本文分成以下幾個部分:

1. 對社工程的概述，包括其術語、歷史以及當今的應用。
2. 深入研究攻擊向量(Attack vectors)，了解各種攻擊向量的影響，以及這些攻擊是如何在外部網路釣魚、魚叉式網路釣魚(spear phishing)、實體藉口和誘餌攻擊等方面實施。
3. 深入研究社交工程的殺傷鏈(Kill Chain)，並學習如何以更規範的方式產生一致性結果。
4. 重點介紹技術領域和物理空間中資訊的收集，如果從目標人物/群體來取得重要的資訊
5. 探討心理學和心理操控，學習如何運用心理學來辨識目標的情緒，以及如何利用他們的肢體語言來判斷這些情緒，以及如何捕捉這些暗示。
6. 將專注於非語言溝通。細部表情決定了我們的目標受眾的真實感受，以及我們如何使用欺騙性的舉止，以及如何偽造肢體語言所傳達的訊息。

我們會從的社交工程框架、原則、階段、社交工程殺傷鏈方法，從收集範圍來決定交戰規則，到實際制定作戰計畫。

通常，技術人員只關注技術層面，所以他們只專注於社交工程相關的技術，而不是魚叉式網路釣魚攻擊。潛在的攻擊媒介種類繁多，組織和個人都可能受到攻擊。他們可能被誘導，也可能被影響去做一些他們不該做的事情。

因此，本系列文章說明的不是怎麼撰寫和發送社交工程電子郵件或魚叉式網路釣魚，而是遠遠超出此技術範疇。這門課程在這方面是一門全面的課程。本文將教你如何自信、準確、精準地進行系統性的社交工程操作。

簡介
我們將從一些術語開始，概述社交工程，並簡要介紹其歷史以及現今的應用。最後，我們將介紹一些社交工程的攻擊媒介。社交工程有許多重要的術語，它們可以用來掩蓋真相。

術語
我們先從釣魚(Phishing)說起。釣魚在垃圾郵件發送者中非常普遍。攻擊者會向大量尋找特定資訊（例如銀行帳號資訊）的人發送大量未經認可的郵件，可能在尋找XX帳戶的使用者名稱和密碼。這封郵件可能會發送給成千上萬的人，其中一些甚至可能不是XX銀行的客戶。但他們使用這種方法的心態只是亂槍打鳥，看看有幾個會上鉤。

與亂槍打鳥不一樣的是魚叉式網路釣魚(Spear Phishing)。魚叉式網路釣魚是一種非常有針對性的攻擊活動。這些社交引擎的提供者，即魚叉式網路釣魚戰術，通常會攻擊特定的公司/組織。或者他們可能瞄準某個群體，也可能只瞄準一個人。魚叉式網路釣魚行動的概念是一種非常精準的手段，可以精準地鎖定目標。

攻擊向量(Attack Vectors)，攻擊向量也是一個非常重要的術語。本質上，攻擊向量被定義為社交工程可以從中獲取資訊的一種方式(工具)。這會影響被攻擊者，以某種方式讓你做一些我們不該做的事情，例如透過網路釣魚來洩露我們的重要資訊。或是電話釣魚、攻擊者的藉口等方式進行的，這些藉口也可能很快就會被破解。所以，回到攻擊向量，這些只是我們可能被利用的途徑。

藉口(PRETEXTING)是一種偽造的場景，我們可以用它來進一步實施社交工程行動。可以把它想像成一個完整的背景故事，關於你是誰，你是否在冒充一個虛假的身份，或者你是否在冒充一個真實的人。也許是你穿的服裝，擁有的道具，諸如此類。所以，如果你願意的話，這整個精心設計的行動方案就是所謂的藉口。

