|
也许你很幸运,可以负担得起水电以及生活中的一切便利;还可能更幸运,买得起电脑,可以上网,在 Facebook 和 Twitter 跟一群人扯蛋;还有便捷的在线金融服务、电话公司、电力公司、宽带公司、以及各大公司提供的优越在线客户服务…… 各家公司争先恐后地想要标榜自己有多么地用户友好。全天候的热线电话、无微不至的关怀。你会感叹:世界真美好啊。 抱歉,忘了说了: 以上是追踪者的感叹。 这里是“完美隐私”的第二部分内容,本部分的主题就是:客户友好型公司不是你的好友,而是追踪者的好友。 联邦调查局第一任局长 Edgar Hoover 在历史上已经树立了一个坚固的反乌托邦标志 —— Hoover 先生因骚扰侵犯政治异议人士和活动家、搜集政治领袖的秘密档案、以及采取各种非法手段收集证据,而闻名于世界。 自从那个年代开始,侵犯个人隐私的罪魁祸首就是群众斗群众 —— 互联网时代将群众斗群众自动化了,并且笼络了跨地区、甚至跨国的群众,任何人都能卖了你。 所以,如果你想要隐身,首先要做到的就是:  1、对于任何一家想让你的生活变得更加便利的公司,都应该敬而远之。现如今每一家大公司基本都是如此,网站则更甚。 当一个中年人想要找到小学同学可以易如反掌的时候,隐身这件事可就不那么简单了。 当然,前提是你要把电子邮件、地址、电话号码、个人照片、家庭照片……统统上传到网站,供全世界的人观看。对这些东西感兴趣的人中99%都是社交工程师,如何足够幸运,剩下的1%是你希望联系的人。 在线电话薄、博客、互动式网站、病毒式营销广告……也都是如此。尤其应该关注的还包括:大型国有水电企业、电话公司、互联网公司,等等,专业的追踪者经常通过这些地方获取重要信息:随便找个借口就可以撬开那些接线员的嘴。 客户越是容易接入在线人工服务,追踪者就越容易对其造成真正的伤害。 如果任何一家公司了解你的真身,你都应该非常小心。 如果您觉得这个方法不适合您,同时您还希望隐身,那么就要避免使用任何上述这些服务,彻底远离互联网。 2、社交网络、搜索引擎、病毒式媒体,都是个人隐私的最大敌人。 在上篇文章中我们提到过:追踪是一种非常古老的行当;如今想要在互联网上找到一个人的信息,你完全不必成为一个黑客(你甚至可以一点技术都不懂),照样能搞定。IYP 的开源情报栏目中很多实现靠的都是思考方式,而不是技术。 当然,有技术会更好,至少您会使用其他人开发的技术,可以帮助追踪工作提速。自动化是个好东西。 一旦嗅到你的气息,追踪者要做的第一件事就是想方设法打入你的社交关系网。 你经常去的公司是哪里、经常出入的场所都包括什么、经常和谁混在一起……这些都是非常重要的目标。 接下来社交工程师就会开始行动了,打电话、发邮件、搭讪,直到有人上当,吐露了最重要的信息 —— 而社交媒体网站将所有这一切都变成了一站式服务。 只要你有 Facebook,即便进行了高度严格的隐私设置,你的个人主页依旧是一座金矿。 除非你的隐私设置为最高级别,否则任何陌生人都会能看到你的好友清单,哪怕他们还没有添加你“好友”。 你可能会说,“陌生人只会看到部分好友啊”,没错,但是,只需要点击刷新,就可以积少成多。因为每次刷新后好友信息都会有所不同。这是最傻瓜的做法,但很有效。 Facebook 是间谍的金矿,但绝对不是唯一一个金矿;所有社交网络、媒体、博客、购物网站、支付平台……都是。 所有社交网站都喜欢爆料,不论你选择了什么样的东西挂在网上。优秀的追踪者都可以用来对付你。 他可以冒充一个想和你取得联系的“老熟人”,添加你的朋友和家人为“好友”。 任何遭遇过国家情报部门间谍活动的人(不论是在中国还是美国还是欧洲)都应该很熟悉这种手段,这是间谍们的套路之一。 3、你永远不会知道互联网上的所谓“好友”都是些什么东西。 避免的方法很简单:如果你打算同意添加某人为好友,哪怕这个人是你非常熟悉的老朋友,也要记得,给对方打个电话或者写上三言两语,以对他们表示感谢 —— 目的是借此确认对方是不是真的。 一个人多年杳无音信,忽然之间跑到网上要加你“好友”?这种需要格外小心。 一位社交工程师讲过一个故事。那还是社交媒体火爆之前的事。 某次社交工程师接到一个生意,需要寻找一个人A,A是一名卡车司机,据称其谎报受伤,申请残疾保险。 社交工程师对A进行了广泛的监控,但是一无所获,没有发现关于他的任何欺诈行为。 A看起来是个失业人士,而且非常隐蔽,住在一个破烂不堪的拖车公园里。谷歌搜索他的名字以及多个变体,还加上出生年月,最终才在一个校友网上看到了一则寻人启事,其中A说要想要寻找失散多年的中学女友。 然后社交工程师的机会就来了。 他们使用寻人启事的联系方式与A取得了联系,声称自己就是那位失散的女友,还诉说自己婚姻的不幸,很高兴A还记得她……等等。 