共产党的人民日报警告说,中国的区域经济需要减少对房地产市场的依赖,转而关注可持续的长期发展。如果“中国住房部门正在发生一些事”,我们应该知道。 这个故事听起来很熟悉:近年来,根据北京的长期计划,中国数百个城市的本地房地产市场出现了上升趋势,以进一步实现城市化。在过去几年中,由于地方政府热衷于提高土地销售和满足炙手可热的房地产需求,建造新房和改造旧房的过程一直得到加速。事实上,去年中国100强房地产开发商的总销售额飙升了35%。 但是,重复一个现在耳熟能详的警告,北京再次表示担心,一些寻求快速扩张的城市过快地增长了房地产市场并牺牲了新的产业发展,增加了房地产价格的潜在泡沫化程度。 两周后,对中国房地产行业变糟的预测得到了隔夜市场的证实,当时中国知名房地产开发商嘉源国际股价下挫81%,投资者对陷入巨额债务的行业感到不安。 据分析师称,所有人都对今天的举动感到茫然,他表示该股票在一天的交易混乱之后崩溃,从市值中抹去了超过30亿美元,卖盘迅速蔓延到许多同行…… 其竞争对手房地产公司阳光100中国控股有限公司也陷入了嘉源同样的恐慌,该公司股价在嘉源崩盘后下跌了65%。 “其中一些公司可能互相交叉持股,当其中一家公司开始倒闭时,其他公司就会受到拖累,”Bocom 策略师表示,“今年可能发生更多类似的股票崩盘。香港的很多股权质权都是水下冰山,一旦清算头寸,就会引发雪崩。” 房地产开发行业尤其容易受到大幅抛售的影响,因为它积累了大量的美元债务,而萎靡不振的中国经济增加了人们对中国房地产市场未来前景的担忧,这可能最终成为该国几十年来的第一次硬着陆。 但最大的问题是即将到来的债务悬崖,这将迫使该行业在最糟糕的时间进行再融资:根据英国“金融时报”的报道,中国开发商在2019年有大约550亿美元到期的在岸债务,这加剧了人们对潜在违约的担忧。再融资的成本将非常昂贵。 该公司在收盘后发表声明试图安抚市场情绪。显然市场并不同意,尽管究竟是什么导致股票在一天内损失80%的价值仍然是个谜,现实是没有人真正知道发生了什么,Core Pacific-Yamaichi 的研究主管 Castor Pang 证实:“没有人真正知道这里发生了什么。对于普通投资者来说,由于没有时间退出,这是一个非常令人惊讶和艰难的状况。“ 除了香港一夜之间的“雪崩”之外,更大的问题是,在近几年的繁荣之后,中国的房地产市场正在降温,开发商不得不宣布大幅降价以推动“去库存”,这一过程导致了公众的愤怒。去年已经有房主在几个大城市街头抗议要求退款,因为开发商降价以刺激销售。 接下来的房地产开发商面临的550亿美元债务问题是巨大的风险。里昂证券(CLSA)分析师 Nicole Wong 指出,央行近期的刺激措施“只针对非常大的[开发商]”。 不过基准恒生指数收盘时几乎没有下跌。尽管如此,交易员仍然越来越担心接近临界点:法国巴黎银行(BNP Paribas)亚洲金融集团和房地产研究主管 Wee Liat Lee 表示,系统性风险问题“是一个主要问题。中国经济在很大程度上依赖于房地产,“这是一个结构性问题,需要花费相当多的时间才能缓解。” 如果做不到这一点 ……另一种选择就是:革命。 关联:《经济与维稳》 Chinese Property Developers Implode As Market Freaks Out Over $55 Billion Debt Cliff: the issue of systemic risk “is a problem . . . the Chinese economy is pretty dependent on property as a sector, in terms of investment and reliance of local government on land sales and revenue”. Failing that, Beijing will just bail out the entire housing sector as it has done on so many prior occasions. The alternative is the one thing that keeps every politician in Beijing up at night: revolution.
0 Comments
#censorship 这已经不仅仅是关于受审查的社交媒体用户了,现在还包括社交媒体员工。 根据 Business Insider 的一份新报告,引用的是公司内部的备忘录,Facebook 现在告诉员工他们能够和不能谈论什么。 Business Insider 审阅了一份内部公司备忘录,其中 Facebook 的首席技术官称已将“一系列基本规则用于工作中的沟通,以及一个中央审核模式”。 该备忘录指出:“我们使用三个主要指导原则:不要侮辱、欺负或反对他人。不要试图改变某人的政治或宗教信仰。不要违反我们关于骚扰言论和表达的规则。 “ Facebook 使用 Workplace,一个允许聊天的应用程序,用于公司的内部通信。员工将其用于与工作相关的交流,但偶尔也会用于闲聊。该应用程序是这些新规则适用的主要区域。 该备忘录继续说:“这些指南适用于所有工作沟通,包括工作场所,电子邮件,聊天,任务,海报,白板,黑板和面对面。由于 Workplace 是大多数讨论发生的地方,于是那里是重点“。 Facebook 还鼓励员工加入群众斗群众游戏,当有人“冒犯”其他人时,要求员工之间互相举报。备忘录继续说: “我们现在可以实现更轻松地举报帖子和评论,这些举报将直接发送给受过培训的审查员,他们会根据需要进行处理。我们还在开发更多工具来主动提供帮助。” 我们不禁怀疑,“谁在培训审查员?” 过去几年来,该社交媒体网站一直受到大众质疑:许多人称他们被当成了目标被剥夺言论自由权。 记者凯特琳·约翰斯通(Caitlin Johnstone)去年被 Twitter 试图封锁其账户,他保住了账户,并随后描述了这一审查封锁狂潮,他说:“在一个社团主义体系中,企业审查就是国家审查。” 在中国有一种普遍的倾向,即 当被审查者是自己不喜欢的人时,人们就会支持审查制度。其结果是每一种审查制度都有一部分人支持。这显然是违背了言论自由的公正大原则。 一些中国的聊天群组中甚至有“群主主导”的言论审查,某些言论甚至表达观点的态度都被禁止,这是非常可怕的。长期受困于当局的广泛审查的中国社会为什么还要自己给自己施加更大的审查?不得而知。但对于什么是言论自由什么是公正的知识普及,应该可以缓解这一问题。美国宪法所保护的言论自由是值得借鉴的标准,关联我们曾经的文章: Facebook Is Now Censoring Talk About Politics And Religion At Work “In a corporatist system, corporate censorship is state censorship.” 柏拉图认为,由富人统治的城市无法持久。富人将根据他们扩大财富的兴趣来统治,在此过程中使其他所有人都变得贫穷。穷人不会容忍,他们会反抗。 这样的事就发生在我长大的城市。 2014年,一群领先的经济学家发布了一份报告,显示北卡罗来纳州夏洛特的阶层固化问题在美国所有主要城市中排名最后。两年后,发生了起义 — 数百人涌入街道,包括该市的主要高速公路,以示抗议。催化剂是黑人驾驶员凯斯·斯科特(Keith Scott)被警察射杀的案件,但其根本原因是数十年来的阶层隔离、权利剥夺和不确定性已被深深嵌入了城市治理的结构中。 如果引用柏拉图会看起来陈腐,那可能是因为我们没有提出正确的问题。古老的哲学家是否可以教会我们一些关于当代政治的东西?问题在于,生存的斗争如何能够阐明政治理论的最基本问题? 由 Astra Taylor 执导的新电影“什么是民主?” 不是在讨论古老的哲学家的想法,而是要求今天活着的人们去改进这些想法。作为一个参与日常经济正义运动的组织者和一个利用媒介探索更多抽象问题的电影制作人,泰勒完全有能力将哲学建立在现实世界的基础之上。 她以前的电影《被审视的生活》(2008年)中,哲学家们解释了他们的思想在世俗背景下的适用性:Judith Butler 走过旧金山的使命区; Cornel West 骑行穿过曼哈顿; 而 Slavoj Zizek 则穿过伦敦的垃圾场。 《被审视的生活》的标语 — “哲学在街头” — 可以很容易地附加在《什么是民主》上,但这一次,泰勒不仅向著名的思想家提出了一个切实的问题,而且还提出了各种民主主体:活动家、前政治家、大学共和党人、叙利亚难民、移民工人合作社,黑人学童和迈阿密海滩游客等等。 泰勒最近写道:“我试图接近我遇到的所有人,像对待理论家那样。”哲学是与日常生活相媲美的 — 两者都以惊人的方式协调。在这里看她的视频:https://youtu.be/OHxRj9JWQMs 不跳转看视频:https://medium.com/@iyouport/kn-32443e75f71a 最引人入胜的场景发生在迈阿密理发店,理发师传达了他对自己被监禁九年的反思,同时耐心地帮助一位顾客理发。理发师和顾客之间的轻松、亲密和信任,与对监狱的卑鄙残忍的描述形成鲜明对比,在这种描述中,身体不再是自己的身体。