TTPs(Tactics, Techniques and Procedure)，這是一個軍事術語。我們會在本系列文章中不斷提到此一術語。

誘導(Elicitation)是指在目標不知情的情況下，秘密獲取目標的訊息，而目標公司、其他產業和其他人對此並不知情。例如，FBI 審訊人員或任何執法人員，如果想從某人那裡獲取某些訊息，目標可能會被攔下來，因為目標正在進行某種可疑的活動，FBI想了解一下目標的動機，但又不想讓目標高度警惕，讓他們認為正在發生更險惡或更麻煩的事情，只是想從目標那裡收集一些資訊。他們會使用所謂的誘導。

為了從某人那裡套取資訊而採取的戰術，漏洞(Vulnerability)是已知的弱點。技術領域的應用程式存在各種各樣的漏洞，例如微軟的作業系統、微軟產品等等。這些軟體程式中存在著已知的弱點，攻擊者喜歡利用這些弱點。所以，漏洞不一定是技術漏洞。也可能是辦公室的櫃檯人員，他們的工作是監控辦公室裡來來去去的人員。

也許櫃台人員的工作是確保每個人都有識別證，或者大樓內訪客有公司人員陪同。櫃台人員最近沒盡到職責，什麼都沒做。所以，該辦公室安全態勢的一個漏洞可能是，任何人都可以隨意走動，無需在前台接受盤問，無需驗證。

這就叫做漏洞和利用(Exploitation)。實際上，利用漏洞是指進行社交工程的攻擊者進入我們工作的場所，直接從櫃檯人員身邊走過，不停下來。也許櫃台人員甚至沒有盤問任何人，但攻擊者利用了櫃檯人員沒有真正履行職責的漏洞。這跟我們辦公大樓一樓的警衛是一樣的道理。

個人識別訊息PII(personally identifiable information)。這是指可以利用任何資訊可以辨識出的個人，可能是身分證號碼、手機號碼、出生年月日、婚姻狀況等等。這些資訊可能對那些想要以某種方式利用我們的身份或信資訊來做一些壞事的人來說很有價值。

「工具包(Kit)」是我們用來指工具的術語，無論它們是實體工具，還是軟體工具、道具，或任何我們隨身攜帶的東西。因此，為了證實社交工程操作是有效的工具包，現在我們稱之為「Payload有效載荷」。

「有效載荷(Payload)」是指惡意軟體的一部分，它執行惡意行為。所以，如果用現實世界的術語來思考，假設有一枚導彈，導彈上掛著一枚火箭，火箭會讓彈頭(Payload)飛得更遠。它會按照計劃，到達它需要去的目的地。彈頭會爆炸，並從技術角度執行所有惡意操作。

通常是惡意軟體，或者說它是一個木馬軟體，它會被發送到我們的電腦上，可能是透過電子郵件，也可能是一個以附件形式發送的PDF檔案。當我們打開文件時就能執行有效載荷。有效載荷隱藏在該檔案內。該文件被編碼為執行一些非常惡意操作。所以有效載荷部分隱藏在PDF檔案中。

概觀
維基百科對社交工程的定義:

社交工程是指操縱他人採取行動或洩漏機密資訊的行為。類似於騙局或簡單的欺詐，該術語通常指為了收集資訊、詐騙或存取電腦系統而進行的欺騙或欺詐。在大多數情況下，攻擊者從未與受害者面對面。

但現在情況已大不相同。我們越來越多地看到社交工程在現實生活中與受害者面對面的情況。有時甚至只是面對面而已。我們今天要學習的是：社交工程不僅僅是魚叉式網路釣魚、電子郵件釣魚或任何技術層面的攻擊。

社交工程遠不止於此，我們將在本節中對此進行更深入的探討。我們討論的是社交工程，以及某種程度上的欺騙。社交工程涉及"規劃與欺騙"。就像社交工程專家試著找出我們的漏洞，試圖阻止攻擊者實施惡意行為。

