攻击者利用员工一念之仁进行攻击最难防范,但要保护公司免当社交工程(socialengineering)骗术受害者还是有规则可循。
你被骗过吗?社交工程者诱骗手法往往相当细腻,受害者往往还不知所以然就上了钩。社交工程者往往利用人性弱点而非技术/软件漏洞来入侵保护周延的网络。
小偷,非强盗
这种诈骗大师的典型之一就是英国的KevinMitnick,他曾因电脑犯罪前后进出监狱三次,出狱后Mitnick决定改邪归正,现在经营起一家顾问公司Defehinking,专门保护企业员工免受社交工程骗术之害。
Mitnick在犯罪全盛时期,几乎无所不骗,他可诱使人们泄漏各种信息,包括密码、上网帐号、一般技术信息等。我们访问了Mitnick,看看社交工程骗子打电话进公司找人时最常希望拿到哪些信息。
“这多半是打电话进去,然后套出他们的密码,”他说,“但其实还有更精密的攻击手法,只为了取得各种细碎的信息。”
比方说你看上某家软件公司,(这是Mitnick之前最常做的事,先是在80年代窃取DEC公司的源代码,后来陆续还