第二部攻擊者的手段

1、第二部第二部攻擊者的手段攻擊者的手段第二章第二章無害信息的價值無害信息的價值對大多數(shù)人來說，社會工程師的真正威脅在哪里？又該如何保持警惕？如果社會工程師的目標是“最有價值獎”——比如，企業(yè)智力資產的核心組成。那么也許需要的是更堅固的保險庫和全副武裝的保安，對么？但在現(xiàn)實中，壞人滲透企業(yè)安全的第一步就是獲得某些似乎無利害關系的信息和文件，這些信息和文件看起來十分平常，也不重要，公司里的人大都不明白為什么這些東西會被限制和保護。信息的隱藏價

2、值信息的隱藏價值社會工程師十分重視企業(yè)中許多表面上看去無利害關系的信息，因為這些信息是他能否披上可信外衣的至關重要的因素。在這一章里，我將通過讓讀者“親身”經歷攻擊過程，來展示社會工程師的攻擊手段。有時從受害人的角度來表現(xiàn)情節(jié)，讓讀者以當事人的身份估計自己（或是你的同事和員工）可能會做出的反應。而更多的時候，讓讀者從社會工程師的角度來經歷攻擊過程。第一個故事著眼于金融行業(yè)的一個漏洞。信譽支票信譽支票(CREDITCHEX)曾經有一段很長

3、的時期，英國的銀行系統(tǒng)十分閉塞，大街上一位誠實普通的市民并不能隨便走進銀行而直接申請一個銀行帳戶。銀行不會把他當做客戶，除非他帶有某位正式銀行客戶的推薦信。“嗨，克瑞絲，我是阿萊克斯?！贝螂娫挼娜苏f，“我是‘信譽支票’的客服代表，我們在做一項改善服務質量的調查。能耽誤您幾分鐘么？”克瑞絲表示愿意，打電話的人繼續(xù)：“好的。你們部門營業(yè)時間是多少？”她給予回答，并接著回答下面的一系列問題?！澳銈儾块T有多少人使用我們的服務？”“大約多長時間給

4、我們打一次咨詢電話？”“您用的是我們哪一個800免費電話號碼？”“我們的客服代表服務態(tài)度好么？”“我們對業(yè)務的響應時間如何？”“您在銀行工作多長時間了？”“您通常使用的交易號是多少？”“您是否發(fā)現(xiàn)過我們提供過的信息不準確？”“如果您對我們的服務有所建議，建議是什么呢？”最后：“如果我們把定期調查表寄到你們部門，您會填寫么？”她表示同意，然后彼此簡單對了幾句話，電話掛掉，克瑞絲繼續(xù)她的工作。第三個電話：亨利第三個電話：亨利麥克金賽麥克金賽

5、(HenryMcKinsey)“信譽支票，我是亨利麥克金賽，需要幫忙么？”打電話的人表明自己是國家銀行的職員，并報出正確的交易號，以及他想查詢的人的名字和社會保險號。亨利要求出生日期，他也報上。不一會兒，亨利看著自己的計算機屏幕讀道：“韋爾斯法果在1998年報過一次NSF”——客戶賬款不足（NonSufficientFunds），支票已開出，賬戶里卻沒有足夠錢支付的銀行常用專業(yè)用語?！白阅侵?，還有資金往來么？”“沒有了?！薄坝袥]有申請