第1531章 利用 (第1/3页)

    第1531章 利用
    攻击者利用员工一念之仁进行攻击最难防范，但要保护公司免当社交工程（socialengineering）骗术受害者还是有规则可循。

    你被骗过吗？社交工程者诱骗手法往往相当细腻，受害者往往还不知所以然就上了钩。社交工程者往往利用人性弱点而非技术/软件漏洞来入侵保护周延的网络。

    小偷，非强盗

    这种诈骗大师的典型之一就是英国的KevinMitnick，他曾因电脑犯罪前后进出监狱三次，出狱后Mitnick决定改邪归正，现在经营起一家顾问公司efensiveTinking，专门保护企业员工免受社交工程骗术之害。

    Mitnick在犯罪全盛时期，几乎无所不骗，他可诱使人们泄漏各种信息，包括密码、上网帐号、一般技术信息等。我们访问了Mitnick，看看社交工程骗子打电话进公司找人时最常希望拿到哪些信息。

    “这多半是打电话进去，然后套出他们的密码，”他说，“但其实还有更精密的攻击手法，只为了取得各种细碎的信息。”

    比方说你看上某家软件公司，（这是Mitnick之前最常做的事，先是在0年代窃取EC公司的源代码，后来陆续还找过诺基亚、n、摩托罗拉与NEC），你不会直接打进去找IT管理员，开口就说，“密码多少？”

    有技巧的攻击者会安瞄准比较容易下手的部分，比如公司区域网络上的某台工作站，利用常见的技术漏洞做入侵。接着社交工程就可派上用场，用来寻找网络上哪台机器才是攻击者真正想要的目标，如此便可节省许多胡乱在LAN上摸索的时间，同时也可降低误触安全警报的风险。

    如何破解攻击手法？

    训练员工权衡突发的“请求”事件，尤其是通时不是在他们权限范围内应该做的事。Mitnick表示社交工程高手最爱给人戴高帽，比方说

    （本章未完，请点击下一页继续阅读）