林佑儒教授 | 黑客与洗脑(上)

编者按

我们生活在一个高度科技化的社会,享受着互联网所带来的前所未有的便利,这种便利无疑来自于信息传递以及数据获取的便捷性。然而同时我们也面临着空前的个人或企业乃至国家信息和隐私的不安全问题。黑客无孔不入,他们通常会通过洗脑使人们按照他们的要求去行动,从而达到获取信息的目的。那么黑客如何实施洗脑行为?黑客在洗脑过程中通常会利用人性中的哪些弱点?请听Kepha学院网络安全硕士项目主任林佑儒教授为大家带来的讲座——黑客与洗脑。

01.关于“黑客”

大家应该对“黑客”这个词已经非常熟悉了,它源自英文中的“hack”。那么,”hack” 是什么意思呢?最早的含义是指用各种方法打破一个坚硬的物体,这些方法可以包括使用锤子,或者如果你的拳头很坚硬,甚至可以用拳头来击碎它。

换句话说,无论采用何种方法来突破一样坚不可摧的物体,都可以称之为“hack”。我们非常幸运,生活在一个高度科技化的社会中。在我们还未走出家门之前,就能利用手机扫描二维码点餐;只需拿起手机,便能随意浏览各个网络商城;看到心仪的物品,就会下单购买;只需打开电脑或手机,我们就能看到朋友分享的一系列照片。

互联网所带来的这种便利来自于信息传递的便捷性以及数据获取的便利性。在深入探讨洗脑之前,我想先与大家分享一下洗脑是什么。你知道,当黑客想要让一个人去做一些他本不想做的事情时,他们需要一些技巧。

首先,由于网络和通讯的发达,我们将许多个人信息放在了网络上。如果你想让朋友或家人看到你想分享的内容,你可以在手机或社交媒体软件上设置分享权限。一旦分享权限打开,你的家人和朋友就可以看到这些内容。然而,黑客感兴趣的不是那些你已经开放权限的内容,而是那些你想隐藏起来的、不愿让人知道的内容。或许你会说,我好像没有什么不想让别人知道的东西,也没有什么需要隐藏的。但实际上,每个人都有许多隐私,这就是我们不希望他人知道的内容。比如,在美国,我们有社会安全号码,它关系到一个人的一生中许多重要信息。这些信息绝对不能被泄露出去。

然而,当你不开启分享权限时,这是否意味着这些内容就无法被他人看到呢?这是一个重要的疑问。此外,你不想他人看到的内容,诸如密码等,通常会存储在网络的某个地方,以方便你的设备(如手机、电脑)顺利登录账户。

这些密码存在于哪里?它们是否得到了适当的保护?这都是我们需要思考的问题。当谈到保护信息时,最好的方法之一就是为设备设置加密,对吗?我们可以使用密码来实现加密,只有知道密码的人才能解密这些加密内容,然后才能查看。

然而,你的手机或电脑是否已经加密?特别是如果你使用的是 Windows 系统。实际上,绝大多数的 Windows 系统默认是没有启用加密的,除非你自行开启了整个硬盘的加密功能。不同的制造商可能会提前对某些设备进行加密,比如 Microsoft 出产的电脑通常在出厂时已经进行了整盘加密,除非你解密,否则始终是加密状态。

所以,Windows操作系统出产的电脑显然在这方面看起来更加安全。然而,绝大多数的安卓手机却没有默认启用加密。iPhone作为一种流行的手机,特别在美国非常受欢迎,其中一个原因就是当你把资料存储到iPhone上时,iPhone会自动对这些资料进行加密。然而,仅仅加密手机和电脑还不够,你还需要确保它们没有被植入后门。

我们知道有些手机本身就存在后门,一旦有了后门,无论你怎么对资料进行加密,黑客都可以通过后门或者木马轻松盗取你的数据。所以,如何防止你的手机或电脑被植入后门或木马是非常重要的。你不应该下载那些免费的、破解的软件安装到你的手机上。在安卓手机上,有很多类似的应用市场,有些被称为“第三方应用商店”。这些应用商店并不是从官方渠道下载的,你无法确定它们的软件是否安全,是否被植入了木马或后门。一旦你安装了这些软件,你的手机或电脑就有可能被入侵。

02.关于“洗脑”

当然,一般的人可能不会如此轻率地下载这些不安全的软件。然而,黑客如果想要攻击你,他们必须说服你,让你愿意主动提供信息或下载软件。他们通常会通过一系列步骤来实现,这就是所谓的“不战而屈人之兵”。这意味着他们会采取一种方法,使你愿意主动、毫不犹豫地去做他们想让你做的事情。这就是洗脑的概念。

由于黑客要想入侵你的电脑并不是一件容易的事情,尤其是在你的电脑已经加密、手机也加密且没有后门的情况下。

黑客不会采取直接的方式。在整个世界范围内,有成千上亿台手机和电脑,黑客有如此多容易破解的目标时,干嘛要花时间和金钱来破解你的电脑呢?

