突然感觉到,成功的电诈就是社会工程学的最佳实践

2023-06-20 08:36:01 +08:00
 JinBin

和一些经典的国外社工案例相比,电诈利用开盒产业把个人信息收集能力点满,而国外一般只能 open source intelligence.再有就是国外的经典案例有一个人对一个组织 /公司的,而国内电诈一般都是一个团队对个人。两边都是把 cognitive bias 运用到极致。学习电诈案例对提高社工水平应该是比较有帮助的。

6405 次点击
所在节点    奇思妙想
32 条回复
danbai
2023-06-20 09:02:03 +08:00
去缅甸进修?
idolud
2023-06-20 09:05:29 +08:00
现在入行也不迟[doge]
haikea
2023-06-20 09:13:08 +08:00
刑啊老哥
bshu
2023-06-20 09:22:35 +08:00
第一次接触社会工程学,查了一下定义,长见识了。
~~~
社会工程学是指在信息安全方面操纵人的心理,使其采取行动或泄露机密信息。[1]有別於社会科学中的社会工程,這是种以收集信息、欺诈或入侵系统为目的的信任骗局,已發展出各種技術手段,並可能用於犯罪。
~~~
fiypig
2023-06-20 09:50:29 +08:00
但首先第一步先挨打
itskingname
2023-06-20 09:54:37 +08:00
凯文米特尼克十几年前写得书《欺骗的艺术》早就这样说过了。再安全的系统,人都是里面最薄弱的环节。
guoziq09
2023-06-20 11:12:11 +08:00
用软件翻译了一下
open source intelligence 的意思是开源情报
cognitive bias 的意思是认知性偏见
est
2023-06-20 11:47:42 +08:00
什么社工。。没有党妈给你辛辛苦苦搜集实名信息,能诈骗个鬼。。。。。
SilentRhythm
2023-06-20 11:56:18 +08:00
"她的软肋是她女儿"
zhangtest
2023-06-20 13:45:34 +08:00
@est 一语道破
FreeWong
2023-06-20 13:57:31 +08:00
@est 绝对 同意
MengiNo
2023-06-20 14:06:01 +08:00
看看 b 站的那些纸片人。一个打工人几乎不怎么关注的四六级成绩都能泄露的满天飞,甚至都开始学信网到底是不是境外势力开的。
mmxq
2023-06-20 14:13:28 +08:00
哎~那我有个点子💡
既然说电信诈骗那种广撒网式的手段已经被大众所熟知,且难以对一般人起效。
现在的电信诈骗都是从个人信息入手开展工作,那是不是说,电信诈骗屡禁不止的根源就是个人隐私的泄漏?毕竟没有个人信息,哪来的社工?
那从这个角度出发,从我们个人的角度,可以试着用“沙箱”的思维隔离筛选出可疑信息,避免信息差导致受骗。
例如我手里有双卡加一个副号,那么我可以把两个实体号码专事专干,第一个号码只用来注册政府机构服务和支付,此号码只透露给家人,其余一概不处理。
第二个号码用来注册一些不是很重要的东西,平时的聊天软件,朋友之间的日常对话,保险公司等等,但别注册任何网站和购物社交类 app 。
最后副号(不容易找到真实信息)作为垃圾桶,注册那些购物平台,社交软件,平时的不太重要的交流。
那有诈骗电话打进来,就可以通过是哪个手机号确定该怎么办。
假如打给第一个实体号码,来电不认识,直接挂断并拉黑,因为不可能有你不认识的人打过来。
假如打给第二个号码,只接听明确的公共机构组织和通讯录里的朋友,其余也是挂断。
副号就更简单了,所有陌生来电一概忽略。因为业务不是很重要,也不必担心错过什么重要的事儿。
SurgaOrange
2023-06-20 14:50:47 +08:00
@est +1 各种实名制以来 个人信息可以被随意获取,诈骗越来越好做了
Slurp
2023-06-20 15:27:26 +08:00
🤣 你猜猜谁收集的,又是为什么能随意获取?多想,好想。
royalknight
2023-06-20 16:10:22 +08:00
现在电诈的这些应该还没用到比较深层的社工库
qweruiop
2023-06-20 16:48:31 +08:00
隐约记得,当年买房房管局了留了一个新号,第二天,各种装修,贷款,租房,中介的电话就开始蔓延了。。。
zaunist
2023-06-20 16:58:00 +08:00
有那么一本书,叫做《线上幽灵》,有那么一个人,叫凯文.米特尼克
bjzhush
2023-06-20 17:04:54 +08:00
其实并不是
成功的社工实际上是需要有难度的一些技巧,猥琐但灵活的技巧,通过各种活动组合,一点点的突破多层的限制,最终达到突破防线、拿到数据、攻入核心系统等各种难度极大的目标,有些甚至可以算是 APT 攻击
而你说的电诈么,主要是通过全面的碾压式的各种身份、电商订单、地址、家庭成员信息,加以固定的优化过的话术及场景设定、骗术等,大撒网式的在人群中捞取反诈能力较弱的人群,达到骗钱的过程。

实际上是两码事
baiyi
2023-06-20 17:07:26 +08:00
国内就是信息泄露太严重了,才导致电诈这么猖獗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/950170

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX