填寫問卷就能獲得會員?
0x00 講一個小故事
有段時間沒發文章了,這次真的不是懶得寫,而是寫了一坨自己都看不下去的文章,如果文章自己都看不下去,發出來也是在是夠丟人的。
本來還是好好在按步就班得打磨文章,突然的一個訊息“填寫調查問卷,就有機會獲得 一年 體驗會員”讓我激動了一下。(誰讓會員辣麼貴,萌新表示完全買不起),於是二話不說就點進去開始填寫問卷了。
聊天記錄
調查問卷截圖
誒?等等,哪裡不太對。這個問卷好似似曾相識。
另一個調查問卷,不過會員體驗的時間少了好多
唔,沒錯,贈送的會員體驗時間不一樣啊?!這次還多了九個月。
好了,故事就講到這裡 [一本正經臉]
0x01 一場騙局
上面所展示的所謂的“填寫問卷,就有機會獲得**會員”其實就是一場騙局,而這個手段正是社工的一種。
什麼?!社工是什麼?!不知道的話你點進來幹嘛。[PS: 開個玩笑]
社工,注意啦!敲黑板!社工並不是用社會工作者!!
百度搜尋
謝謝百度成功的社會主義文明的建設.
這裡的社工是指“ 社會工程學 ”,(PS: 說人話),所謂的社會工程學,是指利用人類心理學完成獲得建築物、系統和資料訪問許可權的藝術,有別於使用黑客計入的入侵手段。例如,一名社會工程師可以偽裝成一個僱員或IT支援人員,試圖誘騙目標以獲取對方的密碼,而不是去尋找一個軟體的漏洞。 社會工程師的目標通常是獲得一個或多個目標的信任。也就是說, 讓被攻擊人自己說出黑客所想要的資訊 。
由於現在的網際網路的普及,個人資訊的洩漏好像並不是意見很稀奇的事情,又或者像李彥巨集所說:“我想中國人可以更加開放,對隱私問題沒有那麼敏感。如果他們願意用隱私交換便捷性,很多情況下他們是願意的,那我們就可以用資料做一些事情。”,但是,我們應該對自己負責。
0x02 社會工程學的防範措施
既然說了這個攻擊的手段了,就順便聊一聊它的防範措施。
1、保護個人資訊資料不外洩
目前網路環境中,論壇、部落格、新聞系統、電子郵件系統等多種應用中都包含了使用者個人註冊的資訊,其中也包含了很多包括使用者名稱賬號密碼、電話號碼、通訊地址等私人敏感資訊,尤其是目前網路環境中大量的社交網站,它無疑是網民使用者無意識洩露敏感資訊的最好地方,這些是黑客最喜歡的網路環境。
2、時刻提高警惕
在網路環境中,利用社會工程學進行攻擊的手段複雜多變,網路環境中充斥著各種諸如偽造郵件、中獎欺騙等攻擊行為,通過我們近幾期的瞭解,網頁的偽造是很容易實現的,收發的郵件中收件人的地址也是很容易偽造的,因此要求網民使用者要時刻提高警惕,不要輕易相信網路環境中的所看到的資訊。
3、保持理性思維
很多黑客在利用社會工程學進行攻擊時,利用的方式大多數是利用人感性的弱點,進而施加影響。當我們網民使用者在與陌生人溝通時,應儘量保持理性思維,減少上當受騙的概率。
4、多瞭解相關知識
人們對於網路攻擊,過去更偏重於技術上的防範,而很少會關心社會工程學方面的攻擊。因此,瞭解和掌握社會工程學攻擊的原理、手段、案例及危害,增強防範意識,顯得尤為重要。
5、保持一顆懷疑的心
當前,利用技術手段造假層出不窮,如發件人地址、來電顯示的號碼、手機收到的簡訊及號碼等都有可能是偽造的,因此,要求網民使用者要時刻提高警惕,不要輕易相信網路環境中看到的資訊。
0x03 如果不幸成為社會工程攻擊的受害者,該怎麼辦?
由於社會工程攻擊的溫柔屬性,大多數受害者都不知道他們已經被攻擊了,而可能要耗費幾個月的時候才能發現這個問題。一旦你懷疑自己是社工的受害者時,首先要及時評估自己的哪些不良習慣給社工創造契機;其次社工給自身帶來的最大威脅是什麼?以及針對具體的威脅採取相應的補救措施有哪些?
當然,對於個人而言,修改和重置賬號密碼是抵禦社工最簡單粗暴的方式,是第一道也是最重要的一道安全防線。為防止黑客撞庫以及拖庫,需要將所有賬戶建立各自不同的強密碼,並且要確保新密碼與自己的家人無關。其次,聯絡你的銀行,仔細檢查你的財務報表。最後,可以考慮報告有關職能機構,以避免潛在發生的身份盜竊及冒名郵件詐騙。
0x04 尾記
對於那些所謂的填寫問卷調查贈送禮物來說,認清是否是官方組織所發放的,不是的話,先點個舉報之後就直接關掉吧。(PS: 簡書的舉報連個反饋都沒有,差評!)
我能做的,就是寫下這篇文章,提醒路過的你,要小心謹慎,不要因為免費的餡餅而因小失大。
引注:
- ofollow,noindex">目前黑客的社會工程學攻擊到達了什麼程度?如何應對社工攻擊? - 騰訊安全聯合實驗室的回答 - 知乎
- 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