究竟什么是伪装?如果你有机会变成一个完全不同的人,你最想做的是什么?
一名活动家被警察的卧底骗取了五年的感情和信任,这是最近公开的解密文件中曝光的惊人情节。我们都在谴责这种肆无忌惮的监视行为,但之所以它没能在短时间内被揭露,正是因为活动家的防御警惕性不充分。于是,整个故事最关键的部分之一就是本文的主题:伪装。
<aside> <img src="/icons/archery_brown.svg" alt="/icons/archery_brown.svg" width="40px" />
延伸:https://iyouport.substack.com/p/f2f?utm_source=publication-search
</aside>
不必以为您自己不会遇到这种最邪恶的欺骗,也许您不是激进派,也许您对政治一窍不通,也许您真的循规蹈矩遵纪守法,但是,您依旧很有可能遭遇社交工程高手,因为您身上究竟有什么值得攻击者垂涎的价值,您自己说了不算,我说了也不算,而是取决于攻击者。
如果您已经成为政治异议、人权活动家、社会边缘群体、拥有或没有宗教信仰(这取决于不同的国家)、性认同少数群体,或者您只是被欠薪的打工族、被洗脑教育虐到发疯的学生 …… 甚至您只是希望做一点正义的事,您都应该确信自己已经成为了攻击的重点目标。
如您所知,数字监视无处不在,这是确实,但是直到目前为止 — 并且完全可以确信在未来足够长的一段时间内 — 当权者依旧会钟情于使用人力的盯防,也就是前面举出的警察卧底。因为这种方法有非常多的好处,尤其是与技术相结合使用的情况下。
于是,您完全有必要警惕身份伪装者的入侵,他们有可能就存在于你我的身边,以你我的“朋友”的身份存在于我们身边的人 — — 千万不要误会!我绝不是说鼓励您去质疑身边的朋友,绝对不是,而是希望您可以清楚地分辨恶意和善意。这是保护自己、自己的家人、自己的同伴和合作者的最佳方案。
本文主要介绍伪装的技巧 — — 即 那些渗透进反抗组织内部、异议人士身边的恶意监视者使用的方法,也是任何希望做正义的事的人免不了要使用的技巧。本文主要希望能帮您鉴别伪装者,如果您确定自己的目的正义,您可以决定如何使用这些技巧。
什么是伪装?有人认为伪装只是社交工程过程中编造的故事或者谎言,不不,没这么简单,这是非常狭义的理解。
准确的定义应该是:以背景故事、衣着、仪表、个性和态度来塑造的角色,以完成社交工程审计工作。伪装包括你所能想到的基于对象角色的方方面面。作为社交工程师,你伪装得越全面就越令人信服。一般情况下,伪装得越简单,说明技术越娴熟。
伪装,尤其是自互联网出现以来,越来越多地被恶意利用。见下面两个真实的故事:
<aside> <img src="/icons/archery_brown.svg" alt="/icons/archery_brown.svg" width="40px" />
延伸:https://medium.com/@iyouport/人性弱点能摧毁一切防火墙-社交工程攻击实践-以及你必须在乎的问题-1080b745430
延伸:https://steemit.com/tech/@iyouport/6bix1x
</aside>
曾经一件很有名的T恤,上面写着:“互联网上,男人是男人,女人是男人,萌娃是等着抓你的 FBI 间谍”。虽然这句话有调侃的意味,但是,事实上的确如此 — — 尤其是当我们在强调匿名安全的时候,如何分辨一个人究竟是不是他/她所声称的人,几乎是性命攸关的技能。
在互联网上,伪装技术在很多年来一直被用于黑客篡取利益,被警方和政府间谍用来抓捕诱惑他们想要的任何人。但是伪装的钓鱼方法完全不限于互联网上。
在社交工程攻击中,角色扮演或者假扮别人以达到目的,很多时候是非常必要的。世界著名的社交工程学专家 Chris Nickerson 曾经聊到了这个话题,他指出了一些要害观点。
Nickerson 说,伪装不是在扮演某个角色,或者演出某个剧情,不是让你撒谎然后不断地圆谎,而是,要你真正成为那个人。你的一丝一毫都是生活在那个人的身体内,你的走路方式、说话方式、肢体语言,与那个人一模一样。这就是关于伪装的最根本哲学。
许多人认为伪装只是乔装打扮。衣着的确能起到作用,但是,伪装这个概念本身是一门学问,作为实践者你的目的应该是完全变成另一个人。