第5章

    第5章 (第3/3页)

誉支票专业术语上的错误几乎是最难防范的，这种专业用语在银行业几乎人人都知道，因此显得无关紧要――无害信息最普遍的表现形式。但第二个职员，克瑞丝，不应该在确定打电话人的身份真实与否之前，就非常乐意的回答问题。她至少应该询问对方的名字和电话号码并拔回，这样如果日后发生问题，她还有一个打电话人所使用电话号码的记录。在这个案例中，拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成很大的困难。

      米特尼克信箱

      这个案例中的交易号相当于一个密码，如果银行工作人员将其与自动取款机的个人识别码（PIN）一样看待，便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢？

      用以前记录的银行电话号码给信誉支票回拔一个电话（不要用对方提供的号码），以验证对方是否在那儿工作，信誉支票是否正在做一项客户调查，这样的电话还是有必要打的。现代社会人们的工作时间都很紧张，而且这样的确认电话会占用不少时间，考虑到现实中的实用性，建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。

      工程师的圈套

      很多人都知道，猎头公司使用社会工程学来扩大业务范围，这里有一个例子：

      在90年代末，某个不怎么道德的职业介绍所签了一家新客户，一家正在寻找有通讯行业工作经验的电气工程师的公司。负责这个项目的经理是一位女士，有着有磁性的嗓音，和充满诱惑力的言谈举止，这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电话服务提供商进行一次偷袭，以期找到一些可能会投奔到竞争对手那里的工程师。她当然不能直接给接线员打电话说：“我要找五年经验的工程师”，那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息，电话公司人人都可以告诉别人的信息，巧妙的发动了这次袭击。

      第一个电话：接线员

      攻击者使用迪迪·桑德斯这个名字给移动电话服务商的总机打了一个电话，对话情形大致如下：

      接线员：下午好，我是玛丽，您有什么事情？

      迪迪：请帮我接运输部好么？

      接：我不一定能找到这个号码，我查一下目录，您是哪位？

      迪：我是迪迪。

      接：您在公司大楼里还是在……？

      迪：不，我在外面。

      接：你是迪迪……？

      迪：迪迪·桑德斯，我以前知道运输部的分机号，但我现在忘了。

      接：稍等。

      为了减少怀疑，在这里迪迪设计了一次谈话，让对方认为她是内部人员，熟悉公司的情况。

      接：您在哪里办公？主街商厦（Main Place）还是望湖大厦（Lakeview）？

      迪：主街。（停顿一下）接：电话是805-555-6469.

      有可能给运输部打电话后也得不到所需的信息，迪迪又要了资产部的电话，作为备用。