欺骗的艺d术2.docVIP

欺骗的艺术2.txt30生命的美丽，永远展现在她的进取之中；就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中；像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中；像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。001年，发生在纽约的911事件把悲伤和恐惧植入每一个人的心中，不只是美国人，还有世界上所有善良的人们。我们已经开始警觉，因为这个世界上还分布着受到良好训练的极端恐怖分子，伺机再次发动对我们的攻击。 政府最近的强化努力已经提升了大众的安全意识，我们需要保持警醒，警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份，假扮学生、邻居而混入人群的，他们掩饰住自己真实的思想以密谋恐怖行动，而他们使用的就是类似于本书中介绍的欺骗手法。 然而，就我所认为，恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂，或其它关系国计民生的基础设施中，但可能性依然存在，这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强，因为这本书恰逢其时。 关于此书 企业安全是一个平衡问题，安全性太差公司易受攻击，但过多的强调安全又会妨碍业务管理和公司的发展，其难点在于达到生产效率和安全之间的平衡。 　　其它关于企业信息安全的书都把重点放在硬、软件技术上，而忽略了最重要的安全威胁――对人的欺骗。与之相反，此书的目的，就是要帮助大家理解自己、同事，和公司其他人员是如何被操纵的，并帮助大家建立屏障，谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上，它能够对看似安全的信息完整性产生威胁，甚至破坏公司的工作成果。 　　我的任务由于一个简单的事实而更加困难――每个读者都一直被社会工程学高级专家――他们的父母所控制着，他们有办法（比如：“这是为了你好”）让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法，巧妙的编出看似有理的故事、理由以及借口，来达到他们的目的。是的，我们都被我们的父母所引导――那些乐善好施的（偶尔也不完全如此）社会工程师们。 　　由于这种生长环境，导致我们软弱而容易被操纵。可总是对他人怀有戒心，担心上当受骗，会活得很累。在理想的世界里我们应对他人给予绝对信任，每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中，我们必须锻炼我们的防欺诈能力以对付我们的敌人。 这本书的主要内容――第二和第三部分，讲述社会工程师如何实施欺骗的故事。在这两部分中，大家将会看到如下内容： ?电话盗打者早就发现的，一个从电话公司弄到未刊登电话号码的方法； ?几个不同的社会工程学方法，甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令； ?信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息； ?隐私调查者是如何弄到你的企业、你本人的隐密信息的，我可以保证，这会让你脊背发凉。 你也许会认为这两部分中讲述的故事实际上不可能发生，没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上，在每个案例中，这些故事都是可以成为现实而且已经成为现实的，这些事情每天都在世界的某个地方发生，甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪，还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。 在本书的第四部分，我转变了方向。在这里我想帮助大家建立企业必要的安全策略和安全意识培训，以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、方法和技巧，在不会降低公司的生产效率的同时，帮助你布置合理的控制策略来保护企业的信息资产。 简而言之，我写此书的目的就是要提升大家的安全意识，以应对来自社会工程师的严重威胁，并帮助你的公司和公司员工尽可能的不被利用。或者我应该这样说，不再被利用。 第二部　攻击者的手段　 第二章　无害信息的价值 对大多数人来说，社会工程师的真正威胁在哪里？又该如何保持警惕？ 如果社会工程师的目标是“最有价值奖”――比如，企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安，对么？ 但在现实中，坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件，这些信息和文件看起来十分平常，也不重要，公司里的人大都不明白为什么这些东西会被限制和保护。 信息的隐藏价值 社会工程师十分重视企业中许多表面上看去无利害关系的信息，因为这些信息是他能否披上可信外衣的至关重要的因素。 在这一章里，我将通过让读者“亲身”经历攻击过程，来展示社会工程师的攻击手段。有时从受害人的角度来表现情节，让读者以当事人的身份估计自己（或是你的同事和员工）可能会做出的反应。而更多的时候，让读者从社会工程师的角度来经历攻击过程。 第一个故事着眼于金融行业的一个漏洞。