最近发生了几起轰动全国的电信诈骗案。人们纷纷寻找原因。他们觉得只有找到原因,才能有的放矢做出防御,防止自己上当受骗,而后才能睡得踏实。
一开始,许多人认为被骗的原因是受害者智商不足。
很快,这个观点就被推翻,因为清华教授也被骗了。
于是人们转而认为受骗是因为不了解现代科技。
这个观点存活时间更短,因为一个“IT男”跑出来心有余悸讲了自己几乎被骗的经历。
人们先是一愣,继而烦躁。
突然间,有人指出受骗是因为隐私被泄露。一定是自己平时打交道的机构里面有蛀虫!他们利欲熏心、监守自盗,给骗子们当内应,泄露了我们的隐私。只要把这些家伙抓起来,世界就太平了。
这个观点立即受到追捧。因为不但指出了原因,还指明了解决方案,皆大欢喜。
大家一边呼吁警察叔叔快点儿行动起来,一边踏踏实实去睡觉了。
但是我得把你叫醒,虽然试图把人从熟睡中叫醒是件很恐怖的事儿。
那些出卖我们隐私的蛀虫当然可恨,该抓!但我要告诉你,即使把他们都抓尽了,骗子也依然有强大的内应。
这还了得?!抓起来啊。
抱歉,抓不起来,因为这“内应”住的地方有点特别——在我们自己的决策系统中!
下面我们讲讲电信诈骗案中,骗子们呼唤这个“内应”的技法。
十八岁以下读者请自觉关闭本文,或者在监护人指导下阅读。
社会工程
电信诈骗是一种低成本的诈骗方式。三两个人,用一个电话、几则短信和若干个粗制滥造的网页,就能把人们骗得团团转,真金白银拱手相让。到底是怎么回事儿?
因为电信诈骗所用的技术,叫做“社会工程”。
如果你热爱阅读新闻的话,应该听说过这个词儿。记者们津津乐道社会工程的案例,读者们看得如痴如醉,觉得既有趣味又长学问。似乎记住了这些案例,骗子就再也蒙不了自己了。
考考你,什么叫“社会工程”?不知道?
维基百科(Wikipedia)的定义是“利用心理操纵,让人们做出设定的行为或者吐露出机密的信息”。
社会工程的发明者叫做Kevin Mitnick,在史上最危险黑客排名中位列榜首。
FBI历尽千辛万苦抓住他之后,法官宣判把他单独关押,一个电话都不能打。因为法官完全相信,只要Mitnick对着电话嘟囔一段代码,世界某个角落的核弹就会爆炸。
Mitnick的伟大发明怎么可能是用来蒙骗普通人的?人家高手是要面子的好不好?
社会工程原本用于对大型机构的信息窃取与金融诈骗。那些安保周密、制度森严的公司乃至政府部门都纷纷上当受骗而无计可施。
Mitnick遭恨的地方在于他把这些秘籍写了本书,还出版了!
小蟊贼们如获至宝,有样学样。他们可没有什么罗宾汉式的情怀,如今调转社会工程的炮口,对准了千千万万的平民百姓,一幕幕人间惨剧就此上演。
我在大学教“信息系统开发”课程,台下这几十号学生将来有许多是要负责企业、学校,乃至政府的信息系统建设和维护的,所以每学期的课我都要拿出2课时专门介绍社会工程,以防止那些关键系统将来在他们这个环节上被攻陷。
我在课上让学生们把自己想象成骗子,推演如何利用社会工程使人上钩。别觉得我的教法太激进。因为只有你了解了骗子的内心活动,你才能真正防被骗。再说了,哪个审计师不懂得N种做假账的方法?
当然,为了不让他们把路走歪,每次课前我都说这样一句话。希望你也能认真念一遍:
害人之心不可有,防人之心不可无。
信息系统好像一座城池,然而城池设计得再固若金汤也不一定有用。因为城里面住着士兵和居民,系统有管理者和用户。
特洛伊城够坚固吧?希腊英雄时代豪华天团围困了它十年,就是攻不下来。最后怎么办?弄了个木马,把战士藏在里面。那木马可不是飞进特洛伊去的,而是被特洛伊人自己拉进去的。
金融系统每年投入大量经费用于完善安全系统。能考虑到的都考虑到了。但是银行柜员劝一个大爷不要颤巍巍急匆匆往一个陌生账号里面打钱,大爷能跟她骂街。
这些怪事儿怎么发生的?
