查看原文
其他

社会工程学之诱导

计算机与网络安全 计算机与网络安全 2022-06-01

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:460500587



微信公众号:计算机与网络安全

ID:Computer-network

有效地引导别人将心里话说出来,是社会工程成功的关键。在人们见到你并和你交流时,你应该让他们感觉很自在,使之主动吐露心声。


你是否碰到过什么人,然后立刻觉得“哇,我喜欢这个人”?为什么会这样呢?他究竟有什么特质让你有这种感觉呢?是他的微笑,他的长相,他对待你的方式,还是他的身体语言?


或许是他与你的想法及期望值比较“一致”。他看你的眼神比较平和,没有偏见,你便立刻觉得和他在一起很放松。


现在设想你也有这样的潜力并能掌握这种能力。诱导是间谍、骗子和社会工程人员常用的一种强大的技术,医生、治疗师和司法人员也在使用。如果你希望保护自己,或者希望成为一名优秀的社会工程审计人员,那么就必须掌握这一技巧。有效地使用诱导会产生惊人的效果。


什么是诱导?它是社会工程中少有的几个强有力的工具之一,这也是将它置于社会工程框架顶层的原因之一。仅通过这一种技巧,就能改变人们对你的看法。从社会工程的角度来看,它能改变你在安全实践中的工作方式。下面将详细分析几个专业诱导的实例,深入分析这一技术在社会工程场景中的应用。


一、诱导的含义


诱导的意思是引出、套出或者得出一个逻辑上的结论(例如某种事实)。或者,可以将诱导定义为一种引发或者诱发某种特定类型行为的刺激,正如“诱导他说出供词时颇费周章”一句中的意思。


请再看一遍上面的定义,如果没有起鸡皮疙瘩的话,那么你的理解就有问题。想想它的含义。有效地使用诱导意味着你能提出具有诱导性的问题,刺激别人采取你所希望的行动。对于社会工程人员来说,这意味着有效地使用诱导可以将你说话及提问的技能提升到一个全新的层次。从信息收集的角度来讲,专家级的诱导就是指目标愿意回答你的任何问题。


我们再深入一些,因为全球的间谍都会使用诱导技巧,所以很多政府部门会对其公职人员进行培训并给出警示,以对抗诱导。


在美国国家安全局的培训材料中,对诱导的定义如下:在貌似正常和平凡的对话中精妙地获取信息。


这样的会话可能发生在任何地方,比如餐馆、健身房及幼儿园等。诱导使用起来效果很好,因为其风险较低且通常很难被察觉。大部分情况下,目标甚至不知道什么时候泄露了信息。如果被怀疑动机不纯,则可以“不过随便问个问题”为由假装生气、蒙混过关。


诱导的效果如此之好的原因如下:


大部分人希望看上去比较有礼貌,尤其是对陌生人;

专业人士希望自己看起来见多识广、很有才气;

如果得到赞赏,大部分人通常会越说越起劲并泄露更多的秘密;

大部分人不会为了撒谎而撒谎;

大部分人对貌似关心自己的人会比较友善。


大部分人都有这些特点,这使得诱导的成功率极高,也使得人们在说起自己的成就时口无遮拦。


诱导与信息收集很相似且紧密关联。通过良好的伪装和诱导技巧,这个特别的信息收集过程会容易得多。诱导技巧的应用使得问题能够自然地提出,目标在回答这些问题时也觉得很自然。


通过简单、轻松、愉快的谈话就可以从很多人手中获取最好的信息。为了实现最佳结果而明确定义你的目的。诱导不仅用于信息收集过程,也可以强化你的角色伪装,从而获取信息。所有这些成果依赖于定义清晰、经过深思熟虑的诱导模型。

二、诱导的目的


社会工程人员想要目标对象做某件事,这件事可能简单到只是回答一个问题,也可能复杂到允许他进入一个限制区域。要达到这一目的,社会工程人员需要询问一系列的问题,或者与目标对象进行交谈,最终引导目标对象帮他达到目的。


