有一次我给一家做智能安防出口的企业做安全复盘,他们海外事业部的一位销售经理小陈在展会上认识了一个自称某中东大型集团的采购代表。两个人聊得很投机,对方对小陈公司的产品表现出极大的兴趣,还说可以帮忙引荐跟他们集团有合作的政府项目。小陈觉得遇到了贵人,加了对方的微信,在接下来的两周时间里陆续提供了公司产品的详细技术参数、报价体系和几家现有客户的大致信息。直到第三周公司发现这个人开始接触他们的竞争对手,大家才意识到上当受骗了。这就是社交工程攻击,不靠技术漏洞,而是靠利用人的信任和善意来获取信息。
社交工程攻击在跨境商务场景中尤其高发。原因很简单:人在异国他乡,社交网络变窄了,遇到一个对自己友善的人就容易放松警惕。攻击者往往利用这种心理,扮演成潜在客户、行业分析师、政府官员、展会工作人员或者当地中介,通过建立信任关系来逐步套取信息。
常见的攻击手法包括假冒身份与信息交换。攻击者在展会上或者商务活动中主动接近目标,自称来自某知名企业或者机构,递上一张看上去非常正规的名片或者电子名片,然后以建立合作意向为由要求交换信息。这类攻击的关键点是身份验证。在境外见到的商务联系人,一定要通过至少两种独立的渠道核实对方的身份。比如查一下对方的公司官网,联系该公司的人力资源部确认是否有这个人;或者通过领英查看对方的工作经历和联系人网络,看看是不是有一些异常的地方。
还有一个比较隐蔽的攻击手法叫做陷阱问题。攻击者会问一些看似很平常的问题,比如你们公司在东南亚的客户大多是哪个行业的?你们的新产品大概什么时候发布?你们每年参加哪些展会?这些问题单独看来都不涉及核心机密,但把答案拼在一起,就足以拼出一张企业海外业务的完整版图。我们对海外业务人员的培训中有一条明确的红线:对任何涉及公司业务布局的问题,不管问题多简单多日常,都只能以公司统一对外口径回应,超出口径范围的一律说"这个不方便透露,您可以联系我们市场部统一获取信息"。
馈赠和款待也是社交工程的重要手段。攻击者以感谢帮忙为由赠送礼品、请客吃饭、甚至安排商务旅行和娱乐活动。接受这些款待之后,很多人会产生一种回馈心理,在对方面前更难拒绝信息要求。我们并不是说海外商务活动不能接受正常的商务宴请和礼品,但一个重要的原则是:如果你感觉这个人的友好程度明显超出了正常的商业关系,心里就要马上敲响警钟。
攻击者还会利用社交媒体的信息拼图来增加可信度。他们会提前研究目标人物的领英、微博、微信朋友圈,了解你的兴趣爱好、家庭情况、最近出差行程等信息,然后在初次接触时不经意地提到一些只有熟人知道的细节,让目标产生"这个人好像跟我有某种联系"的错觉。防范措施是调整社交媒体的隐私设置,出差期间不要实时发朋友圈或者定位发社交媒体,行程信息回到国内之后再分享也不迟。
还有一种攻击方式是针对企业中层管理者设计的。攻击者假装成行业媒体或者研究机构,以做市场调研或者行业报道为由,对企业中层进行深度访谈。在访谈过程中逐步引导话题,从行业发展聊到企业战略,从合作伙伴聊到核心技术路线。等受访者反应过来的时候,核心信息已经泄露出去了。面对这种采访邀请,不管对方看起来多正规,采访前都应该通过法务或者公关部门审核问题清单,并且明确约定受访内容的边界。
社交工程攻击没有完美的技术防护手段,因为它的攻击对象是人而不是系统。对抗社交工程的更好方法,就是反复培训,让每一位身处境外的员工都知道:善意不一定都是真心的,热情不一定都是无私的,在商务场合中时刻保持适度的边界感,不是多疑,而是专业。