问法有误。这些根本就不是怪事儿,而是设局一方巧妙(卑劣)地利用了人们决策系统的漏洞。
看到这个“内应”的强大了吧?想不想也学学怎么召唤它? :-P
你当年学广播体操是一招一式学的吧?我们把内应的唤醒密码拆解一下,先分解再综合,看看社会工程怎么实施。
我们选取决策系统漏洞里面最为常见、最易激活的3个分别介绍。他们是:
- 贪婪
- 恐惧
- 不爱动脑
贪婪
一个人明明有了许多,却还想要更多。得到了又未必有好处,总让人觉得可悲、可笑又可恨。
我要是问:你贪婪吗?
答案八成是:怎么可能?!
你上次成功抵御了美味巧克力(或者冰激凌)的诱惑是什么时候?
……
不必羞愧。你一定要明白,这是典型的进化结果。
《人类简史》里面提到,古时候的人很难接触到糖分。而糖是非常好的能量来源。一旦得到宝贵的糖,怎么办?吃啊,吃到吃不下为止。超出身体所需的转化为脂肪存着备用。“多吃了三五口”的人更容易在食物匮乏时期活下来,他们的基因就更多地撒播到今天人类的身上。
今天的你,很容易得到巧克力,不需要储存为脂肪,而且大部分人其实害怕积累脂肪。你的理智告诉你“不能再吃了,要不然一个星期的减肥白费了!”但是你的基因告诉你“吃啊,吃啊!”基因和理智谁赢了?你猜。 :-P
人性中的贪婪不用后天习得,而是直接写在了绝大多数人的基因里面。
而且,贪婪不一定是错的。
企业家没有对事业的贪婪,怎么可能把不到十个人的初创企业扩张成跨国集团?
科学家没有探索未知的贪婪,怎么可能对着烧杯、试剂和培养皿没日没夜地观察和记录?
体育世界冠军没有对荣誉的贪婪,怎么可能苦练技能十余年,一步步走上最高领奖台?
但盲目的贪婪是可怖的。
社会工程可以激活盲目的贪婪,方法是诱之以利。就像我们钓鱼时总要放饵一样。
骗子想要你的银行账户,你凭什么告诉他?可是一旦他说要给你打钱(包括助学金),你的疑虑构成的堤坝瞬间就被贪婪的洪水冲垮了。
骗子想让你给他的银行账户转账200元,你立刻就捂紧了自己的口袋。可是他说你中了千元大奖,这200元是你必须缴纳的税款而已,不少人立刻就美滋滋地照做了。
恐惧
恐惧是人们面对可能的危险做出的反应,时常过激。
人们常常事后嘲笑他人的恐惧。笑他们不沉着、不冷静、不机智、不勇敢。古代战场上,跑了五十步的人对跑了一百步的人就爱这么做。
想象一下,此时你正在阅览室里面用手机津津有味地读我这篇文章,突然间你发现屋里的小伙伴们纷纷往外跑,楼道里面瞬间都是奔跑的人流,一边跑还一边喊“着火了!”这时候,你怎么办?
你会镇静地坐在那里,拿出手机发个微博这样问吗?
听说XX楼着火了,楼外的同学请验证一下这条信息。急,在线等。谢谢! :-)
当然不会了!你肯定立即跟着一起跑嘛!
你的不少祖先大概就是因为做出了这样的反应,所以基因才会来得及流传到你的身上。
有没有人不恐惧?有啊。有人看到“猛兽区,禁止下车”的牌子就没有恐惧,而是从副驾驶位置下了车,转到了驾驶室外面跟司机交谈,镇定地把背影丢给了步步逼近的老虎……
社会工程如何利用人们的恐惧呢?
