读社会工程:防范钓鱼欺诈(卷3)02杏仁核

读社会工程:防范钓鱼欺诈(卷3)02杏仁核

1. 当局者迷

1.1. 每个人在生活中都做出过错误的决定

1.2. 心脏滴血漏洞(Heartbleed)可能是2014年最大的安全事件之一,几乎影响了互联网上的每个人

1.3. 决策的质量并不总和我们是否对其满意有关

1.4. 决策是很多因素的总和,包括我们的认知和情绪

1.5. 我们每天都在不具备决策所需的全部相关信息的情况下做出大大小小的决策

1.6. 我们频繁且不假思索地做出大大小小的决策

1.7. 如果他们能够激起我们强烈的情绪反应,那么他们将有机会使我们的逻辑思考短路

1.8. 社会工程学的核心是有意识地引导另一个人做决定

2. 杏仁核

2.1. 杏仁核是一团细小的灰色物质,位于下丘脑的下方、海马体的左方

  • 2.1.1. 处理所有形式的刺激(视觉、听觉、嗅觉、触觉、味觉)​,并把这些过程发给大脑的其他部分进行处理

2.2. 杏仁核劫持(amygdala hijacking)​

  • 2.2.1. 当杏仁核开始对刺激进行处理时,大脑会紧随其后

  • 2.2.2. 如果大脑在变得活跃时能够平衡情感与理智,那么一切都会顺利进行

  • 2.2.3. 如果杏仁核处理的是一些强烈的感觉和情绪,那么它必须从其他地方获取“力量”​,即大脑中负责理性思考的部分

  • 2.2.4. 杏仁核关闭了理性思维中心

  • 2.2.5. 当杏仁核被劫持时,你停止了理性思考,开始仅凭情绪来做出决定,而这通常是一种最糟糕的决策方式

2.3. 控制杏仁核

  • 2.3.1. 杏仁核可以被控制,但需要一点时间

  • 2.3.2. 杏仁核并不能永远劫持大脑,这种劫持是快速的,会被强烈的情绪刺激所延长

  • 2.3.3. 如果你停下来,休息一会儿再做决定,那么你会感觉到重新获得了控制权

2.4. 钓鱼攻击者并不知道他们正试图劫持你的杏仁核,但是他们的确知道:如果能够激起你的情绪波动,那么他们就能让你采取一些“不符合你的根本利益的行动”​,这就是社会工程学的关键所在

