注:你也许注意到我在提及社会工程师电å话盗打者和设计骗局的人时,大多数情况下用的是“他”。这不是偏见,这只是反应了个ฐ事实——从事这些领域的人大都是男性。但尽管女社会工程师很少,可这个数字正在增长。不要仅仅因为听到เ了位女性的声音而放松了你的警觉,女社ุ会工程师还是有的。事实上,女社会工程师有着独特的优势,利用她们的女性特征来得到对方的配合。本书以后的内容中将会出现少量的女性社会工程师。
社会工程师越把情况营造得像普通的业务联系,就越能ม减少怀疑。当人们没有疑ທ心时,得到他们的信任就很容易了。旦取得你的信任,如同吊桥放下,城门打开,他就可以入内随心所欲地取得他所需的信息。
最后,本书提供个由列表表格组成的“安全瞥”,用来概括说明些关健信息,以帮助员工在工ื作中阻止社会工程学带来的攻击。这些方แ法还可以为你做出自己的信息安全培训计划ฐ提供颇具价值的帮助。
本书第四部ຖ分第十五至十六章我将谈到,在业务对话中如何成功的防止社ุ会工程学给企业带来的攻击。第十五章提供套有效的安全防范培训计划;第十六章也许正解你的燃眉之ใ急――它包含个完整的安全策略,你可以按公司的需要来立刻๑应用,以保证企业的信息安全。
“是罗丝玛丽摩根吗?”
“是的。”
“嗨,罗丝玛丽,我是比尔乔迪,信息安全部的。”
“有事吗?”
“我们部ຖ有人跟你谈过最佳安全操作规程么?”
“我想没有。”
“那好,我们开始。首先,我们不允许任何人安装ณ从公司外部带来的软件,因为ฦ我们不想承担使用未经授权软件的责任。而且,也为了避免这些软件可能ม携带蠕虫或病毒的风险。”
“好的。”
“你了解我们的电子邮箱规则么?”
“不。”
“你现在的电子邮箱是什么เ?”
“rrb2๐”
“你是用rr做用户名登录的么?”
“不是,我用的是r_r”
“好的。我们想让所有的新员工都意识到,打开任何个未知邮件的附件都是危险的。蠕虫病毒四处泛滥,并通过你似乎ๆ认识的人的邮件发来。所以,如果你收到เ封意料é之外的带有附件的邮ุ件,定要向发信方确认此信真得是由其发出。你懂了么เ?”
“是的,这我已经知道了。”
“很好。我们的规定是每90天换次密码。你上次改变密码是什么เ时候?”
“我才来了三个星期,还用着开始设置的密码。”
“好,很好,你可以等到9๗0天后再换。但我们需要确定大家不使用很容易猜出的密码,你使用的密码是由á字母和数字组成的么?”
“不是。”
“我们要确定下,你现在用的密码是什么?”
“我女儿的名字——安妮特。”
“那可真不是个ฐ安全的密码,你不应该在密码里包含家庭信息。嗯,我看看,你可以和我样,使用你现在的密码做为ฦ新密码的开头,每当更换时加个当前月份的数字。”
“那ว如果我现在换的话,现在是三月,就应该是r或是r?”
“那随你便,你更愿意用哪个?”
“我想用r”
“好的。你想让我为你演示下如何改密码的么เ?”
“不用,我知道。”
“好。还有件事得说下,你的计算机上装有防病毒软件,保持更新非常重要。千万不要禁止自动更新功能,即便在它每次运行时速度会变慢。好么?”
“好的。”
“很好。你有我们的电å话号码么?如果计算机出问题可以打给我们。”
她没有。他告诉她号码,她认真的记了下来,然后继续工作,并再次地为受到热心的关怀感到欣慰。
过程分析
这个故事继续加强了此书的基本主题,你也将看到在整本书中ณ都包含着这主题:尽管社ุ会工程师的最终目标不是从对方แ身上获取最普通的信息,但这些信息却是其目标的信任书。利用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找到任何他想找的信息。有了这些信息,如同找到เ开门的钥匙,把它们握在手中,他可以自由地出入企业的各个ฐ地方并找到他寻觅的宝藏。
米特尼克信箱
在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规程,尤其是有关绝不要泄露口令的规则。
不象你认为的那ว样安全
“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说法。而生活如果简单易懂的话,这个世界就会更好。事实却是即便企业付出相当的努力来保护机密信息,可还是存在着严重的风险。下面的故事再次举ะ例证明,认为由á经验丰富胜任的职业安全人员布置的安全操作规程牢不可破的想法,只是在愚弄自己。
斯ั