第 9 部分阅读

他打电å话回职员办公室，提供了账户代码，原谅他进步利用了这位女士：他要她上楼去拿那ว些副件来传真。

他打电话回职员办公室，提供了账户代码，原谅他进步利用了这位女士：他要她上楼去拿那些副件来传真。

最近几年来，计算机技术的发展已经使声音信息的加密成为可能ม。在工ื程师们不断的找到方法把越来越多的计算能力塞进块微芯片时，他们也开始制造小巧的加密无线设备，帮助执法部门来防范坏人和怀有好奇心的人窃听。

最近几年来，计算机技术的发展已๐经使声音信息的加密成为ฦ可能。在工程师们不断ษ的找到เ方法把越来越多的计算能力塞进块微芯片时，他们也开始制造小巧的加密无຀线设备，帮助执法部门来防范坏人和怀有好奇心的人窃听。

安德瑞亚·洛偑兹在她工作的音像店接到了个ฐ电话，她立刻๑微笑起来当位客户特意打来电话对服务表示满意时，总会让人高兴。打电话的人说，在他们店里得到了非常好的服务，他想给写封信告诉他们的经理。他询问经理的名字和通信地址，她告诉他名字是汤米·艾里森，并把通信地址也给了他。就在要挂电话时，他又有了个想法，他说：“我还想写给你们公司总部，那ว儿的电å话是多少？”她也告诉了他。他道了谢谢，并说了些她的服务十分让人满意之类的话，然后再见了。“像这样的电话，”她想，“总能让上班的时间过的快些，如果多有些这样的人就好了。”

安德瑞亚·洛偑兹在她工作的音像店接到了个电话，她立刻微笑起来当位客户特意打来电话对服务表示满意时，总会让人高兴。打电å话的人说，在他们店里得到เ了非常好的服务，他想给写封信告诉他们的经理。他询问经理的名字和通信地址，她告诉他名字是汤米·艾里森，并把通信地址也๣给了他。就在要挂电å话时，他又有了个ฐ想法，他说：“我还想写给你们公司总部，那儿的电话是多少？”她也告诉了他。他道了谢谢，并说了些她的服务十分让人满意之类的话，然后再见了。“像这样的电话，”她想，“总能ม让上班的时间过的快些，如果多有些这样的人就好了。”

作者简介：

作者简介：

开什么店好呢？没过多久他就决定了，他知道修车，就零配件商店好了。

怎样才能保证成功呢？他很快就想到了答案：确定零配件批发商出售给他的商品都是他想要的成本价。

他们当然不会自动说出来，但是安东尼知道怎样骗人，他的朋友米奇知道如何入侵别ี人的电å脑，他们起制ๆ定了个ฐ巧妙的计划。

那天他假扮成个ฐ名叫彼得米尔顿的员工，进入了光荣汽车零配件公司内部并把他的便携式电å脑连上了他们的局域网，切顺利ำ，但还只是第步，接下来他要做的事情并不容易，特别是之ใ前安东尼为自己设置了个ฐ十五分钟的极限时间——如果更久ื的话他认为被发现的风险太高了。

米特尼克信箱

不要让你的员工只看到封面就判ศ定本书๰的好坏——穿着整洁并不能ม为某个ฐ人带来更多的可信度。

在之前๩的电话中他伪装成他们电脑แ供应商的支持人员花言巧语地表演了番，“你们公司购买了两ä年的技术支持，我们正在把你们加入数据库，这样当你们使用的某个软件程序有了补丁或是更新า版本时我们就可以知道，我需要你告诉我你们使用哪些程序。”然后他得到张程序列表，位会计师朋友确定其中个调用了90่译者注：款财务软件——这个程序管理着他们的厂商列表和折扣与各自的付款方แ式。

有了这些关键信息，他下步用个ฐ软件程序扫描了局域网中所有的存活主机，没花多少时间他就找到了财务部门服务器的正确位置。从他的便携式电脑的黑客工具兵器库中ณ，他运行了个ฐ程序并用它来扫描目标服务器上所有的授权用户。得到เ了这些之后，他开始尝试了系列常用的密码，比如“空”和“r”，“r”起作用了，没什么好吃惊的，在选择密码的时候人们总是缺乏创造力。

才过了六分钟็，游戏就完成了半，他进入了目标服务器。

又过了三分钟็，他非常小心地往客户列表里添加了他的新公司地址电话号码和联系人，然后找到เ个至关重要的条款，在上面标明所列商品以高于光荣汽车零配件成本1的价格卖给他。

