博客 / 詳情

返回

讀社會工程:防範釣魚欺詐(卷3)02杏仁核

讀社會工程:防範釣魚欺詐(卷3)02杏仁核

1. 當局者迷

1.1. 每個人在生活中都做出過錯誤的決定

1.2. 心臟滴血漏洞(Heartbleed)可能是2014年最大的安全事件之一,幾乎影響了互聯網上的每個人

1.3. 決策的質量並不總和我們是否對其滿意有關

1.4. 決策是很多因素的總和,包括我們的認知和情緒

1.5. 我們每天都在不具備決策所需的全部相關信息的情況下做出大大小小的決策

1.6. 我們頻繁且不假思索地做出大大小小的決策

1.7. 如果他們能夠激起我們強烈的情緒反應,那麼他們將有機會使我們的邏輯思考短路

1.8. 社會工程學的核心是有意識地引導另一個人做決定

2. 杏仁核

2.1. 杏仁核是一團細小的灰色物質,位於下丘腦的下方、海馬體的左方

  • 2.1.1. 處理所有形式的刺激(視覺、聽覺、嗅覺、觸覺、味覺)​,並把這些過程發給大腦的其他部分進行處理

2.2. 杏仁核劫持(amygdala hijacking)​

  • 2.2.1. 當杏仁核開始對刺激進行處理時,大腦會緊隨其後

  • 2.2.2. 如果大腦在變得活躍時能夠平衡情感與理智,那麼一切都會順利進行

  • 2.2.3. 如果杏仁核處理的是一些強烈的感覺和情緒,那麼它必須從其他地方獲取“力量”​,即大腦中負責理性思考的部分

  • 2.2.4. 杏仁核關閉了理性思維中心

  • 2.2.5. 當杏仁核被劫持時,你停止了理性思考,開始僅憑情緒來做出決定,而這通常是一種最糟糕的決策方式

2.3. 控制杏仁核

  • 2.3.1. 杏仁核可以被控制,但需要一點時間

  • 2.3.2. 杏仁核並不能永遠劫持大腦,這種劫持是快速的,會被強烈的情緒刺激所延長

  • 2.3.3. 如果你停下來,休息一會兒再做決定,那麼你會感覺到重新獲得了控制權

2.4. 釣魚攻擊者並不知道他們正試圖劫持你的杏仁核,但是他們的確知道:如果能夠激起你的情緒波動,那麼他們就能讓你採取一些“不符合你的根本利益的行動”​,這就是社會工程學的關鍵所在

