行骗的艺术的分类有两种:
- 一种是通过诈骗,欺骗来获取利益,这就是通常的
骗子。 - 另一种则通过蒙蔽、影响、劝导来达成获取信息的目的,这就是
社会工程师。社会工程学:诡计、了解话术、培养良好的操纵技巧
大多数公司配置的安全产品主要应付业余入侵者。比如:脚本小子——那些利用别人的软件并憧憬成为真正黑客的人,大多数情况只能引起一些麻烦。真正的损失和威胁来自于经验丰富、目标清晰、受商业利益驱动的攻击者。这些人只盯准一个目标,而不像业务入侵者试图进入尽可能多的系统。业余黑客看重数量,职业黑客在乎信息的质量和价值。认证设备(身份认证)、访问控制(对文件和系统资源的控制管理)和入侵检测系统(计算机化的防盗器)等技术对公司安全防护都是非常重要的。
黑客一心要找出功能强大的安全系统的弱点。许多时候,他们把心思放在了人的身上。
社会工程师的特征: 成功的社会工程师都有很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并快速建立起可亲可信感的特点。一个经验丰富的社会工程师使用他自己的战略和战术可以接近任何他感兴趣的信息。安全解决方案最小化使用计算机的风险,但是没有解决最大的漏洞——人为因素。第二章
案例——信誉支票
社会工程师的基础策略之一:获取对方人为无关紧要的信息(实际上是有价值的)。踩点获取足够多的信息为欺骗目标做准备。必要时可以用私人问题测试对方的配合度以及了解对方的术语。案例——工程师的圈套
社会工程师用假名字注册的邮箱接收受骗者发来的文件和包裹。
每条信息本身没有什么联系,但是放在一起就会变得有价值,可以了解到目标整体的内部结构。
预防措施: 不要把任何个人和公司的内部信息和标识告诉他人,公司应该让员工意识到对非公共信息管理不善会带来严重的后果。应该制定一个深思熟虑的信息安全策略和正确的教育和培训,这将极大提高员工正确处理企业内部信息的意识。资料数据的分类策略也会对信息使用有着正确的控制。所有内部信息都应视为保密,除非另做指定。包括企业通讯录、员工工号等信息。 - 信息安全部门应该举办意识培训讲解社会工程师所用的手段。制定适当的验证方法,在员工和陌生人通电话和当面交谈时使用。
- 负责制定资料分类政策的人应该仔细检查信息的分类,注意那些正式员工可以访问到看似无危害却可能会导致敏感信息泄漏的信息。
第三章
案例——快速搞定线路分配中心
优秀的社会工程师会弄清楚企业专业术语的知识和它的结构组织——各个办公室和部门都是做什么、具备什么样的信息。所以不能听到对方说的是专业术语就掉以轻心,要根据他的身份控制他的知情权。案例——逃亡者
精明的信息骗子想获悉法律执行程序方面的问题时,会果断给执法部门政府打电话,利用这些信息很可能绕过企业的常规安全检查。案例——谎言攻击
很多社会工程学攻击不一定都会把骗局设计的很复杂,防止被人识破。有时候就是很简单的攻击,直接获得信息。第四章
