前言
近几年来随着攻防演练的火热,攻防对抗的不断升级,在演练之前防守方可能做了已经多次攻防演习,也会演习前做了大量的资产梳理,演习中会对重要的服务器资产做重点的监测,也会下线一些相对不重要的资产,这时候从外网的应用入手就会显得越来越困难,那么可以通过社工手段对目标单位进行攻击,因为信息安全中最薄弱的环节和最难控制的还是人。
在实施过程中攻击者往往都像是一个熟练掌握心理学的专家,利用各种话术、方法、人际交往的技巧说服受害人,最后达到自己的最终目的。
非专业人员也可以认真看完希望对你有用。
了解情绪
我emo了
你有没有在情绪不好的时候或者在兴奋的时候做了很蠢的事情?我做过!我相信你有时候也会做过!
如:情绪的不稳定和父母吵架,企图要跟他们断绝关系、甚至想要离家出走、一时冲动做了不该做的事情。
没事,我们都做过类似的事情。可事情已经发生了,总是纠结过去毫无意义,我们在这些蠢事中找到问题原因,以后不再做蠢事这才是意义。我们可以继续向下了解一下。
当然了这些情绪常常会被有心之人利用,在社会工程学中首先知道如何受害者调动情绪,
情绪是什么呢?
情绪,是对一系列主观认知经验的通称,是人对客观事物的态度体验以及相应的行为反应,一般认为,情绪是以个体愿望和需要为中介的一种心理活动。
情绪的表现
情绪(emotion)是一种内部的主观体验,但在情绪发生时,又总是伴随着某种外部表现。这种外部表现也就是可以观察到的某些行为特征。
察颜阅色
日常生活中,可以通过眼睛、耳朵、面部肌肉、嘴、眉毛等来观察人的各种情绪状态,可以看微信的表情包就知道每一个表情包都可能代表着不一样的情绪。
当然了一些表情不代表一定就是真实的意思例如:
眼睛是心灵的窗户
如两只猫首次相遇的时候,会先停下来,盯着对方看。如果一只猫发出一声嘶吼,另一只猫就会竖起毛发嘶吼一声表示回复。但是,如果第一只猫耸起自己冰凉的小鼻子,另一只猫就会报以同样的温柔和善;随后它们就会挤在一起,“咕噜咕噜”地叫着,互相舔舐对方的皮毛。
目光接触会带来恐惧极端相似的情绪状态,当你大胆的盯着某人的双眼时候,他(或她)的体内就会分泌出苯乙胺之类的化学物质,让人产生置身情网的感觉。
比如看到美女/帅哥你会多看几眼,对于不喜欢的就会快速离开视线,如果你看到我,你会捂上眼睛,这T(O)M是什么wanyi?
当然了有时候也会出现反作用,如果你遇到一张格外好看的脸,你可能会看他(或她)的任何部位,但是你会极力躲避他(或她)的视线,来避免目光接触,有时候会心跳快速加速,甚至会思维混乱,说话也开始结巴。
识别动作
在接触的过程中可能会有很多个动作,在聊天的过程中微笑、点头还是目光呆滞,脑袋开始朝你远离你的地方转动,你可以通过动作看到是同意还是反对,喜欢还是讨厌,接纳还是拒绝。
识别语调
在交流时候可以通过语调分辨出他是开心还是难过。语言是人与人之间沟通的桥梁可以表达个人思想,表达个人情感,表明立场。
如世界杯赛事直播解说员用声音尖锐、急促,表达了紧张又兴奋的情绪,同时面对中国队表达自己的惋惜之情。当然也常常看到新闻中方表示强烈不满和坚决反对……来表明态度,出手前的敬意和警告。
人们通过身体的反馈可以增强情绪体验,并且影响人的情绪。它可以振奋人的精神,也可以使人变得消极。在社工的过程中也常常利用这一点。
情绪状态
情绪状态是指在某种事件或情境的影响下,在一定时间内所产生的某种情绪,其中较典型的情绪状态有心境、激情和应激三种。
