反黑风暴:黑客社会工程学攻防演练
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第1章 全面认识社会工程学

重点提示:

◆ 什么是社会工程学

◆ 生活中的社会工程学攻击案例

◆ 防范社会工程学

传统的计算机攻击者在系统入侵的环境下存在很多的局限性,而新的社会工程学攻击则将充分发挥其优势,通过利用人为的漏洞缺陷采取欺骗手段来获取系统控制权。

这种攻击表面上是难以察觉的,不需要与受害者目标进行面对面的交流,不会在系统留下任何可被追查的日志记录。为了更好地认识社会工程学攻击,本章将介绍生活中常见的社会工程学攻击安全,以及防范社会工程学攻击的方法。

社会工程学理论是关于建立通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。严格来说社会工程学不是一门科学,而是一门欺骗的艺术和窍门的方法。它利用人的弱点,以顺从你的意愿、满足你的欲望的方式让你上当。

1.1 什么是社会工程学

社会工程学是一种攻击行为,攻击者利用人际关系的互动性所发出的攻击:通常攻击者当没有办法通过物理入侵直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其本身的目的。

1.1.1 社会工程学攻击概述

现实社会中的骗子欺骗伎俩形形色色,随着网络和通信技术的进步,其骗术花样也不断翻新,令人防不胜防。例如,有的人因试图获得手机中奖短信中的奖品、奖金而上当受骗,有的人轻信骗子打来的亲人发生车祸、急病住院等电话后被骗取钱财等。这些现实社会中的欺骗手段一旦被黑客延伸应用到攻击网络系统,就发展成为社会工程学攻击。

社会工程学也是最近黑客界流行的一种入侵方式。社会工程学攻击主要采取非常规手段取得服务器的权限或网站的权限,比如搜集管理员的各种信息,如管理员喜欢进哪些网站,管理员喜欢用什么密码,在管理员进入的网站里面挂网页木马,破解管理员常进网站的数据库,从而取得管理员密码。

简单地说,社会工程学攻击就是利用人们的心理弱点,骗取用户的信任,获取机密信息(如计算机口令、银行账户信息)等不公开资料,为黑客攻击和病毒感染创造有利条件。

近年来,一些安全杂志上相继出现了相关社会工程学攻击的文章,黑客们也逐渐将目光从传统系统入侵与脚本攻击的热潮中转向社会工程学攻击上。

社会工程学攻击之所以让大多数的黑客看到曙光,通过信息搜索与社交直接索取密码,使得入侵渗透更加容易。究其原因,还是由于网络管理人员的管理问题。网络管理人员的素质高低,极大地制约了整个网络的安全程度。

由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分。而且人们都具有贪婪、自私、好奇、信任等心理弱点,因此,通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。社会工程学攻击可以分为两种: 狭义社会工程学和广义社会工程学。它们之间的区别可以参考表1-1。

表1-1 社会工程学

其实,狭义社会工程学攻击与广义社会工程学攻击最明显的区别是会与受害者进行交互式行为,比如,你会设置一个陷阱使对方跳入,或是伪造一封来自内部的虚假电子邮件,或是利用相关通信工具与他们交流获取敏感信息。真正的社会工程学师是不会碰运气乱去下载网站与论坛的数据库的,他们清楚地知道自己需要什么样的信息,并且应该怎么样去做,从搜集的信息中分析出有用的信息,并与受害者进行互动行为,这样才称之为社会工程学。

1.1.2 无法忽视的非传统信息安全

社会工程学是非传统的信息安全,它是一种利用受害者本能反应、好奇心、信任、贪婪等心理陷阱采取诸如欺骗、伤害等危害手段,取得自身利益的手法,而不是利用系统漏洞入侵的。普通用户经常会安装硬件防火墙、入侵监测系统(IDS)、虚拟专用网络,或是安全软件产品,但这并不能保障安全。

社会工程学师只需拨打一个电话,使用专业的术语,报出内部人员使用的ID,让一个系统管理员登录系统,并将其传真过来即可窃取信息。事实上,很多安全行为就是出现在骗取内部人员(信息系统管理、使用、维护人员等)的信任上,从而轻松绕过所有技术上的保护。