最重要的是，這涉及對人類的"心理、行為、信任以及肢體語言"的理解。因此，這涉及各種各樣的因素，遠遠超出了社交工程的技術層面。我們需要從根本上理解人類行為、運用某些測試的肢體語言、透過誘導和影響而採取的某些策略，所有這些都可以透過電子郵件完成。

也能透過電話、簡訊，甚至是某些部分事實來面對面進行的。所以這背後蘊含著各式各樣的科學和藝術。它遠遠超越了技術本身，它還涉及其他媒介、藉口，涉及業務驅動有統計數據顯示，89%的網路釣魚源自有組織犯罪集團。

所以我們知道很多這類事情背後都有動機，這是為了政治利益，也就是經濟利益。毫無疑問，許多社交工程廣告商，會叫你掏錢買東西。他們肯定在使用社交工程手段來影響我們的購買決定。

政客們用社交工程來獲取政治利益，其他人則用它來謀取私利。人們可以利用網路、社群媒體等科技來傳遞訊息，通常是政治性質的，關於某個事業，無論是政治還是其他什麼。而政治利益不一定是為了個人利益或金錢利益，而是為了傳遞他們的訊息進而操縱我們。所以，駭客也會利用社交工程。駭客通常都有某種方法，某種動機。

本質上，因為它是社會性的，它牽涉到人。人們之間有某種程度的人際信任，這些信任可以被利用，而這才是問題的核心。社交工程是如何利用人們間的信任來達到攻擊者想要的目的。

歷史
社會工程學由來已久。我們之前用特洛伊木馬來指稱它，特洛伊木馬惡意軟體的名字就來自於此。不知道的人可以去看布萊德.彼特演的特洛伊：木馬屠城記。特洛伊木馬隱藏惡意軟體，利用惡意軟體傳遞Payload。所以，當我們打開那個PDF檔案時，它會竊取我們的銀行資訊，或者刪除你硬碟上的所有內容，諸如此類的惡意內容。

所以社交工程以其他形式存在已久。世界各地的許多人都在使用它，從政府到廣告商，再到顧問、資安顧問、間諜、駭客，當然還有銷售人員。銷售人員擅長解讀人們的訊息，包括細部臉部表情和肢體語言，了解他們現在的心態，他們可能在哪個心態，以及他們對所銷售產品的反應，並試圖解讀其心態，有時甚至模仿他們的行為。

銷售人員的目標客戶是那些想要購買的人。他們的目標是什麼樣的場景，包括家人、父母。當父母的也經常使用社交工程來讓小孩做父母想要讓小孩做的事。而這只是人性中一種我們學會"發展、精進、運用"的東西，我們自己甚至可能不知道。

龐式騙局 — 查爾斯龐茲(Charles Ponzi)，是一名成功的社交工程專家。他利用了人們對他的信任，也許他同時也發現了人們貪婪的弱點。也許他發現了許多不同事物的弱點，並認為可以利用這些弱點。他確實利用了人們對他作為商人、作為投資者的信任。從這個意義上來說，他成功地利用了這些漏洞。多年來，類似龐式騙局還有很多。

2013年目標百貨的資料外洩事件中就看到了類似的事情。 目標百貨的總部在尼阿波利斯地區，而該供應商也在這裡，恰好他們安全措施非常鬆懈，而且作為供應商，這兩邊一定有某種方式的連結。這就有一個網路和一個目標。社交工程專家能夠捕捉並利用供應商鬆懈的安全措施，利用這些漏洞，並透過某些PoS系統存取目標百貨的總部。

2013年發生了一起鮮為人知的水坑攻擊事件。我們要討論的是電子郵件惡作劇者，也就是我們所說的魚叉式網路釣魚。 「電子郵件惡作劇者」是「誰知道這傢伙的真名」的化名，他設法攻擊了賈里德·庫許納。他在一封電子郵件中冒充庫許納的同事，使用了某些特徵。也許他使用了賈里德·庫許納同事的偽造電子郵件地址。也許在郵件中使用了一些語言。