很快就收到了回信。A写了好几页,满满都是爱意。 一系列邮件往来后,A产生了一些怀疑,他要求打电话聊一下。社交工程师婉拒了,称“她”丈夫有家暴倾向。A做出了让步。 A穷困潦倒,住的地方连电脑都没有,每一次接收假的“她”发来的邮件,还需要跑到图书馆去借用电脑。有一次A在回复邮件时提到,为了等待“她”的邮件,他在图书馆里整整坐了4个小时。 在邮件中,A对自己的生活不太隐瞒,但是只字不提在哪里工作,并且他一直坚称自己身患残疾。 欺骗总会被发现的,A的怀疑似乎加深了,他要求见面聊。社交工程师顺便问:“哪里见面”,A便给出了路线和日程安排。 这就是社交工程师用来换钱的东西了 —— 那位寻人的客户在该日期到来时,题着一部相机坐上了A指出的那辆巴士。 最终,A因谎称残疾骗保,犯有欺诈罪,要在监狱里待一段时间了。 很多人都和A一样,使用社交网络只是出于某种兴趣爱好,不论是公仔、猫咪、国标、汽车、名酒、还是任何话题;如果你也有某种兴趣爱好,那么你应该进入真实的世界,在社区俱乐部里或旅行中满足自己,而不是跑到社交网络上。 否则,你的任何爱好都会最终成为你的枷锁。 3、与其在网上,不如在现实生活中实行个人兴趣爱好。 这条原理很奇怪吗?一点也不。有人曾经就因追星,而被社交工程师擒获。 那位中招的女士迷麦当娜。 她是一家公司的雇员;摔了一脚,于是提出残疾保险申请,并且起诉其雇主玩忽职守。其雇主认为此人并非摔伤,于是聘请了私人侦探对其实施监控。 她非常谨慎,从来没有在院子里活动过,也没有找新工作,可以说没有做任何一种能让她暴露其现状的事。普通监视方法失败。 没关系,社交工程师开始在网上挖掘关于她的东西。很快就在一个麦当娜粉丝签名簿里找到了她的名字。由此还找到了“我的空间”网中她的网页。 于是社交工程师给她写了一封信,说她赢得了一项大奖,有机会让她和其他获奖者一起竞争参与麦当娜录像的机会。 社交工程师给她发了一个网址还有一个电话号码;两者都含有比赛信息。网站是在一家海外私人企业注册的,通过预付费卡支付的费用,电话号码则是一个预付手机号。于是她无法追溯到来源(哪怕她知道该怎么做)。 这位目标人很快就中计了。社交工程师告诉她比赛规则,包括试镜。 在试镜的那天她果然来了,填写了一张表格;社交工程师要求她提重物、做了几次开合跳、仰卧起坐,还有一些舞蹈动作 —— 所有这一切都被录像了。 她的工伤赔偿金彻底吹了。 兴趣爱好是定位目标人的最可靠途径。一旦你的小爱好被社交工程师了解到,他们就会想方设法寻找那些能帮你维系这些兴趣爱好的地方和人。 如果你不想中这种伎俩,那就要注意:千万不要把真实的自己都放在网上。互联网的可怕肯定比你想象中更大。 4、点击“发布”之前请三思。哪怕日后你删除了账户,凡事只要上了互联网,就基本很难撤销了。你需要特别谨慎。 一个网页就可能带来极其严重的危险,并且没有人知道网页究竟会存在多长时间(您可以通过这里提供的工具做出初步体验《如果你擅长搜索,你能找到一切》)。 别埋怨他们,他们很可能并没有意识到自己这样做是有害的;你自己也很可能尚未意识到互联网上还存在关于你的真实信息 —— 那些给社交工程师的攻击行动提供的弹药。 请记住:追踪者都是专家级的社交工程师,他们只需要使用传统的方法(非高端技术)即可做到掌握你的致命信息。 于是: 5、公司客服越善良、越容易交流,就越容易上当受骗。 一个人越是健谈、容易和陌生人闲扯,就越容易被糊弄。关键在于如何拉近与人之间的关系 —— 这就是社交工程的重点能力。您可以参考以下内容: 当然这不是全部,“全部”非常复杂,尤其包括很多随机应变的灵活性,这需要来自于经验。 *** 以上这些是最基本的部分, 但如果您能全部搞定,就可以绕避大多数追踪者。 IYP 提供的“OSINT”内容基本都可以反用于防御,尤其是提高安全意识 —— 您能从中看清追踪者的思考方式,就能得到反追踪的最佳措施。 这就是为什么OSINT会存在于“How To Win”栏目中。 OSINT是社交工程师的生命线,使用OSINT的熟练程度是成功的关键;反过来,如果你不想遭遇社交工程攻击,你就非常有必要熟悉OSINT的操作方法,这样你才有可能从根本层面上做到抵御。 社交工程训练很复杂,也可能很有趣;其中包括对战测谎仪。(有专门的培训课程) 你能欺骗测谎仪吗?如果你能做到,将可以成为一位令人敬畏的 SE schwag。 反过来,如果你是防御者,你不要期待通过教科书上告诉你的识别谎言方法去揭穿社交工程师,因为那些方法距离测谎仪的水平还差十万八千里呢;您需要做的是以牙还牙、以骗制骗,以同样的方法反击回去。 斗智是令人愉快的。尤其是当你赢了的时候。 —— 未完待续 ——
| 
发表于 2020-3-19 16:15
