9 评论

信息安全之社会工程学[3]:攻击手法之施加影响

  上一个帖子咱们介绍了社会工程中包装的技巧。按照本系列的计划,今天要讨论的内容是:“如何施加影响”。


★关于《影响力》


  说到施加影响以及相关的技巧,就不得不提及《影响力》这本书。这真是一本好书啊,很值得俺专门写一个书评来忽悠一下。不过捏,刘未鹏同学已经抢先 N 步,写了此书的评论(在“这里”),所以俺就不再浪费打字的力气去做重复劳动了。
  《影响力》这本书高屋建瓴地总结了“对他人施加影响”的种种伎俩。这些伎俩似乎不够光明正大,但常常能收到奇效。如果你从来没有读过此书,强烈建议你先去拜读一下(俺的网盘提供了本书电子版的下载,参见“心理学”大类),再接着来看本帖后续的内容。
......
......
......
  现在,不妨假设你已经拜读过《影响力》。接着,咱们来看看书上的那些技巧是如何运用在社会工程学当中的。


★博取好感


  博取好感是施加影响的手法中,最基本的招数。具体的技巧有很多种,咱今天只介绍常见的几种。

◇通过外在特征的“光环效应”


  此处所说的外在特征,包括相貌、嗓音、着装、甚至姓名等诸多方面;此处所说的“光环效应”(也叫光晕效应、晕轮效应),是指对某人的某个局部特征的看法被扩大化,变成对此人整体的看法。这么说比较抽象,咱来看下面几个例子。另外,俺单独写了一个帖子详细介绍“光环效应”,在“这里”。

举例1(以貌取人)
据说当年马云创业时,出去推销产品,别人一看到他都觉得他是坏人。显然,相貌和人品没有必然联系。但是很多人在潜意识里,都会把长得歪瓜裂枣的人当成坏人。
举例2(以名取人)
比如很多歌星、影星仅仅由于演技好,其 fans 就把演技扩大化,认为他们/她们样样都好。其实演技好和人品好没有必然联系。
所以俺在前一个帖子里强调社会工程的攻击者需要有好的嗓音(有时甚至需要有好的相貌),就是为了能发挥光环效应。

◇通过相似性来博取好感


  所谓的“相似性”,范畴很广,常见的有如下一些:同学、同乡、同校(校友)、爱好相同(比如都喜欢看球,甚至都喜欢某个球星)、经历相同、等。
很多攻击者善于通过看似不经意的闲聊,和被攻击者扯上某种关系,让被攻击者的好感油然而生。


★通过互惠原理来骗取好处


  俺在看了《影响力》之后,才意识到互惠原则的效果竟然如此巨大。真是不看不知道,一看吓一跳。具体的例子书上举了很多,俺这里主要总结互惠原则的两种运用招式。

◇初级招式:“投桃报李”式


  “投桃报李”式比较好理解,简单说就是给予对方一点小甜头,然后再索取点小回报。
  为了形象点,举例说明:
  比如有个攻击者在信息收集阶段,想了解某个连锁商店店长的信息。攻击者打电话给该商店(接电话的是某店员),谎称自己是一位长期客户,由于该店的服务很好,想写封表扬信给店长。店员一听就很爽,立马就把店长的详细信息告知对方。

◇高级招式:“拒绝-退让”式


  “拒绝-退让”式比“投桃报李”式要高级一些。这个招式实际上包含了互惠原理和对比原理,如果把握得当,效果比“投桃报李”要好很多。具体的实施分两个步骤进行:先提出一个很高(比较过分)的要求(以下简称 A),对方多半会拒绝;然后,攻击者主动作出让步(撤回该要求),再提一个(相对 A 来说)比较低的要求(以下简称 B),这时对方多半会答应。其实 A 仅仅是一个烟雾弹,并不是攻击者的真实意图。攻击者真正想达成的是 B。
  这个招式的难点在于把握A的尺度。A必须和B形成比较明显的反差(利用对比原理),通过A来衬托出B的微不足道。这样,对方拒绝了A之后,潜意识里觉得B反正很微不足道,再加上互惠原理的作用,就会很容易地接受B。
  比如有些攻击者在收集信息时,可以先索取某个比较敏感的信息,如果对方拒绝了,就转而索取一个不敏感的信息。