信任是一切安全的基础,对于保护与审核的信任,通常被认为是整个安全链条中最薄弱的一环。为规避安全风险,技术专家精心设计的安全解决方案,却很少重视和解决最大的安全漏洞——人为因素。无论是在现实世界还是在虚拟的网络空间,任何一个可以访问系统的人,都有可能构成潜在的安全风险与威胁。

社会工程学较之其他黑客攻击复杂,即使自认为最警惕、最小心的人,一样会受到高明的社会工程学手段的损害。因为“社会工程学”主导着非传统信息安全,所以通过对它的研究可以提高应对非传统信息安全事件的能力。非传统信息安全是传统信息安全的延伸,主张信息安全防护采取“先发制人”的战略,突破传统信息安全在观念上的指导性被动,主动地分析人的心理弱点,提高人们对欺骗的警觉,同时改进技术体系和管理体制存在的不足,从而改变信息安全“头痛医头,脚痛医脚”的现状。

社会工程学无处不在,在商业交易谈判和司法等领域都存在。其实在生活中,我们也常常在无意中使用,只是浑然不觉而已。比如,当遇到问题时,会知道应该寻找有决定权的人来解决,并让周遭的人帮助解决。这其实也是社会工程学。社会工程学是一把双刃剑,既有好的一方面,也有坏的一方面。

1.1.3 攻击信息拥有者

信息安全的本质是信息拥有者与攻击者间的战斗。信息拥有者是无价的信息宝藏,攻击者大可不必因为一个口令而把大量精力花费在系统入侵与破解上,直接针对拥有者的脆弱性开始进行攻击,可以避免一些不该发生的事,比如口令变、系统补丁升级等。

一般来说,经验丰富的黑客攻击者往往缺乏人际交往的知识经验与技巧,但社会工程学攻击会打破这种格局。在大多数情况下,成功的社会工程学师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。

一个经验丰富的社会工程学师,使用他自己的战略、战术,几乎能够接近任何他感兴趣的信息。他会开始用大量的时间研究非传统信息安全,庞大的商业价格是吸引他的条件,这种有效的信息入侵对他非常有诱惑力。

社会工程学攻击还有一个受黑客们欢迎的原因,那就是中国企业盲目追求商业利益最大化,他们不注重建立企业品牌,忽略对员工进行安全培训投资。比如,一个社会工程学使用者想从一家信用卡公司获取一些情报,但又没有相关的证明他可以合法地从这家公司拿到这些情报。那么,他就可以利用社会工程学,从和这家信用卡公司相关的银行搜集相关的信息从而达到目的。例如,这家银行从信用卡公司取得信息需要什么文件或者ID号码证明,又或者是经常与信用卡公司进行业务联系的职员的姓名等,攻击者只要通过某些途径从这些毫无任何价值观念的企业内部员工的口中得到这些信息,即可成功窃取信息。而没有安全威胁意识的企业会在这个问题上栽一个大跟头。

因此,从现阶段来说,信息拥有者是社会工程学攻击的主要目标,也是无法忽视的脆弱点,要防止攻击者从信息拥有者身上窃取信息,必须加强对他们进行安全培训投资。

1.1.4 常见社会工程学手段

现代的网络纷繁复杂,病毒、木马、垃圾邮件接踵而至,给网络安全带来了很大的冲击。同时,利用社会工程学的攻击手段日趋成熟,其技术含量也越来越高。社会工程学攻击在实施之前必须掌握心理学、人际关系、行为学等知识与技能,以便搜集和掌握实施入侵行为所需要的资料和信息。下面介绍几种常见的社会工程学攻击手段。

1. 环境渗透

对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、电子邮箱等,通过这些搜集信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。

2. 引诱

网上冲浪经常碰到中奖、免费赠送等内容的电子邮件或网页,诱惑用户进入该页面运行下载程序,或要求填写账户和口令以便“验证”身份,利用人们疏于防范的心理引诱用户,这通常是黑客早已设好的圈套。

3. 伪装

目前流行的网络钓鱼事件以及更早以前的求职信病毒、圣诞节贺卡,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。

