Baiting 诱饵攻击
给受害者一个看起来很香的诱饵,等他自己上钩。
是 社工 的一种,跟 钓鱼 不同的是:钓鱼是骗你”信任”,baiting 是骗你”贪心”或”好奇”。
常见形式
| 诱饵 | 怎么钓 |
|---|---|
| 物理 U 盘 | 扔在公司停车场、卫生间、电梯口,贴标签”工资表 2026” → USB Baiting |
| 免费下载 | ”破解版 Photoshop”、“免费电影”、带毒的盗版 |
| 免费 Wi-Fi | 假冒咖啡店 Wi-Fi,中间人监听 |
| 假抽奖 | ”恭喜中奖,点击领取” |
| Quid pro quo | ”我帮你修电脑,你给我看下密码” |
为什么人会上钩
- 好奇心(“我倒要看看里面有啥”)
- 占便宜心态(“免费的不要白不要”)
- 紧迫感(“名额有限”)
- 善意被利用(“帮个忙吧”)
防御
- 培训 —— 让员工知道 U 盘扔地上 99% 是钓
- 端点策略 —— 默认禁用 USB 自动运行,陌生 USB 不允许挂载
- 网络隔离 —— 即便插了也跑不远
- 报告机制 —— 捡到 U 盘要交给 IT,不是自己研究
最经典的研究:Black Hat 2016 上 Elie Bursztein 在校园里撒了 297 个 U 盘,45% 被人捡起来插进电脑。