如何对抗PUA的攻击链

        最近因为在研究社会工程学的课题，加强了心理学相关知识的学习。加入的一个学习群无意中和一个朋友聊到PUA，之前其实有听到过这个词汇，也大概知道PUA和“杀猪盘”等网络诈骗、社会工程学有一些关联，但是并没有过多深入研究。结果朋友告知PUA其实针对很多离婚妇女、未成年人的攻击，已经造成严重的生理、心理创伤，甚至诱导自杀等情况。由于相关取证难，法律法规的真空地带，这部分人渣很难得到制裁。对此个人非常愤慨，也希望做一些研究帮助更多人对抗PUA的攻击，更好的维护妇女、儿童等弱势群体。

1.PUA攻击方式的研究

        笔者不是专业的法律和社会工作者，也没兴趣去加入所谓的“学习群”进行具体步骤调研，但是有一些资料介绍了PUA的整个攻击流程和步骤，主要是“好奇-探索-着迷-摧毁-情感虐待”五个阶段，其实结合案例一看，有经验的理工科同学就明白技术理论和工程原理了。其技术理论利用的就是行为心理学中的通过行为来逐步影响被害者的认知，进一步干扰正常的生理、心理情绪。工程实现就是结合控制论的戴明环，按照项目管理方式线性推进，这种瀑布式开发，做软件的同学就比较熟悉了。

        如果看过我之前写的社会工程学网络攻击分析，就知道这种本质上也是一种社会工程学攻击，但是PUA建立信任基、信任链，通过各种托加强信任基强度，发起攻击链的方式属于单一攻击，攻击手段也很拙劣，只是典型的线上线下进行结合，造成隐蔽性非常强。 而且发起攻击的人因为有了一个相对完整的元模型库(所谓的话术)，被攻击者认知程度低，缺乏防范意识，攻击成功率还是相对较高的。但是本质上PUA的攻击方式其实非常低效、脆弱，也缺乏弹性，远比不上军事领域的杀伤链和杀伤网架构。

2.PUA的防御

        当清楚PUA的攻击链以后，我们其实对抗PUA的方法就很清晰了。打断攻击链，让这个戴明环无法形成闭环。而且瀑布式开发的最大问题是每个节点无法回滚。另外很多PUA访谈也提到要“广撒网”，考虑ROI投资回报率。接下来，我们看看具体对抗策略。

2.1打断攻击链

        好奇阶段，人天生有好奇猎奇心理，我们不讨论如何避免好奇。只是聊一个简单的道理，好奇阶段攻击者必须建立一个足够的有针对性的吸引力人设，而且经过分析发现，一般就是经过外表和语言包装设计为成功企业家、富二代、学者、艺术家等，但是这里有个致命的缺陷。我们不需要去证真，只需要证伪就可以了。做科研的同学都明白，一个理论形成是通过对大量历史数据和试验、观测、推理得出的结论，而这个结论其实非常脆弱，因为只要找到一个不满足理论的现象就足以推翻这个理论。但是去发现这个不满足的现象，花费的工作远比建立理论工作量少得多。所以不管任何人在你面前做任何包装人设，你只要假定这个人设是假的，你需要做的是去找到任何一点有虚假的证据推翻这个人设就足够了。比如他说他是一个企业家，你问他公司在哪儿是做哪一行的，多大规模，年营业额和利润率是多少，成立多长时间，海外注册的话注册地在哪儿，什么时候回的国。你疑问越多，怀疑越多，对方越容易露馅，因为对方准备的话术模型库是有限的，不可能事无巨细的能应对所有怀疑。所以重要的是一开始就认为对方是假的，不要听他描述了什么，而是要看他如何回答你的问题。记住，验伪永远比验真容易。

        探索阶段，如果攻击者顺利的通过了你的验伪测试(实际上绝大部分是通不过验伪测试的，除非对方确实是某个领域的高手，回答的滴水不漏)，这个阶段的心理探索顺序就发生了转变。好奇阶段是攻击者主动发起行为，而探索阶段是诱导被攻击者主动发起行为，这个时候因为你已经相信了对方的人设，想要更加了解攻击者，就会更主动的去深入探索，对方就会通过设置场所、协同攻击者开始构建进一步的信任基，并进一步设置陷阱了。避免陷阱伤害最简单的方式就是设置冗余机制，当你去主动探索攻击者的时候记住一点就可以了，永远找1-2个信赖的同伴陪同。社会工程学的攻击永远是无法见光的，甚至国家级的规模组织攻击都需要注意隐蔽性，一旦失去了隐蔽性，攻击者首先考虑的是自身安全，而不是继续发起攻击。不管是线下的见面还是线上的任何交流，必须同伴进行陪同，及时和朋友家人进行短信、微信的信息分享，所谓旁观者清，会大幅降低落入陷阱，加大攻击者暴露的可能性。迫使潜在攻击者放弃攻击，当然对方一定会通过多种手段诱导你放弃同伴的陪同、分享，记住绝对不要放弃这条原则，同时永远不要去私密空间见面(避免几个女孩子被人一锅端卖到缅甸去或割掉器官)。

        事实上，如果进展到第三阶段，靠受害者自身的认知已经很难打断攻击链了，实际上在第二阶段攻击的时候如果及时分享了信息给家人朋友，更多需要受害者家人朋友的帮助，及时报警来制止进一步的伤害，所以看到这篇文章的同学也需要多关注家人朋友的状况，发现问题及时制止。

2.2增加攻击者的攻击成本

        这一点上，很多“渣女”确实做的很出色，绝大多数攻击者最基本的原理是要控制ROI投资回报率。而明白整个攻击链后，潜在被攻击者只需要记住一点，每个阶段都加大对方的攻击成本，造成每个阶段对方的ROI不成正比，大概率攻击方会自动中断攻击。举个例子，比如对方希望认识你，包装自己是个歌手，那就请他上台演奏2首情歌；如果是个富二代，就大方点两瓶黑桃A请他买单(不用不好意思，对方如果是没带钱包，完全可以把车钥匙抵押在酒吧老板那儿，第二天再来取车)；如果是高校学者，麻烦你帮忙翻译两句英文。如果对方想找你借钱或者帮忙购买东西，告诉他手机欠费停机，账号被冻结了，请他发个几百的红包帮忙解冻。你只需要确保任何情况下，对方需要付出比你更多的金钱、时间(你化个妆让他等上3个小时)、学识(帮忙写点材料)、资源(引荐几个有用的人脉资源)成本，攻击发起者一定会拒绝或者中途放弃。还有种情况就是攻击者确实是富二代，愿意不计成本给你买房买车，豪掷千金，这个其实已经不属于PUA范围了，愿不愿意接受完全取决于受害者价值观。

3.PUA的反向攻击

        军事领域研究者都明白一个道理，刚不可久、柔不可守，单纯防御永远不可能取得胜利。当你发现对方在PUA你的时候，如果你有足够的自信和认知力，可以用更高明的社会工程学手段反向发起攻击，让对方落入你的陷阱，比如布置“蜜罐”，但是这个不建议使用，及时报警才是遵纪守法的好公民。

        最后，这不是严谨的科研文章，只是笔者针对防范PUA攻击的一些思考和建议。希望能引起更多同学关注这个话题，技术没有对错，但是技术工作者要有道德和良心。