4. 说服

说服是对信息安全危害较大的一种社会工程学攻击方法,它要求目标内部人员与攻击者达成某种一致,为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段,特别地,当目标的利益与攻击者的利益没有冲突,甚至与攻击者的利益一致时,这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头,那么配合就很容易达成,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。

攻击者在施行攻击时,经常会采用维修人员、技术支持人员、经理、可信的第三方人员,或者是企业同事等角色,这点在一个大公司是不难实现的。

因为每人不可能都认识公司中的每个人员,而身份标识是可以伪造的,这些角色中的大多数都具有一定的权利,让别人会不由自主地去巴结。大多数的雇员都想讨好老板,所以他们会点头哈腰地对那些有权力的人提供他们所需要的信息。

5. 恐吓

社会工程学师常常利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓、欺骗计算机用户,并声称如果不按照他们的要求去做,会造成非常严重的危害或损失。

6. 恭维

高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能,善于利用人们的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱,实施欺骗,控制他人意志为己服务。他们通常十分友善,很讲究说话的艺术,知道如何借助机会去迎合人,投其所好,使多数人友善地做出回应,乐意与他们继续合作。

7. 反向社会工程学

反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽,很难发现,危害特别大,不容易防范。

1.2 生活中的社会工程学攻击案例

社会工程学作为信息时代发展出来的一门“欺骗的艺术”,在现今不论是虚拟的网络空间还是现实的日常生活场景,凡是涉及信息安全的方面,无不有社会工程学的应用。

本节将介绍几种生活中常见的有关社会工程学攻击的安全,希望大家能够进一步地了解社会工程学,并提高警惕。

1.2.1 巧妙地获取用户的手机号码

社会工程学就是一种与计算机技术相结合的行骗过程,而社会工程学的实施者,则可以看作是一个精通计算机的超级骗子。

下面通过一个虚拟的例子,说明如何通过社会工程学获取用户的手机号码。

假设攻击者试图入侵某个公司的内部办公系统,但无法破解管理员的登录密码。可先利用一些手段获得管理员的手机号,再想办法得到管理员的登录密码即可。

首先,打开公司的网站,在网站首页的左上角有一个“内部办公系统登录”链接,在该链接下有一个快速登录口,在“登录名”和“密码”文本框中输入相应的内容,即可进入该公司的内部办公系统,如图1-1所示。

图1-1 进入公司首页

或者直接单击“内部办公系统登录”链接,在打开的“内部办公系统”页面中可直接登录进入公司的内部办公系统,如图1-2 所示。现在要做的就是获得管理员的登录密码,但可以先从管理员的手机号码上入手,得到他的手机号码后,再想办法获取登录密码。

图1-2 内部办公系统登录页面

攻击者要想成功获得管理员的手机号,需要按照下面的方法进行。

1. 查询用户网络信息

攻击者可以使用社会工程学,详细地搜集管理员在网上的各种信息。比如,管理员常用的邮箱,通常来说,经常在网络上活动的管理员,当它们注册一些论坛或博客站点服务等,都会用到邮箱。因此,攻击者可以将这些邮箱地址作为关键字,在百度或Google等搜索引擎中搜索相关信息。

从搜索结果中可以看到许多有用的信息,如管理员注册了哪些论坛。同样,可以用管理员的其他邮箱、QQ号和MSN地址等信息为关键字在网上进行搜索,也可以搜索到不少信息。

另外,还可以在当下流行的“校内网”和“校友网”等社交类型的网络上搜索更详细的信息,以获得用户的真实资料等信息。在这两个网站上注册的用户通常都会在注册信息中填写真实的家庭住址、出生日期、手机号码和QQ号码等信息,通过这种方式可以了解到管理员的手机号码或其他重要的信息。

2. 获得手机号码

如果从网络中的搜索信息中可以直接得到目标的手机号码,就可以利用这个手机号码进行欺骗。如果只得到了目标者的出生日期、家庭住址或QQ号码,则可以先将管理员的QQ号加为好友,再通过其他方法骗到他的手机号码即可。