現今的社交工程運用
如今，社交工程被用來影響人們。我們將討論誘導(elicitation)，即從人們身上套取資訊。也許我們想說服人們讓我們進入大樓的某個區域，或者我們想讓人們決定購買我們銷售的商品。

我們用這些戰術(tactics)來影響人們的行為。我們利用這些戰術來獲取資訊，以便做出其他決策，並採取其他行動，以達到社交工程的目標。很多時候，這些資訊是用來獲取金錢利益。正如我們之前提到的，銀行信用卡資訊PII也就是我們所說的個人識別訊息，包括出生日期、身分證號碼等。

人是資訊安全最薄弱的環節，這並不奇怪。組織可以擁有軍用等級的防火牆以及各種旨在阻止惡意事物的網路設備和解決方案。阻止惡意電子郵件，防止惡意資訊外洩，防止其洩露到所有其他需要花費數千美元實施並需要團隊管理的地方。但重要的是要記住，人是會犯錯的。人創造了這些產品，人在錯誤中實現它們，人在錯誤中開發它們，人在錯誤的地方打補丁。

所以，所有這些攻擊媒介都有機會利用它們，而這正是攻擊者所做的。攻擊者不會去攻擊所有這些設防的邊界，而是直接攻擊那些掌握密碼的人，那些掌握防火牆配置設定的人，攻擊者會試圖讓管理人員給他們資訊，而不是去攻擊12到20英尺厚的保險庫門。

攻擊者會繞到側門，那裡保安鬆懈，或者沒有人，或者沒有攝影機。攻擊者會試著找到它的後門。這就是攻擊者所做的事。很多事情都是這樣發生的，這是資料外洩的結果。

所以，我們看到，43% 的洩漏事件涉及某種程度的社交工程，其中 66% 是與惡意軟體有關，惡意軟體是社交工程的一部分，所以他們可能打電話說，嘿，我需要你安裝這個軟體，或以某種方式進一步發展。這種轉變主要集中在金融領域，也有一些醫療保健領域，但主要是政府金融領域。但我們看到了一種向製造業的轉變。

攻擊向量(Attack Vectors)
攻擊向量，或者說，按照定義來說，是一種手段或路徑。也就是說，攻擊者能夠傳遞惡意結果的手段或路徑。這種惡意結果被稱為有效載荷(Payload)。

之前我們具舉例了導彈的案例。現在我們來思考一下有效載荷是什麼。再次強調，安裝在飛彈前端的彈頭就是有效載荷。所以，當導彈到達目的地時，它會產生真正的惡意影響，它會做什麼？我們希望它爆炸，造成破壞和損失。當我們透過電子郵件或USB投放惡意軟體時，我們會透過誘餌投放。

我們透過任何我們選擇的方式進行攻擊，這就是攻擊媒介。可能是透過電話。也可能是其他方式。有效載荷不一定是技術層面的。有效載荷指的是那些令人討厭的東西，是觸發事件的因素。這就是我們所說的有效載荷，類似於彈頭或飛彈。

關於攻擊媒介，有一點是他們非常非常正確的。你可能已經聽過很多關於社交工程的說法，但事實並非如此。我們稍後會講到這一點。攻擊媒介，更具體地說是網路釣魚、魚叉式網路釣魚、捕鯨攻擊(Whaling)有所不同，因為這個術語來自拉斯維加斯那些賭場。

傳真仍然是一種攻擊媒介。現在它像以前一樣被廣泛使用，但某些機構，例如金融機構，會使用傳真來傳輸訊息，例如信用報告、工作經歷驗證、貸款時的各種驗證，或建立信用額度。這些資訊很容易被偽造，就像偽造簡訊一樣容易。當然，這些產業確實存在一些細微差別，但它絕對是一種攻擊媒介。社交工程利用電話試圖說服你買東西。或者你剛中了彩券，得把個人資料給攻擊者。電話社交工程已經使用很久了。