十分钟不到เ，他完成了。然后他停留了足够长的时间向凯拉表示感谢，并说他仔细查看了电子邮件，了解到计划有变动，迈克塔尔伯特已经在去客户办公室开会的路上了，他也不会忘了要把她推荐到营销部门的事。

过程分析

这个ฐ自称为ฦ彼得米尔顿的入侵者运用了两次心理战术——次是有计划ฐ的，另次是临时准备的。

他穿得像是工资很高的管理人员，精心设计的衣服领带和发型——这些细节看上去很小，但是它们能建立第印象。我自己是无意中发现了这些的，以前我在加利ำ福尼亚州译者注：美国通用电器公司当程序员时，我发现如果有天我没有带证件，穿着整洁但随意——比如，运动衫休闲裤与r译者注：卡其裤ไ经典品牌——我就会被叫住被盘问，你的证件，你是谁，你在哪里工作？第二天我再来的时候，依然没有证件但是衣服和领ๆ带看上去非常正规，我用了个古老的技术混入人群，和他们起走进公司或安全入口，和他们聊天，好像我就是他们中ณ的员。我顺利通过了，即使警卫注意到我没有证件，他们也不会打扰我，因为ฦ我看起来像是管理人员并且还和带着证件的人在起。

从这些经验中，我了解到应该怎样预ไ测安全警卫的行为，像是我们中的其他人，他们会根据表面现象进行判断——社会工程师知道怎样利用这个致命弱点。

当攻击者注意到เ那位接待员不同寻常的努力之后，他的第二个ฐ心理战术起作用了。同时处理很多事情没有让她变得不耐烦，不仅如此，她还让每个人都觉得他们获得了她全部的注意力，他觉得这些是有上进心想证明自己้的人的标志。然后当他声称在营销部ຖ门工作时，他观察了她的反应，看他是否在她心中建立了友好的形象，他做到了。对于攻击者而言，这意味着他可以通过承诺帮她找到份更好的工作来利用她。当然，如果她说她想去财务部门，他就会声称自己้可以在那里为ฦ她联系份工作。

入侵者也喜欢在这个ฐ故事里使用的另个心理战术：用两段攻击建立信任。他首先聊到营销部的工ื作，然后“提到某个ฐ人”——说出另个员工的名字——个真实的人，顺便说句，那的确是个真实员工的名字。

他可以马上请求到间会议室去，但他选择了暂时坐下来，假装在工作并等待他的同事，这样就可以避免任何可能ม的猜疑，因为ฦ个入侵者是不会待在附近的。他没有待很长时间，然而，社会工程师๲在必要的情况下会待在犯罪现场更长时间。

米特尼克信箱

允许个陌生人进入到可以把便携式电å脑连入公司内部网络的地方，会大大增加安全风险。这对于名员工而言非常合理，但是对于个想要到เ会议室查看他或她的电å子邮件的外部ຖ人员，除非已经确定这名访客为ฦ可信任的员工或者网络已经被分割出来，阻止未经授权的连接，这可能ม是危及公司文件的薄弱环节。

必须明确指出的是：从法律的角度上看，安东尼进入大厅时，他并没有犯法；当他利用个ฐ真实员工的名字时，他也没有犯法；当他进入会议室时，他也๣没有犯法；当他连入公司的内部网络并搜索目标主机时，他也๣没有犯法。

实际上直到他侵入了计算机系统时，他才违反了法律。

偷窥的凯文

很多年前，当我在个小公司工作时，我注意到เ当我走进和其他三个人共用的部门办公室时，有个特殊的人乔，我在这里这样称呼他会迅速地把他的电å脑显示ิ器切换到另个窗口，我马上觉得这很可疑ທ，当同天发生超过两ä次这样的事时，我确信自己将要了解到某些事，这个人到底不想让我看见什么呢？

乔的电脑是公司小型机的终端，所以我在小型机上安装了个控制ๆ程序，这样我就可以监视他的举动。这个ฐ程序类似于个ฐ在他肩膀上面的电视摄像机，把他在电脑แ上看到เ的东西精确地展示给我。