心境
心境是一种微弱、平静而持久的带有渲染性的情绪状态。往往在一段长时间内影响人的言行和情绪。工作成败、生活条件、健康状况等等,会对心境发生不同程度的影响。
心境可以说是一种生活的常态,人们每天总是在一定的心境中学习、工作和交往,积极良好的心境可以提高学习和工作的绩效,帮助人们克服困难,保持身心健康;消极不良的心境则会使人意志消沉,悲观绝望,无法正常工作和交往,甚至导致一些身心疾病。所以,保持一种积极健康、乐观向上的心境对每个人都有重要意义。
激情
激情是一种强烈的、爆发性的、为时短促的情绪状态。这种情绪状态通常是由对个人有重大意义的事件引起的。重大事件之后的狂喜、惨遭失败后的绝望、亲人的突然离世引起的极度悲哀、突如其来的危险所带来的异常恐惧等等,都是激情状态。
例如:范进中举这个故事我相信大家都听过,他凭借自己的努力,考上了状元,却因为过度的激动变得精神失常。
应激
应激是指人对某种意外的环境刺激所做出的适应性反应。人们遇到某种意外危险或面临某种突然事变时,必须运用自己的智慧和经验,动员自己的全部力量,迅速做出选择,采取有效行动,此时人的身心处于高度紧张状态,就是应激状态。
人们在应激状态下,会引起集体的一系列生物性反应,肌肉过度紧张,血压增高,心率上升,呼吸急促。在被电信诈骗后会产生一系列的应激反应,当然了,每个人可能不太一样,可能会出现愤怒、懊恼、悔恨、自责、情绪崩溃、暴躁、敏感开始怀疑人生。
应激状态产生与人面临的情景及对自己的能力评估有关。当情景对一个人提出了要求,而他意识到自己无力应付当前情境的过高要求时,就会体验到紧张而处于应激状态。
情绪利用
在社工的过程中也是最希望受害者进入激情状态或应激状态。
激情状态下人往往会出现“意识狭窄”现象,即认识活动的范围缩小,理智分析能力受到抑制,自我控制能力减弱,进而使人的行为失去控制,甚至做出一些鲁莽的动作或行为。
应激状态:身心感受到威胁时的一种紧张状态,就会放弃理性思考最终中招。
在社工的过程中,会利用你所在乎的东西调动情绪;例如:1. 如果今天不处理,那么今天就会将你的银行卡冻结,将影响你的正常使用,最终影响征信,上不了飞机高铁……这种威胁的语气。2. 如果你不好好配合我,我将投诉你,这样你就会面对投诉的恐惧当中。3. 有时候突然收到一封奇怪的邮件引起你的好奇心,驱使你来点击邮件,打开魔盒,这样的案例有很多。
在社工的过程中常常会利用这些情绪来进行攻击,贪婪、欲望、恐惧、冲动、好奇心、同情心。
每个人某种事物反应也不同,如一个普通人访问网站低版本的xxoa系统,并不会觉得有什么特别,当一个老黑客比赛开始三天了还没进内网的时候,看到这个系统必然会眼前一亮,攻击了一会,发现蜜罐插件弹窗了,c。
影响与控制
测试前收集大量的信息,同时利用获取到的信息对受害者进行操纵影响,通过诱导受害者进入攻击者圈套,完成黑客最终预设动作。
攻击者常常使用:威胁、影响、指导、咨询、请教、惩罚、操纵、愤怒、同情、欺骗、请求、恐吓等。
举一个生活中的例子
不难发现人生来就会使用各种方法来参与到社交当中,会哭的孩子有糖吃,表面上是孩子是在哭,实则上他是有一些目的的如:一些需求需要被满足,需要被关心,需要有人给他糖吃。