★通过社会认同来施加影响


  所谓的“社会认同”,通俗地说就是人云亦云、随大流。大多数人都有这个毛病,否则也不会有那么多跟风、赶时髦的家伙了。
  那社会工程者如何运用这个伎俩捏?一个常见的方法就是“造势”。通过制造某种舆论来引导(或者叫“误导”)被攻击者,从而达到目的。这种方式有两个要点:
  首先,要达成某种规模效应。一旦规模形成,由于“社会认同”的影响,就会变成正反馈,导致越来越多的人被卷入。
  其次,要注意引导的技巧。具体要如何“引导”捏?常见的有:“制造狂热”、“制造恐慌”、“制造愤怒”、“制造反感”等方式。当人们处于狂热、恐慌、愤怒、反感等状态时,会变得情绪化。这时候,感性的因素就会占主导,同时会丧失理性的判断,从而被一小撮人所利用。
  从本质上分析,这两个要点依然是借助了心理学层面的因素来起作用。关于造势的例子,大伙儿可以看看源自 IT 行业的 FUD(Fear, Uncertainty, Doubt,具体解释见“这里”)手法。
  写到这里,突然联想到:其实天朝的毛太祖,就是造势、造舆论的高手啊!上述的两个要点发挥得炉火纯青,不得不令人佩服啊!


★通过权威来施加压力


  大部分人都有服从权威的倾向。因此攻击者可以通过树立或借助权威,让对方服从自己的一些不太合理的要求。
  比如有的攻击者假冒成某 VP(Vice President)的秘书,声称该 VP 急需某某文件或资料,那么对方就会迫于压力而答应。这个招数在等级森严的组织机构,效果特别好。


★总结


  有句话俺必须再啰嗦一下:按照二八原理大部分人都是感性的。为啥上述的这些伎俩能够屡试不爽?就因为这些技巧充分利用了人们感性的弱点。如果你是一个感性的人,那可要小心啦:你可能会容易入上述这些圈套,平时须得小心防范。
  不过捏,凡事总有两面性滴。你一方面要提防别人通过这些招数影响你,另一个方面,你也可以利用这些东东去影响别人。虽说今天是为了介绍社会工程学才扯了这么多施加影响的招数,但这些玩意儿可不仅仅限于社会工程学哦。在很多很多不同的领域(比如:管理、谈判、社交、追 MM/GG、推销 ......),今天讲的这些东西都是非常有用滴。大伙儿一定要活学活用、举一反三啊,才不枉费俺打了这么多字!
  本系列的下一个帖子,咱们搞几个综合的示例来分析一下。


回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2009/05/social-engineering-3-influence.html

9 条评论

  1. 看完整个系列,真心佩服博主,只可惜博主这样的人才却是我党要和谐的对象。。。唉

    回复删除
  2. TO 樓主
    還是孔老夫子最有真知灼見 講究君子修德為先
    這些個術被君子學去了倒是能發揮好作用
    可萬一被小人學去了,後果不堪設想
    毛澤東不就是擅權術卻無道德嘛
    結果... 一場浩劫 一場空 千年輝煌 夢一場

    回复删除
  3. 看完整个系列,真心佩服博主,

    回复删除
  4. “ 在很多很多不同的领域(比如社交、追MM或追GG、......)”
    博主能不能再来一个例子,有点隔靴搔痒的感觉。深入挖掘下潜能。
    1.怎么扩大自己的社交圈子?
    2.情感
    I.追MM或追GG,婚姻问题似乎笼罩着80、90,我稍微感叹下,似乎要和同龄异性结合一起,很难了。
    II.虽然俺不喜欢看电视交友节目,但是似乎你不关注都不行。信息主动推送在你面前。
    III.多数人还是得过且过的,行尸走肉般。明明知道不好,就是不愿意改变自己。
    最后深度探访下博主的心路历程,是怎么一步步成长的,您又是如何迈向IT公司高管的。