因此,当你的手机和电脑得到很好的保护时,他们基本上不太可能尝试破解。然而,如果你的手机和电脑里面存放了他们非常想获取的信息,他们仍然会尽一切办法来试图破解。但是破解并不是那么容易。这时他们会通过一种方法来迅速获取他们想要的信息。

在网络安全领域,有一个特殊的知识或者课程,叫做”Neural Alignment Grids Back Programming”。这个方法的本质是通过一种方式,使你的思维按照黑客的意愿行动。然而,由于这个术语实际上相当复杂且难以解释和翻译,我将使用更简单的术语,称之为”洗脑”。

人脑和电脑之间的一个共通之点就是,你可以向人脑或电脑中上传程序,然后让其按照你的指令行动。而将一个程序上传到人脑中可能没有你想象的那么复杂。

我来给大家举一个例子。假设你生病了,去医院看医生。医生诊断完后告诉你,如果你不吃药,一个月内就会死亡。你听了这句话,你会吃药吗?我相信绝大多数人会选择吃药,因为听到如果不吃药就会死亡,谁还敢不吃呢?这时候就产生了一个问题。医生通过这种方式让你听从了他的建议,他洗脑了你,将一条指令上传到你的大脑中:如果不吃药就会死。你的决定是什么呢?你的大脑会告诉你:因为不想死,所以每天都要吃药。医生就是通过这种洗脑的方式让你听从他的建议。所以,你可以看到,将程序上传到人的大脑并不是那么困难。

再举一个更简单的例子来说明,特别是针对小孩子。比如,妈妈回家后告诉小朋友,如果你现在不完成功课,就不会有晚餐。小朋友会怎么做呢?他会想,我想吃晚餐,所以我得快点完成功课。妈妈通过这种方式在小朋友的脑子里上传了一个程序,让他知道要尽快完成功课,以确保能吃晚餐。在这个例子中,妈妈就像黑客一样,她的目的是让小孩完成功课,而方法是如果不做完,就没有晚餐吃。

这表明将程序上传到人脑并不是那么难的事情。黑客利用类似的方法,尤其是”神经语言编程”这个概念,来洗脑。当然,”神经语言编程”是一个非常庞大的领域,涉及一些深奥的理论支持和实际操作。因此,在这里我无法详细介绍如何洗脑,但你只需要明白一件事情,就是洗脑是可行的,你可以向一个人的大脑中上传程序,以引导他按照你的意愿行动。所以,当黑客试图入侵你的手机或电脑时,他们会使用类似我刚刚提到的方法,也就是神经语言编程或类似的技术,来洗脑,从而让你愿意按照他们的要求行动。

03. 黑客如何实施洗脑行为

黑客在洗脑过程中通常会利用人性中的一些弱点。其中之一就是贪婪,贪婪之所以存在,与人的内心有关。我曾读过一本全球最畅销的书籍,这本书从古至今一直保持着畅销纪录。书中有个比喻,描述了一个财主,他拥有巨额财富,但因为他赚得太多,已经有一个大仓库装满了粮食。然而,由于财富过多,旧的仓库已经无法容纳更多,所以他决定建一个更大的仓库。然而,这里的问题是什么?

这个故事传达了三个错误假设。首先,财主以为自己还有很多时间,否则他明天就会死,他还会盖新的仓库吗?这导致了错误的结论:我可能还有很多时间,所以我需要更多的存储空间来容纳财富。他没考虑去帮助穷人或从事公益活动,而是想着要建更大的仓库。这个错误的假设是他还有很多时间可以活。

第二个错误假设是什么呢?他以为建造这些仓库以后就可以安心了。在这个比喻中,他认为自己将不再为吃穿发愁,然而心理学研究表明,人们的幸福感与拥有的钱财关系并不大。事实上,很富有的人,尤其是美国的一些富豪,仍然面临许多问题,如绑架威胁、亲朋好友利用、财产被盗等。

这也显示出一个重要观点:人的幸福感与拥有的财富并没有直接关系,但我们从小被社会影响,不断被电视、电影、戏剧甚至新闻洗脑。

举个简单的例子,当播音员报导某位富豪,比如马云,小时候贫穷,现在赚大钱,有跨国企业,每笔交易都上千万甚至上亿,甚至盖个大楼也要几十亿的投资。当播音员播报时,他们的眼神会发亮,脸上表现出兴奋。在潜移默化中,我们接收到了几个信息。首先,富有的人值得我们羡慕。播音员的眼神发亮,脸上带着兴奋,传达了这个信息。

