社会工程 防范钓鱼欺诈（卷3）pdf

社会工程 防范钓鱼欺诈（卷3） 内容简介

本书从专业社会工程人员的视角，详细介绍了钓鱼欺诈中所使用的心理学原则和技术工具，帮助读者辨识和防范各种类型和难度级别的钓鱼欺诈。本书包含大量真实案例，全面展示了恶意钓鱼攻击者的各种手段。本书还针对企业如何防范钓鱼攻击并组织开展相关培训提供了切实可行的意见。本书提供了企业和个人面对现实中的社会工程问题和风险的无可替代的解决方案。

社会工程 防范钓鱼欺诈（卷3） 目录

引言

第1章 真实世界的钓鱼攻击

1.1 网络钓鱼基础

1.2 人们是如何进行网络钓鱼的

1.3 示例

1.4 总结

第2章 决策背后的心理学原则

2.1 决策：观滴水可知沧海

2.2 当局者迷

2.3 钓鱼攻击者是怎样让鱼咬钩的

2.4 杏仁核简介

2.5 清洗、漂洗、重复

2.6 总结

第3章 影响与操控

3.1 为什么这种区别很重要

3.2 如何找出区别

3.3 操控：来者不善

3.4 谎言，全都是谎言

3.5 惩罚与操控

3.6 影响的原则

3.7 与影响相关的更多乐趣

3.8 关于操控需要知道的事

3.9 总结

第4章 保护课程

4.1 第一课：批判性思维

4.2 第二课：学会悬停

4.3 第三课：URL解析

4.4 第四课：分析邮件头

4.5 第五课：沙盒

4.6 “绵羊墙”或者坏主意陷阱

4.7 总结

第5章 规划钓鱼攻击旅程：开展企业钓鱼攻击项目

5.1 基本方法

5.2 开展培训

5.3 总结

第6章 积极的、消极的和丑陋的：公司政策及其他

6.1 跟着感觉走：情绪和政策

6.2 老板是例外

6.3 我只会修补其中一个漏洞

6.4 太多训练使人厌倦

6.5 如果发现钓鱼攻击，请打这个电话

6.6 坏人在周一休假

6.7 眼不见心不烦

6.8 给所有人的经验

6.9 总结

第7章 专业钓鱼攻击者的工具包

7.1 商业应用

7.2 开源应用

7.3 对比表格

7.4 谁来管理培训

7.5 总结

第8章 像老板一样进行钓鱼攻击

8.1 深入钓鱼攻击

8.2 总结

社会工程 防范钓鱼欺诈（卷3） 精彩文摘

因为我们要在一起一段时间，所以我觉得我应该一开始就开诚布公。虽然我认为自己是一个相当聪明的人，但我还是犯过很多愚蠢的错误，其中很多始于我大喊一声“嘿，看这个”或者心想“我想知道如果＜这里插入一些危险/愚蠢的情况＞会怎么样”。不过大多数时候，我的错误并非源于大呼小叫或思考某事的可能性，而是由于未经思考。未经思考通常导致一个结果——冲动。我过去遇到过骗子和罪犯，很清楚利用人们的冲动是他们成功的关键因素之一。各种形式的网络钓鱼已经成为一种备受关注的攻击手段，因为这是让人们不假思索行事的简单方法。

说明 在正式开始学习之前还有一件事值得一提。你可能注意到，当指代坏人的时候，我用的是“他”。我并不是性别歧视，也不是说所有的骗子都是男性。使用“他”比起为了避免冒犯任何人而使用“他们”或者“他或她”更加简洁，也避免了增加情况的复杂性。因此，当我说“他”做坏事的时候，实际上这个坏人可能是指任何人。

让我们从一些基本问题开始：什么是网络钓鱼？我们把它定义为：以对收件人施加影响或获得个人信息为目的，发送看似来自权威来源的电子邮件。简单地说，网络钓鱼就是坏人发送一些鬼鬼祟祟的电子邮件。网络钓鱼结合了社会工程学和诈骗技巧。它可能是一个电子邮件附件，会加载恶意软件到你的计算机，也可能是到非法网站的一个链接，这些网站会诱骗用户下载恶意软件或泄露个人信息。此外，鱼叉式网络钓鱼是一种非常有针对性的攻击方式。攻击者花时间对目标进行研究，然后创建与目标个人信息相关的或者私人化的电子邮件。正因为如此，鱼叉式网络钓鱼非常难以检测，也更加难以防御。

在这个星球上，任何一个拥有电子邮箱的人可能都收到过网络钓鱼邮件。根据报告里的数据来看，许多人都点击过邮件里的链接。不过要明白，点击链接这个行为并不能说明你笨，这只是一个由于你没有考虑周全而犯下的错误，或者是由于你没有足够的信息而做出的一个错误决定。（我有一次开车从密西西比州的比洛克西市出发，一口气开到了亚利桑那州的图森市，这才是真的笨。）