信息是其中的关键。获取的信息越多,攻击的成功率就越高。因为诱导不具有威胁性,所以很容易成功。请想想一周中你在商店、咖啡馆或者其他地方进行过多少次无意义的短时谈话。谈话的真谛在于使用诱导战术,并且每天都以一种无恶意的方式使用。这也是诱导有效的原因。


在英国真人秀节目《骗术真相》的一期节目现场,主持人展示了社会工程攻击是多么地容易。这期节目中,攻击的目的是吸引目标对象参与一个被操控的撞大运游戏。为此,攻击者的一个同伴扮演成陌生人,与攻击者交谈,并且在谈话中表现出极大的兴趣。谈话吸引了周围的人,这样就很容易诱导目标,从而得到所期望的响应。这种方法屡试不爽。


不管采用何种方法,目的都是获取信息,随后利用这些信息引导目标采取社会工程人员所期望的行动。理解这一点很重要。要意识到,诱导需要通过交谈实现,这一点很重要。虽然它和伪装、肢体语言以及眼神密切相关,但是相较于在谈话中进行的诱导来说,这些活动稍显逊色。


一些专家认为掌握交谈的艺术需要3个主要步骤。


(1)表现得自然。如果在交谈中显得不舒服或者不自然,会很快导致谈话失败。要想验证这一点,可以进行如下练习。与他人谈论一些你精通的领域,在这个过程中你可以录像或者让朋友观察,观察你的站姿、动作以及阐述知识的方式。这些行为可以反映出你的自信和自然。然后,尝试参与一些你一无所知的领域的谈话,同样进行录像或者让朋友观察。看看在这种对话中你试图发表“真知灼见”时,这些非语言方面有哪些变化。


这些练习会显示出你表现自然与表现不自然的差异。与你交谈的人很容易就会察觉这一点,不自然的表现会葬送你成功诱导的机会。


(2)拥有足够的知识。你必须了解与对象交谈时所涉及领域的知识。最要紧的是你不能装成自己不可能成为的人。


如果要得到某个绝密产品的化学成分,你要诱导的目标是制造该产品的一位化学家,并且决定和他谈论化学,那么此时你不能伪装成一个世界级的化学家(除非你真是)。他可能在交谈中提出一些你一无所知的问题,那样你就演砸了,诱导行动也就归于失败了。


更加现实的方式是伪装成一个学习某专业的学生,得知他在这个领域有惊人的造诣。基于他的专业知识,你只是要问他一个与自己正在研究的化学分子式有关的问题,问他该分子式为何没有效果。


重点是,不管你选择谈论哪个话题,也不管你选择和谁交谈,都要做些研究、反复练习且精心准备。一定要具备足够的知识,就目标对象会感兴趣的话题侃侃而谈。


(3)切忌贪婪。当然,诱导的目的是获取信息、得到答案或者取得进入某领域的钥匙。然而,不要将此作为重点。如果你一心想得到自己需要的信息,很快就会被目标看穿,导致目标失去兴趣。通常情况下,给对方一些感兴趣的东西会引起对方的交换情结,这样对方会觉得有义务给你一些回报。在交谈中这一点很重要。交谈中要有来有往,除非对方是一个滔滔不绝的人。如果他谈论不止,就让他说。如果你得到了一些信息,就适可而止,不要贪婪地不断深挖,否则会引起对方的警觉。


有时,世界上的“最佳交流者”其实是那些听的比说的多的人。


这3个成功诱导的步骤能有效改变你和其他人在日常生活中的交流方式,不仅对社会工程人员和安全审计人员有益,对普通人也是如此。


例如,交谈中诱导的一个重要方面是面部表情。表现得太紧张或太放松都会影响人们对你问题的反馈。如果你言辞镇定,并且吸引了目标参与交谈,但是身体语言或面部表情却表现得漠不关心,这会影响对方的情绪,即使他自己并没有意识到这一点。


社会工程人员接近目标时,他的精神或活力会影响对方的感知。活力会通过肢体语言、面部表情、穿着打扮等各方面表现出来,语言只是一种辅助的表现方式。在不知不觉的情况下,人们就会有所感知。


