给新来的女孩帮个小忙
攻击者喜欢把目标锁定在新来的雇员身上,他们认识的人很少,也不了解工作程序,什么该做,什么不该做。而且,一旦给其留下良好的第一印象,他们便会殷切地显示出对你的配合和快速地回应。
安德鲁的帮助
“人力资源部,安德鲁•卡尔霍恩(Andrea Calhoun)。”
“安德鲁,嗨,我是亚力克斯(Alex),企业安全顾问。”
“什么事?”
“今天好么?”
“还好。需要帮忙吗?”
“是这样,我们正在策划一个新员工的安全培训,需要集结一些人测试一下,我想要上个月所有新进员工的名单和电话号码。你能提供给我么?”
“要到今天下午我才能给你,可以么?你的分机是多少?”
“当然,可以。我的分机是52……,噢,嗯,我今天大部分时间要开会,我回到办公室后打给你吧,大约4点左右。”
亚力克斯4点30分打来电话,安德鲁已经把名单准备好,然后在电话中读出了名字和分机号。
罗丝玛丽的消息
罗丝玛丽•摩根(Rosemary Morgan)很满意她的新工作,以前她从未在杂志社做过,她发现这里的人比她想像中友善的多(大多数杂志社职员都是在没完没了的压力下,在每一次发行最后期限前出版杂志的),而星期二早晨的一个电话再次确认了她的这种印象。
“是罗丝玛丽•摩根吗?”
“是的。”
“嗨,罗丝玛丽,我是比尔•乔迪(Bill Jorday),信息安全部的。”
“有事吗?”
“我们部有人跟你谈过最佳安全操作规程么?”
“我想没有。”
“那好,我们开始。首先,我们不允许任何人安装从公司外部带来的软件,因为我们不想承担使用未经授权软件的责任。而且,也为了避免这些软件可能携带蠕虫或病毒的风险。”
“好的。”
“你了解我们的电子邮箱规则么?”
“不。”
“你现在的电子邮箱是什么?”
“Rosemary@ttrzine.net”
“你是用Rosemary做用户名登录的么?”
“不是,我用的是R_Morgan。”
“好的。我们想让所有的新员工都意识到,打开任何一个未知邮件的附件都是危险的。蠕虫、病毒四处泛滥,并通过你似乎认识的人的邮件发来。所以,如果你收到一封意料之外的带有附件的邮件,一定要向发信方确认此信真得是由其发出。你懂了么?”
“是的,这我已经知道了。”
“很好。我们的规定是每90天换一次密码。你上一次改变密码是什么时候?”
“我才来了三个星期,还用着一开始设置的密码。”
“好,很好,你可以等到90天后再换。但我们需要确定大家不使用很容易猜出的密码,你使用的密码是由字母和数字组成的么?”
“不是。”
“我们要确定一下,你现在用的密码是什么?”
“我女儿的名字――Annette(安妮特)。”
“那可真不是一个安全的密码,你不应该在密码里包含家庭信息。嗯,我看看……,你可以和我一样,使用你现在的密码做为新密码的开头,每当更换时加一个当前月份的数字。”
“那如果我现在换的话,现在是三月,就应该是three或是-three?”
“那随你便,你更愿意用哪一个?”
“我想用Annette-three.”
“好的。你想让我为你演示一下如何改密码的么?”
“不用,我知道。”
“好。还有一件事得说一下,你的计算机上装有防病毒软件,保持更新非常重要。千万不要禁止自动更新功能,即便在它每次运行时速度会变慢。好么?”
“好的。”
“很好。你有我们的电话号码么?如果计算机出问题可以打给我们。”
她没有。他告诉她号码,她认真的记了下来,然后继续工作,并再一次地为受到热心的关怀感到欣慰。
过程分析
这个故事继续加强了此书的基本主题,你也将看到在整本书中都包含着这一主题:尽管社会工程师的最终目标不是从对方身上获取最普通的信息,但这些信息却是其目标的信任书。利用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找到任何他想找的信息。有了这些信息,如同找到开门的钥匙,把它们握在手中,他可以自由地出入企业的各个地方并找到他寻觅的宝藏。
米特尼克信箱
在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规程,尤其是有关绝不要泄露口令的规则。
攻击者喜欢把目标锁定在新来的雇员身上,他们认识的人很少,也不了解工作程序,什么该做,什么不该做。而且,一旦给其留下良好的第一印象,他们便会殷切地显示出对你的配合和快速地回应。
安德鲁的帮助
“人力资源部,安德鲁•卡尔霍恩(Andrea Calhoun)。”
“安德鲁,嗨,我是亚力克斯(Alex),企业安全顾问。”
“什么事?”
