.2.3. 通过利用人们恐惧或焦虑的心理来迫使其采取行动

• 3.2.3.1. 账户有异常的登录请求

• 3.2.3.2. 银行升级了在线安全措施

• 3.2.3.3. 未按时还贷或者纳税

• 3.2.4. 问候语通常是模糊的

• 3.2.4.1. 银行不知道客户的名字

• 3.2.5. 拼写、语法和大写字母方面的问题

• 3.2.6. 用于验证的链接指向的网址并不属于所谓的发件人

• 3.2.7. 使用紧迫的语气

• 3.2.7.1. 请立即回复，否则...

• 3.2.8. 利用权威

• 3.2.8.1. 一条影响原则

• 3.2.8.2. 人基本上是社会动物，我们都会对不同形式的权威做出反应

• 3.2.9. 时间限制

• 3.2.9.1. 增加了紧张感

• 3.2.9.2. 出于我们的生存本能，任何对获取资源的限制都会让我们感受到威胁

• 3.2.10. 可能的危害

3.3. 社交媒体威胁

• 3.3.1. 过社交媒体进行的网络钓鱼

• 3.3.2. 如果你使用的社交媒体服务用邮件通知你有新的好友请求或者要求你点击某个链接，那么你通常不会怀疑

• 3.3.3. 这类邮件反而更容易让你中招，因为你既然加入了社交媒体，那么收到一些邀请就是很正常的，更重要的是，也是你期盼的

• 3.3.4. 这类邮件可能不会像银行邮件那样引起你的警觉，这会降低你的防范意识

• 3.3.5. 恐惧是普遍的行为激发因素，但是失去社交媒体账号不只是紧要的事件，而且很不方便

• 3.3.6. 社交媒体网站通过人们的相互联系而发展壮大，它们让参与社交变得有趣，让你成为某个小组的一员

3.4. 公共事件诈骗

• 3.4.1. 骗子在一起公共事件发生后直接进行钓鱼攻击

• 3.4.2. 波士顿马拉松爆炸案发生后的几小时内，骗子就开始行动了

• 3.4.2.1. 简单地提供了一个似乎是指向爆炸视频的链接

• 3.4.2.2. 利用人们天生的好奇心，而这些链接实际指向了一些会下载恶意软件的网站

• 3.4.2.3. 最糟糕的是那些利用了人们想要帮助他人的愿望的钓鱼攻击

• 3.4.3. 基本上任何受到大量媒体关注的事情，同时也是大多数人重点关注的事情

• 3.4.4. 利用了我们自然产生的恐惧、好奇和同情

• 3.4.5. 公共事件欺诈的灾后变体无疑是非常可怕的

• 3.4.5.1. 这类通过灾难进行的欺诈会通过打电话甚至是上门恳求的方式来使得他们的表现更逼真一些

3.5. 要素

• 3.5.1. 贪婪

• 3.5.2. 恐惧

• 3.5.3. 敬畏权威

• 3.5.4. 渴望交流

• 3.5.5. 好奇

• 3.5.6. 同情

3.6. 特征

• 3.6.1. 含糊的称呼/签名

• 3.6.2. 未知的/令人怀疑的发送者

• 3.6.3. 未知的/令人怀疑的网址链接

• 3.6.4. 错别字，以及语法、拼写和标点符号错误

• 3.6.5. 不合情理的借口（特别是419骗局）

• 3.6.6. 急迫的语气

3.7. 鱼叉式网络钓鱼

• 3.7.1. 一种针对特定目标进行个人定制的钓鱼攻击

• 3.7.2. 攻击者会花时间了解你，至少知道你的姓名和邮箱地址

• 3.7.3. 他对你的了解会依据你的重要程度而定

4. 决策

4.1. 人类（还有其他物种）的很多怪癖都归结于一个原因：生存

• 4.1.1. 虽然我们中的大多数不再靠牙齿和爪子生存，但是我们依然会为了生存而做出适应和调整

4.2. 决策的好坏并不总是与我们对这个决策本身是否感到满意有关

4.3. 决策包含了一系列因素，如我们的看法和情绪

4.4. 我们每天都在做出或大或小的决策，即使在并不具备所需的全部相关信息的情况下

4.5. 我们不假思索地、频繁地做出这些或大或小的决策

4.6. 决策无疑是一种特权，但也可能是一件可怕而充满压力的事情

• 4.6.1. 极少数特殊的情况下，你才能清楚地知道你的决策正确与否

4.7. 我们在决策时并非总是充满理智并富有逻辑，有很多因素影响着我们的决策

4.8. 钓鱼攻击者了解我们是如何决策的，并且试图操纵我们所面临的情况以引导我们做出错误决定

5. 认知偏差

5.1. 认知偏差是一种思维定势，通常源于过去的经验

• 5.1.1. 有时候认知偏差是好的，因为它使你更快或者更好地做出决定

• 5.1.2. 很多时候它也会导致错误决策，因为认知偏差会妨碍你获取所有可用的信息

5.2. 另一个总是影响我们决策的认知偏差是可用性启发法（availability heuristic）

• 5.2.1. 这是一条我们用来快速进行决策的捷径，它依赖于我们容易想起来的事物

• 5.2.2. 如果我们能非常快地想起某些事情，那么我们的大脑会倾向于高估它的频率或者重要性

• 5.2.2.1. 想象这种倾向对于决策所造成的灾难性后果

5.3. 值得一提的认知偏差是确认偏误（confirmation bias）​

• 5.3.1. 你倾向于寻找支持你的观点的信息，或者按照支持你的观点的方式来解读信息

6. 生理状态

6.1. 身体状态会对你的决策质量产生影响

6.2. 一夜未眠会导致做出更冒险的决策

• 6.2.1. 大脑中负责乐观态度的部分会更活跃，同时负责计算可能的负面结果的部分的活动减少了

• 6.2.2. 当我们疲惫的时候，会高估我们成功的可能性

• 6.2.3. 拉斯维加斯赌场已经利用这一点相当长一段时间了

• 6.2.3.1. 借助明亮的灯光和衣着性感的鸡尾酒女招待，以及几乎没有时钟和窗户的房间，赌场让你长时间沉迷于赌博中而不知夜晚早已流逝

6.3. 随着饥饿程度的增加，冒险的决策也会增加

• 6.3.1. 事实上，饥饿是一种威胁

• 6.3.2. 由于生存机制是天生的，当缺乏食物关系到生死存亡时，我们对饥饿的反应与我们的祖先是一样的

6.4. 控制去洗手间的冲动使得你更好地控制不相关领域的冲动

7. 外部因素

7.1. 外部环境包括我们周围的物质环境与身在其中的人

7.2. 较高的环境亮度只是简单地放大了我们的感受，反之亦然

• 7.2.1. 如果你心情不错，那么一间明亮的屋子会使你感觉更好

• 7.2.2. 如果你很悲伤或者生气，那么同等亮度会使你感觉更糟

7.3. 行为是会传染的

• 7.3.1. 我们是社会动物，周围的人对我们的选择有巨大的影响，我们通常称其为同伴压力、从众与服从

• 7.3.2. 人类有一种服从别人的倾向，尤其是在特定的情况下

7.4. 形势的不确定性

7.5. 群体的大小、地位和一致性

• 7.5.1. 历史上来说，从众保证了我们的安全