书名叫作《反欺骗的艺术》,作者是这样解释的:
一个流行的说法是,只有关掉的计算机才是真正安全的计算机。这听起来很有道理,但其实并不对:善骗者可以找到借口说服某人
去办公室把计算机打开。想知道你机密信息的对手通过某种手段就能够做到这一点,通常这样的手段多种多样。至于是否成功,则
只是时间、耐心、个性和毅力的问题了。这正是欺骗艺术的所在。
社工在获取那些重要的信息时,往往会采取如下手段:
把重要的问题插进可以建立信任感的无关紧要的问题中
一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。如果对方稍
后想起你提过的问题,很可能是你最后提出的问题,其它的通常会忘记。
他懂得把关健信息藏在无关紧要的信息中,也知道在套出交易号之前用私人问题来测试对方的配合程度。
不要怀疑比你职位更高的人。等级,换句话说就是拥有特权,特权不会被等级低的人挑战(质疑,怀疑)。因为,
社工往往会冒出比被攻击者更高等级的身份来行骗。
熟练的社会工程师非常擅长一个诡计:刺激情感,如畏惧、兴奋或内疚。他们利用心理触发——自动机制,引导人们未经深入分
析有用的信息就回应请求。我们想让自己和他人都避免陷入困境,基于此论断,攻击者可以利用人们的同情心,让他的目标感到
内疚,或者像使用武器一样胁迫受害者。
那么,我们怎样避免这些情况发生呢?
除了小心,小心,再谨慎之外。我们还需要
不要把任何个人、公司或组织内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
在进行安全培训时,试一下这个方法:无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。
一个确认对方的好办法就是拨打公司通讯录上的电话。
那建立信任的欺骗技术是社会工程学最有效的策略之一,你务必要考虑你是否真正认识与你谈话的人。在一些不常见的情形下,对
方很可能不是他自己声称的那个人。因此,我们必须学会观察、思考和提问。
使用双因素认证:用两种不同的验证方式对身份进行确认。比如,一个人必须从某个可确认的地方打来电话并知道口令来确认自已
的身份,然后工作人员从你的信息中选出某个条目(通常为社会保险号码、出生日期或是母亲的姓氏)来询问你,如果你的答案正确,这就是第二次的验证――基于你应该知道的信息。
评论留言