我的桌子就在乔的旁边：我可以把显示ิ器转过来让他看不见，但是他随时都可以走过来，然后发觉我在监视他。这不是问题：他太专注于所做的事情了。

我看到的东西让我目瞪口呆，这个坏蛋调出了我的工ื单数据，他在查看我的工资！那时候我在那里才几个月，我猜乔是无຀法容忍我的工ื资比他高。

几分钟后我看见他在下载菜鸟黑客自己写不出来的黑客工具，这样看来乔๒没什么本事，并且还没有意识到美国最有经验的黑客就坐在他的右边，我觉得这很好玩。

他已经获得了我的工资信息：要阻止他已经太晚了。此外，任何电脑可以访问r译者注：美国国税局或社ุ会保障总署的员工都可以看见你的工ื资。我当然不想让他发现我知道了他在干什么เ，我此时的主要目标是保持低调，个好的社会工ื程师不会去到เ处宣传他的知识与才干。你通常想让人们低估你，不把你当成威胁。

所以我没有管他了，并且为乔๒认为他知道了我的些秘密而暗自发笑。当这些都反过来时：我获得的信息会比他多得多。

我发现我在部门的三个同事全都喜欢查看这个或那ว个可爱秘书或为公司里的个ฐ女孩子他们盯上的某位帅哥的实得工资，并且他们还喜欢找出公司里任何令他们好奇的人包括高层管理人员的工资和奖金。

过程分析

这个故事说明了个很有趣的问题，维护公司电脑系统的人可以轻易地访问工资表文件，这带来的问题是：确定谁可以被信任。在某些情况下，人员会在四处察看时无法避免地看到它，他们可以这样做，因为他们有特权允许他们忽略这些文件的访问控制。

个安全措施ๅ是审核对特别ี敏感的文件的访问，比如工资表。当然，任何必需有特权的人都可以关闭审核或移除任何指向他们的纪录，但是每步额外的步骤都会使不道德的员工在隐藏部ຖ分上花费更多的时间。

预防措施

从翻寻你的垃圾到欺骗安全警卫或接待员，社会工ื程师可以全面侵入你的公司内部ຖ，但是你会很高兴听到这里有些你可以采取的预ไ防措施ๅ。

临ภ时通行证

所有上班时忘记带证件的员工都必须到เ大厅前台或警卫室办理张临时证件，如果这章第个故事中的安全警卫在遇到เ没有携带员工证件的人时仔细地进行了处理，切就会大不相同。

对于安全等级不高的公司或公司区域，也๣许并不需要强调每个ฐ人每时每刻都带着有效证件，但是对于公司中的敏感区域，这些就需要被严å格地强制实行。必须培训员工去质疑没有佩戴证件的人，高级员工必须允许这些质疑ທ，不去为难那些把他们叫住的人。

公司政策应该忠告那些直没有佩戴证件的员工：他们所受的处罚可能ม是直接回家并且拿不到任何报酬，或者在他的个人档案上写上笔。些公司制ๆ定了系列更严厉的处罚，包括向员工经理报告问题，然后发布๧正式警告。

另外，在有受保护的敏感资料的地方，公司应该制定在非商业时间访问的授权程序。个ฐ解决方แ案是：让公司的安全部ຖ门或某个其它指定组管理这些请求，这个组将通过回电给主管或其它些相当合理的方法来核实任何请求在非工作时间访问的员工的身份。

慎重处理垃圾

垃圾搜寻的故事揭示ิ了公司的垃圾存在的潜在危险。

下面是八条与之相关的至理名言：

1้基于敏感程度对敏感资料进行分类。

2在整个ฐ公司范围内建立敏感资料é丢弃程序。

3坚持在丢弃敏感信息时先将其粉碎，并使用个安全的方法去除无法再剪ຘ碎的小纸片上的重要信息。碎纸机绝对不能处于低档粉碎状态，个坚定的攻击者，加上足够的耐心，就可以把这些低档粉碎出来的纸片拼起来。只要很好的使用了交叉碎纸机，他们得到เ的就会是无用的纸浆。

4将那ว些电脑媒体——软盘盘被用来存储文件的和可移动磁盘旧硬盘等——完全清除或使其无法使用，在它们被丢掉之前。记住，删除文件事实上并没有将其清除，它们还可以被恢复——就像r主管和其他许多人从他们的惊讶中学到เ的那样，把电å脑แ媒体扔到垃圾桶里是在向当地友好的垃圾搜寻者发出邀请。处理媒体与设备的详细指导方针见第16๔章

5在选择清洁队成员上保持适当程度的控制，如果允许的话进行后台检查。