论文部分内容阅读
编者按:“对大多数人来说,社会工程师的真正威胁在哪里?又该如何保持警惕?”公司重要信息资产的保护是否需要更坚固的保险库和全副武装的保安?
看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。
三个电话就够了
奥斯卡·格瑞斯是一个新入行的私人侦探,他以前是名警察,之所以转行是因为他发现了同时具备轻松性和挑战性的赚钱方法。
一位想离婚的富婆找到他,说是同样做着离婚准备的丈夫早她一步把两个人的存款、投资债券等资产转出银行,她现在想知道他们的钱到哪里去了。
“与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构称之为‘信誉支票’。它为客户提优质的服务,但同许多公司一样,它也会‘无心’的为‘有心’的社会工程师们提供便利的服务。”
要想“跟踪一笔资金的来龙去脉”,信誉支票无疑是个捷径,但需要银行内部人员的帮助。除了他的前妻,格瑞斯不认识任何银行的工作人员,而他也并不想向前妻打听。格瑞斯该如何做呢?
三个电话就够了。
“你们给信誉支票打电话时,怎么称呼你们提供的号码?”格瑞斯首先打给银行的一名职员,由于对方稍有警觉,他在得到一个专业术语的信息之后便撤退了。“您通常使用的交易号是多少?”利用这个专业术语,他冒充信誉支票的客服给另外一名银行职员打电话,把核心问题隐藏在调查表中,成功的得到了与信誉支票联系的关健信息——交易号。接着,他换成银行职员的身份,顺利查到那位提前行动的丈夫的存取款记录。“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会……”
现在格瑞斯可以轻松的等待那位富婆付给他酬金了。
拼图游戏
很多人都知道,某个公司的一份工程师通讯列表,对于猎头公司就意味着潜在的业务收入。这份名单的泄露会给这家公司的人力资源保证带来严重威胁,并可能被竞争对手所利用。下面是一个猎头公司使用社会工程学来获得这种名单的例子:
有一家“正在寻找有通讯行业工作经验的电气工程师的公司”,找到某猎头公司,一位女士擔当了这个项目的经理。这位女士具备“在电话里很容易获取别人的好感和信任”的能力,但是“她当然不能直接给接线员打电话说:‘我要找五年经验的工程师’,那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息,巧妙的发动了这次袭击。”
这位女士用迪迪这个名字给某移动电话服务商打了一个电话,通过她设计的谈话语气让接线员认为她是公司内部人员,并问到了三个部门的电话号码。接着从收款部套到了成本核算代码(“仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。”),然后通过甜言蜜语让刊印部门的人把那份“上面不仅有名字和电话号码,还有人员之间的工作关系,整个企业的组织结构”的通讯录发到她的专用信箱中,而邮递费用则让那个拥有成本核算代码的部门支付了。
看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。
三个电话就够了
奥斯卡·格瑞斯是一个新入行的私人侦探,他以前是名警察,之所以转行是因为他发现了同时具备轻松性和挑战性的赚钱方法。
一位想离婚的富婆找到他,说是同样做着离婚准备的丈夫早她一步把两个人的存款、投资债券等资产转出银行,她现在想知道他们的钱到哪里去了。
“与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构称之为‘信誉支票’。它为客户提优质的服务,但同许多公司一样,它也会‘无心’的为‘有心’的社会工程师们提供便利的服务。”
要想“跟踪一笔资金的来龙去脉”,信誉支票无疑是个捷径,但需要银行内部人员的帮助。除了他的前妻,格瑞斯不认识任何银行的工作人员,而他也并不想向前妻打听。格瑞斯该如何做呢?
三个电话就够了。
“你们给信誉支票打电话时,怎么称呼你们提供的号码?”格瑞斯首先打给银行的一名职员,由于对方稍有警觉,他在得到一个专业术语的信息之后便撤退了。“您通常使用的交易号是多少?”利用这个专业术语,他冒充信誉支票的客服给另外一名银行职员打电话,把核心问题隐藏在调查表中,成功的得到了与信誉支票联系的关健信息——交易号。接着,他换成银行职员的身份,顺利查到那位提前行动的丈夫的存取款记录。“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会……”
现在格瑞斯可以轻松的等待那位富婆付给他酬金了。
拼图游戏
很多人都知道,某个公司的一份工程师通讯列表,对于猎头公司就意味着潜在的业务收入。这份名单的泄露会给这家公司的人力资源保证带来严重威胁,并可能被竞争对手所利用。下面是一个猎头公司使用社会工程学来获得这种名单的例子:
有一家“正在寻找有通讯行业工作经验的电气工程师的公司”,找到某猎头公司,一位女士擔当了这个项目的经理。这位女士具备“在电话里很容易获取别人的好感和信任”的能力,但是“她当然不能直接给接线员打电话说:‘我要找五年经验的工程师’,那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息,巧妙的发动了这次袭击。”
这位女士用迪迪这个名字给某移动电话服务商打了一个电话,通过她设计的谈话语气让接线员认为她是公司内部人员,并问到了三个部门的电话号码。接着从收款部套到了成本核算代码(“仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。”),然后通过甜言蜜语让刊印部门的人把那份“上面不仅有名字和电话号码,还有人员之间的工作关系,整个企业的组织结构”的通讯录发到她的专用信箱中,而邮递费用则让那个拥有成本核算代码的部门支付了。