网络黑客与心理弱点研究

与大街上的骗子所耍弄的新花招一样，互联网上的骗子也需要源源不断地想象出各种方法，游说受害人打开附件、点击链接或者毫无戒心地把个人数据输入网页。网络黑客把相当大的精力用于研究潜在目标的心理弱点。盗窃个人身份和网上银行账户的最保险的手段是绕过人们的思想屏障，而不是计算机防火墙。黑客的成功与研究心理骗术的关系越来越紧密，编写代码的技巧反而变得次要了。网络安全咨询顾问公司首席执行官巴里·柯林说：“你不可能在人们的脑海里安装软件补丁。”-psytopic.com


利用人们心理弱点来获取你的数据

上个月，全世界有数千人收到了一封主题为“你惹上了官司”的电子邮件。这封电子邮件用措辞严谨的法律术语警告收件人，最近他们在未经允许的情况下向发件人办公室发送了传真。这封电子邮件引述了美国民法禁止散发垃圾传真的规定，以及连锁餐厅Hooters以1100万美元的代价解决了有关法律纠纷的案例，随后这封邮件警告说，要针对所谓的垃圾传真提起诉讼。邮件中这样写道：“如果你不在规定的日期前支付500美元，我将指控你违犯了《电话用户保护法》（Telephone Consumer Protection Act），如果你迫使我提起诉讼，我将至少提出1000美元的损害赔偿”，有关这起法律诉讼的详细内容存放在电子邮件的附件中。

惊慌失措

如今，打官司已成家常便饭，而且我们已经进入了数字化时代，因此用电子邮件的形式发送法律公函似乎没什么奇怪的，不是吗？你中计了！这封电子邮件是个圈套，它利用了你害怕上法庭的心理。其目标是那些倒霉的收件人，他们可能就是那些的确发送过垃圾传真的数以千计的公司或个人中的一员。在文件名为 lawsuit.exe的附件中隐藏着一种叫Bagle的计算机蠕虫病毒新变种。当焦急万分的收件人打开附件时，隐藏在文字中的恶意代码就会自动下载至你的电脑中，并且迅速获取你所有的电子邮件地址，从而再发送出更多的垃圾邮件。下一轮电子邮件利用受害者的个人邮件地址向其亲友和同事发送经过伪装的恶意代码，例如，一段关于巴黎希尔顿饭店的色情录像的宣传。“这是垃圾邮件发送人针对毫无戒心的用户想出的新奇骗术之一”，计算机信息安全公司 MicroWorld Technologies的首席执行官戈文德·拉姆穆尔蒂说，今年3月该公司发布了有关lawsuit.exe病毒的警告。

随着网络骗术的不断升级，它们经常采用狡诈的心理因素作为秘密代码的外衣，这正是网络罪犯成功的诀窍。与大街上的骗子所耍弄的新花招一样，互联网上的骗子也需要源源不断地想象出各种方法，游说受害人打开附件、点击链接或者毫无戒心地把个人数据输入网页。据分析人士说，盗窃个人身份和网上银行账户的最保险的手段是绕过人们的思想屏障，而不是计算机防火墙。网络安全咨询顾问公司Threat & Risk Associates的首席执行官巴里·柯林说：“你不可能在人们的脑海里安装软件补丁。”

事实上，据数据安全分析人士介绍，网络黑客把相当大的精力用于研究潜在目标的心理弱点。计算机安全公司Trend Micro的全球教育主任大卫·派瑞说，网络黑客们阅读新闻标题以了解与情绪有关或者让人们感到担心的全球性事件，他们还经常通过阅读新闻稿和公司警告来评估袭击是否成功，目的是提高下一轮攻击的成功几率。分析人士说，一旦数据安全漏洞成为众所周知的话题，“网络钓鱼”攻击通常就会失去效力。原因是，顾客已经预感到，他们有必要更新账户数据并且监视自己的支出报告。

今年年初发生了一起涉及花旗银行的骗局，从中我们可以看出，骗子的心理游戏究竟能高明到何种程度。据分析人士介绍，为了建立信任，骗子把骗局分为两个阶段。首先，一封据称是来自花旗银行的电子邮件发出警告，声称上一次诈骗事件可能已经使顾客的账户受到危害。但是它并没有索取个人信息。设局者只要求提供一个电子邮件地址，以备受害者发现自己的账户被黑客袭击时使用。随后，骗子又发来第二封邮件并且警告说，实际上这个账户已经受到侵袭。这封邮件要求对受害者的具体财务信息进行更新。“在第一步已经建立了信任关系后，接下来又在第二步要求他们提供机密信息。”MicroWorld公司的拉姆穆尔蒂解释说：他预计，大约有近60%的受害者在接到第二封邮件后提供了个人信息和财务数据。

实际上，由于人们对网络钓鱼行为的警惕性越来越高，这种欺骗性攻击的总体成功率正在不断下降，网络罪犯正在寻找新的方法，游说用户打开文件或者点击链接，以便把窃取数据的软件下载到用户的计算机上。网络罪犯已不再直接要求用户把个人数据输入假网站，而是把代码嵌入假新闻或者与商业活动有关的“意见征集” 中。文件一旦被打开，它们会自动在计算机上安装一个后门，随后记录下用户的按键信息并且将这些信息发送出去，其中包括用户名和密码等敏感信息。

结果，现在很少有人再泄露个人信息，但是因为诈骗而造成的损失却在继续增加。加特纳公司2005年的一份调查结果显示，在遭遇网络钓鱼骗局的用户中，只有 2.5%的人提供了个人信息或财务信息，在2004年的调查中，这个比例为3%。但是因为这些信息在网上遭窃而导致的受骗损失却从2004年的6.9亿美元上升到2005年的15亿美元。加特纳公司负责互联网安全工作的副总裁约翰·佩斯卡托雷说：“如果我是个骗子，我一定会做一些能够获得你信任的事情。”

20美元的辅导

执法人员说，网络欺诈的骗术其实并不不比现实生活中的骗子所使用的老掉牙的花招高明多少。然而，他们补充说，目前一股很明显的趋势是，网络罪犯正通过集思广益来设计新的骗局。Tren Micro公司的派瑞说，在国外的黑市上出现了一盘名为《黑客手册》的DVD光盘，其中包括许多关于如何欺骗受害者的秘诀。曾经做过黑客的凯文·米特尼克现在经营着自己的安全顾问公司，他为客户举办了一个为期两天的“社会工程”会议，这次大会不但总结了黑客们所使用的技巧，而且还举办了一个名为“人类硬件中的漏洞”的会议。

不仅仅是因为上网冲浪者对网络骗术的警惕性越来越高，才导致黑客不得不寻找更聪明的技巧。黑客数量的急剧增长所导致的激烈竞争也促使他们必须想方设法脱颖而出。现在，从事网络犯罪的门槛正变得越来越低。3月24日，安全公司Sophos说，它们发现一家俄罗斯网站正在以不到20美元的价格兜售一套名为“网络攻击者”的工具包。这个工具包中的软件可以下载一种能够关闭防火墙并随后安装按键记录器的程序。网络攻击者工具包已经与那些散布禽流感传闻以及前南斯拉夫联盟共和国总统斯洛博丹·米洛舍维奇死因的垃圾邮件一起传播出去了。

结果，黑客的成功与研究心理骗术的关系越来越紧密，编写代码的技巧反而变得次要了。Sophos公司高级安全分析师罗纳德·奥布赖恩说：“为了让防止网络犯罪的业务能够维系下去，我们将越来越倚重社会工程。”

来源: 世界营销传播网
作者: 布赖恩·格罗（Brian Grow）