1.2.2 利用社会工程学揭秘网络钓鱼

网络钓鱼就是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站和诱惑受害者根据指定方法操作的E-mail等方法,使得受害者“自愿”交出重要信息或被窃取重要信息(例如银行账户密码)的手段。它并不是一种新的入侵方法,但其危害范围却在逐渐扩大,并成为近期威胁网络安全的最大危害之一。

无论IE还是Firefox浏览器,都在不断出现各种各样的漏洞,例如,有的浏览器漏洞可以让黑客在网页中插入恶意代码,有的可以让浏览器显示错误的网址。黑客可以向用户发送邮件或者QQ消息,让他点击某个网址。这个网址的URL看上去是个著名网站,打开之后显示的页面也像那个网站,但其实是黑客自己建立的钓鱼网站。

此时,可能会有这样的疑问——网络钓鱼与社会工程学类似,都是利用人们的弱点欺骗的?其实,网络钓鱼属于社会工程学攻击的一种,简单地说,就是通过伪造信息获得受害者的信任并且响应,由于网络信息是呈爆炸性增长的,人们面对各种各样的信息往往难以辨认真伪,依托网络环境进行钓鱼攻击是一种非常可行的攻击手段。

网络钓鱼从攻击角度上分为两种形式,一种是通过伪造具有“概率可信度”的信息来欺骗受害者。这里所说的“概率可信度”,从逻辑上说就是有一定的概率使人信任并且响应,从原理上说,攻击者使用“概率可信度”的信息进行攻击,这类信息在概率内正好吻合了受害者的信任度,受害者就可能直接信任这类信息并且响应。

另外一种则是通过“身份欺骗”信息来攻击受害者。这与社会工程学攻击一样,攻击者需要事先掌握对方的相关信息,利用人与人之间的信任关系,通过伪造身份来捏造信息,使受害者对攻击者所说的话确信无疑并做出响应。

我们在实际生活中常常会遇到钓鱼事件,并且如此拙劣的手段仍能让其频频得手,主要是因为网络钓鱼充分利用了人们的心理漏洞。首先,人们收到黑客发送的影响力很大的邮件时,很多人都不会怀疑信件的真实性,更会下意识地根据要求打开邮件里面指定的URL进行操作。其次,页面打开后,我们通常不会注意浏览器地址栏中显示的地址,而只是留意页面内容,这正是让钓鱼者有机可乘的原因。

1.2.3 冒认身份获取系统口令

得到管理员的手机号码后,可以利用身份伪造这种方法骗取系统口令。身份伪造是指攻击者利用各种手段隐藏真实身份,以一种目标信任的身份出现来达到获取情报的目的。

攻击者大多以能够自由出入目标内部的身份出现,获取情报和信息;或者采取更高明的手段,例如伪造身份证、ID卡等在没有专业人士或系统检测的情况下,要识别其真伪是有一定难度的。

在“校内网”和“校友网”等社交类型的网络上搜索用户的信息时,得到管理员的手机号码后,攻击者可以假装是管理员所在公司的一个新员工,然后利用得到的手机号给目标发信息,告诉他“我是你的新同事XXX,是新的销售经理助理,这是我的手机号码”。再寻找话题与管理员聊天,使其对自己说的话深信不疑。

最后,告诉管理员,销售部经理让我在公司内部办公系统上下载一份文档,但我不知道公司的内部办公系统设的有密码,忘了问他了,希望你可以把口令告诉我,我急需要这份文档。当管理员听到这些话后,可能就会相信你所说的,并将口令告诉你。这样,即可顺利地从管理员口中获得系统口令了。当然,这种做法可能有一定的运行成分,但像这种疏忽大意且防备心理不强的人非常多,社会工程学正是利用这一特点对目标进行攻击的。

1.2.4 社会工程学盗用密码

利用社会工程学获取密码非常简单,而且不需要其他的黑客工具便能办到,危害非常大。

社会工程学破解密码就是有针对性地搜集被破解人的相关信息,并对相关信息进行整理加工,达到快速高效地破解密码的目的。信息搜集的方法有普通搜集,即通过对平常可见的信息进行系统的搜集,越全面越好。另一个方法就是借助功能强大的搜索引擎,搜索他人和相关人员的人名,从搜索结果中筛选有用信息加以整理利用。