就是突然把诈骗对象拉进一个恐怖的想象里面。
“你儿子出车祸了!现在马上需要手术!他身上带的钱不够,赶紧打到这个账号……”
“你的银行卡有一笔大额支出,很可能是被盗刷了!我们需要你收到的验证码才能帮你拦截,请抓紧发过来。2分钟失效,之后钱就追不回来了!”
不爱动脑
家长总是批评孩子不爱动脑。
老师经常批评学生不爱动脑。
从小这句话听得多了,就给了我们一种错觉——所有人都应该像“别人家的孩子”小明一样爱动脑,那才是人生常态。
怎么可能?!
爱动脑不是人类的天性。不爱动脑才是。
《思考,快与慢》里面,丹尼尔卡尼曼列出了人们思维的两个系统。系统I省时省力,立即做出决策;系统II慢工细活儿,斟酌再三,但是考虑更为细致周到。对于大脑没有损伤的人,这两个系统是相互配合,同时工作的。但是做过分组作业的同学肯定明白,“互相配合”也有工作量大小的区别。猜猜看,这两个系统人们更喜欢用哪个?
当然是怎么省事儿怎么来了!
想想看,都市生活中,你一天的时间里可能会接触到许多陌生人。你对这些陌生人的印象是如何形成的?
你会不会通过翻阅他们的社交媒体档案,在头脑中构建一个先验概率?拿个小本儿,不断记录他们的言行,不断依照他们新的行为与言谈对估计值进行刷新修正?
你如果真这么做了,不是传记作者就是盯梢的。
我们一般只是看一眼对方的相貌衣着,听对方说一句话或者办一件事儿,乃至因为旁人对他的只言片语,就立即给人下了判断。
为什么?省脑力啊。思考需要消耗大量的能量。我们的脑力真的不够用啊。
我们把脑力花在“重要的”事情上。
许多人为了买辆汽车,做足了功课。参数配置背得朗朗上口,不同品牌同类型同档次的车优缺点列表背得比4S店销售还熟。
可与之对应,“小事儿”我们不思考。
大部分人在买饮料的时候,并不会拿起瓶子,认真阅读配方和各种添加剂的含量。能认真看一眼保质期就不错了。
大多数情况下,我们选用快速思考系统也能获得不错的结果。
因此,我们不喜欢自己钻研问题,而是希望对方直接告诉自己答案。
我们不喜欢别人做天气预报(明天降水概率60%),而是希望听到确切的天气预测(明天中雨)。
既然不喜欢自己思考,我们就必须给自己匆忙武断没来由的决策找个支点。
于是我们喜欢信赖穿制服的人,例如苹果店里面那些穿着蓝色衣服自称天才的家伙,因为在你看来,制服——而不是这些家伙的技能证书——代表了专业。你每次都会要求查看他们的证书吗?
我们倾向于信赖自己的朋友,而不是陌生人的建议。哪怕陌生人告诉你应该用指数成分股和债券构造你的投资组合,而朋友告诉你“e租宝是个好东西”。
社会工程怎么激活你的“不爱动脑”?
冒充你的朋友。他们盗取了你QQ群里某个好友的账号,混入群里发帖。“那天聚会的照片就不单独发了,链接在这里,自己下载吧。”“快要毕业了,有些东西懒得搬走了。列了几样东西在这里,更多的就懒得列了,有兴趣的点进来自己看吧。”你点了链接,你的QQ被盗,于是你的好友就要在下一轮的骗局中遭殃了。
冒充专业人士。魏则西在浩如烟海的信息里面迷失了,选择了相信某热门搜索引擎的“推广”。而后到了三甲医院,他又相信了白大褂代表的权威。许多骗子一张口就冒充公检法,也是在骗取你的绝对信任——当然,你在电话里看不见他是否穿了制服。
即便到了防骗对策这种关键环节,人们还是不愿意认真思考,而希望立即得到简单易行的办法。于是才有了“六个一律”的流行。
我对“六个一律”的评价是:
Good recall, terrible precision.
