引言

這世上沒(méi)有公平競(jìng)爭(zhēng)這一回事。要利用一切弱點(diǎn)。

——?jiǎng)P利·卡弗里（Cary Caffrey）

社會(huì)工程已經(jīng)成為大部分IT部門(mén)關(guān)注的重點(diǎn)，尤其是近兩年，大部分美國(guó)公司也開(kāi)始關(guān)注社會(huì)工程。據(jù)統(tǒng)計(jì)，超過(guò)60%的網(wǎng)絡(luò)攻擊的關(guān)鍵因素或主要因素是“人的因素”。對(duì)過(guò)去12個(gè)月里幾乎所有的大型攻擊事件的分析結(jié)果表明，絕大多數(shù)攻擊都與社會(huì)工程有關(guān)，涉及網(wǎng)絡(luò)釣魚(yú)郵件（phishing e-mail）、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)（spear phish）或惡意來(lái)電（malicious phone call, vishing）。

我已經(jīng)寫(xiě)過(guò)兩本書(shū)來(lái)剖析騙子和社會(huì)工程人員的心理、生理和歷史沿革。而在寫(xiě)這兩本書(shū)的同時(shí)，我發(fā)現(xiàn)了一個(gè)最近很火的主題，那就是電子郵件。自從人類(lèi)發(fā)明電子郵件以來(lái)，它就被騙子和社會(huì)工程人員用來(lái)進(jìn)行信用卡、金錢(qián)和信息等方面的欺詐。

在最近的一份報(bào)告中，Radicati集團(tuán)評(píng)估的結(jié)果顯示，2014年平均每天有1914億封電子郵件被發(fā)送出去，這意味著全年有69.8萬(wàn)億多封電子郵件被發(fā)送出去。你能想象這個(gè)數(shù)字嗎？69861000000000，讓人大吃一驚，對(duì)吧？但可能更讓你吃驚的是，Social-Engineer Infographic的信息顯示，超過(guò)90%的電子郵件都是垃圾郵件。

電子郵件早已成為生活的一部分。我們會(huì)在電腦、平板電腦和手機(jī)上使用電子郵件。在曾經(jīng)和我共事過(guò)的一些人里，有半數(shù)以上告訴我他們每天收到100封、150封甚至200封郵件。

2014年，Radicati集團(tuán)宣稱(chēng)全世界有41億個(gè)電子郵件地址。根據(jù)這一數(shù)據(jù)我進(jìn)行了計(jì)算，發(fā)現(xiàn)平均下來(lái)每個(gè)人每天都會(huì)收到50封左右的電子郵件。因?yàn)槲覀冎啦⒉皇敲總€(gè)人每天都會(huì)收到那么多郵件，所以有人每天會(huì)收到100封、150封甚至250封郵件也就不足為奇了。

隨著人們的生活壓力和工作負(fù)擔(dān)加重，以及科技產(chǎn)品的日益普及，騙子和社會(huì)工程人員知道電子郵件是滲透進(jìn)我們的工作和生活的利器。再想想偽造電子郵件賬戶或合法賬戶以及愚弄人們讓他們做一些不符合他們利益的事是多么容易，就會(huì)明白為什么電子郵件很快就成為了惡意攻擊的頭號(hào)媒介。

當(dāng)我們不在大型會(huì)議（比如DEF CON）上舉辦社會(huì)工程學(xué)競(jìng)賽，米歇爾也沒(méi)在和學(xué)生斗智斗勇（這是真的，我發(fā)誓）的時(shí)候，我們會(huì)在全世界范圍內(nèi)與一些頂尖的公司一起做安全項(xiàng)目。即使很多公司都知道釣魚(yú)攻擊的存在并且有強(qiáng)大的安全措施來(lái)防范釣魚(yú)攻擊，也還是有人不可避免地成為釣魚(yú)攻擊的犧牲品。

寫(xiě)這本書(shū)時(shí)，我們的腦海中一直在回想著那些經(jīng)歷。我們自問(wèn)：“我們?cè)撊绾卫眠@些年和大公司一起工作的經(jīng)驗(yàn)，幫助每個(gè)公司立即行動(dòng)起來(lái)，并做好防范釣魚(yú)攻擊的教育培訓(xùn)呢？”

我是一名建筑師了嗎

我和米歇爾曾經(jīng)在一些地方開(kāi)展過(guò)一個(gè)項(xiàng)目，這個(gè)項(xiàng)目很簡(jiǎn)單但很強(qiáng)大。它利用那些攻擊我們的工具反過(guò)來(lái)增強(qiáng)我們自己。我們知道這個(gè)想法不是我們發(fā)明的，畢竟現(xiàn)在有不少公司都在兜售“網(wǎng)絡(luò)釣魚(yú)”服務(wù)給合法組織。這些產(chǎn)品的很多使用者——大公司，過(guò)來(lái)找我們說(shuō)：“我們已經(jīng)使用這個(gè)工具一年了，但是員工釣魚(yú)攻擊的中招率還是很高，我們?cè)撛趺崔k？”