一个人的精神或活力会传递到你的“感知器”,这些数据会和以往的经历相关联,从而形成一个判断。判断会立刻形成,很多时候连自己都不知道。所以在进行诱导工作之前,必须使你的活力与所扮演的角色相匹配。如果你的个性或精神特质不能使你轻易伪装成一位经理,那么就不要尝试去这么做。必须找到适合你的角色和切入点。就我个人来说,我只是一个普通人,强项不在化学或高等数学上。如果要参与化学和高等数学方面的对话,我不会扮演一个对二者十分精通的人,而是会伪装成一个只想随便聊聊天气的陌生人。


不管你选择使用何种方法,都需要做一些准备工作,以期得到更好的结果。其中的一个步骤可以称为铺垫。


1、铺垫


铺垫意指你可以按照它说的做——通过植入的信息或观点影响目标对特定信息的反应。铺垫常用于营销信息中,例如一些全国性连锁餐馆会通过广告展现人们微笑着享用美食,食物看起来精致而完美。当画面中的人说“太好吃了!”或者“哇噢!”的时候,你似乎也能感觉到其中的美味。


当然,社会工程人员不能通过商业广告来影响目标,那么如何在社会工程过程中应用铺垫技术呢?


在大多数社会工程应用中,你得从最终结果出发,确定开始时应该做哪些准备工作。你的目的是什么?你诱导的一般目的可能是获取对象工作项目的信息,或者他在办公室/度假的时间。不管是什么,必须首先设定目标。接下来要决定你要问何种类型的问题,然后才能决定如何植入一些前期信息,诱使对方给出你想要的答案。


铺垫本身就是一种技巧。以一种隐晦或婉转的方式植入想法或思路,比诱导本身更需要技巧。根据目标的不同,铺垫有时是相当复杂的。


在开始分析如何利用诱导的同时,考虑铺垫的问题会更有意义。社会工程人员从一开始就掌握了这一技巧。很多时候,社会工程人员在开始社会工程生涯之前就已经意识到自己有该项技能了。他们在青少年时期就发现与人沟通很简单,并且随后会倾向于与人沟通的工作。也许他是所在朋友圈的中心,人们遇到问题时会找他倾诉,会和他谈论任何问题。他后来意识到这些交流技巧能让他得到很多别人不能获得的机会。


大部分社会工程案例的进程会很快,但原则是相同的。即使是天才也必须遵守类似的原则。因为铺垫工作涉及个人的情感和意识,所以不要给他们怀疑的理由。所提的问题必须与你伪装的角色相匹配。要想准备工作奏效,之后提出的问题要与你前期植入的意识相匹配。例如,如果我的建议是到客户的家乡并给他带回一些拍摄的相片,而不是为他管理物业,就和他对我的认识不相匹配,因为我的形象是一个灵活、有生意头脑及有爱心的年轻人。最后,在目标达成时,必须对客户有益,至少让他认为有益。在我的例子中,客户能够感觉到的好处是充分的。但是在社会工程中,可能只是一些“吹嘘”,为他人提供一个夸口的平台,或者提供一些更加实在的好处,包括身体、金钱或者心理上的好处。


练习诱导,不断变得熟练,你就会变成杰出的社会工程人员。


2、成为成功的诱导者


不惧与他人交谈,并处于非“常规”场景中。

真心关心他人,即使是陌生人。乐于并享受倾听。

只在有了真正的解决方案时才提供建议或帮助。

在他人说出自己的问题时,不做主观判断。


确实存在成功诱导的关键元素。美国国土安全部有一个供内部员工使用的有关诱导的小册子,这本小册子中有一些十分精彩的观点。基本上,按照小册子的描述,诱导的应用在于其有效性、很难察觉及不具威胁性。该手册采用了“怎样避免”的角度来描述诱导,其中给定了一些场景以展示其要点。


(1)唤醒他人的自我


美国国土安全部的手册中的场景如下。


攻击者:“你的工作一定很重要,某某认为你很厉害。”


目标:“谢谢,谬赞了,但是我的工作并不那么重要,也就是……”


唤醒他人自我的方式简单有效,但是要注意如果滥用这一强大的工具,或者不是出自真心,则会让目标失去热情。你不会到处和人说:“哇噢,你真是全球最重要的人,长得还那么帅。”这样说只会引起别人的警觉。