检察院和法院的同志们表示,近期已经快被“六个一律”折腾疯了。
案例分析
社会工程的基本招式学会了吧?现在咱们看看“IT男遭遇的高科技诈骗”这个例子中,骗子是如何打出一手漂亮的组合拳的。
首先,对方一来电话就声称自己是京东商城的,正确报出了IT男的银行卡号,冒充专业人士来骗取信任(信任他就意味着你放弃独立思考了)。
IT男不上钩,还打算消遣他。于是骗子马上就用第二招——激活恐惧。
“你的卡有两笔支出,一笔金额较大”。
IT男自己说,从短信提示到ATM机,看到两笔钱确实出去了的时候,“方寸大乱”。
第三招适时跟上来,骗子声称“我们已经帮你追回了一笔”。这里利用的是贪婪——你在绝望中看到小钱可以追回,难道不想把大钱也追回吗?同时也鼓励你放弃思考——人家帮你追回了一笔钱,难道你还用怀疑对方是骗子吗?相信吧,相信吧!
想想看,这种组合拳重击之下,清醒的还有几人?骗子找你要短信验证码,当然迫不及待地就交给他了。
IT男怎么没上当呢?因为在IT领域,两步验证是** 最常规**的安全登录方式。
多好的行业素养啊。是谁说“少壮不努力,老大做IT”的? :-P
怎么战胜骗子的“内应”?
看到了吧?骗子最可靠的“内应”就是决策系统中的严重漏洞。它们可以说是进化胜利者的遗产,但是也成了人性中固有的弱点。
我们真的束手无策,只能任人宰割吗?
不是的。你的电脑系统和手机系统都经常会被爆出漏洞的,你把它们都扔了吗?没有吧?你打补丁了,升级了,对不对?
同样,请你给自己的决策系统漏洞也打几个补丁。
你要试着分清什么是真的收益,什么是假的收益,以避免因盲目贪婪落入陷阱。你发现了一家非常好的意大利餐馆,多去吃几次没有坏处;你遇到了一本好书,如饥似渴读完没有问题。然而,当你听说自己被“幸运大转盘”抽中获得了大奖的时候,别着急交运费(或税款),先给中央电视台打个电话确认一下。尽量别用某热门搜索引擎,以免不慎点入“推广”链接。另外尤其注意别用短信里面附带的电话号码。
你要分清什么是真的危险,什么是假的危险。真的危险,哪怕是潜在危险,都需要快速反应。例如听见警报立刻逃跑。假的危险(例如股票跌停甚至股市交易“熔断”)就得思考一下了,以免造成“股票一卖就涨”的尴尬。我们常说“泰山崩于前而面不变色”,这真得靠长期修炼的结果,因为它是违背人性的。80年代那次美股大跌,别人抛股票如同烫手山芋,巴菲特却如同在黑色星期五时被扔进了没有其他顾客的大商场一般,一个劲儿喜滋滋地“买买买”。
你得分清原始本能冲动、古人谚语格言和这个复杂现代社会之间的匹配程度。许多适用背景已经迥然不同的观念必须从脑子里面清扫出去。这就如同你不能一直盯着后视镜开车,也不能把去年的日历用在今年一样。反之,许多新的、适应时代甚至面向未来的概念则需要“请进来”。如果你当初好好学习了英语,今天就不必强迫自己去看某些被蹩脚翻译糟蹋了的译本;如果你当初学习了一些社会心理学的基本原理,就会清楚了解到别人要骗自己有哪些途径;如果你当初好好学习了经济学,就不会相信天上真的会掉馅儿饼——还偏偏砸中了自己。今天开始,并不晚。因为可以让你将来不再后悔。
不大量阅读好书和养成独立思考的习惯,这些都是难以完成的。认真进行独立思考确实很耗精力,刚开始做的时候非常困难。但是一旦养成独立思考习惯,你能从中获得收益与乐趣会让自己惊讶。
祝大家早日打补丁成功,消除“内应”的隐患,在将来与各种骗局的战斗中立于不败之地。 :-)
近期热门文章: