善意的骗术：营销技巧在渗透测试社交工程中的应用

作者：Sierra Ward* //

作为黑山信息安全（BHIS）的营销人员，我通常隐藏在后台处理无数营销任务。虽然我偶尔会在网络研讨会中出现，在阴影中回答观众问题，但最公开的露面甚至不是"真实的我"——而是以BHIS为盾牌在社交媒体上发声。这使我处于有趣的位置：虽然在社交媒体上代表渗透测试公司，但我并非传统意义上的安全专家……至少不完全是。

最近我在渗透测试领域为营销技能找到了细分市场。正如一位测试人员所说，营销的本质就是说服。作为营销人员，你的工作是说服人们信任公司、建立关系并产生好感（虽然有时这看起来像是花言巧语，但我和John都厌恶这种营销方式，并努力确保BHIS的营销绝不如此）。而这种说服技巧与社交工程完美契合，后者的主要工作正是说服人们按你的意愿行事。

在参与今年多次钓鱼测试后，我总结出以下进行钓鱼电话和识别钓鱼电话的技巧：

通用技巧

• 记住：人们被精心教导要警惕可疑邮件，但很少接受识别可疑电话的培训。打电话是最佳选择
• 人们很少关心你的区号。更重要的是通话质量。有人曾回电确认我的身份，但我只需以声称的公司人员身份接听即可化解疑虑

融入角色并意识到这不是说谎

进行钓鱼电话的难点在于你在公然说谎，这对非反社会人格者可能很困难。但既然这是工作的一部分，且你真心希望公司及其员工理解钓鱼电话的危险性，你需要真正相信这项服务的价值。我在打电话时既希望成功，又渴望失败——每当员工拒绝请求时，我都在心里为他们点赞！

激发责任感

• 历史表明，普通人为何会成为二战纳粹狱警？因为权威人士下达了命令，而我们通常都想取悦权威人士
• 基于此，不要请求而是坚定地告知：你拥有权威，这不是请求而是要求（需谨慎把握，因为人们讨厌被颐指气使）。不要接受拒绝，持续告知

通过信息反馈建立可信度

• 确认他们的邮箱（或任何其他信息如地点、生日等），表明你是掌握信息的权威人士
• 这也有助于获取更多信息：先提供部分信息建立信任，再要求其余信息

利用人们的助人意愿

• 人们通常愿意帮助，特别是当你打出"困境牌"时（“如果你不帮我，我就麻烦大了！"）

创造免于直接问责的角色

• 与技术人员交流时扮演无知者（这对我很容易！）；与非技术人员交流时扮演技术专家
• “我替我丈夫致电，不清楚账户细节”
• “我只是执行工作，您想和我上司通话吗？”

误导是关键

• 将真实目标隐藏在更深层的目标之后。例如：你需要他们登录门户，但不要以此为重点，而是强调后续步骤，使他们不因登录门户而分心
• 如果他们提问，就用更多问题反问，直到他们忘记最初的犹豫

强调事项紧迫性

• “此事高度时间敏感”
• 需要在被上司/配偶责备前获得信息

强调感激之情

• 客服人员被教导要彬彬有礼、乐于助人
• 如果你态度友好，人们更可能答应请求

• 我曾遇到有人甚至愿意在下班后在家用电脑尝试我邮件中的链接。如果我是坏人，这将让我同时获得其家庭电脑信息和位置！

下午中段是批判性思维和自我控制的低点

• 曾在下午3点向甜食屈服？在此时间段打电话，人们即使心存疑虑且被要求做受过培训禁止的事，也较少拒绝请求。此时人们更可能只想着尽快结束一天工作

学会何时放弃与坚持

• 这很棘手，因为有时挂断电话反而更可疑
• 如果他们让你等候或去找经理，请保持连线。有时经理会做员工不愿做的事。建立可信度
• 如果在通话早期遇到犹豫，挂断并继续下一通——此人最可能呼叫安全部门并终止你的整个行动
• 如果他们让你等候，挂断后重拨声称线路中断
• 如果他们变得敌对，确保他们你来自总部/IT/HR/老板办公室

结论

犹豫时请记住：你的工作是尝试而非必须成功——这毕竟是培训而非真实钓鱼，如果对方坚决不配合，放弃也可以。

这些理念在我们发现生活中其他领域试图操纵我们的人时同样有用。始终保持警惕！

这位营销人员的下一步？或许尝试实体测试，不过在阅读Sally的经历后，我必须承认想到那些焦虑诱导的刺激时出了些冷汗！

*特别感谢Kelsey Bellew的帮助和建议，她是另一位社交工程明星！