3. 基礎決策模型

3.1. 確保正確地理解問題

3.2. 儘可能完整地收集信息

3.3. 考慮切實可行的選項

3.4. 做出決策

3.5. 評估效果

3.6. 如果你養成了對於重大決策的思考習慣,那麼整個過程就會根深蒂固,變成一種習慣,而非一個每次都要考慮的大問題

4. 影響與操控

4.1. 操控和影響類似,但是它主要用於不懷好意的情況,幾乎總是符合操縱者的最佳利益

4.2. 影響(influence)和操控(manipulation)​

  • 4.2.1. 影響顯然是積極的

  • 4.2.2. 操控則是消極的

4.3. 要知道影響和操控之間的界線並不是一個點,而是很大一片灰色區域,並且通常因個人解讀的不同而有所差異

4.4. 請求幫助可以是一種強有力的影響形式或者一種高明的操控

4.5. 與應對人員流動和重新培訓相比,在已有員工身上進行投資是一種更好的金融決策

  • 4.5.1. 如果員工認為自己是由於恐懼、憤怒或慚愧而被迫採取了某項行動,那麼對於公司來説情況可能會更糟或者更難應對

4.6. 操控更有效也更容易

  • 4.6.1. 壞人想要獲勝,他們不在乎受害者,也不關心教育效果

  • 4.6.2. 在經歷操控後,人們不大可能再次聽從你的請求

4.7. 公司安全目標可以在不訴諸恐嚇或者激怒員工的基礎上完成

  • 4.7.1. 一位專業的信息安全工程人員所提供的體驗可以在富有挑戰性的同時不造成傷害

5. 融洽的關係

5.1. rapport

5.2. 是指和另一個人建立關係,其中包括相互喜歡以及相處感到舒適等要素

5.3. 建立融洽的關係是成功的社會工程人員為了提高效率而必須快速培養的技能

5.4. 融洽的關係是施加影響的一個必要條件

5.5. 當你建立了融洽的關係後,人們會答應你的請求,因為他們喜歡你,可以感覺到你們之間的聯繫,並且想要幫助你

5.6. 操控者與目標之間的聯繫越少越好

  • 5.6.1. 對大多數人而言,對一個與他們有私交的人運用操控手段是很困難的

5.7. 如果你通過一些方法來激起恐懼、憤怒、慚愧或無助的感受來使人們服從,那麼隨之而來的抵抗的洪流極有可能讓你錯失教育機會

  • 5.7.1. 人們會記得你給他們帶來的感受而不是經驗教訓

6. 欺騙

6.1. 總是能抓住人們注意力的是欺騙

6.2. 問題的性質並不取決於你是否把欺騙用於社會工程協議的一部分

6.3. 我們是社會動物,在羣體中生活就意味着要知道自己該説什麼(或者不該説什麼)​

  • 6.3.1. 人類和其他物種似乎有着天生的欺騙的傾向

6.4. 真相會傷人

6.5. 欺騙是一種社交行為的適應性形式,沒有必要總是把它想得那麼負面

7. 懲罰

7.1. 在行為心理學中,懲罰被定義為會降低某個行為再次發生的概率的某種後果

7.2. 在社會工程學中,懲罰是一種成年人間的相互作用,其目的是通過負面的結果來迫使目標採取你所期望的行為

7.3. 懲罰的有趣之處在於它是一種針對某人的直接行為,但是其效果常常是控制並決定另一個人的行為

7.4. 通過懲罰來實施的操控可以像催化劑一樣激發人們的行動,或者通過引發其他強烈的情緒來迫使人們採取行動

8. 影響的原則

8.1. 互惠

  • 8.1.1. 互惠是一種普遍的信念,人們應該根據其所作所為得到相應的回報

  • 8.1.2. "善有善報”和“以眼還眼”這樣的古老格言都描述了互惠的方式

  • 8.1.3. 儘管互惠原則是建立在禮物的基礎上,但是禮物不一定是實物

  • 8.1.3.1. 可以是一個微笑,是同情地聆聽傾訴,甚至是在前面為別人開一下門

  • 8.1.3.2. 只要對接受者來説足夠寶貴,就可以產生足以對其施加影響的力量

8.2. 義務

  • 8.2.1. 互惠是建立在禮物的基礎上,義務則通過傳統、禮儀、個人感受和社會角色來施加影響

8.3. 妥協

  • 8.3.1. 妥協是一個人讓步的時候

  • 8.3.1.1. 通常表明主動權已經移交到另一個人手中了

  • 8.3.2. 妥協會把目標置於困境之中

  • 8.3.2.1. 人性如此,有過一次讓步後,還可能有更多的讓步

>  8.3.2.1.1. 登門檻法或得寸進尺法

  • 8.3.3. 專業社會工程人員有時候會通過成為讓步的那個人來引導這一相互影響的過程

  • 8.3.3.1. 通過這種行為,社會工程人員暗示權利被讓步給了目標,儘管妥協可能很微小或者無意義

8.4. 稀缺

  • 8.4.1. 當資源有限或者縮減時,會變得更有價值

8.5. 權威

