频道栏目
读书频道 > 安全 > 反欺骗的艺术——世界传奇黑客的经历分享
2.4 更多的“无用”信息
2014-08-23 13:55:57     我来说两句
收藏   我要投稿
在《反欺骗的艺术——世界传奇黑客的经历分享》中,米特尼克邀请读者进入到黑客的复杂思维中,他描述了大量的实际欺骗场景,以及针对企业的社交工程攻击和后果。他将焦点集中在信息安全所涉及到的人为因素方面,  立即去当当网订购

除了费用中心号码和内部的电话分机号以外,其他还有什么信息看似没用,但对于敌手来说却非常有价值吗?

皮特•阿贝尔的电话

“喂,”电话另一端说,“这里是帕克赫斯特旅行社的汤姆。您去旧金山的机票已经订好了。您希望我们给您送过去,还是自己来取?”

“旧金山?”皮特说。“我不去旧金山。”

“您是皮特•阿贝尔吗?”

“我是,但最近我并没有打算要旅行。”

“哦,”打电话来的人一边说着,一边发出友好的笑声,“您确定自己不想去旧金山吗?”
“如果您能够说服我老板的话…”皮特说,继续着友好的谈话。

“看起来好像是搞错了,”打电话来的人说。“在我们的系统中,我们根据职员编号进行旅行安排。也许有人弄错了编号。您的职员编号是多少?”

皮特毫不迟疑地报上了自己的职员编号。为什么不呢?它出现在自己所填写的每一份人事表格上,公司里有很多人能看到它——人力资源部的、工薪部的,很显然,还有公司外部的旅行社。没有人把职员编号看成一种秘密。告不告诉别人又有什么两样?

其答案并不难理解。两三样信息可能就足以支撑起一次成功的假冒行为——社交工程师冒用别人的身份。取得职员的名字、他的电话,以及他的职员编号—— 或许,最好也能得到其经理的名字和电话—— 这样,即使一个半瓶子醋的社交工程师,也有了足够的信息,使自己在给下一个目标打电话时听起来非常可信。

如果昨天有人给你打电话,说他来自公司另外的部门,并且给出了可信的理由,然后要你的职员编号,你会不愿意给他吗?

顺便问一下,如果要你的社会保险号码又会怎么样呢?

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.3 工程师的陷阱
下一篇:2.5 预防骗局
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站