水坑攻擊可能是您聽說過的一種新攻擊方式。它實際上可以影響技術領域或物理領域。舉一個物理領域的例子。當我們追蹤一個組織時，我們希望獲得目標的資訊。我們必須了解這些人的人口統計。也許面對面接觸這些人對我們來說很重要。但假設由於警衛和其他各種安全控制措施，很難從前門進入。

我們會使用水坑攻擊策略。我們會尋找目標地點附近的場所，像是餐廳、星巴克之類的咖啡店。這些人會在那裡吃午飯，他們會在早上上班前去那裡喝咖啡。我們會嘗試監控這些人的行踪，並確定他們是否真的是目標組織的員工。我們會追蹤他們，跟著他們進入星巴克，無論我們的目標是什麼，或許就是要吸引他們。

如果他們正在與人會面，或在餐廳吃午飯，我們會主動攀談，試圖獲取訊息，或試圖影響他們的訊息，攻擊者都在「澆水」。 「水坑攻擊」是向量攻擊其中一種。這是一個需要時間的環節，但它肯定同樣有效的攻擊。

其他攻擊向量包括「尾隨攻擊(tailgating)」。每個人都知道這個。有時也被稱為“搭便車(piggybacking)”。總是存在著有人跟著你進入安全位置的風險。「誘餌攻擊(baiting)」就是試圖讓某人做某件事，例如給一個隨身碟就是誘餌。我們希望把這個隨身碟放在目標地點的入口附近，然後我們就可以跟著它。

如果是辦公大樓，我們會把它放在靠近大廳的地方，可能放一兩個，也可能只放一個。這樣就直接放在那裡，當有人走進來時，會問：「哦，這是什麼？這是隨身碟。」這會激起他們的興趣。

攻擊者希望他們拿起它，拿到電腦上，然後插上電腦。他們可能這樣做，但攻擊者希望他們這樣做，不過這也可以用來測試使用者是否遵守安全政策，或者至少最佳實踐是不要這樣做，尤其是在辦公室電腦或任何電腦上。

如果從社交工程演練來看，我們正在測試使用者，他們這樣做的傾向是什麼？如果他們這樣做，我們希望確保能捕捉到這一點。所以會在隨身碟上放置有效載荷，並記錄誰撿到它、誰插入它、插入了多少次等等指標。誰會檢舉？有時是保全人員撿到隨身碟，使用者會把它們交給櫃檯，然後說，嘿，這是落在某個地方的。

也許是失物招領處。也許使用者知道不該把隨身碟放進電腦。所以使用者按照正確政策進行。所以我們總是想衡量這類指標。但這是誘餌。還有其他誘餌方法。不只是隨身碟，但這只是一種方法。

我們之前提到過"影響與誘導(Influencing & Elicitation)"，顧名思義，就是我們想用書面語言、口語或肢體語言來影響他人，無論哪種方式，讓人們做出他們認為是自己做出的決定。

但實際上，影響與誘導源自於我們自身，而且就像我們提到的那樣，可以透過多種不同的方式實現。所以，影響與誘導實際上只是在人們不知情的情況下影響他們，也就是在他們不知情的情況下從人們那裡套取資訊。

這不像審訊，因為人們知道是審訊者從他們那裡獲取資訊的。它更像是隨意的交談，攻擊者可以運用各種方法來巧妙地利用語言來從某人那裡獲取資訊。我們在誘導過程中也會用到這些技巧。

教戰守則是一個場景嗎，是一個背景故事嗎？通常會有假名或假身分，適當的服裝、道具等等。一種背景故事。

教戰守則是執行的行為。所以背景故事可能是：這是我的名字。這是我的利潤。這是我的目標。我要進入這個組織。我要和櫃檯人員談談。我要試著在沒有陪同、沒有有效身分證件的情況下，無人看管地進入機房。

簡報檔下載