第二个方面是,在这种持续的洗脑过程中,我们认识到一个观念,即一个人只有拥有财富才会引起别人的注意,而被注意才会受到重视。因此,我们得出结论,认为拥有财富的人才值得重视。从小到大,我们被教育认为贪财是值得的,这种观念被洗脑深刻。

这种洗脑状态在网络、报纸、杂志、电视上也会反映出来。广告中有时会出现某些信息,声称只需要投入少量资金,就可以获得10倍、20倍甚至30倍的回报。事实上,世界上会有这样好的事吗?如果真的存在这样的好事,就不会有贫困的人存在了。因此,当你遇到类似的信息时,应该思考,这是真实的还是虚假的。要判断真假,你需要在心中有一个评判标准,这个标准应该是基于真理的。你必须了解,你的判断标准取决于你接受信息的来源和判断能力。

04.黑客洗脑常用的手法

黑客常用的第一种手法就是利用人性贪婪的弱点,加上一些迷惑性的广告词和名词,来误导你。我们因为从小被教育认为,只有有钱的人才有权力,才能幸福。正因为这种洗脑,当我们看到诱惑时,比如给我10块钱,我就能变成100块钱,许多人会不自觉地受到影响,因为他们也希望获得财富,从而被骗入圈套。

黑客第二种手法利用的是人类的需求。我在某个地方看到一个新闻,实际上非常滑稽,但很多人一开始看就信以为真。这个新闻讲述了一个生物化学技术公司,号称生产了一种神奇的仙丹,以一个华丽的名字——”生态水”。你可能没有听过这个名词。它声称这种生态水拥有100种功能,这在市场上引起了轰动。许多人纷纷购买生态水饮用,每个人都声称效果非常显著。他们喝下去后觉得水有点甜,有一种新的味道,一种难以形容的味道,不同于普通水,因此人们都认为这一定是有效的,不会是欺诈。

然而,后来有人开始调查,试图弄清楚这种水究竟是什么,以及他们的工厂如何制造它。他们发现,这种所谓的”生态水”实际上是用养石斑鱼的粪水制成的。鱼池里养了很多石斑鱼,它们在池子里游泳,排泄物被收集,然后过一段时间就需要更换水,以防止鱼生病。但是这家公司主人认为扔掉这么多水太浪费了,于是他们把这些池水装瓶,贴上标签,声称这是治百病的”生态水”。许多人信以为真,这也是黑客常用的手法之一。他们利用人类的需求心理,通过各种洗脑方法来欺骗你,满足你的需求,诱使你自愿将钱或个人信息交给黑客。

第三种黑客洗脑的方法是通过疏忽引发的。关于科技的观念,我不知道有多少人在关注,但我相信对科技有兴趣的人会在直播中收看。近期,美国的YouTube上有一个规模庞大的科技频道遭到了黑客攻击。该频道在美国可算是数一数二的大频道,主要内容与科技相关,并且在节目中经常强调网络安全的重要性,因此他们的公司内也有很多网络安全专业人才。

然而,有一天当我打开电脑,想看看YouTube上是否有什么新的科技新闻时,我发现他们的频道全部变成了虚拟货币的广告,里面充斥着一大堆混乱的视频。原来他们的频道遭到了黑客攻击。实际上,黑客使用的手法并不神秘,也不是什么非常高级的技术,而是一种广为人知且简单的方法。

科技频道之所以受到攻击,是因为负责处理邮件的员工打开了一个文档浏览了一下,而这个文档是一个伪装的文件。基本情况是这样的:文档中附带了一个可执行代码,当用户点击时,该代码会在用户的计算机上安装一些程序。这些程序会开始搜索用户的脚本,然后搜寻计算机上的重要资料。

在这些重要资料中,可能包括了数字凭证,有些观众可能不清楚什么是数字凭证。当您访问某些网站时,需要登录才能使用其功能。但是,您每次都会登录吗?许多网站知道人们很懒,所以在您登录后,它会问您是否要记住此台电脑。这样您可以在一段时间内无需重新登录,例如一个月。这种自动登录的功能称为数字凭证。

科技频道的员工也会有数字凭证存在于他们的计算机中,因此脚本开始搜寻数字凭证。当它找到数字凭证后,它会将其传输到黑客的计算机上。黑客得到了数字凭证后,就可以进入用户的银行账户、电子邮件账户等,而无需登录,也无需进行双重身份验证,即两步验证。这意味着不需要另一台机器的验证,也不需要手机验证或电子邮件验证,只需数字凭证就可以使用账户中的所有功能。