在亲密关系中,情侣之间有时候用愤怒来表达情绪,一方面,愤怒可以缓解疼痛,而另外一方面是能让对方有罪恶感,这样一来,就能有效地控制对方的行为。当有罪恶感时,人会很自然地因为可能被处罚而感到恐惧。
一般情况下愤怒、惩罚制造让人恐惧的事情进而操纵人们的行动,或使用一些强烈的情绪如哭泣来博取同情,迫使人们采取行动最终达到自己的目的,这种事情你留意观察生活中很多~,当然了需要看不同人、不同场景、对象是谁,目的不都是坏的。
总结
我们了解了社工的重要性、心理学原理、情绪及情绪的表现、情绪的状态,且知道会利用上述的一些方法用来影响操纵,最终达到他(她)的目的。
上面的案例可以发现在影响控制之前确定那个人会听你话,所以在实施影响控制的时候需要了解对方的需求是什么,对方在想什么?另外在需要一点点的手段一些沟通技巧……
- 科学依据:刚开始的时候,你要对造成你与目标之间吸引力的科学原因有一个充分的了解
- 信息搜集:你要收集目标有关的大量资料
- 沟通的技巧及方法:你要使用复杂的沟通方法,大多是作用于人们潜意识的技巧,去满足对方意识和潜意识里的需求。
- 了解真正需求、然后满足他(她)
这里不是为了让大家中使用”手段”,而是在遇到相关的情况的时候要识别来者不善的人,识别情绪陷阱,不会深陷其中,能理性的在第三人称的视角来看待这个问题。
攻防演练实战金融行业情绪攻击案例
某攻防演练最后一天,时间也比较紧急,对目标网络环境、杀毒软件等一切都不太了解。先后投递了几次,木马上线会把就掉线,试了几种不同的木马最后上线,后来时间问题就没继续深入也比较疲惫了,分享给大家学习。
本文主要通过在社工实战中信息搜集、如何获取目标、分析心理学、使用一些话术技巧最终让目标深陷其中最终受控(可以先看第一篇文章),最后提醒目标注意相关事项防止下次再次被社工,这也是我们演练的意义,提高大家安全意识。
信息搜集
针对金融类的目标,大多数是自研的产品,直接从外部尝试有点困难,而且也没有那么多时间。
这类目标首先通过账号入手可以制作一些钓鱼网站、克隆网站等获取账号再去登录各个系统,通过账号进一步利用。
其次可以通过发送木马进入内网。这也是这篇文章主要的内容。
- 知道目标名称后,找到公司官网了解相关业务,通过官网来判断主要公司的业务类型,面向的人群,主营业务是保险、金融、证券,针对个人用户和团体及企业用户。
- 官网查找联系方式:邮箱、企业电话、在线客服等
-
社工钓鱼思路
通过上述方式的其中一种加微信或者直接拨打电话
- 提出自己的需求,需要给爸妈买保险或者给公司团体购买
- 保险公司了解相关的需求后,会找对应的客户经理主动联系
- 联系后了解保险相关业务,可以明确的也可以以小白的身份来了解他们的相关业务,以及自己的需求。
- 后续根据不同程度引导点击木马。
-
钓鱼木马
ico使用Execl、word图标,捆绑乱码文件或者真实的文件。
-
伪造人员信息
这次原本是想一个人加投递木马上线成功就内网渗透一波结束,理想很美好,现实很残酷。后来就把我的”助理”拉出来了。
1号 xx企业管理者 陈总
-
钓鱼过程
攻击流程
电话提出需求
使用匿名的手机号码拨打客服电话(防溯源),告诉自己是某某公司的高管,需要给员工增加福利保险,另外一些增加意外保险等(怎么有诱惑力怎么来)。
大概话术 :::info 管理者:您好,今年上半年公司的业绩不错,准备给员工额外购买保险给给员工增加福利,请问有相关保险的业务吗?