自由与身体安全之间的紧张关系是一个著名的政治哲学问题,但泰勒的探索并不阐明两者实际上是否存在冲突。 例如,她与一群迈阿密小学生的圆桌会议起步缓慢。孩子们被问到他们对民主的看法,他们最初看起来很迷惑。然后谈话转向学校午餐。学生们积极并明确地谴责学校当局限制获取热食的暴虐方式,而先前茫然的面孔会因为表情和姿态的丰富而变得生气勃勃。民主突然成为了相互理解和关怀的即兴运动。 政治理论家 Wendy Brown 认为让 — 雅克·卢梭是现代哲学家,他最远离托马斯·霍布斯这样的思想家所持有的个人主义观点,他最重要的是将身体安全放在首位。卢梭认为,人类可以通过我们现在认同的成功民主运动的集体自决来超越个人需求并蓬勃发展。 然而,卢梭认为这种繁荣并不是自然而然的。现代生活的太多方面削弱了集体思考和行动的倾向,鼓励我们将自己视为雾化的个体。 因此,一个悖论:只有具有民主取向的人才能产生民主,但民主取向只能来自真正的民主经验。 “你如何能用不民主的人来制造民主呢?” Brown 问道。 “这就是我们今天的问题。” 观众可能不会得知“什么是民主?”,难以轻率回答其标题的问题,但这部电影确实让我们对卢梭的悖论有所了解。在观看了泰勒与各种各样的对话者之间苏格拉底式的精心交流后,很难感觉到其中存在任何悖论。缺乏民主制度的证据可能会被她的许多主题所支持 — 以前被监禁的人、来自贫困家庭的孩子、难民 — 但她并不觉得缺乏民主文化。 几乎在每次谈话中,坚持公民意识和对一些更大的、包容性的不同群体 — 可能被称为社会团体 — 的认可最终会脱颖而出。如果这些不是民主文化的种子,那么我不知道什么才是能。在泰勒手中,展现这种文化是为了让人们感受到他们需要的时间、空间和舒适感。最后,问一个正确的问题。 FROM ATHENS TO NORTH CAROLINA, FILMMAKER ASTRA TAYLOR ASKS: “WHAT IS DEMOCRACY?” “What we’re faced with is the need to re-member this dismembered society.” If the link to Plato seems trite, it might be because we are not asking the right question. It’s not so much whether dead philosophers have something to teach us about contemporary politics. The question is rather how the struggles of the living can illuminate political theory’s most basic questions. 我们多次强调过:不要参与社交网络上流行的测试小游戏。它们很可能是陷阱。但是那些测试结果的页面依旧在刷屏。人们真的需要教训才能学到保护意识吗?那样会不会太晚了? 我们都在微信和 Facebook 上看到过那种东西,甚至可能自己也做过:病毒式传播的社交媒体测试游戏。其内容都是一些人们可能不了解的关于你的有趣事实甚至内心所想。 虽然它们看起来很无辜,但是,这些社交媒体测验完全可以让你成为攻击者的十字准线,包括现实攻击和在线攻击。它们是敏感数据过度共享的一个典型例子,随着社交媒体的出现,这类数据的暴露越来越猖獗。 更多请查看:《哪些话你永远不应该在社交网络上说?》 过度分享不仅限于那些测验小游戏或趋势。在某些情况下,公开发布假期、家庭、个人身份信息(PII)或您的实际位置,都极其可能会使您面临风险。 大多数人都知道不应该发布自己的信用卡照片、或者披露敏感的财务信息登录凭证,但是,依旧有很多人会在社交媒体上发布自己的电话号码、家庭住址等等。毕竟,网络鼓励用户填写他们的个人资料中的每个可能字段,包括一些非常敏感的字段。这是尤其危险的。 攻击者可以通过三种主要方式使用此数据: 暴力破解密码 — — 攻击者会查找可用于猜测密码的任何信息。通常情况下,这些信息甚至并不需要太多。2016 年最常用的密码是“123456”,紧跟的就是“123456789”。攻击者可以简单地尝试前25个最常用的密码,并在50%的时间内成功。 密码通常只是稍微复杂一点,宠物的名字或街道名称与“123”配对。攻击者使用自动化工具来测试关键词组合 — 您可能在社交网络个人资料中找到人们心甘情愿披露的内容 — 快速猜测到成千上万的密码组合。 攻击者还使用通过过度共享收集的数据来猜测安全问题,并以这种方式入侵帐户。安全问题通常都包括你的第一只宠物的名字,你长大的街道名字,你高中时的吉祥物,你最喜欢的作家或你的童年英雄等等。它们听起来就像病毒式的社交媒体测验问题,不是吗? 社交工程攻击 — — 您在社交媒体上发布的任何信息都可能被攻击者用于制作社交工程攻击。有了您的个人信息,攻击者就可以为您定制看似合法的钓鱼邮件。 例如,如果一个攻击者知道你去过 Radiohead 的音乐会,那么钓鱼消息就是:“你看过 Radiohead 最新的主打歌曲吗?今天刚刚放出!“将有更高的成功机会。攻击者利用这种策略将用户引诱到网络钓鱼页面和恶意软件上。 还可以使用虚假帐户冒充你认识的人,或者更好的是,你的联系人的真实帐户被劫持,该消息将更加有效。对于攻击者来说,这些都是额外的好处。
物理盗窃 — — 人们喜欢张贴他们度假的照片。如果攻击者知道您居住的地方 — — 在社交媒体时代能轻松搞到这样的信息,特别是如果您在自己的个人资料中列出了、或者启用了帖子的地理位置、或者曾经在您家中或周围拍摄的照片,使用OSINT定位法 — — 攻击者就可以利用它们得到想要的任何信息。 我们并不是主张你完全停止在社交媒体上发帖。相反,要小心你所分享的内容,并在将这些信息传播到社交媒体的公共论坛之前,先考虑一下潜在的后果。 尤其是以下内容: - 小心社交媒体测验,最好不要参与任何测试小游戏 — — 那些游戏总是在调动人们的超个人主义情绪和自我优越感,比如“你是三国里哪位人物?”,或者“你最合适的女朋友是什么样的人?”等等,而需要你填写的那些问题往往完全无法得出测试游戏标榜的目的。正相反,你一定会想要知道正确答案,于是填写的内容基本都是真实的,这些数据将被卖给你完全不可能知道是什么东西的买家。其中就包括社交工程师。 - 即使网络鼓励您完成问答式的填写,也不要在您的个人资料中披露任何敏感信息。包括电话号码,地址,生日等等。如果必需填,那就写假的。 - 发布任何照片前请审核一下图像中的内容。你能在桌子上看到你的信用卡吗?您的重要地址门牌号、路牌是否能在后面可见?如果有,切勿发布在网上。 - 谨防欺诈,例如通过非官方网站分发的优惠券和促销活动。 - 诈骗网站通常缺少 SSL(或TLS)网站证书,这几乎是每个网站的标准,特别是那些要求凭据或信用卡信息的网站。这一直是一种方法,通过这种方法,消费者可以确信该网站是合法和安全的,如“https”标识所示,并且许多浏览器不以绿色显示。如果该站点没有 SSL / TLS 网站证书且未加密您的信息,则该站点可能并不安全,不要信任。 - 确保在社交媒体帐户可用时启用双因素身份验证。如果恶意页面窃取您的凭据,这又提供了另一个保护屏障。现在,许多社交网络都需要在检测到尝试访问您帐户的新浏览器或设备时将验证代码发送到您的手机或电子邮件。但是手机验证明显是不安全的。 - 谨防社交媒体上的链接。将鼠标悬停在它们上方以获得预览,并仔细查看模仿网址和其他相似的字符。如有疑问,请将链接复制到免费分析工具,如 VirusTotal。 - 如果有人提示您下载并安装应用程序或文件,请保持清醒。移动应用程序只能从规范的应用程序商店下载,任何其他应用程序都不应受信任。 - 确保您的防病毒软件在您的设备上保持最新,无论是PC,Mac还是移动设备。 - 你关注什么人一定要谨慎。关注可疑账户会增加您遭受社交媒体诈骗的机会,即使是良性账户也可能被诈骗者劫持或出售给诈骗者!我们已经多次发现疑似 troll 与著名异议人士的关联紧密,这是非常危险的。 - 即使经过验证的连接关系也有可能会向您发送可疑的内容,也请不要点击,因为他们的帐户可能已被黑客入侵。请通过其他渠道与他们联系,以验证邮件是否合法。 - 总之,在社交媒体上小心点击!