频道栏目
读书频道 > 安全 > 反欺骗的艺术——世界传奇黑客的经历分享
2.2.2 骗局分析
2014-08-23 13:44:38     我来说两句
收藏   我要投稿
在《反欺骗的艺术——世界传奇黑客的经历分享》中,米特尼克邀请读者进入到黑客的复杂思维中,他描述了大量的实际欺骗场景,以及针对企业的社交工程攻击和后果。他将焦点集中在信息安全所涉及到的人为因素方面,  立即去当当网订购

这整个骗局建立在社交工程领域中的一个基本策略基础之上:获取那些在尚未造成危害时公司职员认为无害的信息。

第一个银行职员确认了在致电CreditChex时描述标识信息的用语:商户号码。第二个给出了致电CreditChex所用的电话号码,以及更重要的信息,即银行的商户号码。所有这些信息在银行职员看来都是无害的。毕竟,银行职员认为自己在跟CreditChex公司的人讲话——既然如此,透漏该号码又有何妨?

所有这些工作为第三个电话打下了基础。格雷斯掌握了给CreditChex打电话所需要的一切信息,他假扮成来自他们的某一个客户银行,即国家银行,然后直接询问他需要的信息。

就像一个出色的骗子善于窃取钱财一样,格雷斯善于窃取信息,懂得察言观色之妙用。他深知“把关键的问题隐藏在无关紧要的问题当中”这一普遍策略,也知道用一个私人问题就能测试出第二个职员是否愿意合作,然后在不经意间向她询问商户号码。

第一个职员所犯的错误,即确认CreditChex身份号码的用语,几乎不可能避免。这一用语在银行业是广为人知的,因而它显得毫无重要性可言。这是一个典型的被认为无害的信息。但第二个职员,克里斯,不应该在尚未确认电话对方的身份是否如他所宣称的那样之前就轻率地回答问题。她至少应该记下他的名字和电话号码,并给他打电话回去;这样的话,如果以后发生了什么问题,那她至少还记录下这个人使用过哪个电话号码。在这个案例中,像这样回打一个电话将使攻击者很难冒充CreditChex的代表。

更好的做法是用一个银行内部记录在案的号码——而不是用来电者所提供的号码——打电话给CreditChex,来确认此人确实在那里工作,并且该公司确实在做客户调查。然而考虑到现实世界的实际情况,以及今天大多数人所处的工作压力,多数情况下指望他们打这样的确认电话是不太现实的,除非银行职员怀疑某种攻击正在进行或者将要进行。

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.2.1 私人侦探的工作
下一篇:2.3 工程师的陷阱
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站