唤醒他人的自我需要微妙的处理。如果你碰到的是一个真正的自我陶醉者,在听他夸耀过往成就时,眼珠不要转,不要叹气,也不要争论。微妙的自我唤醒要像这样,“你的那个研究改变了很多人在……方面的观点”或者“我无意中听到史密斯先生在那边说,你是他最敏锐的数据分析师”。要达到目的,但不能说得太明显。


据美国国土安全部的手册介绍,精心的吹捧会促使他人说出一些从未透露过的信息,而这正是社会工程人员想要的结果。


(2)表达共同的兴趣


考虑如下的模拟场景。


攻击者:“哇噢,你有ISO 9001规范数据库的背景?那么你该看看我们开发的辅助认证的报告引擎模型,我可以发给你一个副本。”


目标:“太好了。我们正琢磨着在系统中添加一个报告引擎呢。”


表达共同兴趣是诱导的一个重要方面。在上面的特殊情境里,甚至比“唤醒自我”更加有效,因为它迅速拓展了关系,超越了初始交流范畴。目标同意进一步接触,同意接收攻击者发送的软件,且表达了以后继续讨论公司软件计划的兴趣。所有这些都会导致大规模安全入侵。


此时的危险在于攻击者完全掌控了形势。他控制了下面的步骤,发送什么信息、多少信息以及何时发送。对社会工程人员来说,这一步相当有利。当然,如果是长期目标,可以找一个能共享的软件,那就更有利了。共享有用的、非恶意软件能够构建信任及和谐的关系,使目标产生进一步交流的责任感。


(3)故意说错


不经意间说错一些事情似乎会适得其反,但处理得好的话却是一件利器。


攻击者:“所有人都知道XYZ公司这方面的软件销售得最多。”


目标:“事实可不是这样。我们公司从1998年就开始销售类似的产品,通常我们的销售记录超过他们23%以上。”


有效使用这种表达方式会诱导目标说出真实的数据。大部人在听到错误表述时会有校正的欲望,似乎他们的正确性受到了挑战。告诉他人、显示自己的博闻强识、不能容忍错误表达等欲望似乎是人类的天性。充分理解这一点,可以让这一场景变得很强大。你可以通过这种方式让目标说出事实的全部细节,也能在一群人中立刻发现谁对这一主题最为了解。


(4)主动提供信息


美国国土安全部的手册中对人的共性做了很好的概括。作为社会工程人员,在交流中主动提供信息会迫使目标提供具有同样价值的信息。


下次在和朋友聊天时这样说:“听说斯诺登的事了吗?我听说他被辞退了,而且现在找工作也很困难。”


大部分时候你得到的反馈是:“啊!没听说呢。真不幸。我听说乔布斯在办离婚,好像房子也保不住了。”


人类具有同情心,倾向于“同病相怜”,该示例就把这一点体现得淋漓尽致。人们喜欢分享类似的新闻。社会工程人员可以利用这一倾向,为谈话设定基调或氛围,从而构建出责任感。


(5)假装高深


另一个强大的操纵工具就是假装高深。一般情况下,如果对方具有某一方面的知识,和他讨论相关问题并无不当。攻击者可以审慎地利用这一点,首先展示一些信息,假装知道一些内情,然后使用诱导技术展开话题。过程中可以把别人的观点当成自己的说出来,进一步强化自己的专家假象。下面的例子可以很好地说明这一点。


有一次,我要到A国商谈一笔大宗原材料交易。会谈需要我对目标公司具有详细的了解,而且必须要在见到他们之前做到这一点。之前我们从没见过,所以在谈判之前我去参加了一个在A国举办的会议。会议中我恰好听到了一个对话,讨论的是在和A国人的谈判中如何占上风。