如果看起来很可疑,那可能就是。见这篇,关于盗取名人账户进行诈骗的调查案例《演示:对 Elon Musk Bitcoin 诈骗的开源调查》 如果所有链接都不点击,您显然已经失去了大多获得知识和资讯的机会。事实上您完全可以随意点击查看内容,而不会被恶意侵犯,具体做法详见《如何隔离危险》。 All Those Innocuous Social Media Quizzes are Hacker Goldmines: all be careful what you click on social media! If it looks suspicious, it probably is. 市场营销通过夸人赚钱,政治营销通过损人盈利。为什么同是营销却南辕北辙?从经济学角度分析现代政治是如何致力于欺诈以撕裂社会的。 这是因为要想把东西卖给您就需要您投赞成票才能实现。如果只是让潜在客户相信不应该购买竞争对手的同类产品是无法实现您的销售的。 这是因为顾客可以从多个卖家中进行选择,或者他可以选择根本不买。但是,在只有两个主要政党的选举中,“客户”根本没有这些选项,“客户”实际上是在被迫从其中一方“购买”。 在一个基本上是两党竞争选举的情况下,意味着你只要说明对手有多烂,就能赢得这场比赛。 同样地,如果你能让一个致力于拥护竞争对手的选民改变主意变成支持你,这就能值得两票,因为它会在你的投票栏中加一,并同时从你的竞争对手那边减一。此外,如果你能找到一种方法让一个本来会投票给你的竞争对手的人不去投票,其结果就能像让一个选民投票给你一样有价值。 这就是为什么在政治上可以接受让选民完全脱离政治参与的消极运动,只要候选人认为他可以让更多的支持竞争对手的选民远离民意调查,而不是他自己的选民,就够了;在私营部门,绝不会采取这种做法,因为它会减少而不是增加销售。 因此,尽管政治竞争中不断要求“改变基调”,但政治竞争远比市场竞争更为负面,主要是因为负面攻击在政治上有更大的回报(参见反对派研究的增长)。相反,由于选民对私营部门客户的销售信息知之甚少,因此激励措施愈演愈烈。 人们只有获得充分的信息才能做出决策,因为他们期望从更好的选择中获得的额外收益超过获得制作信息所需的额外成本。这种好处在市场决策中很重要,因为您的选择会直接改变您的结果。 为什么对候选人和政策无知是有道理的? 因为,在政治舞台上,你的投票只是其中之一,只给你一分钟的机会影响结果,并且几乎没有给你带来一张更好的选票(一个更好的商品);并且,获取公共部门决策信息所需的成本往往要高得多,因为需要的信息要多于仅仅知道选择将如何直接影响您的信息。 获取信息的成本过高,收益过低,导致大多数选民获得的政治决策信息要明显少于其获得的市场决策信息,尤其是关键的摇摆选民,他们往往是选民中信息量最少的人。 这就进一步提高了对负面竞选宣传的回报,特别是使用具有误导性的“半真相”的积极性 — — 候选人肯定会致力于让对手“看起来更糟“,远超过努力“让自己看起来更好“。那些用于宣传的信息被高度简单化了,但现实很复杂,因此更容易“卖”给注意力有限的选民 — — 尤其是以互联网为几乎全部信息来源的选民,互联网本身的信息消防栓效应已经严重削弱了人们的注意力。 任何公共政策都会产生很多影响,其中一些会产生不利的影响,而这些影响很容易被拆分并打包分配给无知的选民。政治也涉及妥协,并且脱离背景,任何妥协都可以为候选人放弃原则的攻击提供素材。根据加州萨克拉门托政治与媒体研究所主任芭芭拉·奥康纳的说法,结果就是,“脱离背景或误导性的事实被广泛使用,包括那些会推翻你正在形成的观点的信息”。 随着今年选举竞争的加剧,我们将看到政客在发动自己的负面攻击的同时谴责对手的负面攻击。这种不一致令人厌恶。 但是,负面攻击就存在于现代政治的激励结构中,就如审查监视就内嵌在这个互联网里。因此,尽管持续请求诚实和文明,但只要政府继续扩大对人民生活的控制,增加控制政治进程的回报,它就无疑会变得更糟。 事实上,解决这个问题的唯一方案是减少政府作用于我们生活的权力和范围,将这种控制权归还给人民,让人民自己做出自己想要的安排。然而,肯定的是,这种解决方案不会来自那些忙于滥用*半真相*成为政府或仍然是政府一部分的人。 Why Politics Divides People? As electoral competition heats up this year, we will see politicians decrying opponents’ negative attacks at the same time they are launching their own negative attacks. That inconsistency will madden many of us. 前段时间看到很多中国用户在社交网络上晒自己的“脸书十年”,深感恐惧。 如果你一月份时一直在社交媒体上,你就会受到那个叫做“十年挑战”的影响,这是把人们10年前张贴的自己的照片与当前照片进行比较的游戏。 像大多数社交媒体的所谓“挑战”一样,它根本不是一个“挑战”,而是一个非常危险的骗局 — — 所有这些数据被收集并可以被用来训练面部识别算法以针对年龄识别的技术。 《连线》杂志(Wired)的撰稿人、科技专栏作家凯特·奥尼尔(Kate O ‘Neill)发布推文指出了这点。引起了很多用户的共鸣。 如果你想训练一个关于年龄特征和年龄进展的面部识别算法,你会想要很多人的照片,你会想知道他们在不同年龄段的面部特征差异 — 10年就是一个标准。 奥尼尔提出了一个有说服力和客观的观点:由于这个挑战游戏,背后会有一个非常大的数据集,精心挑选了大约10年前和现在的人的照片,以做对比。 有些人认为这个挑战中会出现太多无用的数据。但是奥尼尔认为一家将这些数据用于恶意目的的公司会知道你应该更加信任早期趋势中的数据的有效性。到目前为止,算法已经足够智能,可以将人脸与meme分开,就像区分猫和狗的照片一样。 当然,信息被用于恶意目的的想法尚未得到证实,但奥尼尔指出:“人类对于世界上大多数技术来说是最富有的数据来源”。 详见:《你曾经在社交网络上发布过自己的照片?你危险了!》 随着这些数据向下游流动并与我们的位置跟踪、响应和购买行为以及其他数据相结合,它就可能会带来一些真正令人毛骨悚然的跟踪结果。有朝一日,年龄增长可能会影响保险评估和医疗保健权利。例如,如果你看起来比你的同龄人老得更快,也许保险公司就会对你“另眼相看”。您可能需要支付更多费用甚至被拒绝承保。 在亚马逊于2016年底推出实时面部识别服务后,他们开始将这些服务出售给执法部门和政府机构,例如奥兰多的警察局和俄勒冈州的华盛顿县。但该技术引发了主要的隐私问题,警方不仅可以利用这项技术追踪嫌疑人,还可以追查未被确定为犯罪的人,例如人权活动家、抗议者和警察认为“有害”的任何人。 美国公民自由联盟要求亚马逊停止销售这项服务。亚马逊的一部分股东和员工也是如此,他们要求亚马逊停止服务,理由是担心公司的估值和声誉。 很难准确说清技术如何全面影响人类。我们有机会让它变得更好,但要做到这一点,我们也必须认识到它可能变得更糟的一些趋势。一旦我们理解了这些问题,所有人都应该权衡。 无论这种 meme 背后的起源或意图如何,我们都必须更加了解我们创建和分享的数据,我们授予它的访问权限以及对其使用的影响。如果 Facebook 的这个游戏明确表示它正在为年龄进展研究收集当时和现在的照片,您可以选择参与,了解谁应该访问照片以及出于何种目的。 Is Facebook’s “10 Year Challenge” A Ploy To Teach Facial Recognition Algorithms. If you wanted to train a facial recognition algorithm on age related characteristics and age progression, you would want a lot of people’s photos and you would want to know that they were all taken a fixed number of years apart — 10 years, in this case. 如果您未能解决团队成员的社交媒体习惯和在线卫生问题,将肯定会不必要地承担巨大的安全风险。只要有一个人不够注重安全,你们团队中所有人都将面临威胁。 我们在网络安全方面的口号 — 我们一遍又一遍重复着的口号 — 就是这样的:用户是最薄弱的环节。但我想知道,它是否已经由于碎嘴子而失去意义? 对过去几年来的无数次重大侵犯行为的解析结论是显而易见的:攻击者追逐的是用户和零日。即使粗略地浏览一下暗网,也可以看出,信誉良好的消息来源和那些寻求攻击的人提供的 Zero Day bug 奖金之间的差距是多么的巨大,详见《可怜正义没有钱》。