因此,黑客在获取了这些权限后,就非常高兴,他们可以无限制地进入账户。银行账户内的资金可能会在几秒钟内全部被转移,视频网站上的影片可能会被下架,黑客上传一些混乱的影片。而且,黑客不仅仅会停留在这一步,在获得账户权限后,他们首先会立即更改密码。科技频道成为了YouTube上的一个例子,它警示着大家注意此类问题。

第四种黑客常用的方法是利用人的同情心。你是否曾收到过这样的邮件?邮件中说某某某的父母生病,需要花费大量资金,但他们家很困难,所以请求你的帮助。黑客利用人的这种同情心,通过邮件中的链接诱使你主动捐款或提供个人信息。这些链接有时是附在邮件中的,点击链接后,可能会启动默认的功能,其中之一就是安装恶意软件,或者是给黑客获取对你计算机的权限,而你并不知情。

利用同情心可以说是洗脑的一种手段,黑客通过邮件内容和操纵程序来唤起你的同情心,然后发动一个指令,让你点击链接并去帮助他们,从而导致你的账户资金被盗。

第五个常用的手法是利用人们的恐惧心理作为切入点。他们在电话或邮件中向你阐述如果不按照他们的指示行事,将会产生什么样的后果。这些信息被注入到你的脑海中,用来洗脑,让你感到恐惧和无助。在信息的最后,他们会要求你点击一个链接,以证明你的清白。然而,一旦你点击了这个链接,你就会被黑客攻击。

05. 一个与浏览器有关的重要信息

我想谈谈一个与浏览器有关的重要信息,尤其是针对Chrome浏览器的用户。我不知道中文叫什么,但很多人使用Chrome浏览器时,会安装一些附加功能,也就是扩展程序。昨天发布的消息是关于Chrome浏览器的一些扩展程序,我现在不能逐一提及,以避免在公共频道上产生广告、诽谤等法律问题,我建议您自行搜索相关新闻。

这些Chrome浏览器的扩展程序已经被下载了3500万次,这些扩展程序都含有后门。所以,如果您使用Chrome浏览器,请务必在我们的讲座结束后立即清理这些扩展程序。需要注意的是, Google并不是科技公司,而是广告公司。Google的主要收入来自广告,因此即使提供Android操作系统等免费服务,您有没有思考过这些免费的背后含义?有一句谚语说,最昂贵的东西就是免费的东西,因此,在网络上看到提供免费破解版Windows等软件,您应该谨慎下载。因为那些提供免费破解软件的人会在网页上告诉您,我们提供的破解软件没有任何木马后门,所以您无需担心,可以放心下载。然而在网络上,很多人却相信了这些言辞,下载了带有后门和木马的软件,而且还是免费的。所以,免费的东西常常是最昂贵的。因此,Google提供这些免费服务,是因为它有什么良善之心吗?

所以,尽管Google提供了Android等免费服务,却要提高警惕。关于安全问题,Google的CEO曾在一次会议上表示,我们对网络安全非常重视,但在场的工程师们都笑了,因为大家都知道Android并不安全。因此,在购买电脑或手机时,不仅要关注软件,还要考虑是否有木马和后门。当然,有些公司不会这样做,因为Google提供的Android系统并不容易修改,同时Google也会进行一些安全检查,尽管安全性并不十分可靠。一些手机的木马和后门可能直接嵌入硬件层面,因此,不要认为只要买了手机,安装了安卓系统,再加上一些防护软件,手机就一定是安全的。

也许这会让很多人感到惊讶,因为很多时候情况并非如此。因此,在选择手机和电脑时,您必须小心。目前我所了解的情况,并不能百分之百地保证,我所了解的情况是,苹果手机可能相对较安全,三星手机也相对较安全。然而,Android本身的安全性确实不高。当然,我并不是说iOS就完全安全,同样iOS也存在一些未知的漏洞。我们的网络安全课程会涵盖这些内容,但今天暂不详述。

注:文章中涉及的立场,仅代表嘉宾的个人观点,不代表本学院的立场和观点。

作者简介
网络安全硕士项目 客座教授
  • 美国佛罗里达大学电机电脑博士
  • 创建 Kepha 学院网络安全硕士学位课程,现任主任
  • 目前在查理司顿南方大学担任 MSCS 硕士主任,创建查理司顿南方大学网络安全相关学系课程
  • 专长于电脑网络通信、加密技术以及网络安全
  • 具有 20 年的面授、网络教学经验