网络安全意识 | 不知不觉已操控你的心

本期文章将延续线上社交的内容，主讲线下社交的安全意识问题。

第一期关于线上社交的文章中，介绍了社交在“线上”这一方面可能存在的安全隐患，攻击手法和存在隐患的常用软件配置。本期文章将会讲述在“线下”这一方面，你可能遇到的问题，攻击手法和潜在的危险。但因为线下与人的交流比较复杂而多样，故本文只做一些经典，常用的手法总结并给出对应的安全建议。

世上的交易往往是风险越高，收益越大，对于社交攻击而言，也是同样。线上社交一类，更多是非主动式的攻击，风险，成本，不良影响相对低，相对应地，它的收益也不会太高。而对于一个更加资深的攻击者而言，线下(当面真实发生的人与人活动)社交攻击虽然风险更大，可能出现的意外状况更多，攻击进程更不可控，但它带来的收益却是足以使人冒险的。

接下来直入正题！

安全问题的本质是信任问题，一个攻击者想要从你的嘴里套出话来，首先就要让你对他产生信任，而使你信任他的最主要手段就是伪装——伪装成“纯路人”或是你工作/生活中的一部分（如，将要共事的伙伴，邻居等等）。但无论是什么样的伪装，目的也只有一个，那就是扮演一个不会显得不正常的身份，做一些看起来“理所当然”的事，完成自己的刺探或是诱导，操纵。

伪装是一个复杂的话题，对于没有经过系统学习的人来说，并没有太好的办法，比较好的就是多渠道验证身份行为了，所以我们本篇文章主要介绍诱导。

诱导

某国国家安全局在培训材料中为诱导下的定义是：在貌似正常和平凡的对话中精妙地获取信息。说实话，诱导可能出现在交流的每一处中，着实让人防不胜防。下面就给大家介绍一些攻击技巧，当大家发现交流的另一方可能使用了这样的技巧时，可以提高警惕。

1.赞同。俗称拍马屁，主要目的就是捧你，让你觉得自己好棒棒，让你飘飘然，让你起飞。当然了，夸你不是白夸的，等你飘飘然的时候可能就把什么给说漏嘴了。

举个简单的例子：

”我觉得你能力没有短板啊，在你们组里拔尖了已经，你那是个啥项目为啥不让你负责啊？“

“我听说XX公司是这个行业里最棒的公司诶。” “哈哈，是这样的，我就是XX公司的员工.......“

安全建议：请时刻提醒自己谦虚冷静，被异常地夸赞不一定是什么好事情。

2.交换。一般来说，每个人都会有交换意识。也就是说，A给B一条信息，下意识地，B也会给A反馈一条，尤其是当它是这个样子时：

举个简单的例子：“天知地知你知我知，老弟我跟你坦白了，你别跟第二个人说，其实......”

安全建议：不要和别人随便交换信息，不要轻易信任他人。人家给你的信息都不一定是真的，你就把自己卖了。

3.质疑/挑衅。俗称激将法，大家应该心里都有数。

举个简单的例子：“你不可能这么快就写完了作业！作业那么多！” ”理论上说的确如此，但是我...(。-`ω´-)“

安全建议：冷静，冷静，冷静，少说话。

4.引导纠正。人天生就有纠正和教育的欲望，当他人显露出错误或是无知时，你很容易因为想要纠正他而说出什么。

举个简单的例子：“大哥你这工作一个月工资得五千多吧？” “呵，你知道个啥，我一个月七千多。”

安全建议：有些错误无伤大雅，一笑带过即可，没有必要多说话，误事。

5.重复话语。无论是谁都需要安静的倾听者，一个有倾诉欲望的人往往会输出更多。安静的倾听或者时常重复你提过的话，都会让你觉得他在认真听你说话，把你放在心上，且愿意听你说更多，这时候你大概也会真的愿意说更多。

举个简单的例子：“钢铁侠居然对他女儿说爱你三千遍！天呐太让人感动了...” “真的吗？爱你三千遍啧啧啧，换我我也坐电影院哭。” ”是吧你也觉得吧，其实...“

6.引起共鸣。当攻击者和你有了共同的爱好，经历之类的东西时，你们就会有共鸣，从某种程度上说，你们已经有一段融洽的关系连接了。

举个简单的例子：“你也在XX大学待过嗷？院书记老马给我坑坏了当时...你当啥专业的啊？”

安全建议：一个陌生人如果很容易找到和你能产生共鸣的点，那也许就是值得怀疑的，事出反常必有妖，知己不是那么好找的。

7.假设性问题。这个很好理解，就像你男/女朋友问你”如果你先遇到ta，你还会不会和我在一起？“差不多。

安全建议：假设出的那个前提，如果是真实的，那你可能就会暴露出你真实的情况和选择，最好的办法也许只有“不知道”了。

8.酒精。虽然很可悲，但酒精的确是最有效的攻击手段之一。

举个简单的例子：......江小白，五粮液。

安全建议：少喝酒，喝完了少说话，担心自己说错话就睡觉。

总结一下，实际上最重要的只有两点：减少不必要的接触和避免轻易的信任。

说到底，安全问题的本质就是信任问题。你信任你最好的朋友，你的爸爸妈妈，所以你毫无保留，没有警惕，愿意把事情都和他们说；你不会信任一个陌生人，所以不会向他透露秘密，这就是信任问题。一般来说，除了长时间预算的APT（高级持续性威胁）以外，攻击的时间成本都不会太高，攻击者需要用短时间迅速成为你信任的一部分，比如伪装身份——扫地阿姨，维修工，快递小哥，你的老乡等等。所以，请警惕一切信任度和友情值迅速攀升的关系，事出反常必有妖，你以为遇到了知己或是什么幸运，但实际上不一定是什么好事。

敢于直面目标，将自己置于未知中的攻击者有两种：一种是不知天高地厚的愣头青，另一种是真正资深的攻击者。当然前者可能不足为惧，但如果是后者，且ta敢于这么做，那至少也是经过了专业的训练，对自己的能力有一定的信心的攻击者。就像世上没有真正以一换二的事情，想要抵消攻击者所做的努力，防御方也要经过系统专业的训练才行。但只有千日做贼没有千日防贼，真正做到极致的安全可能是无法与业务或正常生活并存的，做到条件允许的，最好情况的安全即可。

当然，也有另一种选择，那就是交给以此为业的专业人士，比如我们~

工具本无好坏，关键在于使用它的人，以上所提到的除了用来应对安全问题外，也不失为日常交流的小技巧哦。最后，希望读者们能记住，并喜欢本系列文章！