然而,凭据的攻击能力更强大,来得更容易,可怕的是,组织和团体仍然没有能教会他们的成员安全使用互联网的习惯。 任何威胁组织的社交工程部门人员通常都是通过监视人们在 Facebook,LinkedIn,Instagram 和其他社交平台上定期分享的信息,来找到他们所需要的东西的。这有助于他们制定针对性的和精确的攻击。你真的不用指望那些企业能关心你的安全。 你应该知道,这一间谍步骤的执行速度究竟有多快。 只需在 LinkedIn 上找到一个指定联系人的组织。然后交叉引用 Facebook 或 Instagram 或 WeChat 或微博上的个人资料,在那里,很容易利用宽松的隐私设置来收集到有关出生日期、亲属姓名、宠物、休闲时光甚至具体地点的信息。然后发送武器化的[email protected] 来发动攻击。假设已经构建了有效载荷,则针对每个目标的整个过程大约只需要十分钟。 惊人的效率,并具有惊人的高命中率。 随着用户越来越多地将自己的个人生活细节在越来越“不卫生”的社交网络上更加充分地暴露,组织和团队需要认识到,这会带来真正的危险。 至今仍然只有很少的用户知道 Facebook 等应用程序中最基本的隐私设置,或者面向公众的个人资料图片可以产生有关个人的有价值信息有如此高危险性的概念。这是更大的恐怖。 浏览互联网,很简单你就可以看到,对错别字、政治立场、他们选择表达自己的方式、对语言模式的容忍度 — 以及,他们的二级和三级联系人的个人资料也可能有类似的暴露性设置。即使是在其个人资料图片上存在安全意识的用户,也可能没有意识到其他危险。 如果以上这些任何部分这听起来像跟踪,不要搞错 — 犯罪团伙不关心跟踪,他们要的是了解你从而制定最有效针对你的攻击方案。他们将使用可用的任何信息来访问您的资源,社交媒体是最丰富的资源库。 你想反击吗,其实很简单,只需要为您的成员进行一小时的培训。包括一些关于隐私缺乏关注造成巨额损失的硬案例材料,您将可以做到大幅度减少风险状况。 即使是看似微不足道的行为纠正也能获得明显的安全回报。如果用户停止在 LinkedIn 和 Facebook 之间共享个人资料照片,那将大大降低社交工程师的进攻速度。确保将所有新的 Facebook 个人资料图片的默认公共设置改为“仅限朋友”,或限制某个帖子避免“朋友的朋友”作为可见性 — 这些简单的方法都有助于降低风险。 删除封面照片,限制过去帖子的可见性或确保 LinkedIn 上的推荐仅对专业联系人可见,会有同样的作用。至今依然只有很少的人能够做到这一点,以至于政府的间谍和其他犯罪分子可以轻松地窃取他们的宝贵数据。 社交媒体帐户上的弱安全设置对黑客来说实际上是一张金牌。资源充足的社交工程师可以发现足够的信息,以便在您的队友中发起针对性的攻击。攻击者不仅可以立即进入您的关系网开始渗透运作,而且还可以获得有关凭据的重要线索,这些凭据可以让他们在入侵后进行操作。 现在想象一下,你是犯罪团伙工资单上千名左右真正的精英黑客之一 — 甚至是受雇的独狼 — 就是能更快速展开攻击的人。您的中级用户在线共享了令人难以置信的个人详细信息,你就可以轻松地引用特定个人详细信息实施有效的网络钓鱼攻击。 如果您没有专门针对这些用户的社交媒体习惯和卫生问题展开培训,您的受攻击面就会随着风险状况呈指数级增长。解决这个问题的培训不一定是繁重的任务,如果您长期关注 IYP 的内容就能轻松掌握防御技巧。 这句话真的值得重复:用户是最薄弱的环节。我们不能让这句话的分量由于被重复而被稀释。 详细知识:《破坏者的智慧》分为5个部分 — —
If you fail to address the social media habits and online hygiene of your employees, you’re unnecessarily taking on a huge security risk. It bears repeating: Users are the weakest link. Let’s not let that phrase be diluted by repetition. 我们在前面讲述了搜索记录有多可怕。 Google 会跨多个应用和服务跟踪您的搜索活动。谷歌拥有多个互联网资产,如 YouTube,谷歌地图,Chrome 网络浏览器,谷歌 Play 商店等。所有这些都用于跟踪用户活动。 收集的数据就是 Google 的主要收入来源,因为广告客户会使用您的数据。Google 通过收集有关个人的数据并将这些信息出售给广告商来赚钱。还包括其他莫名其妙的数据中间商,你根本不知道是谁的家伙。 您的“搜索活动”就是您在任何 Google 产品中输入的字词和词组,用于在网络上查找内容。即使您使用谷歌地图,您的搜索历史记录 例如 您搜索或访问过的所有餐馆,都会被 Google 跟踪到。详见我们仅仅使用历史记录实现的侵入性挖掘《浏览历史记录曝光你的内心全景图》 用户可以控制和删除搜索活动。如果您不希望使用您设备的其他人看到您在网络搜寻内容,那么您需要清理搜索记录。 请记住,此信息在所有已登录的设备中共享。 这意味着,如果您通过智能手机在Google.com上搜索了某些内容并在其他位置登录到同一个 Google 帐户,这些历史就会显示在其他设备上。例如,同样登录到同一 Google 帐户的家庭计算机也包含相同的搜索记录。它是实时的。 如何查看我过去的网页搜索记录? 要查看过去的搜索活动,请在网络浏览器中访问 https://myactivity.google.com/privacyadvisor/search。 您不必使用 Chrome,但如果您想查看和管理 Google 搜索记录,则必须登录 Google。虽然我几乎只使用 Firefox,而 Chrome 则用于编程工作,但我的活动也是被 Google 记录的。 即便您没有登录 Google 帐户,您仍然会向 Google 提供数据,但您无法控制它。当您登录 Google 帐户(Gmail,YouTube,Google Analytics或其他帐户)时,您可以从浏览器中删除搜索记录。 如果您还没有登录 Google 帐户,请访问https://myactivity.google.com/privacyadvisor/search。从那里,您只能查看自己的 Google 活动 — 即在Google.com和上述其他媒体资源上的搜索。要查看仅限 Google 的活动,请选择“仅限 Google”。如果您想查看所有搜索活动(Google 正在监控并保存的东西),请选择左侧按钮选择“所有搜索活动”。 要删除所有搜索记录,请从活动页面开始,然后点击删除搜索活动按钮。您可以选择全部擦除或仅删除搜索历史记录的最后一小时。
这会删除您的活动数据,例如您搜索的字词以及您选择的链接。 请记住,这并不是消除您的在线行为所有痕迹的完整方式。要真正清理它,您必须确保清理所有Internet 临时文件。如果您登录网站进行购买或查看某些内容,那么该登录历史记录也会与您保存的密码一起保存在用户名下的 Windows 系统文件中。您还需要删除Google 时间线并调整隐私设置。 谷歌是个强大的数据黑洞,对于社交工程攻击者来说非常重要,最简单的详见《高级运算符辅助开源调查:巧用搜索引擎挖掘情报 #OSINT》,如果您是一位不想被抓住把柄的社交工程师或开源调查研究人士,那么最好使用单独的账户、单独设备,并及时清理足迹。 很多噩梦只是由于你曾经在社交网络上说得太多了。这绝不是危言耸听。我们警告过政府当局如何利用社交媒体上人们下意识透露的信息针对性地进行间谍活动,详见《社交媒体情报》,于是,现在梳理一下:你确实不应该在社交媒体上说的话。 有关您的一切细节信息,您都不应该在社交媒体或其他任何其他网站上发布。 Instagram,Facebook,Snapchat 和 Twitter 等社交媒体网站经常以提高帐户安全性为幌子邀请你提供更多信息。如果您忘记登录凭据,该信息可用于恢复您的社交媒体帐户(比如苹果ID的问答:您出生在哪个城市等等)。 Facebook 要求用户使用他们的平台的最低年龄,声称为了阻止不合适的内容而要求您透露自己的年龄。 但是,提供此类个人信息确实存在危险,特别是在与您生活的宏伟计划无关的社交媒体网站上。从社交媒体上要求提供的大部分信息都被用作从信用卡到股票交易账户等等各种常见密码重置问题。 于是社交媒体是社交工程攻击的最常见入口。攻击者收集有关受害者或一组受害者的信息 — 比如所有公司员工 — 并建立一个关于他们的信息数据库。目标可能是攻破整个团体或其中某些关键个人。通常,社交工程攻击用于获取关于公司中某个高级别人员的足够个人信息,就可以获取大笔金钱或公司的致命机密。 