3. 基础决策模型

3.1. 确保正确地理解问题

3.2. 尽可能完整地收集信息

3.3. 考虑切实可行的选项

3.4. 做出决策

3.5. 评估效果

3.6. 如果你养成了对于重大决策的思考习惯,那么整个过程就会根深蒂固,变成一种习惯,而非一个每次都要考虑的大问题

4. 影响与操控

4.1. 操控和影响类似,但是它主要用于不怀好意的情况,几乎总是符合操纵者的最佳利益

4.2. 影响(influence)和操控(manipulation)​

  • 4.2.1. 影响显然是积极的

  • 4.2.2. 操控则是消极的

4.3. 要知道影响和操控之间的界线并不是一个点,而是很大一片灰色区域,并且通常因个人解读的不同而有所差异

4.4. 请求帮助可以是一种强有力的影响形式或者一种高明的操控

4.5. 与应对人员流动和重新培训相比,在已有员工身上进行投资是一种更好的金融决策

  • 4.5.1. 如果员工认为自己是由于恐惧、愤怒或惭愧而被迫采取了某项行动,那么对于公司来说情况可能会更糟或者更难应对

4.6. 操控更有效也更容易

  • 4.6.1. 坏人想要获胜,他们不在乎受害者,也不关心教育效果

  • 4.6.2. 在经历操控后,人们不大可能再次听从你的请求

4.7. 公司安全目标可以在不诉诸恐吓或者激怒员工的基础上完成

  • 4.7.1. 一位专业的信息安全工程人员所提供的体验可以在富有挑战性的同时不造成伤害

5. 融洽的关系

5.1. rapport

5.2. 是指和另一个人建立关系,其中包括相互喜欢以及相处感到舒适等要素

5.3. 建立融洽的关系是成功的社会工程人员为了提高效率而必须快速培养的技能

5.4. 融洽的关系是施加影响的一个必要条件

5.5. 当你建立了融洽的关系后,人们会答应你的请求,因为他们喜欢你,可以感觉到你们之间的联系,并且想要帮助你

5.6. 操控者与目标之间的联系越少越好

  • 5.6.1. 对大多数人而言,对一个与他们有私交的人运用操控手段是很困难的

5.7. 如果你通过一些方法来激起恐惧、愤怒、惭愧或无助的感受来使人们服从,那么随之而来的抵抗的洪流极有可能让你错失教育机会

  • 5.7.1. 人们会记得你给他们带来的感受而不是经验教训

6. 欺骗

6.1. 总是能抓住人们注意力的是欺骗

6.2. 问题的性质并不取决于你是否把欺骗用于社会工程协议的一部分

6.3. 我们是社会动物,在群体中生活就意味着要知道自己该说什么(或者不该说什么)​

  • 6.3.1. 人类和其他物种似乎有着天生的欺骗的倾向

6.4. 真相会伤人

6.5. 欺骗是一种社交行为的适应性形式,没有必要总是把它想得那么负面

7. 惩罚

7.1. 在行为心理学中,惩罚被定义为会降低某个行为再次发生的概率的某种后果

7.2. 在社会工程学中,惩罚是一种成年人间的相互作用,其目的是通过负面的结果来迫使目标采取你所期望的行为

7.3. 惩罚的有趣之处在于它是一种针对某人的直接行为,但是其效果常常是控制并决定另一个人的行为

7.4. 通过惩罚来实施的操控可以像催化剂一样激发人们的行动,或者通过引发其他强烈的情绪来迫使人们采取行动

8. 影响的原则

8.1. 互惠

  • 8.1.1. 互惠是一种普遍的信念,人们应该根据其所作所为得到相应的回报

  • 8.1.2. "善有善报”和“以眼还眼”这样的古老格言都描述了互惠的方式

  • 8.1.3. 尽管互惠原则是建立在礼物的基础上,但是礼物不一定是实物

  • 8.1.3.1. 可以是一个微笑,是同情地聆听倾诉,甚至是在前面为别人开一下门

  • 8.1.3.2. 只要对接受者来说足够宝贵,就可以产生足以对其施加影响的力量

8.2. 义务

  • 8.2.1. 互惠是建立在礼物的基础上,义务则通过传统、礼仪、个人感受和社会角色来施加影响

8.3. 妥协

  • 8.3.1. 妥协是一个人让步的时候

  • 8.3.1.1. 通常表明主动权已经移交到另一个人手中了

  • 8.3.2. 妥协会把目标置于困境之中

  • 8.3.2.1. 人性如此,有过一次让步后,还可能有更多的让步

>  8.3.2.1.1. 登门槛法或得寸进尺法

  • 8.3.3. 专业社会工程人员有时候会通过成为让步的那个人来引导这一相互影响的过程

  • 8.3.3.1. 通过这种行为,社会工程人员暗示权利被让步给了目标,尽管妥协可能很微小或者无意义

8.4. 稀缺

  • 8.4.1. 当资源有限或者缩减时,会变得更有价值

8.5. 权威