在回答這個(gè)問(wèn)題之前，讓我先講一個(gè)故事。我記得我買(mǎi)第一套房子快收房的時(shí)候，我和妻子都非常激動(dòng)，（我們要擁有自己的房子了！）于是我做了所有擁有自己的房子的男人都會(huì)做的一件事：買(mǎi)一些工具。我去家得寶（Home Depot）買(mǎi)了一套精致的工具，包括一把拉鋸、一把電鉆、一把豎鋸，還有其他一些五花八門(mén)的工具。

把這些工具買(mǎi)回家的第一天，我在地下室的架子上找了一個(gè)絕佳的擺放位置，然后就讓它們?cè)谀莾洪e置了一年。然后有一天我突然要鋸點(diǎn)東西，我非常激動(dòng)，因?yàn)榭偹阌袡C(jī)會(huì)使用這些新工具了！我拿出工具箱，取出圓鋸。我把所有的說(shuō)明書(shū)都讀了一遍，包括：“確定你根據(jù)所鋸的材料選擇了合適的鋸齒?！?/p>

我看了看鋸齒，心想：“看起來(lái)挺鋒利的。”然后我就開(kāi)始鋸板子。起初一切順利，我的手腳還在，板子也鋸開(kāi)了，圓鋸也沒(méi)毀壞?？墒呛镁安婚L(zhǎng)，幾小時(shí)后圓鋸?fù)蝗豢ㄗ〔粍?dòng)了。于是我給圓鋸充電，但是沒(méi)有什么作用。我還拿手摸了一下鋸齒，鋸齒依舊很鋒利。于是我斷定是圓鋸出了毛?。骸斑@鋸子肯定有問(wèn)題。”

然后我請(qǐng)了一個(gè)朋友過(guò)來(lái)幫我解決這個(gè)問(wèn)題，他拿起圓鋸看了一下說(shuō)：“你為什么用這種細(xì)密的鋸齒來(lái)鋸2×4的板子？”

我回答道：“你說(shuō)的是什么鋸齒？”

我的朋友搖了搖頭，然后就鋸齒的問(wèn)題給我上了一課。

為什么我要講這個(gè)丟臉的、缺乏男子氣概的故事，而不是直接指出我自己缺乏男子氣概？這是為了論證一個(gè)觀點(diǎn)：擁有工具并不會(huì)使你成為一名建筑師！

同樣，釣魚(yú)工具和建筑工具沒(méi)什么區(qū)別。僅僅購(gòu)買(mǎi)工具并不能保證你的安全，也不會(huì)讓你有能力教導(dǎo)其他人防范釣魚(yú)攻擊。

教導(dǎo)人們釣魚(yú)攻擊

好了，讓我們回到我和米歇爾開(kāi)展的那個(gè)項(xiàng)目上來(lái)：我們分析了釣魚(yú)攻擊和安全防范意識(shí)培訓(xùn)，發(fā)現(xiàn)正如很多安全專(zhuān)家所說(shuō)的那樣，這些項(xiàng)目大多都沒(méi)有用。

當(dāng)然，這里并不是說(shuō)安全防范意識(shí)毫無(wú)作用，我也不會(huì)很傻很天真地說(shuō)我們不需要安全防范意識(shí)。但是現(xiàn)有的安全防范意識(shí)訓(xùn)練采用的方法和方式的確不奏效。有人曾經(jīng)在安全防范意識(shí)訓(xùn)練中專(zhuān)注地看了30分鐘或者60分鐘的DVD演示嗎？有的話，請(qǐng)舉起你的右手。好了，后排坐著的那位朋友，你可以把你的手放下來(lái)了。正如我所猜想的，基本上沒(méi)有人舉手。

如果訓(xùn)練中沒(méi)有互動(dòng)或者訓(xùn)練時(shí)間過(guò)長(zhǎng)，那么人們就會(huì)在訓(xùn)練時(shí)開(kāi)小差。商人顯然深諳這一點(diǎn)，他們告訴我們要把網(wǎng)站做得有趣一點(diǎn)、互動(dòng)性強(qiáng)一點(diǎn)、直奔主題一點(diǎn)，這樣人們才會(huì)喜歡。教育的過(guò)程難道不也該如此嗎？

于是我們提出了一個(gè)計(jì)劃，把客戶的安全防范意識(shí)培訓(xùn)中釣魚(yú)攻擊的部分做得更有趣一些、互動(dòng)性更強(qiáng)一些。當(dāng)然，最重要的是不要太冗長(zhǎng)。這也是有必要寫(xiě)這本書(shū)的原因，我們想要在其中回答如下一些問(wèn)題。