  • 8.5.1. 權威是指擁有決策的權利

  • 8.5.2. 可能來源於法律或者其他合法來源,也可能基於個人魅力或者信譽而建立

  • 8.5.3. 權威極有可能被濫用,也很容易被用來操控他人

  • 8.5.4. 穿着和談吐,寫作風格和身體語言,以及郵件裏的簽名都會傳達這一信息:你知道你在説什麼,並且你發出的指令應該被遵循

  • 8.5.5. 有意識地注意你正在展示什麼,做你力所能及的事,並注意選擇讓別人相信你的理由

8.6. 一致性與承諾

  • 8.6.1. 一致性與承諾涉及這樣一個概念:當人們已經做出某種行為後,他的後續行為會更傾向於與前面的行為保持一致

  • 8.6.2. 在人們答應一個請求後,他們很可能繼續再答應一個

  • 8.6.3. 經驗豐富的社會工程人員能夠在不顯得古怪或者冒犯的同時逐漸提高要求,並剋制自己對於持續索取行為的個人反感

8.7. 喜愛

  • 8.7.1. 我們傾向於喜歡那些喜歡我們的人

  • 8.7.2. 廣告商一直在使用這一原則:僱用我們喜歡(並且想要去模仿)的演員或者和我們能產生聯繫的演員

  • 8.7.3. 專業社會工程人員通過發展某些品質來建立融洽關係,如積極聆聽,以及與語言相一致的非語言行為

  • 8.7.4. 另一個增加好感的簡單的辦法是,識別出你和目標之間確實存在的相似之處

  • 8.7.4.1. 當你和某人有共同點時,他就很難向你説不

8.8. 社會認同

  • 8.8.1. 社會認同是我們的自然傾向,即通過觀察他人來指導自己的行為

  • 8.8.2. 社會工程人員通常製造這種社會認同的假象來鼓勵某些行為

  • 8.8.3. 其他人完成的調查和請願使得你更願意提供個人信息

  • 8.8.4. 人們聚集在一起討論,使得路過的人幾乎不可能不停下來望一眼或聽一會兒

9. 與影響相關

9.1. 都利用了人類的天性,但是也有其他因素在起作用

9.2. 社會性與影響

  • 9.2.1. 現代科學的發展使得無論強壯還是瘦弱的人都可以存活

  • 9.2.2. 在現代科學出現之前,人們依賴他人的庇護和安慰來抵禦外界的威脅

  • 9.2.2.1. 除了少數著名的例外,那些決定遠離人羣獨自生存的人都……死了,和他的基因一起消失

  • 9.2.2.2. 古代最嚴厲的懲罰就是流放

  • 9.2.3. 不要責備那些躲避同輩壓力的孩子們,或者説那些盲目從眾的人愚蠢,你要明白他們只是在跟隨自己的生存本能

  • 9.2.4. 即使“獨狼”也會在某種程度上感到社會壓力,依環境和附近的人而定

  • 9.2.5. 社會工程人員通常會構造一種場景來造成某種緊張、擔憂的情緒,或者促使人們採取行動

  • 9.2.6. 刻意營造一個場景,卻能讓人感覺兩個人(或更多人)之間在真誠地交流

9.3. 生理反應

  • 9.3.1. 如果人體感受到威脅,那麼杏仁核就會開始進行一系列活動來保護人體

  • 9.3.2. 神經系統會自動向體內傳輸應激激素,這會導致你心跳加快、血壓升高、瞳孔擴大、血液流向主要的肌肉羣

  • 9.3.3. 如果社會工程人員能夠影響和控制目標所受的壓力大小,那麼他們就可以進而影響目標決策的質量

9.4. 心理反應

  • 9.4.1. 有一種肯定可以讓人生氣的辦法,那就是展示與你的話語不相符的面部表情和肢體語言

  • 9.4.2. 通過有意識地控制非語言信號來控制人們的反應

  • 9.4.3. 無論何種文化中,憤怒的臉都傳達出一種強有力的感覺

  • 9.4.4. 大多數時候社會工程人員都是在尋求幫助

  • 9.4.5. 人們所處的狀況顯然可以被用來施加影響

  • 9.4.5.1. 理解特定行為的效果可以使社會工程人員控制自己的行為,從而創造條件讓目標説“好的”​

10. 操控

10.1. 增加易感性

  • 10.1.1. 惡意社會工程人員會用一切手段增加人們對於建議和錯誤決策的易感性

10.2. 環境控制

  • 10.2.1. 惡意攻擊者進入受害者的生活圈子後通常都會這麼做

10.3. 強制重新評價

  • 10.3.1. 攻擊者會讓目標對自己所知道的和學到的東西產生懷疑

10.4. 權力剝奪

  • 10.4.1. 通常和權力濫用相伴隨,攻擊者會讓目標覺得除了服從以外沒有其他選擇

10.5. 懲罰

10.6. 恐嚇

  • 10.6.1. 懲罰是利用負面結果,恐嚇則是利用懲罰來威脅
企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.