  • 8.5.1. 权威是指拥有决策的权利

  • 8.5.2. 可能来源于法律或者其他合法来源,也可能基于个人魅力或者信誉而建立

  • 8.5.3. 权威极有可能被滥用,也很容易被用来操控他人

  • 8.5.4. 穿着和谈吐,写作风格和身体语言,以及邮件里的签名都会传达这一信息:你知道你在说什么,并且你发出的指令应该被遵循

  • 8.5.5. 有意识地注意你正在展示什么,做你力所能及的事,并注意选择让别人相信你的理由

8.6. 一致性与承诺

  • 8.6.1. 一致性与承诺涉及这样一个概念:当人们已经做出某种行为后,他的后续行为会更倾向于与前面的行为保持一致

  • 8.6.2. 在人们答应一个请求后,他们很可能继续再答应一个

  • 8.6.3. 经验丰富的社会工程人员能够在不显得古怪或者冒犯的同时逐渐提高要求,并克制自己对于持续索取行为的个人反感

8.7. 喜爱

  • 8.7.1. 我们倾向于喜欢那些喜欢我们的人

  • 8.7.2. 广告商一直在使用这一原则:雇用我们喜欢(并且想要去模仿)的演员或者和我们能产生联系的演员

  • 8.7.3. 专业社会工程人员通过发展某些品质来建立融洽关系,如积极聆听,以及与语言相一致的非语言行为

  • 8.7.4. 另一个增加好感的简单的办法是,识别出你和目标之间确实存在的相似之处

  • 8.7.4.1. 当你和某人有共同点时,他就很难向你说不

8.8. 社会认同

  • 8.8.1. 社会认同是我们的自然倾向,即通过观察他人来指导自己的行为

  • 8.8.2. 社会工程人员通常制造这种社会认同的假象来鼓励某些行为

  • 8.8.3. 其他人完成的调查和请愿使得你更愿意提供个人信息

  • 8.8.4. 人们聚集在一起讨论,使得路过的人几乎不可能不停下来望一眼或听一会儿

9. 与影响相关

9.1. 都利用了人类的天性,但是也有其他因素在起作用

9.2. 社会性与影响

  • 9.2.1. 现代科学的发展使得无论强壮还是瘦弱的人都可以存活

  • 9.2.2. 在现代科学出现之前,人们依赖他人的庇护和安慰来抵御外界的威胁

  • 9.2.2.1. 除了少数著名的例外,那些决定远离人群独自生存的人都……死了,和他的基因一起消失

  • 9.2.2.2. 古代最严厉的惩罚就是流放

  • 9.2.3. 不要责备那些躲避同辈压力的孩子们,或者说那些盲目从众的人愚蠢,你要明白他们只是在跟随自己的生存本能

  • 9.2.4. 即使“独狼”也会在某种程度上感到社会压力,依环境和附近的人而定

  • 9.2.5. 社会工程人员通常会构造一种场景来造成某种紧张、担忧的情绪,或者促使人们采取行动

  • 9.2.6. 刻意营造一个场景,却能让人感觉两个人(或更多人)之间在真诚地交流

9.3. 生理反应

  • 9.3.1. 如果人体感受到威胁,那么杏仁核就会开始进行一系列活动来保护人体

  • 9.3.2. 神经系统会自动向体内传输应激激素,这会导致你心跳加快、血压升高、瞳孔扩大、血液流向主要的肌肉群

  • 9.3.3. 如果社会工程人员能够影响和控制目标所受的压力大小,那么他们就可以进而影响目标决策的质量

9.4. 心理反应

  • 9.4.1. 有一种肯定可以让人生气的办法,那就是展示与你的话语不相符的面部表情和肢体语言

  • 9.4.2. 通过有意识地控制非语言信号来控制人们的反应

  • 9.4.3. 无论何种文化中,愤怒的脸都传达出一种强有力的感觉

  • 9.4.4. 大多数时候社会工程人员都是在寻求帮助

  • 9.4.5. 人们所处的状况显然可以被用来施加影响

  • 9.4.5.1. 理解特定行为的效果可以使社会工程人员控制自己的行为,从而创造条件让目标说“好的”​

10. 操控

10.1. 增加易感性

  • 10.1.1. 恶意社会工程人员会用一切手段增加人们对于建议和错误决策的易感性

10.2. 环境控制

  • 10.2.1. 恶意攻击者进入受害者的生活圈子后通常都会这么做

10.3. 强制重新评价

  • 10.3.1. 攻击者会让目标对自己所知道的和学到的东西产生怀疑

10.4. 权力剥夺

  • 10.4.1. 通常和权力滥用相伴随,攻击者会让目标觉得除了服从以外没有其他选择

10.5. 惩罚

10.6. 恐吓

  • 10.6.1. 惩罚是利用负面结果,恐吓则是利用惩罚来威胁
posted @ 2025-11-26 06:50  躺柒  阅读(0)  评论(0)    收藏  举报