正文 第1531章 利用

    攻击者利用员工一念之仁进行攻击最难防范，但要保护公司免当社交工程（sialengineering）骗术受害者还是有规则可循。

    你被骗过吗？社交工程者诱骗手法往往相当细腻，受害者往往还不知所以然就上了钩。社交工程者往往利用人性弱点而非技术/软件漏洞来入侵保护周延的网络。

    小偷，非强盗

    这种诈骗大师的典型之一就是英国的kevinitnik，他曾因电脑犯罪前后进出监狱三次，出狱后itnik决定改邪归正，现在经营起一家顾问公司defensivethinking，专门保护企业员工免受社交工程骗术之害。

    itnik在犯罪全盛时期，几乎无所不骗，他可诱使人们泄漏各种信息，包括密码、上网帐号、一般技术信息等。我们访问了itnik，看看社交工程骗子打电话进公司找人时最常希望拿到哪些信息。

    “这多半是打电话进去，然后套出他们的密码，”他说，“但其实还有更精密的攻击手法，只为了取得各种细碎的信息。”

    比方说你看上某家软件公司，（这是itnik之前最常做的事，先是在80年代窃取de公司的源代码，后来陆续还找过诺基亚、sun、摩托罗拉与ne），你不会直接打进去找it管理员，开口就说，“密码多少？”

    有技巧的攻击者会安瞄准比较容易下手的部分，比如公司区域网络上的某台工作站，利用常见的技术漏洞做入侵。接着社交工程就可派上用场，用来寻找网络上哪台机器才是攻击者真正想要的目标，如此便可节省许多胡乱在lan上摸索的时间，同时也可降低误触安全警报的风险。

    如何破解攻击手法？

    训练员工权衡突发的“请求”事件，尤其是通时不是在他们权限范围内应该做的事。itnik表示社交工程高手最爱给人戴高帽，比方说“只有像你这么聪明的人才肯帮我，待会我寄给文件给你，请你打开附件看看。”他们也会使用恫吓方式，“要是你不说出密码让我进入我的ail信箱，你就等着被革职。”

    若你能拒绝这种“状况外”的请求，你大概就赢一半了，“关键在于训练员工了解哪些是合法的请求，哪些不是。”itnik说。

    有些简单的政策也很容易遵循，几乎所有社交工程师不会显示来电号码，“他们会找各种借口，比如说我的手机电池快没电等等的，”itnik如此说，公司只要立下规定说，若有人来电请求的信息是具有隐私/机密性质的，员工必须真的知道有这号人物，然后回电给对方确认才行，经过这一关，至少七成社交工程骗术都会事迹败露。

    只要有人来电要求重设密码，it人员务必回电该名员工做确认，这样的政策绝对有助于破解社交工程骗子。

    itnik不是it安全通才，社交工程才是他的拿手戏，itnik之前还研究过心理层面才能屡屡犯罪得逞，“社交心理学说人类有两种思考模式，一种是系统（systeati）模式，一种则是探索式的（heuristi），”itnik解释说，当你在系统模式下，你会有动机去做思考，若是在探索式模式下，你就懒散过去，你会分心，思考其他东西，“我们有90%时间都处于这种状态。”

    也就是在这种时候我们最容易变成攻击者的共谋，社交工程师就是有办法说服受害者，让他们没有机会仔细思考。最厉害的是，他们所做的要求往往是超乎受害者日常工作范围之外的。

    “你跟人聊天时，若发现对方跟你是同乡，或者有相同的嗜好兴趣，那么攻击者就会尽量迎合你的所好，因为就心理学而言，你会比较喜欢跟自己很像的人，”itnik说，“而你喜欢某人后，你自然也比较可能答应对方的请求。”

    “一旦发现对方跟你有太多巧合，那你就应该心生警觉了。”他说。

    设定红灯与黄灯警戒线

    itnik建议引进红绿灯制度来协助员工判断是否被诱骗了。

    人性本善，大家一开始多半会相信陌生人，而不会故意去怀疑对方，这也让社交工程骗子有机可乘。你是否曾经帮同栋大楼的陌生住户开门？大家都喜欢给人好印象，即使跟陌生人也是如此，也因此大家都很乐于施点小恩小惠，同理，若对方给予一些回报也是一种礼尚往来，这种人性倾向反而成了攻击者的最大漏洞，itnik如此认为。他以往最成功的例子都是通过这种手段犯下的。

    “若有人给你一点好处，你理所当然也会有所回馈，这种人之常情走到哪里都适用，尤其是美国，”他说，“攻击者会假装是在协助你解决问题，或者他们会刻意制造问题，然后再假装帮你忙。”

    攻击者可能假装是管理部门做抽查，先打给it维修部门，要求原公告知待修清单，一旦取得某一待修单的详细内容后，这位社交工程师又可假装是维修人员，打给熬熬待援的员工，并协助他们解决问题。之后几小时候，攻击者又可打电话回来说，“嗨，我是it部门某某人，刚刚帮你解决eail的问题。我等会寄一个诊断工具给你，你可帮我执行一下吗？”一般而言，用户多半不会拒绝，这招看似很简单，但许多人一时不察绝对都会上钩。

    itnik表示要求他人泄漏信息或代为执行某些动做其实很类似销售员一般。“这只是把业务或营销技巧用在坏的地方而已。因此公司必须设定红灯与黄灯警示，让员工清楚知道哪些状况有可能会上当。”

    除了训练员工外，还要加以督导验收才行，itnik表示，这种风险无法完全被排除，但却可以降到最低，证据何在？即使是itnik这种社交工程高手，最后也不是栽了吗？