可以说网络钓鱼攻击的目标和攻击者都有常见的类型。网络钓鱼者的动机往往相当典型：钱或信息（通常也和钱有关）。如果你曾收到电子邮件，敦促你协助被废黜的王子转移他继承的遗产，那么说明你也是骗局中的一部分。富有的人毕竟是少数，但是当一群普通人捐赠小额的“转账费”以协助王子进行周转时（往往是钓鱼邮件中提出的要求），网络钓鱼者就大发其财了。或许你曾收到过来自银行的电子邮件，让你提供个人信息。如果你的身份被盗，那么可能会导致严重的后果。

其他可能的目标包括任何一家公司的普通职员。虽然职员单独掌握的信息可能有限，但把登录信息误交给黑客，会让黑客得以进入公司网络。如果黑客认为收获足够大，那么攻击可能到此结束；否则这也可能是另一起更大攻击的开始。

除了普通人以外，还有一些高价值目标，包括大公司或者政府的高层人员。在组织中的地位越高，越有可能成为鱼叉式网络钓鱼攻击的目标，因为攻击者所花费的时间和精力将会得到不菲的回报。这时整个经济体而非个人的损失会非常严重。

如果攻击者并非普通犯罪，动机也不是迅速赚钱，那么攻击的理由和攻击者本身就会变得非常可怕。有些人出于政治目的或者个人信仰而让大型组织难堪。举个例子，最近很多案例中都提及了叙利亚电子战部队（Syrian Electronic Army，SEA），他们的钓鱼攻击给一些媒体造成了损失，包括美联社（AP）、美国有线电视新闻网（CNN）和福布斯（Forbes）等。显然，钓鱼攻击也造成了经济损失。举个例子，对美联社的Twitter账号进行攻击，导致美联社的道琼斯指数下跌了143个点（见图1-1）。这可是不小的损失。媒体本身的公信力和声誉也受到了影响。我们可以为哪个后果更严重而争论一整天。不过从积极的方面来说，它确实也让我们反思：社交媒体真的是用来获取可信的爆炸性新闻的最佳途径吗？

图 1-1 美联社被黑客攻击后所发的消息

往更深处说，让我们从公司或者国家层面谈谈网络间谍活动。这里我们讨论的是商业秘密、全球经济和国家安全。在这一点上，即使是最无知的公民都清楚后果。

我想说，网络钓鱼其实与每个人都息息相关，而不仅仅是与安全人员相关。你可能不会每天都思考网络间谍的问题，但是你肯定关心自己的银行账户和信用卡积分。我的母亲仍然没有搞清楚如何在她的电话上查看语音邮箱（真事），但她的确知道不应该打开来自陌生人的电子邮件。你的母亲也应该遵循这条规则。

你现在知道什么是网络钓鱼、是谁发动的钓鱼攻击以及他们为什么要发动钓鱼攻击了。接下来看看他们是怎样进行网络钓鱼攻击的吧。

如果发件人一栏中写的是“把你的钱给我”这样的信息，那么辨别一封可疑的电子邮件就会变得很容易。骗子使用的最简单的诈骗手段之一就是邮件诈骗，指将发件人一栏信息伪造为你认识的人或者其他合理来源（比如电信公司）。在第4章中，我和克里斯概括了一些简单的步骤来帮助你识别发件人是否合法。同时这也能让你意识到，邮件来自你认识的人并不代表邮件就是安全的。

骗子为他们的故事增加可信度的另一种方法是网站克隆。具体说来，骗子对合法网站进行克隆以欺骗你输入个人可识别信息（personally identifiable information，PII）或登录凭据。这些虚假网站也可以用来直接攻击你的电脑。克里斯亲身经历的一个例子就是假的亚马逊网站。从很多方面来讲，这都是一个很好的例子。首先，这是一个很常见的骗局，因为我们中的很多人都在亚马逊网站上买过东西。我们多次看过该公司的网站和电子邮件，以至于可能不会认真地看它的邮件。其次，它伪造得很好，甚至那些对这类骗局很有经验的人也可能上当受骗。

克里斯对客户进行钓鱼攻击已经好些年了（当然是经过客户许可）。他发送了数十万封钓鱼邮件，了解这些邮件的写作方式以及为什么有效。但是在去年，他收到了一封电子邮件，里面说他的亚马逊账户要被冻结了。这封电子邮件碰巧赶上了我们准备DEF CON年度竞赛的时间。克里斯一直都很忙碌，但在DEF CON召开前的那个月里，身处办公室的他基本上就是在但丁笔下的九层地狱里打转。我不知道当他收到那封伪造的亚马逊网站邮件时想了什么或说了什么，但是你大概可以想到这个故事是怎么发展的。图1-2展示了他收到的那封电子邮件。