人性的弱点:“库尔尼科娃”病毒周年回顾

当年红极一时的安娜-库尔尼克娃(Anna Kournikova)病毒在今年2月11日届满十岁,每次当我想到这个病毒,我就想到一个故事,这是有关一通来自我们用户因系统遭该病毒感染而打来的电话。那位使用者非常生气,但并不是因为感染而生气,而是我们的防病毒软件移除了病毒,让他颇为不悦。因为他还是很想看到库妮可娃的照片。很显然地,感染的问题已经是其次,客户生气的原因是因为最后没有看到想看的照片。以下是该病毒的e-Mail讯息:

  • Subject line: "Here you have, :o)"
  • Message text: "Hi: Check this!"
  • Attachment: "AnnaKournikova.jpg.vbs".

这就是社交工程(Social Engineering)陷阱活生生的案例!

社交工程(Social Engineering)陷阱技巧在过去十年已经有长足的进步。十年前被库妮可娃电子邮件病毒感染的用户,现在对于不明来历的电子邮件普遍都存有戒心。因此,今日的战场已经转到网站上,所以歹徒总是想尽办法要让使用者点击恶意链接。现代的社交工程通常会利用用户“非要某种东西才可以”的强迫心态或是“可能觉得某某东西很有趣”的好奇心理。

在强迫心态方面,歹徒会让使用者觉得他们非要什么不可,然后再提供一个方便的链接,使用者只要点一下就能获得。这个非要不可的东西,通常是一项安全更新、一个视频解码器,或者是类似的东西。这类技巧通常都会巧妙运用使用者的恐惧心理(例如,不更新就可能遭到黑客攻击)。

而在好奇心方面,歹徒会让使用者觉得所提供的内容很有趣,因此会很想看。因为人们总是喜欢发掘新的事物,并且和好朋友分享(最典型的例子就是2008年的那一波《甜心主播》Maggie的影音新闻首播(安吉丽娜朱莉与布拉德皮特的偷拍新闻))。

这些年来,即使手法已经有所不同,但社交工程攻击的基本原理还是离不开人性的弱点,这些弱点在过去十年并无太大改变,未来也不太可能有所差别。

十年后的如今,还有人在搜寻库尔尼科娃的照片,这就是为何社交工程(Social Engineering)陷阱到现在都还历久不衰的原因。

注释:作者David Sancho现为趋势科技信息安全威胁高级研究员。