“今天好么?”
“还好。需要帮忙吗?”
“是这样,我们正在策划一个新员工的安全培训,需要集结一些人测试一下,我想要上个月所有新进员工的名单和电话号码。你能提供给我么?”
“要到今天下午我才能给你,可以么?你的分机是多少?”
“当然,可以。我的分机是52……,噢,嗯,我今天大部分时间要开会,我回到办公室后打给你吧,大约4点左右。”
亚力克斯4点30分打来电话,安德鲁已经把名单准备好,然后在电话中读出了名字和分机号。
罗丝玛丽的消息
罗丝玛丽•摩根(Rosemary Morgan)很满意她的新工作,以前她从未在杂志社做过,她发现这里的人比她想像中友善的多(大多数杂志社职员都是在没完没了的压力下,在每一次发行最后期限前出版杂志的),而星期二早晨的一个电话再次确认了她的这种印象。
“是罗丝玛丽•摩根吗?”
“是的。”
“嗨,罗丝玛丽,我是比尔•乔迪(Bill Jorday),信息安全部的。”
“有事吗?”
“我们部有人跟你谈过最佳安全操作规程么?”
“我想没有。”
“那好,我们开始。首先,我们不允许任何人安装从公司外部带来的软件,因为我们不想承担使用未经授权软件的责任。而且,也为了避免这些软件可能携带蠕虫或病毒的风险。”
“好的。”
“你了解我们的电子邮箱规则么?”
“不。”
“你现在的电子邮箱是什么?”
“Rosemary@ttrzine.net”
“你是用Rosemary做用户名登录的么?”
“不是,我用的是R_Morgan。”
“好的。我们想让所有的新员工都意识到,打开任何一个未知邮件的附件都是危险的。蠕虫、病毒四处泛滥,并通过你似乎认识的人的邮件发来。所以,如果你收到一封意料之外的带有附件的邮件,一定要向发信方确认此信真得是由其发出。你懂了么?”
“是的,这我已经知道了。”
“很好。我们的规定是每90天换一次密码。你上一次改变密码是什么时候?”
“我才来了三个星期,还用着一开始设置的密码。”
“好,很好,你可以等到90天后再换。但我们需要确定大家不使用很容易猜出的密码,你使用的密码是由字母和数字组成的么?”
“不是。”
“我们要确定一下,你现在用的密码是什么?”
“我女儿的名字――Annette(安妮特)。”
“那可真不是一个安全的密码,你不应该在密码里包含家庭信息。嗯,我看看……,你可以和我一样,使用你现在的密码做为新密码的开头,每当更换时加一个当前月份的数字。”
“那如果我现在换的话,现在是三月,就应该是three或是-three?”
“那随你便,你更愿意用哪一个?”
“我想用Annette-three.”
“好的。你想让我为你演示一下如何改密码的么?”
“不用,我知道。”
“好。还有一件事得说一下,你的计算机上装有防病毒软件,保持更新非常重要。千万不要禁止自动更新功能,即便在它每次运行时速度会变慢。好么?”
“好的。”
“很好。你有我们的电话号码么?如果计算机出问题可以打给我们。”
她没有。他告诉她号码,她认真的记了下来,然后继续工作,并再一次地为受到热心的关怀感到欣慰。
过程分析
这个故事继续加强了此书的基本主题,你也将看到在整本书中都包含着这一主题:尽管社会工程师的最终目标不是从对方身上获取最普通的信息,但这些信息却是其目标的信任书。利用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找到任何他想找的信息。有了这些信息,如同找到开门的钥匙,把它们握在手中,他可以自由地出入企业的各个地方并找到他寻觅的宝藏。
米特尼克信箱
在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规程,尤其是有关绝不要泄露口令的规则。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