例如,要破解某个人的账号密码,就搜集关于他的信息:姓名、生日、手机号、QQ号、家庭电话、学号、身份证号、家乡及其所在地的邮政编码和区号等。除此之外,还要搜集他身边关系亲密人员的信息,如:父母、女友等。将这些搜集到的信息加上其他一些常用的字母、数字进行一定的排列组合组成一系列的密码,即密码字典。

密码字典主要是配合解密软件使用的,密码字典里包括许多人们习惯性设置的密码,这样可以提高解密软件的密码破解命中率,缩短解密时间。当然,如果一个人密码设置没有规律或很复杂,未包含在密码字典里,这个字典就没有用了,甚至会延长解密时间。

下面以“亦思社会工程学字典生成器”为例,介绍如何利用搜集的信息生成密码字典。

“亦思社会工程学字典生成器”用于生成特定组合的密码字典,在相应位置输入相应的字符,并单击“生成字典”按钮,即可在同目录下生成“mypass.txt”字典文件。

打开“亦思社会工程学字典生成器”软件,在主窗口左侧的“社会信息”栏中的相应文本框中输入搜集到的信息,如图1-3 所示。单击“生成字典”按钮,即可生成一个名为“mypass.txt”字典文件,打开该文件,即可看到该软件利用搜集到的信息生成的密码字典,如图1-4所示。

图1-3 输入搜集到的信息

图1-4 生成的密码字典

需要注意的是,信息填写得越准确,填写的项目越多,生成的密码字典中出现真实密码的可能性就越大。在填写时不要局限于选项的提示,相关的重要信息都可以填写,以增加击中密码的几率。

利用搜集到的信息生成密码字典后,即可利用破解密码的程序一个一个地从生成的字典里读取可能是密码的字条,一个一个地试,直到找到正确的密码。

1.3 防范社会工程学

通过前面的学习,我们知道社会工程学攻击是一种非常危险的黑客攻击技术,它就像一双隐形的眼睛一样,时刻盯着我们并找准时机进行攻击。因此,为了避免个人用户或企业遭受社会工程学攻击,要掌握一些防范社会工程学攻击的方法。

1.3.1 个人用户防范社会工程学

社会工程学攻击中核心的东西就是信息,尤其是个人信息。黑客无论出于什么目的,若要使用社会工程学,必须先要了解目标对象的相关信息。对于个人用户来说,要保护个人信息不被窃取,需要避免我们在无意识的状态下,主动泄露自己的信息。

1. 了解一些社会工程学的手法

俗话说:知己知彼,百战不殆。如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数,这有助于了解各种新出现的社会工程的手法。

2. 保护个人信息资料

在网络普及的今天,很多论坛、博客、电子信箱等都包含了个人的大量私人信息,这些信息中对社会工程学攻击有用的信息主要有生日、年龄、E-mail邮件地址、手机号码、家庭电话号码等,入侵者根据这些信息再次进行信息挖掘,将提高入侵成功的几率。因此,在提供注册的地方尽量不使用真实的信息,例如,网络上铺天盖地的社交网站,它无疑是无意识泄露信息最好的地方,成为黑客们最喜欢光顾的地方。

在网络上注册信息时,如果需要提供真实信息的,需要查看这些网站是否提供了对个人隐私信息的保护,是否采取了一些安全措施。对于提供论坛等需要用户注册服务的公司需要从保护个人隐私的角度出发,从程序上采取一些安全措施保护个人信息资料不被泄露。

3. 时刻提高警惕

利用社会工程学进行攻击的手段千变万化,比如我们收到的邮件,发件人地址是很容易伪造的;公司座机上看到的来电显示,也可以被伪造;收到的手机短信,发短信的号码也可以伪造。所以,要时刻提高警惕,保持一颗怀疑的心,不要轻易相信所看到的。

