第8章

    第8章 (第2/3页)

法与合法之间的界限。

      一个位正在写一本尼克松年代时关于政府内阁方面的书的作家打电话给我，说他想找一个能够挖掘出威廉·西蒙（William E. Simon）内幕消息的调查人。威廉·西蒙，曾任尼克松时期的财政部长。西蒙先生现已去世，但这位作家知道他的一名女下属的名字，并确切的知道她仍然住在华盛顿特区，可不知道详细地址。她的名字也未登记电话，或者至少是没有列出她的电话，这就是他之所以联系我的原因。我告诉他，好的，没问题。

      这就是那种通常一两个电话就可以完成的工作，如果你知道自已是在做什么的话。通常情况下，每个地方上的公共事业公司都有可能查到这样的信息，当然，这需要些小小的谎言，但偶尔撒一个小谎无所谓吧，对么？

      我喜欢使用不同的方法，只为了让事情有趣些。“我是执行办公室的某某……”这样的开场白，一直都很好用。同样还有这次使用的“我正在与某副总裁办公室的人通话”也不错。

      你必须充分发挥社会工程师的潜能，把握电话另一端将与之打交道的人的配合性。这次我幸运的碰到了一位友善、热心的女士，仅打了一个电话，就得到了地址和电话，任务完成。

      米特尼克信箱

      绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂，以防被人轻易识破。有些攻击来去匆匆、得手即逝，更简单的攻击仅仅是，直接索取。

      过程分析

      珍妮肯定知道客户信息属于敏感信息，她绝不会与一位客户谈论另一位客户的账户，也不会向外部泄露客户的私人信息。但是很自然地，当一个公司内部的人员打来电话时，情况便不同了。做为公司团队的一员，同事之间最重要的是互相帮助，以完成工作。那个客户名单部的工作人员，如果不是病毒把计算机搞坏，他自己完全可以查阅客户信息，她自然很乐意帮助一个同事。

      亚特渐渐地接近了他真正想寻求的关健信息，在这一过程中他还提出了他不必知道的问题，如账户号码。然而，这个账户号码也为他提供了一个退路。万一珍妮有所警觉，他再打第二个电话时，成功的可能性便大大的增加了。因为，这个账户号码会让他给下一个工作人员打电话时，听起来更加可信。

      从未有人向珍妮撒过这样的谎，打电话的人根本就不是客户名单部门的人。当然，珍妮也不应被责怪。她并不熟悉那条“在谈论客户档案信息之前，一定要知道与之谈话的人是谁”的规则，没有人告诉过她象亚特这样打来电话的危险性，公司里也没有制定这样的政策，她也从来没有培训过这方面的内容，而且她的主管也从未提及过。

      预防措施

      企业安全培训的一个要点就是：如果一个来访者或是打电话的人知道公司某人的名字，或是知道一些内部用语或业务程序，并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的，从而把内部信息泄露给他，或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调：一旦有所怀疑，必

    （本章未完，请点击下一页继续阅读）