第五章 我來幫你（七）

過程分析

那個我們稱之為克雷格•科伯恩的人，或是任何像他一樣具備熟練社會工程學（不總是以違法行為盜竊資訊）能力的人，以上叙述的難題幾乎都如例行公事般簡單。克雷格的目标是在一台受到保護的企業計算機上找到并下載下傳檔案，這台計算機被防火牆和通常所有的安全技術保護着。他的大部分工作如探囊取物般簡單。先是假扮收發室的從業人員，聲稱收到一封不知寄給誰的聯邦快遞包裹來增加緊迫感，這樣他得到了心髒支架研發組組長的名字，這位組長正在渡假，可他卻留下了助手的名字和電話――這大大地友善了試圖竊取資訊的社會工程師。克雷格打給這位助手，謊稱響應項目組長的要求來打消她的懷疑。組長不在城裡，米歇爾在無法證明他所言屬實的情況下，相信了他的話，并把項目組成員名單毫無保留地提供給他。對于克雷格來說，這是一組十分必要和珍貴的資訊。

當克雷格讓他發傳真而不是使用令雙方都友善的電子郵件時，她甚至都沒有懷疑。為什麼她如此輕易的相信他人？如同許多從業人員那樣，她可不想在上司回來時發現她拒絕了一個人的要求，而這個人所做的事是她的上司交待要做的。此外，對方并沒有說上司明确準許了他的請求，隻是需要他的協助。她之是以還把名單給他，是因為有些人有一種顯示自己是團隊一員的強烈願望，而這種願望使大多數人容易被騙。

克雷格避免了親自現身的風險，他讓對方把傳真發到接線員那裡，他知道接線員會有幫助的。一般來說，接線員都有着溫柔的性格和給人留下良好印象的素養，像收發傳真這種在職責範圍内的小忙，克雷格可以充分利用。雖然任何知道此資訊價值的人看到她發出的資訊都會引發警報，但你又如何指望一個接線員能分辨出無害資訊和敏感資訊的差別呢？

米特尼克信箱

每個人對工作的第一考慮就是完成工作，在此壓力下，安全操作規程就放到了第二位并被遺漏和忽略，社會工程師就利用這一點來實施他們的詭計。

克雷格利用了一個從未改變過的預設密碼，許多依靠防火牆的内部網絡都存在着這種即明顯又開放的漏洞。實際上，許多作業系統、路由器和其它産品，包括專用交換機的預設密碼，在網上都有提供。任何一個社會工程師、黑客，或是商業間諜，還有那些僅僅是具有好奇心的人，都可以在 http://www.phenoelit.de/dpl/dpl.html找到這個預設密碼清單，簡直令人難已置信，網際網路把那些知道從哪裡擷取資源的人的生活變得如此輕松，現在，你也知道了。

然後，科伯恩竟然讓一個行事謹慎懷有戒心的人透露了他的使用者名和密碼，進而通路到心髒支架研發組使用的伺服器。這就如同在公司最嚴守的秘密上開了一扇門，克雷格可以任意浏覽資訊并下載下傳新産品計劃。

如果斯蒂文•克萊默繼續他對克雷格的懷疑又會怎樣？斯蒂文看來不大可能在他星期一早晨上班前報告此事，而到了星期一已經晚了。這個騙局最後部分的一個關健就是，克雷格先是顯得對斯蒂夫所擔心的事情漠不關心，接着換成一付讓對方聽起來是在幫助對方完成工作的口吻。許多時候，當受騙者認為你是在幫他或是在為他做事情時，往往會放開在其他情況下會堅守的秘密資訊。

預防措施

社會工程師一個最強有力的技能就是扭轉局面，這你已在本章中看到。社會工程師制造問題，然後魔術般地給予解決，然後從受騙者手中套出通路企業最嚴守的秘密的通道。你的員工會掉入這個圈套麼？設計和實施這樣一套防範攻擊的安全規程，你會感到棘手麼？

教育訓練、教育訓練，再教育訓練……

有一則老故事，一個去往紐約的遊客在街上叫住一個人問：“我怎樣才能到達卡内基音樂殿堂？”那個人回答：“練習，練習，再練習。”每個人在社會工程師的攻擊面前都很脆弱，而企業唯一有效的防範就是培養和訓練員工，給予他們練習的機會，如何認出一名社會工程師。而且，要不斷的始終如一的提醒他們在訓練中學到的知識，否則很容易忘掉。

企業裡的每一名員勞工在與不是親自認識的人打交道時，應具有适度的謹慎和警戒心，特别是通路計算機網絡的有關事情要尤為注意。人類天性容易相信他人，但正如日本人所說“商場如戰場”，公司在安全防護方面絕不能放松警惕，必須制定安全政策以清楚的區分哪些是不當的操作，哪些符合規程。安全措施不是千篇一律，企業員工通常都有着差别很大的任務和職責，而每個崗位都有着與之相關的漏洞。公司裡的每個人都應完成一個基礎教育訓練，并加上依據他們的工作程式而設計的教育訓練，以降低員工本人發生問題的可能性。而工作涉及敏感資訊或身居關鍵職位的員工，更應給予專門的教育訓練。