紅紙、藍紙(赤い紙、青い紙)
有一天,一位男同學在學校廁所上廁所時,沒有衛生紙,
這時忽然出現一個聲音
想要紅色的紙嗎?還是藍色的紙?
男同學害怕的回答 「要..要紅色的」
男同學立即大量出血而死。
之後隔沒幾天,聽到這個傳聞的同學
也想挑戰看看,這個傳聞是不是真的
當他進到廁所時,也聽到
想要紅色的紙嗎?還是藍色的紙?
這位男同學回答 「藍色的」
這時男同學血液全部被抽乾,剩下一具青藍色的屍體。
另外也有出現 黃紙這個選項,但選了會被帶到黃泉。
而衍伸版本也有不需要和不回答
選擇不需要,會被一隻紅手整臉塗滿糞便
選擇不回答,會被一隻藍手抓一搓頭髮走。
我以前聽到的只有紅紙、藍紙的版本,
當時就心想了,為甚麼不說不需要,或根本不用理他
這種出於恐懼,或利用人恐懼而做出選擇,而達到他人目的的方式
就是社交工程。
社交工程是指透過與人交流,並藉由話術或
一些心理學技巧,使對方透露出機敏資訊的手法。
大多會利用人性的弱點
信任
憐憫
恐懼
擔憂 等
補充:
世界上第一個因為入侵電腦
而被FBI通緝的黑客 -Kevin Mitnick
也是社交工程的好手。
Pretexting
創造合情合理的情境使對象透露出不該透露的資訊
Diversion Theft
調虎離山,一樣是創造情境使人員離開原本崗位
Phone Phishing
電話釣魚,透過話術,偽造成某機構單位或
其他身分,來套出相關資料,或讓目標做出洩漏資訊的行為。
Baiting
例如掉在地上的USB Drive,貼上標籤寫著 「機密」或是「桃色天堂」
相信不少充滿好奇心的人會渴望知道裡面的內容,當插入電腦的那一刻可能就中獎了。
主要是透過人類的好奇心,將惡意軟體植入移動式裝置,誘使他人上當。
Quid pro quo
透過身分偽造,並且提供價值交換,來換取機密資訊,
例如大學中很常見的,幫忙做問卷,並且填一下個人資料
有機會抽到大獎,四週的同學沒有一個不填。
若被有心人士利用,成果一定十分豐碩,
Sympathy
偽裝成弱勢,創造出情境,利用目標的同情心,讓對象因心生憐憫
而做出洩漏資料或錢財的資訊。
Tailgating/piggybacking
尾隨,是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。
(都是這樣進同學宿舍的
發生在今年7月,
對象是透過 Linkedin 來接觸本人。
而原本以為是個無害的老奶奶,
說有件事想與我分享,但我點開他的個人資料,很空
而且發現他所有的聯絡人
都是同個英文名字,看到這我就覺得有鬼了,一定不是甚麼無害老奶奶。
他希望我提供Email,原本很抗拒的我,由於好奇他的手法會是甚麼,
於是利用TempMail,給了他一個暫時的郵件信箱,
他發送了下面這段給我
並且寄了這張在病床上的老人照片給我
雖然有奇怪的檔案或連結我一定不會點
但看到這縮圖,我更不想點了 :)
而且很明顯的,他使用了人的同理心、貪慾還有Google 翻譯
於是我回他說,我需要做甚麼?
而他不久後又寄了封信件給我
(獎學金問候我?
( 你的近親我繼續函?
大概確認他要甚麼後,我就沒理他了,開始覺得無趣了
但種手法還真的會有人受騙
https://www.google.com/amp/s/kknews.cc/society/2a6rx8z.amp
APT(advanced persistent threat)
指匿而持久的電腦入侵過程,會長期維持高隱匿性,
並且持續而緩慢的滲透到特定單位內。
由趨勢科技定義的APT要點有以下:
想要紅色的紙嗎?還是藍色的紙?
[參考來源]:
https://www.ithome.com.tw/article/86412
https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6#%E4%B8%8B%E9%A5%B5
https://en.wikipedia.org/wiki/Social_engineering_(security)#Baiting
[圖檔來源]:網路
iThome鐵人賽
看影片追技術