第二部 攻擊者的手段
第二章 無害資訊的價值
對大多數人來說,社會工程師的真正威脅在**?又該如何保持警惕?
如果社會工程師的目標是「最有價值獎」-比如,企業智力資產的核心組成。那麼也許需要的是更堅固的保險庫和全副武裝的保安,對麼?
但在現實中,壞人滲透企業安全的第一步就是獲得某些似乎無利害關係的資訊和檔案,這些資訊和檔案看起來十分平常,也不重要,公司裡的人大都不明白為什麼這些東西會被限制和保護。
資訊的隱藏價值
社會工程師十分重視企業中許多表面上看去無利害關係的資訊,因為這些資訊是他能否披上可信外衣的至關重要的因素。
在這一章裡,我將通過讓讀者「親身」經歷攻擊過程,來展示社會工程師的攻擊手段。有時從受害人的角度來表現情節,讓讀者以當事人的身份估計自己(或是你的同事和員工)可能會做出的反應。而更多的時候,讓讀者從社會工程師的角度來經歷攻擊過程。
第乙個故事著眼於金融行業的乙個漏洞。
信譽支票(creditchex)
曾經有一段很長的時期,英國的銀行系統十分閉塞,大街上一位誠實普通的市民並不能隨便走進銀行而直接申請乙個銀行帳戶。銀行不會把他當做客戶,除非他帶有某位正式銀行客戶的推薦信。
當然,這與如今的表面上人人平等的銀行機構大不一樣。如今辦理銀行業務沒什麼地方比友善、平等的美國更方便了,任何人都可以走進銀行輕鬆的建立乙個日常賬戶,是這樣麼?
並非如此。事實上可以理解,銀行很難為乙個才開過空頭支票的人建立賬戶,這很自然,同樣還有那些有著搶劫銀行和挪用賬款記錄的人。這就是乙個銀行對其潛在客戶瞬間做出好壞判斷的實際例子。
與銀行有著重要業務聯絡的公司中,有一種機構專門為銀行提供這類資訊,我們把這種機構稱之為「信譽支票」。它為客戶提優質的服務,但同許多公司一樣,它也會「無心」的為「有心」的社會工程師們提供便利的服務。
「國家銀行,我是吉姆,您是想要開乙個帳戶麼?」
「嗨,吉姆,我想請教個問題。你們與信譽支票打交道麼?」
「是的。」
「你們給信譽支票打**時,怎麼稱呼你們提供的號碼?是叫『交易號』(merchant id)麼?」短暫的沉默,基姆在衡量這個問題,對方是什麼意圖,她是否應該回答。打**的人不容對方思考接著問:「是這樣,吉姆,我在寫一本涉及私人調查的書。」
「是的。」她有了回答的信心,因為她還是願意幫助乙個作家的。
「就叫「交易號」,對麼?」
「啊,嗯。」
「好的,很好。我是想確認我的書中使用了正確的專業用語,謝謝你的幫忙,再見,吉姆。」
「國家銀行,開戶處,我是克瑞絲。」
「嗨,克瑞絲,我是阿萊克斯。」打**的人說,「我是『信譽支票』的客服代表,我們在做一項改善服務質量的調查。能耽誤您幾分鐘麼?」克瑞絲表示願意,打**的人繼續:「好的。你們部門營業時間是多少?」她給予回答,並接著回答下面的一系列問題。
「你們部門有多少人使用我們的服務?」
「大約多長時間給我們打一次諮詢**?」
「您用的是我們哪乙個800免費**號碼?」
「我們的客服代表服務態度好麼?」
「我們對業務的響應時間如何?」
「您在銀行工作多長時間了?」
「您通常使用的交易號是多少?」
「您是否發現過我們提供過的資訊不準確?」
「如果您對我們的服務有所建議,建議是什麼呢?」最後:
「如果我們把定期調查表寄到你們部門,您會填寫麼?」
她表示同意,然後彼此簡單對了幾句話,**掛掉,克瑞絲繼續她的工作。
欺騙的藝術(第二章 無害資訊的價值一)
第二部 攻擊者的手段 第二章 無害資訊的價值 對大多數人來說,社會工程師的真正威脅在 又該如何保持警惕?如果社會工程師的目標是 最有價值獎 比如,企業智力資產的核心組成。那麼也許需要的是更堅固的保險庫和全副武裝的保安,對麼?但在現實中,壞人滲透企業安全的第一步就是獲得某些似乎無利害關係的資訊和檔案,...
第二章 價值探索環
如何發現和識別使用者的真實需求是目前所有企業面臨的難題 風險假設 使用者假設 問題假設 解決方案假設 目標就是要持續識別和定義這些有價值的假設,選擇並驗證其中風險最高或最易驗證的價值假設,並借助價值驗證環得到資料反饋,以便深入理解使用者需求,把握業務前進方向 4個關鍵環節 提問 錨定 共創 精煉 工...
軟體測試的藝術第二章總結
測試是為發現錯誤而執行程式的過程通過測試來增加程式的價值,是指測試提高了程式的可靠性或質量。提高了程式的可靠性,是指找出並最終修改了程式的錯誤。因此不要只是為了證明程式能夠正確執行而去測試程式 相反,應該一開始就假設程式中隱藏著錯誤 這種假設對於幾乎所有的程式都成立 然後測試程式,發現盡可能多的錯誤...