4.1 什么是伪装

伪装的定义是创造虚构的场景以劝说目标受害者泄露信息或者作出某种行为。这绝不仅仅是说谎那么简单,在某些案例中有可能是创造一个全新的身份,然后用这个身份去获取信息。社会工程人员可以利用伪装技术扮演从事某些特定工作的人和他们从未担任过的角色。伪装没有固定的万能模式,社会工程人员必须在“职业生涯”中创造很多不同的伪装。所有伪装都有一个共同的特点:研究。娴熟的信息收集技术是伪装成功的关键。打个比方,如果目标不需要外部技术支持,即使我们将技术支持人员模仿得再完美也无济于事。

伪装不仅可用于社会工程中,也能在生活领域发挥作用。销售人员、公共演讲者、算命者、神经语言程序学专家,甚至是医生、律师及临床医学家等,都需要使用一定形式的伪装。他们都需要创造一个适宜人们泄露隐私信息的场景。社会工程人员和其他伪装使用者的差异在于目标的设定。社会工程人员必须完全变身为伪装的角色,而不仅仅是装腔作势。

只要审计或者社会工程没有结束,都应该继续伪装。我就进入过角色,我的同事也是,有人在事情过后还沉浸在扮演的角色中。无论去什么地方,都要是所扮演的角色。此外,很多专业社会工程人员具有多个在线身份、社交网站的身份、电子邮件和其他账户,可供伪装的时候用。

在我参与的社会工程播客节目中,曾经就该话题采访过电台明星汤姆•米施克(Tom Mischke),详细信息参见www.social-engineer.org/episode-002-pretexting-not-just-for-social-engineers/。电台主持人必须精于伪装,因为他们只能透露宜于发布给公众的信息。汤姆在这方面很在行,绝大多数的听众都认为自己“了解”他,像朋友一样。他被邀请去参加婚礼、纪念日甚至是生日聚会。汤姆是如何完成如此神奇的伪装的呢?

答案就是不断练习。他给自己安排了很多很多的练习。他告诉我,他会制定出“表演对象”并且勤加练习——使用他们的发声方式,像他们一样坐立,甚至学习他们的穿着。好的伪装只能源于不断的练习。

要记住非常重要的一点:伪装的质量与所收集的信息质量有直接关系。信息越多,信息的质量和相关性越高,越利于我们的伪装,也就越容易成功。比如,如果一家公司只使用内部技术,或者将技术外包给一两个员工的小企业,那么经典的技术支持人员伪装就会完全失败。当别人质疑你的真实身份时,尽可能表现得自然,这直接取决于你对伪装是否能够运用自如。

现在你已经了解如何利用这项技能了。下面介绍伪装的原则以及如何应用这些原则来计划出令人信服的伪装。