下面是我做得该书开头部分的笔记,希望书中描述的,正是你所需要的。相信我,她带给我们的是一个我们好像很熟悉,却又陌生的世界。
专业术语:
马克(MARK):受骗者
激警(BURN THE SOURCE):攻击者如果让对方看出来攻击的意图称为激警。一旦对方有所警觉并通知其他人员,以后再想套出类似的信息就十分困难了。
秘密通信地(Mail Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租用的,用来接收受骗者发来的文件和包裹。
米特尼克信箱
这个案例中的交易号相当于一个密码,如果银行工作人员将其与自动取款机的个人识别码(PIN)一样看待,便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢?
犹如拼图游戏,每条信息本身并没有什么联系。然而,当把它们放在一起时,一个清晰的画面便出现了。
不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
正如人所说——即使一个真正的妄想狂也可能有敌人,我们也必须假定每个企业都有它的敌人——以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字,应尽早地布置深思熟虑的安全操作方案和策略,这样才能对企业进行正确的控制以加强防范。
无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。然后,在做好心人之前,先遵循公司对非公共信息的验证和使用政策。这种工作方式也许违背了我们乐于助人的天性,但多一点有益的怀疑也许是必要的,以免成为社会工程师的下一个受骗者。
人们都很容易相信自己的同事,尤其是在其要求满足合理的测试之后。社会工程师便利用这种知识从受骗者身上获取信息以达到他们的目标。
精明的信息骗子想获悉法律执行程序方面的问题时,从不会迟疑于给联邦、州或是地方政府打电话。利用这些唾手可得的信息,社会工程师很可能会绕过企业的常规安全检查。人的因素才是安全的软肋
绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂,以防被人轻易识破。有些攻击来去匆匆、得手即逝,更简单的攻击仅仅是,直接索取。
如果一个来访者或是打电话的人知道公司某人的名字,或是知道一些内部用语或业务程序,并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的,从而把内部信息泄露给他,或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调:一旦有所怀疑,必须确认、确认,再确认。
“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定”
————爱因斯坦
真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱动的攻击者。
耐心、个性和坚持,这正是欺骗的艺术的切入点。
大多数情况下,成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、
讨人喜欢,并具有快速建立起可亲、可信感的特点。
渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件,这些信息和文件看起来十分平常,也不重要,公司里的人大都不明白为什么这些东西会被限制和保护。
私人问题就像一颗地雷,有些人会毫不注意的踩上去,有些人则知道它会爆炸,赶紧躲开。因此,如果我问及一个私人问题,她在回答的语气上没有变化,这就意味着她很可能没有对提问产生怀疑,我可以在她没有疑心的问题之下安全地提出关健问题。
一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。如果对方稍后想起你提过的问题,很可能是你最后提出的问题,其它的通常会忘记。
应对社会工程师时,建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。