客服:有相关的业务,请问您是那个城市的
管理者:某某公司,在[地点],联系电话 :::客户经理联系
早上九点多,那时候我还在睡梦中打穿内网,突然来了一通电话将我从美梦中解救出来,电话的另一头是一个妹妹,和我说是XX保险*,请问您是陈吗?我有点蒙?她说:昨天您通过xx联系我们,后来我说对对对对对对。然后继续保持这种状态迷迷糊糊聊了一会,没有细聊,大概就是你先加我个微信,我先睡觉,睡醒了微信联系。因为投递木马才是我的最终目的。
挂完电话以后掀开被子就打开电脑。然后和他聊天。
首先还是明确一下相关需求
先尝试投递试试,明确是点击了但是原因不太明确,有可能是被杀软杀了,制作的木马常规的基本上都是能过的。
对方先用手机点了木马,后让电脑打开。
和她闲聊,聊一些话题拉拉关系,聊共同知道的地方,聊公司地点,聊去过的一些地方,经常去某些地方。第一让他在点击木马的过程中,放松警惕,同时不要给他有太多思考的机会。看到的是金山杀毒,被杀了,我表示很惊讶。
抓住心理-继续加码
投递失败,为了不引起怀疑;
增加自己的筹码(满足她的需求)、可以线下面谈,加大她的成功率、同时表示自己也比较着急,前提是……你先点马。
- 另外为了转移人员,不能一直投递一直失败。
之前投递的木马又没有成功,这时候引出自己的助理,没上线是那边的问题,暗示她是个实习生对业务不太了解,且实习期还没有过(激发同情心)。
最后一次尝试投递、虽然上线了,但是很快就掉了(我怀疑点完以后就把电脑合上了)。
转移身份-实习助理
换了几个马还是上线就掉,不能在用这个身份一直让他点了,于是直接让他联系助理直接沟通。
身份上的转换需要说话客气点,毕竟是领导交代的事情。而且女性和女性聊天还是更快的可以融入的。
自己不太懂、还是需要帮助的。
这个时候 身份;管理到→实习生 性别:男→女,暗示受害者自己是女实习生、电脑小白、年龄小女性,因为弱势的一方更容易获取信任获取同情。对应的昵称要转换一下,以及说话的语气要发生转变。
这里目标需要进行截图拍照,找个理由拒绝了。
你要着急的说;老板找我很多回~~,同时金融机构比较严格,相信她可以理解的。
爱她就和她一起做事;
从第一次聊天时候的老师,现在转换成了姐姐,关系更进一步。用一些爱你、飞吻、这类的表情包或者文字。同时她也在帮我一起想想办法,于此同时请求IT帮忙一起帮我们俩解决问题。
最后上线了,结束后的一段时间她还在帮助我解决这个问题。我只能说工作的态度真的很棒!
结束
不得不说还是客户经理还是挺认真负责的,最后还在来帮助我解决问题,为被她的敬业精神给感染了。
演练时间也不多,最后也没有写报告,我也困了,继续睡觉了。演练结束以后也和她做了相关交流,提了建议,我们最终目的还是为了让大家提高安全意识。
最后
我们不难发现这个案例,首先要了解目标单位相关的业务信息知道他们主要营收的业务,手里有足够的筹码物质上的或心理上的潜在的需求,知道她想要什么就很容易利用。建立好关系是施加影响的一个必要条件,她会很愿意帮助你完成一些事情。
本次用到了我们之前提到过的欺骗、诱惑、咨询、获取信任、心理暗示、同情心、好奇心、制造紧迫感、思维定势等,还有很多细节没写出来的,你发现可以给我留言。
最后想说的话
相关的案例有很多,其实我是很不愿意把这分享出来的,因为有时候朋友看到我分享的东西都不敢点??或者会带有一些有色眼睛看待我做这个事情。毕竟工作是工作,生活是生活。希望大家都能以开放的角度来看待这个问题。
其实有时候我提交过后心里还是有很多负担的还是会担心中招那个人会不会失业,被罚款啥的,其实这东西防不胜防,也不能完全怪个人,犯错是很正常的事情,只要是不是屡教不改。
为什么发出来呢?主要还是为了让大家了解社工攻击方式在一些场景下注意防社工、防钓鱼、防一些情绪陷阱,避免受害。
若有收获,就点个赞吧
0 人点赞