出生日期 — — 您的出生日期永远不要在社交媒体上发布!有些网站要求提供出生日期,那就说谎吧!我有一个标准的假生日,我在所有非必要的网站上使用它。这意味着除非需要知道我的真实生日,比如我的护照续签,此外一概输入假生日。 顺便再提一句我们介绍过的在线身份伪装《伪装+擦除 — — 在线隐身的重要步骤(少数派玩家)》 记住!输入您的真实生日并更改隐私设置仅对您自己可见是不够的!黑客完全可以获得这些数据。 出生日期是黑客打开欺诈性银行账户、侵入您当前的财务信息、以及进行其他身份盗用所需的重要信息。就数据盗窃而言,出生日期对应名字就如金条一般。 你出生的城市 — — 再一次,你出生的城市是一个常见的密码重置问题;这也是 Facebook 用户喜欢在他们的个人资料上自动显示的东西,这是真的非常傻。 从银行户头到贷款人的所有都使用您的家乡来识别个人。如果您申请信用卡并且银行向您询问一些个人问题,您就会看到“之前住过的地方”这样的问题出现在其中。虽然您无法将其从信用报告中删除,但是,请不要将其提供给每个人都可以看到它的社交媒体网站。攻击者可以使用它以您的名义开立帐户。 如果您公开说出了您出生的日期和城市,攻击者就可以使用这些信息来破解您的社会安全号、身份证号。您应该知道社会安全号的第一个数字与你出生的地方有关。这些关键证件号可用于完全的身份盗用。 当你在度假时请注意 — — 很多人都喜欢在线分享度假照片。但是,当你不在家时,千万不要这样做!如果您在自己的个人资料中发布家乡并在社交媒体上分享度假照片,窃贼就可以使用它来了解何时是您闯入家中的好时机。 分享您的家庭住址不仅可以为身份窃贼提供重要的拼图,还可以让窃贼找到您的家。 真的太想分享照片的话,等旅行回来到家后再分享。 宠物的名字 — — 你最喜欢的宠物的名字是什么?这个问题听起来很熟悉吗?肯定的。这是另一个常见的密码重置问题。我不是故意避免在 Instagram 上张贴可爱的小狗照片。从另一个角度看这个问题。 当被问及您最喜欢的宠物名字作为密码重置问题时,请使用您孩子的宠物或其他动物的名字 — 例如您最喜欢的马。不要让黑客很容易收集到有关您的信息。 您驾驶执照上的照片 — — 不要在线发布许可证、驾驶执照或护照上使用的照片!这是另一个信息宝库。如果黑客可以将名字与作为数据金矿的照片相匹配,添加地址和出生日期,这就是完全成熟的身份盗窃。 如果你的孩子决定张贴他们的学生证在社交网络,就等于给攻击者交上了老底。借此可以实现各种惊奇的社交工程攻击。 银行信息 — — 也许这点不需要多说?但是也不一定,有些人一高兴就什么都忘了,拼命想要马上晒出来,比如闪亮的新信用卡的照片,你能在网上看到一大堆。这是非常危险的。 其他常见的密码重置问题包括你结婚的地方、你父亲的名字、你母亲的婚前姓等等。很多这些都可以从公共记录中获得,但这可能需要更多的挖掘才能找到答案。 我们能见到的99%被当局追踪迫害的异议人士都是由于在社交媒体上放了太多个人信息。不仅政府和警察,任何恶意者都可以因此瞄准你。 你的目标是让攻击者的工作变得足够困难。所以,不要在敏感的或诱使敏感数据的社交媒体上发布这些内容! 如果你还关心政治类的信息,就需要做到这样:《使用社交媒体时你必须注意什么? — — 🔐 更安全的抵抗》 Things You Should Never Post On Social Media: The goal is to make a hacker’s job difficult. Don’t post things on social media that are sensitive or lead to sensitive data! 想想看,如果你正在挑选一所大学或者一家公司准备应聘,那么你现在要做的是什么呢?没错,搜索他们,充分地利用一切你可以找到的信息来了解那所大学或公司的状况。 充分了解 — — 事实上这就是攻击者首先要做的事,攻击者会尽可能搜集与你有关的一切信息,仔细分析这些信息,以便从中构建针对你最有效的攻击模式。 足迹可以向攻击者暴露形成组织安全状态的整体概况,如系统设计、network blocks 和网络上公开的信息等。攻击者通常通过以下一系列步骤获得目标的情报: 开源足迹 — 攻击者采取的第一步就是潜在目标的网站。然后,查找管理员的联系信息,这可能有助于猜测密码或进行社交工程攻击设计。 网络枚举 — 这是获取攻击者试图识别目标网络的域名和 network blocks 的信息的下一步。 扫描 — 一旦知道了 network blocks ,接下来就是监视目标网络上的活动 IP 地址。Internet 控制报文协议(ICMP)是识别活动IP地址的另一种选择。 搜索历史 在所有热门搜索引擎以及流行的社交网络平台上,每天都有数百万或数十亿的搜索。这些人究竟在寻找什么是我们关注的问题。有一些平台或工具可用于确定人们在这些搜索引擎上搜索的内容。 我们演示过浏览历史记录有多致命,详见《⚠️ 浏览历史记录曝光你的内心全景图:#OSINT 开源调查演示》 Pipl 当您访问 Pipl 时,您会发现这个搜索引擎不只是搜索这个web,而是搜索被称为隐形网络的区域。互联网上有一些隐藏的资源,普通搜索引擎因各种原因根本无法访问。其中一些包含个人信息,包含该信息的站点选择不被公共搜索引擎索引。 Pipl 则是不同的,因为它确实可以索引这些信息。 您可以添加的内容将决定搜索结果的准确程度。如果您只有一个名字,您可以获得有关该名字的任何人的任何信息;如果您可以添加更多内容,例如国家地区,则可以获得更具体的结果。所以,现在您知道实名制和诚实简介的可怕程度了? Wink Wink 使用常规搜索引擎以及社交社区、在线个人资料等搜索,您会发现重要的内容。Wink 只搜索已知信息,因此您输入的任何关键字必须是事实,例如您可以确定的生日或出生城市。 它不使用可能性。可能性只会混淆和限制您的结果。出于这个原因,Wink 对于那些了解他们想要找到的人的基本个人信息的攻击者特别有用。 — — Virtual box for hacking — — 这里是通过建立一个实验室来练习你的攻击技术的最简单、最快捷的方法,然后将它们带入现实世界,任何漏洞都可能是毁灭性的。 VMware Workstation 或 Box — 下载 练习攻击的最佳方式是在虚拟环境中。从本质上讲,您设置了一个黑客系统,如 Kali Linux,以及一些可以利用的受害者。理想情况下,您需要多个操作系统(Windows XP,Vista,7和8,以及 Linux / Unix)和应用程序,以便您可以尝试各种黑客攻击。 虚拟机和虚拟网络是建立黑客实验室的最佳和最安全的方式。有几种虚拟化系统,包括 Citrix,Oracle 的 Virtual Box,KVM,Microsoft 的 Virtual PC 和 Hyper-V,VMware 的工作站,VMware Box 和 ESXi。对于实验室环境,我强烈推荐 VMware 的工作站或 Box。 下载 Kali VMware Images — — 下载并安装虚拟化系统后,下一步是下载 Offensive Security 提供的 Kali VMware Images,您不必创建虚拟机,只需从 Workstation 或 Box 运行即可 — 这意味着一旦您下载了 Kali 的 VM,您就可以在 Workstation 或 Box 中使用它,而无需实际安装新的操作系统。 使用 VMware 打开 — — 解压缩所有文件后,下一步就是打开这个新虚拟机。记下解压缩虚拟机映像的位置。然后,转到 VMware Workstation 或 Box,然后转到文件>创建新计算机>分配RAM和HDD空间>选择 ISO 文件并在 VMware 中安装新操作系统。 下载并安装目标 — — 下一步,您需要下载并安装目标系统。当然,您可以使用主机 Windows 7或8系统,但由于这是练习,您可能希望使用较旧的,更容易破解的系统。此外,黑入您的系统可能会使其不稳定和损坏。 我建议安装 Windows XP,Vista,Server 2003 或旧版 Linux。这些系统有许多已知的安全漏洞,您可以用来练习,然后当您熟练掌握黑客攻击时,您就可以升级到 Windows 7和8以及更新版本的 Linux。 如果您或您的朋友没有这些旧操作系统的副本,您可以在互联网上的许多地方以非常便宜的价格购买它们。当然,您也可以在许多 torrent 网站上免费获得这些操作系统,但请注意..您可能不仅仅是下载了操作系统。很多时候,这些免费下载包括在您打开文件时嵌入系统的 rootkit。 下载旧应用程序 — — 一旦安装了操作系统,通常需要在这些旧版本的 Windows 和 Linux 操作系统上运行应用程序。