骗术

当我们津津乐道于又发现一个社会上骗人的伎俩时,是否探究过其本质以及与信息安全的关系呢?短信诈骗,街头骗术等等,正是利用人们的疏忽和大意。在多次上当之后,防范此类骗术的意识有所提高,防范小偷的意识有提高,但是对于企业信息、个人信息泄漏的防范却很少有注意。无论是黑客还是骗子,都是对我们的社会生活习惯加以研究并得以利用,这就是社会工程学,我们需要研究的学问!
《入侵方法》讲述了一个渗透测试者的故事。他就简单的对门卫说他是公司的内审员,然后魅惑一位年轻的女职员,让她把ID吊牌和密码都告诉了他,并让他自己一个人使用她的电脑,然后和IT负责人共进午餐讨论公司内部的IT架构。
还可以通过电话来进行简单的入侵。在街上随便买个电话卡,打电话到目标公司找IT负责人,从总机那里得到IT负责人的姓名和电话分机。然后再拨打这些IT负责人的分机,直到听到某某不在的语音提示,知道这位IT负责人外出了。于是打电话给IT支持服务中心,声称自己就是那个外出的IT负责人,并说明自己的电脑坏了,存的登陆公司网络的用户名密码找不到,能不能立即把登陆的用户名密码发送到他的手机上,时间很紧迫。于是IT支持服务中心也没怎么核实就把这些信息发送给一个从未见过的手机号码上去了,这样进轻松进入公司网络了。
这样的事情很多,只要有心搜集信息。现在的BLOG也是非常好的搜集信息的方式。某些员工喜欢把同事的合影一起放在BLOG上并注明谁是谁,甚至把公司发生的一些事情都写在BLOG上,他们根本没有意识到是否有人正在把这些信息元记录并加以利用。
IM工具也是非常好的进行社会工程学渗透的管道。因此有些公司把IM封了,但是这样往往会造成年轻员工的不瞒,甚至报复,内部的攻击和入侵由此而生。为了避免这种情况,应更多的从技术上加以考虑,对IM等通讯工具加以过滤和规范。在企业内部制订安全通讯的策略是非常必要的。
员工需要进行安全教育,孩子也需要教育不要和陌生人说话,但是你真的不敢相信,你跑到聊天室或者用IM软件让这些孩子和年轻员工告诉你他们的个人信息是多么的容易。他们怎么就那么好骗呢!