我知道这是一次机会,而且更妙的是谈话小组中的一个人正是来自我要会面的公司。我快速加入其中,并且知道如果我不能快速地表达观点就会显得很尴尬。我这方面的知识不足,但是不必让他们知道。在他们谈话的间隙,我开始谈论“关系”理论。关系就是两个人(可能来自不同的社会阶层)如何产生联系,之后一人迫于压力为另一个人提供帮助。我谈到了怎样使用这种联系,总结中还提到:不能仅将名片塞进裤子后面的口袋里,而应该仔细研究、添加备注并将它们放在恰当的地方。


这番发言足以显示我的学问,让我有资格被列入值得信赖的人之列。表达过自己的观点后,我坐下来听其他人讲述自己的经验以及他们和A国大公司谈判方面的个人心得。目标公司的那位先生开始发言时,我更是极度关注。我敢肯定他发言中所表达的“观点”与其公司的经营理念紧密相关。这项收获比我能买到的信息都要有价值得多,也使得我后来的A国之行得以圆满成功。


还有一些诱导中常用的场景。


(6)利用酒精的影响


在挖掘秘密方面没有比酒精更有效的东西,这一点很悲哀,但却是事实。如果在上述5个场景中加入酒精元素,则效果会放大10倍。


也许最好的方式就是以真实的故事来阐明。


1980年,洛斯阿拉莫斯实验室的一位资深科学家访问B国的一个研究院,举办一个关于他的专业——核聚变的讲座。他在核武器方面具有丰富的知识,但他知道这方面是禁区,所以需要将讲座的内容限定于他的研究主题。


过程中,有很多问题与核武器直接相关,且问得越来越细。攻击者的战术也会改变,他们也会问一些有关聚变和天体物理方面的问题。


在为他庆祝的鸡尾酒会上,人们不断走上前,赞扬他的学识和研究,每次都要祝酒和干杯。逐渐地,人们开始问一些绝密问题,例如氘和氚的点火要求,这两种元素都是中子弹的组成部分。他对这些问题防护得很好,但是在喝多了之后,他决定给出一个类比。他于是说,如果将这两种元素混合成一个球从桌子上滚下来,它们就可能点燃,因为它们的燃点都很低。


这个看似无用的信息可能为B国的核武器研究者提供了清晰的指引。他们会与另一位科学家交流,然后得到更多的知识,以此类推,逐渐获得越来越多的知识。在很多尝试之后,B国的科学家终于掌握了清晰的蓝图。


这是一个利用诱导术逐步获取整个答案的真实案例。你也可以在社会工程活动中采用诱导术。所有的答案并非来自同一个地方。你可能从某人口中得知有关日期和地点的信息,然后使用这一信息从他人口中诱导出更多的信息,以此不断深入,直到得到全部的信息。如何将这些信息聚合在一起,这是其中最困难的部分,需要完美的诱导技巧。


3、提问的学问


作为社会工程人员,你必须认识到,诱导的目的不是走过去问:“你们服务器的密码是什么?”


你的目的是得到一些看似无用的琐碎信息,然后使用它们构建出你所寻求的答案的全貌,或者通过它们一步步取得答案。不管使用何种方式,这类信息收集方式都会为社交人员达成目标指明清晰的方向。


如何知道使用何种类型的问题?


下面将分析存在的几类问题以及社会工程人员如何使用它们。


(1)开放式问题


开放式问题不能仅仅用“是”或“否”来回答。如果是问“今天外面相当冷啊,吧?”, 得到的只能是“是啊”、“啊”、“嗯”之类的答案。如果你的问题是“你觉得今天的天气如何?”,那么引出的就是有效的回应,而不仅仅是“是”或“否”。


社会工程人员可以通过分析和研究优秀的记者来学习如何使用开放式问题。优秀的记者必须使用开放式问题,以持续诱导被采访对象回答设定的问题。


设想我约了朋友会面,但是他取消了这次活动,我想知道具体原因。我的问题会是这样的:“你取消了前几天的会面计划。到底是怎么回事啊?”


“我感觉不太舒服。”


“哦,希望你现在好点了。什么地方不舒服?”


通过这一连串的问题通常会得到更多的信息。如果仅仅是责备的话,效果就不一定了,比如问道:“伙计,到底是咋回事啊?那天你竟然放我鸽子!”