您可能需要浏览器,Office,Adobe 产品等。这些旧产品具有众所周知的安全漏洞,您可以磨练自己的技能。 Facebook 是世界上最大的社交网络之一,每天在这个平台上有数亿人活动,使用 Facebook 作为一个非常有用的在线人物搜索工具是有道理的。 这个平台被世界上数十亿人使用,但只有少数人知道如何使用它。 你甚至可以通过它监视人们,找到作为艺术家、歌手、专业人士等职业的人,并带着你的目的联系他们。 Peekyou PeekYou 是个很棒的体验,它允许您搜索各种社交网络中的用户名。 PeekYou 认为自己是“最聪明人的在线搜索”。这是一个将来自世界各地的人们聚集在一起的网站。任何拥有 PeekYou profile 的人都可以帮助其他人找到他们的网站、照片、社交网页或他们在线提供过的任何其他联系信息。 LinkedIn 是完全免费的,虽然它们有专业版,可以为您提供更多功能,比如可以看到曾经检查过您的个人资料的所有人,免费版本只显示最近的五个。但通常,如果您刚刚开始,免费版本就是您的最佳选择。如果你知道如何定位人们,LinkedIn可以成为你的金矿。 我们强调过在线简历有多可怕,最近有两亿中国人的简历在网上被泄漏,详见《别在网上找工作》;此外我们还演示过如何仅仅通过 Linkedin 开源信息挖掘政治旋转门,详见《深层政治:Facebook金字塔的人形肌理》,因为它真的非常有用。 请注意这不是在培养攻击者!因为只有您了解如何攻击,才能真正了解如何防御。所以,我们真的建议您体验一把做坏蛋的感觉。 The systematic foot printing of a organization permits attackers to form a whole profile of an organization’s security posture. Attackers gain intelligence of the target following a sequence of steps as: 我见过的社交工程中一个比较令人难忘的例子是这样,见视频:https://youtu.be/lc7scxvKQOo 不跳转看视频:https://medium.com/@iyouport/se-ad04fea9e960 在这段视频中,攻击者播放婴儿哭声的录音,同时打电话给手机公司,以便获得一个完全陌生的人的帐户。
因为她假装自己是陌生人的新婚妻子,带着一个哭闹的婴儿,整体伪装为匆忙而混乱,这是为刺激对方的同情心。结果,手机公司不仅允许她访问帐户上的电子邮件,而且还允许她更改该人的密码! 所以现在,那个受害人甚至无法访问自己的帐户。 有了这些信息,攻击者现在可以在线访问受害人的帐户并查看他所有的个人私密信息。 让我们面对现实,我们中大多数人都会在手机上保留一些非常私人的信息。攻击者可以访问目标人的照片、帐户信息、位置等等一切最致命的东西,这无疑是相当危险的。 渗透测试人员就是使用这些方法向易受害的目标个人或群体展示这些攻击的破坏程度。测试人员被这些群体和个人聘用,以测试通过社交工程攻击获取最致命信息的难度。 那么,抵抗那些真实的攻击有多难?社交工程攻击有数千种变化。 以下是一些简要的防止陷入社交工程陷阱的方法:大多数犯罪分子利用人类的善意、使用分心术、以及高超的伪装术,进行渗透。 9 种避免社交工程攻击的方法 1.)怀疑任何未经请求的消息或服务人员。 如果电子邮件/电话/人 看起来像是来自与您相关的公司,请仔细甄别。 使用搜索引擎转到真实公司的站点或电话目录以查找其电话号码。 如果一个不知名的人声称来自合法组织,请尝试直接与该公司核实他或她的身份。弄到一个假徽章或假身份证非常简单,所以,不要被“看起来”合法的人所欺骗。 如果是电子邮件,请谨慎点击其中的链接和附件 — — 这点似乎目前在中国普及的非常好。但是,如果您拒绝点击一切链接和附件,肯定会耽误正常的工作和交流。IYP 已经遇到了多次由于不敢点击链接而失去接受我们的服务的读者,这是很遗憾的。 事实上您完全可以随意点击任何链接,而不必担心被恶意伤害,我们介绍过这一方法,它操作起来很简单,详见《系统被攻击、用 Tor 被钓鱼、好奇害死猫,怎么办?- 把危险隔离出去》 2.)慢下来。 注意周围环境。诈骗者最希望的就是你先行动而后思考。 如果有人传达紧迫感、或使用高压销售策略,请持怀疑态度;永远不要让他们宣传的紧迫感影响你的仔细审查。 3.)拒绝帮助或提供帮助的请求。 合法的公司和组织一般不会主动与您联系以提供帮助。如果您没有特别要求发件人提供帮助,请考虑“帮助”的可靠性如何,比如房产再融资、回答问题、检查打印机、寻找白蚁等等,其中有可能隐藏欺诈行为。 同样,如果您收到与您没有关系的慈善机构或组织发送的帮助请求,请将其删除。 4.)删除或忽略任何关于财务信息或密码的请求。 如果您被要求回复包含个人信息的邮件,那就是骗局。 5.)不提供信息。 除非您确定某人拥有获知该信息的权限,否则请勿提供有关组织的个人信息,也包括组织结构或网络。即使是看起来非常平凡的信息也不一定那么简单,我们在攻防演示中进行过这类展示。详见上述列表中的文章。 另一个很好的例子就是当你打电话给银行(或其他重要组织)时,他们会问你:“你还住在****吗?不要回答这样的提问。 6.)在检查网站安全性之前,请勿通过互联网发送敏感信息。 注意网站的 URL!恶意网站可能看起来与合法网站相同,但网址可能会使用拼写或其他域名的变体(例如 .com与.net)。 ⚠️我们曾经介绍过针对异议人士的邪恶攻击,其中就利用了变体 URL,详见《⚠️ 大型网络钓鱼攻击活动专门针对注重隐私的用户,成功绕过双因素身份验证》 7.)不要过在社交媒体上发送关于个人和组织的任何信息! 在社交媒体上分享过多信息很可能会使攻击者通过您的帖子猜测到密码、或提取个人或公司的机密信息。 如果你说的太多,就会给发送着提供更多的弹药。假设我能找到某人正在休产假的消息,我就可以制作各种其他细节,以使我的社交工程攻击看起来更合法。 所以,搏击俱乐部规定第一条:不要谈论搏击俱乐部! 8.)安装和维护防病毒软件、防火墙和电子邮件过滤器,以减少在线的部分流量。 使用安全产品非常重要!详见我们汇总的安全知识和技术《安全手册:这里是你需要的几乎所有安全上网工具》 9.)小心你的信任 人们天生就倾向于信任并乐于助人,人们很愿意相信你告诉他们的一切。这对人们来说很好,会很舒适,但是,当我意识到自己也是同样的方式时,我会感到害怕。我们需要善意待人,但也要努力甄别是否存在恶意。 这些提示适用于商业和个人生活领域。事实是,人们需要接受培训,因为人是任何安全应用中最薄弱的环节。 公司应该至少采用面向每个用户组(最终用户,IT员工,经理等)的双年度培训,以便每个人都能了解最新的攻击形式。毕竟,这些攻击并非针对“技术”员工,而是任何员工 — — 包括清洁工,因为垃圾中有重要的未被处理干净的有用信息,有些可以是致命的。攻击者明白最薄弱的环节是受教育程度最低的人。 员工也应该通过外部聚会(如BHIS的优秀测试人员)进行社交工程攻防测试。这些类型的测试有助于让员工保持警惕,能更好地避免商业和个人生活中的攻击。 IYP 提供的知识详见我们在前面文章中给出的列表。 Most criminals exploit human kindness, use distractions and questions or pretend to be in the service industry. The Easiest Con — Hacking the Human & 9 Tips to Avoid Social Engineering #SocialEngineering 您是否知道每天都有1000个犯罪分子在线瞄准你?虽然勒索软件攻击和数据安全漏洞往往成为大多数新闻的头条,但是,对于所有人来说,最常见的漏洞就是人类自己。 社交工程学欺诈利用了人性的弱点,使人们无法察觉到自己正在被心理操控。 社交工程学欺诈诱使您在手机上提供个人详细信息、在不知不觉中转移资产;利用您的员工/亲朋好友,并鼓励他们透露您最致命的私密相信;你的祖母也许正在被骗子诱使着付出一生的储蓄 …… 社交工程欺诈是骗子的头号必备技能。它利用了人类的紧迫感、心理脆弱性、损失厌恶冲动和对细节缺乏关注等各种人性弱点。 有缺陷的代码和软件漏洞都不难修补,但是,社交工程欺诈是非常难以预防的,因为人性弱点无法修补。即使是最精明的人也可能被欺骗。就像 Podesta 那样的人,曾为奥巴马政府撰写过关于网络安全的报告,但是他自己也遭受了损失惨重的钓鱼攻击。 你可能觉得自己很精明,我也这么觉得,但是我们都是人类,是人类就有天然的弱点,当我们情绪波动时这些弱点就会暴露出来,而社交工程的手段很大程度上就是激发我们的情绪波动。 