? 釣魚(yú)攻擊有多嚴(yán)重？

? 心理學(xué)原則在釣魚(yú)攻擊中起到了怎樣的作用？

? 釣魚(yú)攻擊真的可以在安全防范意識(shí)訓(xùn)練中成為一個(gè)成功的部分嗎？

? 如果說(shuō)可以，那么公司應(yīng)該如何開(kāi)展這一訓(xùn)練呢？

? 任何規(guī)模的公司都能進(jìn)行釣魚(yú)攻擊的培訓(xùn)嗎？

我們列了一下關(guān)于釣魚(yú)攻擊的書(shū)的提綱，對(duì)我們的項(xiàng)目進(jìn)行了定義，并對(duì)我們的流程進(jìn)行了規(guī)范。我們考慮了很久是否要把這本書(shū)向公眾發(fā)行。畢竟，研究這些方法花費(fèi)了很多年。在看到這一項(xiàng)目對(duì)客戶的巨大幫助之后，我們決定寫(xiě)這本書(shū)。乍一看，這似乎是一本大多數(shù)人都沒(méi)什么興趣的書(shū)，至少在2014年不斷出事以前是這樣的。2014年，釣魚(yú)攻擊在真實(shí)的黑客攻擊中一次又一次地占據(jù)了頭條，每天的攻擊中都使用了釣魚(yú)攻擊，釣魚(yú)攻擊服務(wù)的提供者每個(gè)月都層出不窮，全世界的公司都開(kāi)始躋身于轟轟烈烈的反釣魚(yú)培訓(xùn)之中。

本書(shū)主要內(nèi)容

我和米歇爾希望本書(shū)可以幫助你進(jìn)行自我保護(hù)，以及幫助公司防御惡意釣魚(yú)攻擊者。本書(shū)會(huì)帶你踏上我們準(zhǔn)備寫(xiě)這本書(shū)時(shí)所走過(guò)的路。

第1章介紹基礎(chǔ)知識(shí)。這一章解釋了釣魚(yú)攻擊是什么，以及為什么要使用釣魚(yú)攻擊。我們列舉了很多最近發(fā)生的有效的釣魚(yú)攻擊的例子。

第2章探究了釣魚(yú)攻擊的原理。為什么釣魚(yú)攻擊有效？它們背后蘊(yùn)含了怎樣的心理學(xué)原則？

第3章只關(guān)注一個(gè)方面——影響，解釋了影響原則是如何被惡意釣魚(yú)攻擊者利用的。

第4章討論保護(hù)。前三章已經(jīng)涵蓋了釣魚(yú)攻擊的基礎(chǔ)知識(shí)，所以是時(shí)候討論該如何自保了。我們分別對(duì)普通人和專(zhuān)業(yè)人士提出了建議，同時(shí)也分析了我們所聽(tīng)說(shuō)過(guò)的最糟糕的建議。

第5章介紹了公司如何開(kāi)展釣魚(yú)攻擊項(xiàng)目以幫助員工提高安全意識(shí)。

但是你如何把這些內(nèi)容融入到公司政策里？我懂，我懂，政策這個(gè)詞在這些書(shū)里看上去似乎沒(méi)有探討的必要。但是我們不得不討論它，簡(jiǎn)短而重要的第6章就是討論這一主題的。

如果不介紹市面上一些重要的釣魚(yú)攻擊軟件的話，那么這本書(shū)就是不完整的。第7章會(huì)介紹這些工具，同時(shí)告訴你如何運(yùn)用它們來(lái)進(jìn)行釣魚(yú)攻擊。

第8章對(duì)本書(shū)中所有的原則和討論進(jìn)行了總結(jié)，并對(duì)釣魚(yú)攻擊訓(xùn)練的一些原則進(jìn)行了討論。

本書(shū)排版約定

為了幫助你理解書(shū)中內(nèi)容，本書(shū)采用了一些排版約定。

? 專(zhuān)業(yè)術(shù)語(yǔ)和重要的詞匯用楷體表示。

總結(jié)

本書(shū)的主旨是剖析釣魚(yú)攻擊是什么、為什么它會(huì)起作用，以及它背后的原理是什么。我們想要把釣魚(yú)攻擊所有的漏洞都揭示出來(lái)，這樣你就能了解如何抵御釣魚(yú)攻擊。

在我的上一本書(shū)《社會(huì)工程 卷2：解讀肢體語(yǔ)言》中，我講了一個(gè)劍術(shù)大師朋友的故事。他通過(guò)學(xué)習(xí)關(guān)于劍術(shù)的一切知識(shí)——如何用劍以及劍術(shù)的原理——來(lái)掌握劍術(shù)，然后找來(lái)了最好的陪練來(lái)幫他學(xué)習(xí)如何運(yùn)用劍術(shù)。這個(gè)故事在這里也同樣適用。當(dāng)你學(xué)會(huì)辨認(rèn)釣魚(yú)攻擊，熟悉釣魚(yú)攻擊工具，知道如何選擇好搭檔以后，也可以通過(guò)創(chuàng)建釣魚(yú)攻擊項(xiàng)目來(lái)提高你的技術(shù)水平，同時(shí)幫助你的同事、家人和朋友抵御釣魚(yú)攻擊。

在深入學(xué)習(xí)之前，我們需要了解一些基本問(wèn)題，例如“什么是釣魚(yú)攻擊”以及“釣魚(yú)攻擊有哪些例子”。

一起來(lái)尋找這些問(wèn)題的答案吧。