开放式问题的另一个强大之处是多使用为什么和怎样。如果问题中包含为什么或者怎样,就会得到对原始问题的深入解释。


这些问题都不是通过“是”或“否”就能回答清楚的,对方会暴露一些你感兴趣的细节。


有些人会抵触开放式问题,所以使用金字塔方法会好一些。先从范围较窄的问题开始询问,随着谈话的进行会聊到更宽泛的问题。如果你真想用好这一技术,可以从询问青少年开始训练。


例如,很多时候开放式问题会是这样的:“今天上学怎么样啊?”得到的回答会是:“还行。”再无他言。这样的回答没有任何意义,所以问一些范围较窄的问题会得到更多的信息。


“今年你们数学教什么?”这个问题的范围很窄,只能用特定的回答:“代数II。”


“啊,我很讨厌代数。你喜欢吗?”


从这里开始,可以拓展到更宽泛的问题,而且一旦使目标打开了话匣子,获取信息就变得容易多了。


(2)封闭式问题


显然,封闭式问题正好和开放式问题相反,但也是一种有效引导目标的方式。封闭式问题经常会限制回答的范围,通过不超过两种可能。


使用开放式提问,问题可能是:“你和经理的关系如何?”但封闭式问题就会是:“你和经理的关系好吗?”


封闭式问题的目的通常不会是要得到详细信息,而是要对目标进行引导。


司法人员和律师经常运用这种类型的推理。如果想要目标遵循特定的回答路径,他们的问题经常是封闭式的,不允许答案出现天马行空的可能。常见的询问方式如下。


“你认识被告史密斯先生吗?”

“是的,我认识。”

“6月14日夜晚,你在ABC酒店看到史密斯先生了吗?”

“看到了。”

“当时是什么时间?”

“晚上11点45分。”


所有这些问题都是封闭式的,应答只有一到两种可能。


(3)引导性问题


引导性问题结合了开放式问题和封闭式问题的特性,是具有答案暗示的开放式问题。例如,“6月14日晚上11点45分左右,你和灰太狼先生在一起在ABC酒店,是吗?”。这种类型的问题会引导对方,并且为其提供表达自己观点的机会,但是其发挥的空间很狭窄。同时引导性问题暗示目标你对问题的答案已经有所了解。


引导性问题的答案经常为“是”或“否”,但是与封闭式问题有所不同,因为问题中植入了更多的信息,所以社会工程人员也能从中得到更多的信息。引导性问题陈述了部分事实,然后询问目标是否同意。


1932年,英国心理学家弗雷德里克·巴特莱特(Frederic C. Bartlett)总结了记忆重构的研究结果。他告诉实验对象一个故事,然后让他们立即回忆其中的事实,两周以后以及四周以后再次进行回忆。巴特莱特发现,实验对象根据他们的文化背景、信仰和个性修改了故事,没有人可以正确地回忆出完整的故事。这证明了记忆并非是对过去的正确记录。似乎人们会构造记忆来契合自己对世界的已有认知。在被询问时,很多情况下,我们的记忆库是基于自己的感知和对自己重要的事情而形成的。


正是因为这样,通过引导性问题来操纵人们的记忆是可行的。伊丽莎白·洛夫特斯(Elizabeth Loftus)是一位目击者证词研究领域的开拓者,她演示了通过使用引导性问题扭曲人们对某事的记忆是极有可能的。例如,如果你给他人看一张没有放泰迪熊的孩子房间的照片,然后问他:“你有没有看到一个泰迪熊?”你并没有暗示他房间里有一个泰迪熊,所以他会按照自己的想法回答“有”或“没有”。然而,如果问题是“你看到泰迪熊了吗?”,这就暗示了房间中有泰迪熊,通常人们的答案会是“看到了”,因为泰迪熊与人们对孩子房间的认识具有相关性。


这些研究表明,引导性问题是专业社会工程人员手中的一件利器。学习怎样引导目标也会增强社会工程人员收集信息的能力。


(4)假设性问题


假设性问题就是其字面的含义——你会假设对象已经拥有特定的知识。通过假设性问题,社会工程人员能够确定目标是否拥有他想要的信息。


例如,司法人员采用的一门技巧就是假设目标了解某些事(如了解某人),于是会问:“刘能先生住在哪里?”根据问题的答案,该司法人员可以确定目标是否认识对方及其熟悉程度。


