企業資產安全最大的威脅是什麼?很簡單,社會工程師。乙個無所顧忌的魔術師,用他的左手吸引你的注意,右手竊取你的秘密。他通常十分友善,很會說話,並會讓人感到遇上他是件榮幸的事情。我們來看乙個社會工程學的例子:
許多人都已記不起乙個叫斯坦利·馬克·瑞夫金(
stanley mark rifkin
)的年輕人,和他在洛杉磯的美國保險太平洋銀行(
security pacific national bank
)的冒險小故事了。他的劣跡很多,瑞夫金(同我一樣)從未把自己的事情告訴過別人,因此下面的敘述基於公開的報道。
獲得密碼
1978
的一天,瑞夫金無意中來到了美國保險太平洋銀行的授權職員准入的電匯交易室,這裡每天的轉款額達到幾十億美元。瑞夫金當時工作的那家公司恰巧負責開發電匯交易室的資料備份系統,這給了他了解轉賬程式的機會,包括銀行職員拔出賬款的步驟。他了解到被授權進行電匯的交易員每天早晨都會收到乙個嚴密保護的密碼,用來進行**轉帳交易。
電匯室裡的交易員為了記住每天的密碼,圖省事把密碼記到一張紙片上,並把它貼到很容易看得見的地方。
11月的一天,瑞夫金有了乙個特殊的理由出入電匯室。到達電匯室後,他做了一些操作過程的記錄,裝做在確定備份系統的正常工作。藉此機會偷看紙片上的密碼,並用腦子記了下來,幾分鐘後走出電匯室。瑞夫金後來回憶道:「感覺就像中了大獎」。
轉款入戶
瑞夫金約在下午
3點離開電匯室,徑直走到大廈前廳的付費**旁,塞入一枚硬幣,打給電匯室。此時,他改變身份,裝扮成一名銀行職員――工作於國際部的麥克·漢森(
mike hansen
)。那次對話大概是這樣的:
「喂,我是國際部的麥克·漢森。」他對接聽**的小姐說,小姐按正常工作程式讓他報上辦公**。「
286。」他已有所準備。小姐接著說:「好的,密碼是多少?」瑞夫金曾回憶到他那時的「興奮異常」。「
4789
」他盡量平靜地說出密碼。接著他讓對方從紐約歐文信託公司(
irving trust company
)貸一千零二十萬美元到瑞士蘇黎士某銀行(
wozchod handels bank
),他已經建立好的賬戶上。對方說:「好的,我知道了,現在請告訴我轉賬號。」
瑞夫金嚇出一身冷汗,這個問題事先沒有考慮到,他的騙錢方案出現了紕漏。但他盡量保持自己的角色,十分沉穩,並立刻回答對方:「我看一下,馬上給你打過來。」這次,他裝扮成電匯室的工作人員,打給銀行的另乙個部門,拿到帳號後打回**。對方收到後說:「謝謝。」(在這種情況下說「謝謝」,真是莫大的諷刺。)
成功結束
幾天後,瑞夫金乘飛機來到瑞士提取了現金,他拿出八百萬通過俄羅斯一家**處購置了一些鑽石,然後把鑽石封在腰帶裡通過了海關,飛回美國。瑞夫金成功的實施了歷史上最大的銀行劫案,他沒有使用**,甚至勿需計算機的協助。奇怪的是,這一事件以「最大的計算機詐騙案」為名,收錄在健力士世界紀錄中。斯坦利·瑞夫金用的就是欺騙的藝術,這種技巧和能力我們現在把它稱為
——社會工程學。
威脅的天然性
瑞夫金的故事確切的證明了我們的安全感是多麼不可靠。這樣的事件(也許到不了一千萬美元,但終歸有所損失)每天都在發生,你的資金可能正在流失,新產品方案正在被竊取,而你卻一無所知。即使你的公司還沒有這樣的事情出現,那也會終將出現。但它何時出現呢?
凱文 公尺特尼克 Kevin Mitnick
面前已是雕蟲小技了。二 首次 連續的成功案例,令公尺特尼克信心大增。他將目標鎖定到了美國聯邦 調查局 fbi 的電腦網路上。一天,公尺特尼克發現fbi的 們正調查一 名電腦黑客,便饒有興趣地偷閱 們的調查資料,看著看著突然大吃一驚 被調查者竟然是他自己!公尺特尼克立即施展渾身解數,破譯了聯邦調查局的...
欺騙的藝術
要麼做出乙個榮譽學位的畢業設計來加強學校的計算機安 全,要麼由於黑客行為而中止學業 一種是通過詐騙 欺騙 來獲得錢財,這就是通常的 另一種則通過蒙敝 影響 勸導來達到獲取資訊的目的,這就是社會工程師。人們對於絕對安全的渴望常常導致他們滿足於 虛假的安全感之中。人為因素才是安全的軟肋。二十世紀最受 尊...
欺騙的藝術(內容介紹)
內容介紹 本書包含豐富的資訊保安與社會工程學的知識,為有助閱覽,下面對本書內容做乙個簡要介紹 在本書的第一部分 第一章 我將展示資訊保安的薄弱環節,並指出為什麼你和你們的企業處於社會工程師攻擊的危險之下。本書的第二部分 第二至九章 大家將會看到社會工程師是如何利用人們的信任 樂於助人的願望和同情心使...