第1531章 利用 (第2/3页)

“只有像你这么聪明的人才肯帮我，待会我寄给文件给你，请你打开附件看看。conA1();”他们也会使用恫吓方式，“要是你不说出密码让我进入我的mail信箱，你就等着被革职。”

    若你能拒绝这种“状况外”的请求，你大概就赢一半了，“关键在于训练员工了解哪些是合法的请求，哪些不是。”Mitnick说。

    有些简单的政策也很容易遵循，几乎所有社交工程师不会显示来电号码，“他们会找各种借口，比如说我的手机电池快没电等等的，”Mitnick如此说，公司只要立下规定说，若有人来电请求的信息是具有**/机密性质的，员工必须真的知道有这号人物，然后回电给对方确认才行，经过这一关，至少七成社交工程骗术都会事迹败露。

    只要有人来电要求重设密码，IT人员务必回电该名员工做确认，这样的政策绝对有助于破解社交工程骗子。

    Mitnick不是IT安全通才，社交工程才是他的拿手戏，Mitnick之前还研究过心理层面才能屡屡犯罪得逞，“社交心理学说人类有两种思考模式，一种是系统（systematic）模式，一种则是探索式的（eristic），”Mitnick解释说，当你在系统模式下，你会有动机去做思考，若是在探索式模式下，你就懒散过去，你会分心，思考其他东西，“我们有90%时间都处于这种状态。”

    也就是在这种时候我们最容易变成攻击者的共谋，社交工程师就是有办法说服受害者，让他们没有机会仔细思考。最厉害的是，他们所做的要求往往是超乎受害者日常工作范围之外的。

    “你跟人聊天时，若发现对方跟你是同乡，或者有相同的嗜好兴趣，那么攻击者就会尽量迎合你的所好，因为就心理学而言，你会比较喜欢跟自己很像的人，”Mitnick说，“而你喜欢某人后，你自然也比较可能答应对方的请求。”

    “一旦发现对方跟你有太

    （本章未完，请点击下一页继续阅读）