社会工程人员在使用假设性问题时,有一点需要注意,即不要让目标了解事情的全貌。如果目标了解了整个意图,社会工程人员会丧失对环境的部分控制能力,控制权会反转。社会工程人员也不能通过假设性问题指责目标的失误,这样会疏远目标,同样导致自己丧失控制权。


在使用假设性问题时,社会工程人员最好已经对事实有所了解,然后将事实贯穿在问题中。如果假设性问题中携带了虚假信息,只会让目标失去兴趣,得到的结果只能是目标不知道某些不曾发生的事情。回到前面的例子,为了从一位重要的化学专家那里获取信息,我做了一些前期研究并学到了足够的知识,也许可以问出一个精妙的假设性问题,但是如果我不能满足目标对我知识的预期,则会将整件事搞砸。


举个例子,假设我的问题是:“因为氘和氚的温度阈值都很低,在处理它们的时候怎样避免燃烧呢?”如果我不是核物理学家,可能很难理解后续的内容,这样会适得其反而且没什么用处。要对假设性问题进行规划才能取得最大的效果。


在询问假设性问题时,司法人员掌握的一件有用的法宝就是:“在回答下一个问题之前,请考虑清楚……”这句话给对方的暗示就是在回答问题时一定要诚实。


掌握这些技巧需要成年累月的训练。如果前几次尝试不成功也不要沮丧,要不断尝试。


三、精通诱导


社交工程的大多数要素一样,诱导在应用中有一系列的原则,能够强化个人的沟通技巧。为帮助您掌握这些原则,请记住以下几点。


问题太多会吓跑目标。用一堆问题轰炸目标不会有任何收获,只会让对方害怕。记住,对话是一种有来有往的交互,你想要问,但也要告诉对方一些信息,让对方感到自然。


问题太少会让对方不自在。你曾经碰到过“尴尬沉默”的场景吗?这样不会有效果,对吧?不要假设目标善于交谈,会长篇大论、滔滔不绝。你必须研究谈论的问题,让对话有趣。


一次只问一个问题。涉及思维缓冲区溢出,但是在这里你的目的不是使对方溢出,而只是收集信息,构建答案的轮廓。不能显得太急切,也不能兴味索然。


根据已收集的信息,要使诱导正常发挥作用需要微妙的平衡。信息太多、太少、太急切及不充分都会导致失败。


不过,这些原则有助于你掌握这一惊人的才能。不管是将该方法用于社交工程中,还是用于学习社会交往的技巧,都应遵循如下方法:将谈话想象成一个漏斗,上面是最大的、最“中性”的部分,底部是最窄的、最直接的部分。


开始时问一些相对中性的问题,通过这些问题收集一些情报。在对话中要你来我往,然后问一些开放式问题。如有需要,使用几个封闭式问题引导目标到我们感兴趣的部分。如果情况允许,进入漏斗底部,询问那些最直接的问题。从这个漏斗中流出的就是源源不断的有价值的信息。


懂得如何与他人沟通是诱导者必须具备的技巧。社会工程人员必须适应并且能融入任何环境及情况下的交流。迅速建立与目标的初步信任是关键步骤,没有友好的关系,交流极有可能以失败告终。


其他的重要因素包括确保你使用的沟通形式、询问的问题以及说话的方式与自身的伪装相匹配。虽然知晓如何问出一个目标必须回答的问题是成功诱导的关键,但是如果所有的技巧和问题与你的伪装不匹配,则诱导也会失败。


四、结语


诱导技巧不仅会提升社会工程能力,也能提高沟通的水平。明白如何通过正确的节奏和方式问出恰当的问题,可以得到很多机会。作为社会工程人员,这是成败的分水岭。第一印象往往取决于外表,但是从你嘴里说出的话更是成败的关键。精通诱导技巧几乎可确保社会工程人员的成功,也会为你所扮演的角色大大加分。

微信公众号:计算机与网络安全

ID:Computer-network

【推荐书籍】

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存