米特尼克信箱
精明的信息骗子想获悉法律执行程序方面的问题时,从不会迟疑于给联邦、州或是地方政府打电话。利用这些唾手可得的信息,社会工程师很可能会绕过企业的常规安全检查。
那就是弗兰克所需要知道的,他在这个州没有任何犯罪记录。因此,他提交了他的工作申请,并被录用。而且,一直也没有任何人出现在他的办公桌前对他说:“这些先生是联邦调查局的,他们想跟你谈谈。”
据弗兰克所说,他后来成为那家公司的一名模范雇员。
放到门口
尽管我们有美丽的无纸办公神话,但在企业,每天还是继续打印出大量的纸张,而纸上打印的企业内部信息很容易泄露,即使上面印着机密并采取了安全防范措施。这里有一个故事,它将显示社会工程师如何获取你最机密的文件。
“环回”欺骗
电话公司每年都要刊印一本叫做测试号码目录的电话册。至少以前是这样,由于我还处于监督释放期(译者注:类似假释),我并不打算去问电话公司是否还在这样做。电话盗打者十分重视这本电话册,因为它包含了一个列表,上面列出了所有企业工人、技师使用的受到严密保护的号码,以及其他一些总是处于忙音的中继线测试和检查号码。在这些测试号码当中,有一个术语称做“环回”(loop-around)的号码,尤其有用。电话盗打者用它做为一个找到其它同行聊天的方法,对他们来说这无需成本。电话盗打者还把它用来做为给予对方的回电号码,比如银行。一个社会工程师会告诉银行的人,打这个电话号码到他的办公室,当银行按这个号码(环回号码)打过来时,电话盗打者就可以接到,同时还很安全,因为依据这个号码无法追踪到他。
测试号码目录提供许多极其有用的信息,从而被对信息无比渴求、内分泌激素发达的电话盗打者所利用。因此,每当新的目录发布时,都会被大量的喜欢探究电话网络的年轻人所觊觎。
米特尼克信箱
为保护企业的信息资产,企业里的每个人都需要而进行安全培训,而不仅仅是那些通过电子线路或是物理接触而访问到企业信息资产的人。
史蒂夫的诡计
无疑,电话公司不会轻易地让人得到这些目录。因此,电话盗打者必须想出创造性的办法。他们怎么做呢?一个对目录有着强烈渴望的年轻人可能会设计这样一个场景……
某日,南加利福尼亚秋天的一个傍晚,一个我称之为史蒂夫(Stevie)的人给一家小电话公司的总机室打电话,这个总机室所在的大楼负责服务区内所有家庭及企业电话线路的连接。当值班的接线员拿起电话时,史蒂夫称自己是电话公司刊印和发行打印资料部门的人。“我们刊印了你们新的测试号码目录,”他说。“但出于安全考虑,如果我们没有收到旧的目录,就不能给你们发新的。可送目录的人迟到了,如果你们把旧的目录放到门口,他经过时就能取到,并放下新的,然后继续赶路。”
毫不怀疑的接线员似乎觉得这很合理,于是照做,把目录放到大楼门口,虽然目录的封皮上用红字清楚地印着“公司机密――无用时销毁。”
史蒂夫开车过来,小心的察看四周,是否有警察或电话公司的保安人员藏在树后或在停泊的汽车里监视。没有人。他装作不经意地拾起那本令人垂涎的目录,开车走了。
这就是社会工程师轻易得到他想要的东西的另一个例子,这里就使用了那个简单的原则――“直接索取”。
谎言攻击
不只是企业的资产处于社会工程师设置骗局的危险之下,有时,企业客户也会成为受害者。做为客服人员,不可避免的会受到挫折、讥笑和无辜的误解,有些人还会给企业的客户带来不良后果。
621
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
