每当鲍比·华莱士(Bobby Wallace)接到这样的一项任务时总觉得很可笑,他的客户总是在为什么需要这种信息的问题上闪烁其词。这件案例中,他只想到两个原因:也许他们
代表某个意图收购斯达伯德造船厂的组织,因而想知道造船厂真正的财务现状,尤其是被收购方想对潜在购买者刻意隐瞒的东西。或者,他们代表投资方,认为他们的资金在使用上有些可疑,并想知道是否有些管理人员私自开设了小金库。
反向社会工程学:攻击者设计的一种情形,受骗者碰到问题时会联系攻击者求助。另一种反向社会工程学是对付攻击者的,被攻击目标发现了对方是攻击者后,利用心理影响尽可
能的从攻击者身上套出信息以保护企业的信息资产。
如果某个陌生人帮了你的忙,然后要你帮他,不要不经过慎重考虑就回报他的帮助,要看对方要你做的是什么。
攻击者喜欢把目标锁定在新来的雇员身上,他们认识的人很少,也不了解工作程序,什么该做,什么不该做。而且,一旦给其留下良好的第一印象,他们便会殷切地显示出对你的
配合和快速地回应。
秘点(DEAD DROP):很难被别人发现的存放信息的地方。在传统的间谍活动中,秘点可能是一堵墙壁上某块松动的石头。对于计算机黑客来说,一般都是位于遥远国度的互联网的一个站点。
安全措施不是千篇一律,企业员工通常都有着差别很大的任务和职责,而每个岗位都有着与之相关的漏洞。公司里的每个人都应完成一个基础培训,并加上依据他们的工作程序而设计的培训,以降低员工本人发生问题的可能性。而工作涉及敏感信息或身居关键职位的员工,更应给予专门的培训。
那你又该如何处理公司的另外一名工作人员听起来十分合理的要求呢?比如,他需要你们部门的名单和电子邮件列表。实际上,对这种仅供内部使用,且明显没什么价值(这与新产品说明书的价值不可同日而语)的信息,很难对其提升安全意识。一个主要的解决方法就是,为每个部门指派一个负责处理对外发布信息的人,并给他们安排相应的培训,以使其明白应该遵循的确认程序。
公司的每一个人,从秘书、行政助理到执行人员和高层管理者都需要进行专门的安全培训,以使他们面对类似的欺骗手段时保持警醒。而且,别忘了看好前门——接线员,通常也是社会工程师的首要目标,必须让他们了解某些来访者和打电话人的骗术。企业安全部门应该建立一个单一的联系点,类似于情报中心,为那些认为自己可能成为社会工程师的攻击目标的员工汇报情况时所用。这样的一个情报中心会提供有效的预警系统,清晰化悄然发生的攻击,从而令任何破坏行动得到及时的控制。
2020-05-15
原文:https://www.cnblogs.com/lemo123/p/12931585.html