目前已经有越来越多的政府当局利用社交工程伎俩,针对政治异议、反对派活动家和政敌。IYP以前的文章曾经多次介绍过这一问题。 我们该如何保护自己的财产和人身安全? 最简单的说法就是:研究历史。 社交工程骗局通常遵循特定的行为模式。无论是传销骗子还是试图访问您的计算机的政府特工,社交工程欺诈都有很长的历史,您可以从中学习到丰富的经验和教训。 伟大的埃菲尔铁塔诈骗 出生于匈牙利居住在美国的著名骗子维克多·卢斯蒂格(Victor Lustig)以卖掉埃菲尔铁塔(Eiffel Tower)的重大骗局而闻名。这么荒唐的事他是怎么做到的?根据美国特勤局特工 James Johnson 的回忆录,Lustig 于1925年夏天抵达巴黎,并立即开始筹备他最大的骗局。 首先他伪造了一份证书来证明自己的可信性,证书还弄上了法国政府的官方印章。然后,他将自己安排在一个富丽堂皇的酒店里,让自己看起来就像政府内部的官员。随后 Lustig 向废弃金属行业的领导人发出了邀请,邀请他们参加会议。 他告诉他们铁塔维护费用高昂,法国政府不想再继续修护,决定要拆除埃菲尔铁塔,7000吨钢材卖给他们,让他们分别报个价。 他向商人们保证,“卖掉这些材料能赚一大笔钱”之类的鬼话,然后故意神秘地告诉他们:政府不想让公众知道这件事。因为一旦民众听说心爱的埃菲尔铁塔要被拆除,定会引发轩然大波,故而必须保密。Lustig 以他高雅的举止和语言很快赢得了收购商的信任。 没有哪位宾客对他有所质疑。Lustig 更是懂得阿谀奉承之道,他解释,政府选择邀请了他们,是出于对他们声望的敬仰等等。说得让收购商们对此深信不疑。之后 Lustig 还邀请他们坐上敞篷小轿车去参观埃菲尔铁塔。 Lustig 向营业窗的工作人员展示了假的政府工作证,以便带着收购商们越过等待登塔的长长的队伍。这是至关重要的一刻,工作人员没有发现不妥并向他示意,让他和他的收购商队通过。 Lustig 故意让他们感觉铁塔的状况已经非常差,政府把它卖掉,是不可避免的。为了拿到这笔大单,他们争先恐后向这位“大人物”行贿。等到他们发现这是场骗局时,Lustig 早已不知去向。 擅自买卖国有财产是个不小的罪名,而且受骗的大商人们又碍于面子,所以他们既没有报警,也没有向报界披露。Lustig 在躲避了一段时间后,发现此事没有见诸报端,就重新潜回巴黎,如法炮制,居然把埃菲尔铁塔又卖了一次。可是这次对方报了警。Lustig 再次金蝉脱壳,逃到了美国。 这位国际著名骗子 Victor Lustig 有同样著名的“十诫”,我们在曾经的社交工程攻防演示中都有介绍,大致就是下面这样:
庞氏骗局 「庞兹骗局」称谓源自美国一名意大利移民查尔斯·庞兹(Charles Ponzi),他于1919年开始策划一个阴谋,成立一空壳公司骗人向这个事实上子虚乌有的企业投资,许诺投资者将在三个月内得到 40% 的利润回报,然后庞兹把新投资者的钱作为快速盈利付给最初投资的人,以诱使更多的人上当。由于前期投资的人回报丰厚,Ponzi 成功地在七个月内吸引了三万名投资者,这场阴谋持续了一年之久才被戳破。 Charles Ponzi 在1903年移民到美国,从事过各种工作,包括油漆工等粗工。他曾于加拿大因伪造文书罪入狱,在美国亚特兰大因人口贩卖而服刑。Ponzi 发现最快速赚钱的方法就是金融工具,于是从1919年起,Ponzi 隐瞒了自己的过去,并抵达麻州波士顿,设计了一个投资计划向当地人兜售。 投资计划为投资某样商品便可获得高额回报,但 Ponzi 刻意将计划化简为繁,让一般人难以摸清。 1919年,第一次世界大战刚结束,世界经济体系混乱,Ponzi 便趁混乱放出消息。他宣称购买欧洲的某种邮政票券,再转卖回美国便可以赚钱。 国家之间由于政策和汇率等等因素,很多经济行为一般人难以得知实况。然而 Ponzi 宣称,所有的投资在45天之内都可以获得50%的回报,且他给最初的一批「投资者」于规定时间内拿到了承诺的回报,于是后面的「投资者」大量跟进。 在一年左右的时间里,差不多有四万多名波士顿市民变成庞氏的投资者,而且大部分是怀抱发财梦想的穷人,Ponzi 共收到约1500万美元的小额投资,平均每人「投资」几百美元,当时的Ponzi 被一些不明就里的美国人称为与哥伦布和马可尼(在当时被认为是无线电的发明者,但现在普遍认为是尼古拉·特斯拉发明的无线电)齐名的最伟大的三个意大利人之一。 Ponzi 买下有20个房间的别墅,买了100多套昂贵的西装,并配上专门的皮鞋,拥有数十根镶黄金的拐杖,还给他的情人购买了无数昂贵的首饰,连烟斗都镶嵌着钻石。当某个金融专家揭露庞氏的投资骗术时,Ponzi 还在报纸上发表文章反驳。 庞氏骗局的运作模式为参与者要先付一笔钱作为入会代价,这与一般的证券基金会社的会员并无区别,但在 Ponzi 骗局中,所赚的钱是来自其他新加入的参加者,而非公司本身透过业务所赚的钱,即所谓“拆东墙补西墙”。 投资者通过不断吸引新的投资者加入付钱,以支付上线投资者的投资与利润,初期通常在短时间内获得回报以利于推行,再逐渐拉长还款时间。 随着更多人加入,资金流入不足支出,当现金总量庞大时尚不足以崩溃,甚至也可以正常投资事业来持续运作,但直到骗局泡沫爆破时,最下线的大量投资者便会蒙受金钱损失。 银行工作 我们在关于<伪装>的演示中介绍过这个案子。Stanley Mark Rifkin 是加利福尼亚银行的计算机顾问。当地最大的银行里有一个电汇室,允许通过每日更改的授权码将钱从一个银行转移到另一个银行。 Rifkin 利用他作为顾问的职位,以检查故障为借口进入电汇室。他趁机记住了贴在墙上的授权码,他离开房间后打电话给银行,冒充该银行国际部门的员工。他要求将1000万美元转入离岸账户。 这是美国历史上最大的银行抢劫案。您可以通过上面链接看到完全的故事,以及我们对这一案件中关于身份伪装的分析 — — 此案之所以成功其中最强大的部分就是社交工程学的伪装。 当今的社交工程 今天的社交工程欺诈者已经完全采用了高科技现代化手段。商业电子邮件妥协(BEC)诈骗是他们最喜欢的骗取中小企业来之不易的现金的方法之一。根据诺顿的数据,平均每天有400家企业受到 BEC 诈骗的打击。 在 BEC 骗局中,诈骗者伪装成公司的首席执行官或医学博士,并要求紧急转移资金。通常情况下,电子邮件将附带一个无害的主题行,并将从一个伪造的地址发送给目标,该地址与真实地址之间可能只有一个字母的差异。 这封钓鱼邮件看似合法,但必需经过仔细调查才能了解它真正的目的。 2016年,奥地利航空航天公司 FACC 就遭到了 BEC 骗局,损失高达 4700 万美元。该公司迅速解雇了授权该交易的 CFO。 当然,也许所有社交工程骗局中最常见的是网络钓鱼骗局。攻击者模仿公司的品牌,以创建网站并发送看似来自合法来源的令人信服的电子邮件。这些电子邮件诈骗通常会欺骗用户点击链接,然后通过在狡猾的地方安装恶意软件,攻击者可以访问甚至完全控制目标的计算机。 让您的软件和安全程序保持最新是保护您免受恶意软件和社交工程攻击的第一步。对员工和组织成员进行安全教育也至关重要,尤其是渗透测试,将能够更好地发现你所处的团队是否存在安全漏洞。 应制定网络安全计划,以降低企业和组织面临的风险,并指出如果他们认为自己会遭到攻击可以采取哪些措施预先保护。 — — 我们将在后面的文章中详细介绍如何防御,并演示更多的常见攻击形式 因为这一问题真的非常重要。社交工程伎俩正在被越来越多的政府当局用来打击异议人士、活动家和记者,详见一个简要的报道《大规模网络钓鱼、监视和在线攻击成为活动家不得不面对的危险》在中国,所有关心政治的人都应该非常注意。这就是为什么我们持续强调这件事。 以下是一个不完整列表,关于社交工程攻防技术知识 — — 请注意是“攻防”,而不是简单的防御,或者说,最好的防御是进攻……