    回复删除
    回复
    1. 我也期待 编程随想 能更进一步谈谈这些,毕竟我也是90后。目前,还是先把各种坑填上吧。

      我觉得,要将自身的价值取向传递给别人,需要适当的契机、方法,否则是吃力不讨好的事情。


      在帖子《如何让一个程序员改变用百度搜索技术资料的习惯?》,有这么一条评论。

      「楼主,建议不要参合别人的习惯。

      最好的方式就是,自己提升自己的技术水平,等你的水平高了,达到别人羡慕的水平或者得到老板的嘉奖,别人自然会有意无意参考你的言行而行动。届时如果其他人也用了用Google,发现搜索效果比Baidu好,那么会很自然的从心底里切换过去。

      相反,如果用显性劝阻的方式,别人可能会因为不情愿而抵触。这样可能反而同时降低了Google和LZ自己在别人心中的位置。」

      删除
    2. 顶起来!赞一个!

      删除
    3. TO 4楼的网友
      俺这个老系列,又被挖出来了 :)

      关于“施加影响力在不同场合的运用”,建议大伙儿先去看看《影响力》这本书。
      在俺的博文中,不止一次推荐过这本书。
      也可以到[url=https://code.google.com/p/program-think/wiki/Books]俺的网盘[/url]下载此书。

      说到电视节目,自从有了宽带上网,俺已经很多年不看电视了。

      你提到说“明明知道不好,就是不愿意改变自己”
      对于每个人都有两个难点:
      1、认识自己
      2、改变自己
      这两点非常难做到,第一点依靠的是悟性,第二点依靠的是毅力

      关于俺本人的职业生涯历程
      老实说,俺这个人比较特殊。所以俺的经历不具有参考价值。
      而且因为俺的经历特殊,如果相信介绍俺的经历,很容易暴露身份,还请谅解。
      但是俺会分享自己的经验(比如:《[url=http://program-think.blogspot.com/2009/01/0.html]如何成为优秀的开发人员[/url]》),希望对大伙儿有帮助。

      删除
    4. TO Hugo Chan
      同意你说的:
      “自身的价值取向传递给别人,需要适当的契机、方法。”

      删除
  5. 万分感谢博主的分享,下面我说说我对于这些施加影响的方式的一些联想,也算给博文举几个例子做个补充:
    一、互惠原理中的“拒绝-退让”式:
    1.广泛应用于买东西[b]和卖东西[/b]时的讨价还价中
    2.鲁迅先生:中国人的性情是总喜欢调和折中的,譬如你说,这屋子太暗,须在这里开一个窗,大家一定不允许的。但如果你主张拆掉屋顶他们就来调和,愿意开窗了。——《无声的中国》一九二七年
    二、通过社会认同来施加影响
    从前几年的股票牛市热潮以及前段时间比特币热潮中,我们其实都可以看到有人很明显的利用各种媒体进行“造势”,而不够理性的投资者都盲目跟进,最终结果只能是赔得很惨:(
    等等,我猜您会这么说:前段时间俺还特意写了两篇相关的博文:
    1.[url=http://program-think.blogspot.com/2014/01/misunderstanding-about-making-money.html]为啥急功近利反而赚不到钱——给拜金主义者的忠告[/url]
    2.[url=http://program-think.blogspot.com/2013/12/gold-rush-vs-bitcoin-fever.html]回顾历史上的加州淘金热——给比特币矿工的忠告[/url]
    三、通过权威来施加压力
    在这里博主特意提到“这个招数在等级森严的组织机构,效果特别好。”,不禁让我联想到了[url=http://www.360doc.com/content/09/0402/22/118405_3004076.shtml]新中国奇案:冒充周总理批示 诈骗20万[/url],是不是也侧面反映出了我党的等级制度之森严呢?:)

    骚达子

    回复删除