皮特·艾伯尔(Peter Abel)的电话
“嗨,”电话的另一端说:“我是帕克斯特(Parkhurst)旅行社的汤姆,您去往旧金山的机票已订好,您要寄过去还是您来拿?”
“旧金山?”皮特说:“我没打算去旧金山。”
“您是皮特·艾伯尔么?”
“是的,但我没有任何旅行的安排。”
“嗯,”对方友好的笑笑,“您确定您不想去旧金山么?”
“如果你认为你能跟我老板谈谈此事的话……”皮特对这次友好的谈话开起玩笑。
“这听起来有些乱,”对方说:“我们的系统依照员工号码登记旅行安排,也许有人把号码弄错了,你的员工号码是多少?”
皮特欣然报出他的号码。为什么?因为这如同他平时所填的公司里很多人都会看到的人员登记表,人事部、工资名单,很明显,还有外面的旅行社。没人把员工号码当做秘密。这会有什么影响吗?
这很难说清。两到三个信息也许就可以让社会工程师装扮成他人扮演一场好戏了。弄到一个工作人员的名字和他的电话号码,也许为了保险起见,再找到他上司的名字和电话号码。即使一个不怎么出色的社会工程师也会尽可能的搜集所需要的信息,以使他给下一个目标打电话时听起来可信。
如果昨天有人给你打过电话,声称他是公司另一个部门的职员,并给出一个含糊的理由来询问你的员工号码,你很轻易的就告诉他了么?
还有,你的社会保险号呢?(译者注:美国、加拿大居民的身份代码,类似于中国的身份证号。)
米特尼克信箱
这个故事的寓意在于,不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
预防措施
公司有责任让员工意识到对非公共信息的管理不善会带来严重的后果。一个深思熟虑地信息安全策略,再加上正确的教育和培训,将会极大的提升员工正确处理企业内部信息的意识。资料数据的分类策略也将帮助你实施对信息使用的正确控制,如果没有分类策略,所有的内部信息都应被视为保密,除非另做指定。
采取以下步骤来防止公司看似无害信息的泄漏:
信息安全部门应操办意识培训来讲解社会工程师所使用的手段。其中一个方法,正如上文所提到的,就是获得看似不敏感的信息,然后把它当做筹码来取得短暂的信任。每一个员工都应该意识到,当一个知道公司办事程序、专业用语和内部标识的人打来电话时,并不意味着他或她就可以知道所查询的信息。对方可能是公司以前的员工或是知道公司内部一般情况的合同工(译者注:某些大公司将员工分为regular和contractor,前者类似事业单位的固定工,后者类似合同工)。因此,每个企业都有责任制定适当的验证方法,在员工与他们不认识的人通电话或当面交谈时使用。
负责制订资料分类政策的人应该仔细检查信息的分类,注意那些正式员工可以访问到的看似无害却可能会导致敏感信息泄漏的信息。尽管你从未把现金卡(ATM)的密码告诉过别人,但你曾把开发公司软件产品的服务器告诉过别人么?这个信息可不可以让一个人装扮成企业员工合法地访问企业网络呢?
有时仅仅知道内部的专用术语,就可以让社会工程师显得知道很多并可以信赖,攻击者常常利用这个普遍的错误观念来操纵受骗者。比如,交易码是银行开户处用工作人员每天都使用的认证标识,这个标识的意义与密码一模一样。如果每一个工作人员都认识到它的意义――唯一用来确认查询人身份,他们也许会更加谨慎的对待它。
米特尼克信箱
正如人所说――即使一个真正的妄想狂也可能有敌人,我们也必须假定每个企业都有它的敌人――以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字,应尽早地布置深思熟虑的安全操作方案和策略,这样才能对企业进行正确的控制以加强防范。
没有公司或只有很少的公司,会将首席执行官或董事长的直拨电话告诉别人。尽管大多数公司并不在意在内部公开电话号码,尤其对于似乎是内部员工的人,实施这样一个政策还是必要的:禁止对外公开内部职员、合同工、顾问和临时雇员的电话号码。
部门或工作组的财务制度,还有企业通讯录(无论是复印件还是资料文件或是内网上的电子版),都是社会工程师常见的目标。每个企业对这类信息都要有一个成文的使用政策,并让所有的员工都知道。保安人员则应保留一份备查日志,用以记录敏感信息透露给企业外人员的情况。像员工号码这样的信息,它本身不能用做任何形式的验证,内部员工不仅要验证查询信息者的身份,还要确定对方是否具有相关信息的知情权。
在进行安全培训时,试一下这个方法:无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。然后,在做好心人之前,先遵循公司对非公共信息的验证和使用政策。这种工作方式也许违背了我们乐于助人的天性,但多一点有益的怀疑也许是必要的,以免成为社会工程师的下一个受骗者。
正如本章故事中所叙述的,看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。
1983
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