反抗需要很多技巧,从在线到线下,从数字技术到心理学和社会学,掌握得越多您的行动就会越顺利和安全。最后,还是那句话:重在练习。 Did you know there are 1000s of cons perpetrated online every day? And whilst ransomware attacks and data security breaches tend to get the majority of headlines, the most common vulnerability for business and consumers alike, is us as humans. 我们介绍过 John Pilger,普利策奖得主,澳大利亚籍著名新闻记者和纪录片制作人,以及他最棒的作品之一 — 揭露媒体撒谎的纪录片《The War you don’t see》以下是他的访谈。 记者可以通过说出真相,或者通过他们能找到的尽可能多的事实来帮助人们,并且不是作为政府、权力的代理人,而是作为人民的代理人。那才是真正的新闻。其余的只是似是而非的。 当我刚开始作为一名记者,特别是作为驻外记者时,英国的新闻界是保守的,并且由强大的部队所控制,就像现在一样。但与今天相比的差异在于,独立新闻拥有的空间。现在这个空间已经几乎被关闭,独立的记者已经上网,或者进入隐喻的地下。孟加拉国拥有丰富的独立新闻传统,一定要保护它。 最大的挑战是,如何将新闻业从其作为大国权力的速记员的恭维角色中解救出来。美国在宪法层面上拥有地球上最自由的新闻界,但是,在实践中,它有一种媒体对于权力的程序式信仰和欺骗感。这就是为什么政府有效地获得了媒体的支持入侵伊拉克、利比亚、叙利亚和其他几十个国家。 Wikileaks 可能是我一生中经历过的最令人兴奋的新闻发展。作为一名调查记者,我经常不得不依赖举报人的勇敢,有原则的行为。当丹尼尔埃尔斯伯格泄露五角大楼文件时,有关越南战争的真相被公之于众。有关伊拉克和阿富汗、沙特阿拉伯以及许多其他爆发点的真相之所以能被人们所知晓,是 Wikileaks 公开了这些举报人揭露的信息。 Wikileaks 的信息百分百是真实和准确的,您可以了解其影响,以及那些秘密而强大的势力因此产生的愤怒。Julian Assange 是伦敦的政治难民,仅仅是因为一个原因:Wikileaks 讲述了21世纪最大罪行的真相。他应该受到新闻界和世界各地人民的支持。 “民粹主义”只是一个贬义的媒体术语。我们所看到的是一场流行的阶级叛乱,由于政府的极端经济政策,人们厌倦了贫困、就业权利的崩溃和生活中的各种不安全感。 当然还有其他的原因,但基本上西方普通人 — 特别是美国、英国、法国、希腊和意大利 — 正在看到他们的宝贵收益逐渐消失。这就是法国“黄背心”得到如此广泛支持的原因。而来自遭受贪婪政策迫害的国家的难民潮 — 如利比亚和叙利亚 — 在此充当了替罪羊。 今天的自由主义者经常痴迷于所谓的“身份政治”。而普通人正在意识到这一点,或者至少他们正在努力。 关联我们此前的系列文章,关于现代“新闻”如何杀死了民主: 以及,更要的是,详见《为什么说记者的专业性和对安全知识的熟练掌握决定了民主的可持续性》尤其是其中关联的诸多文章。相信中国的有志之士能充分利用这些知识为民主做出贡献。 ‘Real journalists act as agents of people, not power’ WikiLeaks told the truth about the greatest crimes of the 21st century. He is not forgiven for that, and he should be supported by journalists and by people everywhere. 如果你最近正在购买电视机,你会发现,你根本买不到其中没有安装所谓的“智能”东西的电视机。大多数电视厂商都不想向你推销一套简单的设备,因为他们希望你使用他们的流媒体服务。更具体地说:他们希望您购买具有特定流媒体功能的套装,因为他们想要监视你! 对于大多数人来说,这一直是相当明显的,但依旧很高兴看到 Vizio 首席技术官 Bill Baxter 承认了这一骗局:您能享受折扣的原因是由于您的收视习惯正在被收集并出售给出价最高的人: 问:我在评论和 Twitter 上听到的一种 Verge-nerd meme 是这样的:“我只想要一部愚蠢的电视。我只想要一个没有智能的面板,我会自己解决这个问题。“ 但是你显然不希望卖这样的电视机? 答:嗯,说实话是这样。我们会在零售时收集更多的数据增加利润以抵消折扣损失。同样,我们的电视业务本身利润率不高可能是一个理想的目标,因为我可以在下游弥补它。另一方面,我们实际上正在将大量用户货币化地聚合在一起,虽然其中一些用户选择退出。 这是一个混合收入模式,最终,Vizio 会成功,但你知道它并不完全依赖于数据收集等东西。 问题在于,这种权衡并不能真正为最终用户提供价值,这在很大程度上要归功于电视行业糟糕的安全和隐私实践。首先,电视行业历史上可怕的图形用户界面导航造成实际查找并选择退出此数据收集的过程通常是一场噩梦。 通常选择退出的功能被有意识地命名为模糊不清的东西,然后深埋在设计极为精美的菜单中。即便如此,即便您有幸找到了那个逃命的出口,但选择退出通常也会导致您无法访问实际使用的某些核心功能。如果你喜欢被折腾到不胜其烦,那么这大概能一个很好的协议。 然后就是这样一个事实,即 电视部门经常在保护这些数据所需的安全和隐私实践方面做得非常糟糕。 我们已经看到,像三星这样的供应商陷入困境后,开始收集你家客厅的对话,然后将这些数据卖给各种各样的第三方。许多设备供应商同样收集这些数据,然后将其传输到云,而且没有足够的加密。 Vizio 本身刚刚与 FTC 签订了一项价值220万美元的和解协议,用于秘密跟踪和销售约1600万 Vizio 车主的使用习惯,为期约三年。 所以,是的,你可能会为更便宜的套装省下一点点钱,但是,你要以一种甚至无法算清具体金额的大账单支付交易的另一面。高端电视机供应商也在做同样的事,因为没人不喜欢钱。 事实上,同样无视隐私和安全的因素已经在电视业务中骄傲普及了,从而导致的硬件很容易被所有恶意者充分利用 — 从工厂黑客到所谓的智能服务。你卖掉了自己安危,只是省下了一点点钱。这真的很划算吗? 有这么多的流媒体硬件平台可供选择(游戏机,手机,家用电脑,Roku,Apple TV 等),许多用户只是想要一台带有足够 HDMI 端口的普通电视。相反,像许多部门一样,窃取私密数据才是优先事项,而安全性、人权和透明度只是一个非常遥远的事后想法。 Vizio Admits Modern TV Sets Are Cheaper Because They’re Spying On You. The reason you pay a discount is because your viewing habits are being collected and sold to the highest bidder 伪造文件是门技术活儿。如果伪造者智商太低,鉴别伪造事实上会非常简单。 如果你认为人们已经能够娴熟于伪造了,那么,先等一下。看一个最近出现的例子。加拿大人 Gerald McGoey 被判伪造文件,企图保护某些资产免于破产程序 — — 这些文件使用的是微软的现代“C”字体,该字体直到2007年才开始广泛使用。然而,如果不是这份文件中包含2004年和1995年的细微细节,那么一切都没问题。但是……哎呀! McGoey 破产前是 Look Communications 的首席执行官。现在该公司被清盘了,McGoey 被要求向债权人支付560万美元。McGoey 声称,在这种情况下,资产是由他的妻子和三个孩子信托的,因此超出法院规定的范围。为了证明这一点,他提交了两份签署文件。文件是伪造的。 对他来说唯一不幸的是,他伪造文档使用的这些字体在文档显示的创建日期当时并不存在。 第一份信托文件显示日期是1995年,使用了 Cambria 字体。第二个创建日期是2004年,使用了 Calibri。要知道,Cambria 是在2004年设计的,而 Calibri 是在2002年到2004年之间设计的,但直到2007年它们才被广泛传播,当时它们与 Windows Vista 和 Office 2007 捆绑在一起。该软件包括七种不同的字体,名称以“C”开头 — 即“C字体”。随着它们的发布,微软将Word 的默认字体从古老的 Times New Roman 改为了 Calibri。 你看,非常简单就能识别这种造假。伪造者的智商真的非常致命。 但这不是第一次发现造假者如此低智商。 2017年,前巴基斯坦总理纳瓦兹谢里夫的家人制作了伪造文件,以证明谢里夫积累的大笔财富。他的女儿 Maryam Sharif 提交了一份签署日期为2006年的文件,但她与 McGoey 犯了同样的错误:她使用了Calibri字体。 在此之前,2012年,土耳其政府依靠用 Calibri 和其他C字体书写的文件,试图表明大约300人参与了政变企图。唯一的问题是什么?这些文件现实的日期是2003年!那时候没有C。尽管在法庭上已经指出了欺骗行为,但无济于事,无论如何那些被告都被判有罪。 于是你还需要一个独立的司法系统。这应该不需要太多解释了。 Microsoft’s fonts catch out another fraudster — this time in Canada. Will these people never learn? This isn’t the first time that Microsoft’s switch has caught out fraudsters. |