欺骗的艺术-第三章-“环回”欺骗（下）

她的名字也未登记电话，或者至少是没有列出她的电话，这就是他之所以联系我的原因。我告诉他，好的，没问题。

    这就是那种通常一两个电话就可以完成的工作，如果你知道自已是在做什么的话。通常情况下，每个地方上的公共事业公司都有可能查到这样的信息，当然，这需要些小小的谎言，但偶尔撒一个小谎无所谓吧，对么？

    我喜欢使用不同的方法，只为了让事情有趣些。“我是执行办公室的某某……”这样的开场白，一直都很好用。同样还有这次使用的“我正在与某副总裁办公室的人通话”也不错。

    　　你必须充分发挥社会工程师的潜能，把握电话另一端将与之打交道的人的配合性。这次我幸运的碰到了一位友善、热心的女士，仅打了一个电话，就得到了地址和电话，任务完成。

    米特尼克信箱

    绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂，以防被人轻易识破。有些攻击来去匆匆、得手即逝，更简单的攻击仅仅是，直接索取。

    过程分析

    珍妮肯定知道客户信息属于敏感信息，她绝不会与一位客户谈论另一位客户的账户，也不会向外部泄露客户的私人信息。但是很自然地，当一个公司内部的人员打来电话时，情况便不同了。做为公司团队的一员，同事之间最重要的是互相帮助，以完成工作。那个客户名单部的工作人员，如果不是病毒把计算机搞坏，他自己完全可以查阅客户信息，她自然很乐意帮助一个同事。

    亚特渐渐地接近了他真正想寻求的关健信息，在这一过程中他还提出了他不必知道的问题，如账户号码。然而，这个账户号码也为他提供了一个退路。万一珍妮有所警觉，他再打第二个电话时，成功的可能性便大大的增加了。因为，这个账户号码会让他给下一个工作人员打电话时，听起来更加可信。

    从未有人向珍妮撒过这样的谎，打电话的人根本就不是客户名单部门的人。当然，珍妮也不应被责怪。她并不熟悉那条“在谈论客户档案信息之前，一定要知道与之谈话的人是谁”的规则，没有人告诉过她象亚特这样打来电话的危险性，公司里也没有制定这样的政策，她也从来没有培训过这方面的内容，而且她的主管也从未提及过。

    预防措施

    企业安全培训的一个要点就是：如果一个来访者或是打电话的人知道公司某人的名字，或是知道一些内部用语或业务程序，并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的，从而把内部信息泄露给他，或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调：一旦有所怀疑，必须确认、确认，再确认。

    在过去，能够访问到企业内部信息是拥有权力和级别的标志。工人们往熔炉里添燃料、运转机器，员工们打字、填写报告，工头或是上司告诉他们做什么，何时做，如何做。只有工头或上司才知道一个班上的每个员工生产多少零件，工厂这个星期、下个星期、这个月底需要生产出什么颜色、什么尺寸、什么数目的产品来。

    工人们负责机器、工具和原材料，老板们负责处理信息。工人只需要知道与本职工作有关的信息。

    那时的情况与现在有所不同，不是么？现在，许多工厂的员工都使用某种计算机或是由计算机控制的机器。对大多数人来说，重要的信息都直接放在使用者的桌子上，以便于他们履行自己的职责来完成工作。在现代社会，几乎每一名员工都离不开处理信息的工作。因此，企业的安全策略应遍布企业的各个地方，而无所谓职位的高低不同。每个人都应该认识到，不仅是上司或管理人员拥有攻击者想追寻的信息。今天，每个层次级别上的职员，甚至是不使用计算机的人，都有可能成为攻击者的目标。而公司新近雇用的客服人员则是社会工程师最容易突破的薄弱环节，企业的安全培训和安全策略务必要加强这方面的注意