第1531章 利用

第1531章 利用 (第2/2页)

也就是在这种时候我们最容易变成攻击者的共谋，社交工程师就是有办法说服受害者，让他们没有机会仔细思考。最厉害的是，他们所做的要求往往是超乎受害者日常工作范围之外的。
　　
　　“你跟人聊天时，若发现对方跟你是同乡，或者有相同的嗜好兴趣，那么攻击者就会尽量迎合你的所好，因为就心理学而言，你会比较喜欢跟自己很像的人，”Mitnick说，“而你喜欢某人后，你自然也比较可能答应对方的请求。”
　　
　　“一旦发现对方跟你有太多巧合，那你就应该心生警觉了。”他说。
　　
　　设定红灯与黄灯警戒线
　　
　　Mitnick建议引进红绿灯制度来协助员工判断是否被诱骗了。conAd2();
　　
　　人性本善，大家一开始多半会相信陌生人，而不会故意去怀疑对方，这也让社交工程骗子有机可乘。你是否曾经帮同栋大楼的陌生住户开门？大家都喜欢给人好印象，即使跟陌生人也是如此，也因此大家都很乐于施点小恩小惠，同理，若对方给予一些回报也是一种礼尚往来，这种人性倾向反而成了攻击者的最大漏洞，Mitnick如此认为。他以往最成功的例子都是通过这种手段犯下的。
　　
　　“若有人给你一点好处，你理所当然也会有所回馈，这种人之常情走到哪里都适用，尤其是美国，”他说，“攻击者会假装是在协助你解决问题，或者他们会刻意制造问题，然后再假装帮你忙。”
　　
　　攻击者可能假装是管理部门做抽查，先打给IT维修部门，要求原公告知待修清单，一旦取得某一待修单的详细内容后，这位社交工程师又可假装是维修人员，打给熬熬待援的员工，并协助他们解决问题。之后几小时候，攻击者又可打电话回来说，“嗨，我是IT部门某某人，刚刚帮你解决email的问题。我等会寄一个诊断工具给你，你可帮我执行一下吗？”一般而言，用户多半不会拒绝，这招看似很简单，但许多人一时不察绝对都会上钩。
　　
　　Mitnick表示要求他人泄漏信息或代为执行某些动做其实很类似销售员一般。“这只是把业务或营销技巧用在坏的地方而已。因此公司必须设定红灯与黄灯警示，让员工清楚知道哪些状况有可能会上当。”
　　
　　除了训练员工外，还要加以督导验收才行，Mitnick表示，这种风险无法完全被排除，但却可以降到最低，证据何在？即使是Mitnick这种社交工程高手，最后也不是栽了吗？
　　
　　PrintChapterError();