4. 保持理性

很多黑客在利用社会工程学进行攻击时,采用的手法不外乎都是利用人感性的弱点,然后施加影响。所以,我们应尽量保持理性的思维,特别是在和陌生人沟通时,这样有助于减小上当受骗的概率。

5. 不要随手丢弃生活垃圾

看来毫无用处的生活垃圾可能会被随意丢掉,但这些生活垃圾一样也会被有心的黑客利用。因为这些垃圾中可能包含有账单、发票、取款机凭条等内容,在丢弃时并没有完全销毁它们,而是随意丢在垃圾桶中。这样,如果被一些人捡到,就会造成个人信息的泄露。

1.3.2 企业或单位防范社会工程学

俗话说道高一尺,魔高一丈,面对社会工程学带来的安全挑战,企业必须适应新的防御方法。如表1-2所示列出了一些常见的入侵伎俩和防范策略。

表1-2 常见的入侵伎俩和防范策略

总的来说,针对社会工程学攻击,企业或单位还应主动采取一些积极的措施进行防范。这里将防范措施归纳为两大类,即网络安全培训和安全审核。

1. 网络安全培训

社会工程学主要是利用人的弱点来进行各种攻击的。所以说,“人”是在整个网络安全体系中最薄弱的一个环节。对于国内企业来讲,往往是注重技术技能的培训,而轻于网络安全方面的培训,只有在接受严重的损失以后,才会意识网络安全的重要性。

因此,为了保证企业免遭损失,要对员工进行一些网络安全培训,让他们知道这些方法是如何运用和得逞的,学会辨认社会工程学攻击,在这方面要注意培养和训练企业员工的几种能力,包括辨别判断能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。

(1)网络安全意识的培训。

在进行网络安全培训时要注重社会工程学攻击以及反社会工程学攻击防范的培训,无论是老员工还是新员工都要进行网络安全意识的培训,培养员工的保密意识,增强其责任感。在进行培训时,结合一些身边的案例进行培训,例如QQ账号的盗取等,让普通员工意识到一些简单社会学攻击不但会给自己造成损失,而且还会影响到公司利益。

(2)网络安全技术的培训。

虽然目前的网络入侵者很多,但对于有着安全防范意识的个人或者公司网络来说,入侵成功的几率很小。因此对员工要进行一些简单有效的网络安全技术培训,降低网络安全风险。网络安全技术培训主要从系统漏洞补丁、应用程序漏洞补丁、杀毒软件、防火墙、运行可执行应用程序等方面入手,让员工主动进行网络安全的防御。

2. 安全审核

加强企业内部安全管理,尽可能把系统管理工作职责时进行分离,合理分配每个系统管理员所拥有的权力,避免权力过分集中。为防止外部人员混入内部,员工应佩戴胸卡标示,设置门禁和视频监控系统;严格办公垃圾和设备维修报废处理程序;杜绝为贪图方便,将密码粘贴或通过QQ等方式进行系统维护工作的日常联系等。

(1)身份审核(认证)

认证是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁。由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。比如,碰到公司内不认识的人找你索要敏感资料,你可以把电话打回去进行确认(最好是打回公司内部的座机)。而对于在公司进出口的身份审核,一定要认真仔细,层层把关,只有在真正的核实身份之后并进行相关登记后才能给予放行。在某些重要安全部门,还应根据实际情况需要,采取指纹识别、视网膜识别等方式进行身份核定,以确保网络的安全运行。

(2)操作流程审核

操作流程审核要求在操作流程的各个环节进行认真的审查,杜绝违反操作规程的行为。一般情况下,遵守操作流程规范,进行安全操作,能够确保信息安全;但是如果个别人员违规操作就有可能泄露敏感信息,危害网络安全。

(3)安全列表审核

定期对公司个人电脑进行安全检查,这些安全检查主要包括计算机的物理安全检查和计算机操作系统安全检查。计算机物理安全是指计算机所处的周围环境或计算机设备能够确保计算机信息不被窃取或泄露。

计算机操作系统安全是指从操作系统层面着手,维护计算机信息安全。计算机操作系统安全的内容比较多,主要从杀毒软件定期升级、操作系统漏洞补丁及时升级、安装防火墙、U盘杀毒、不运行不明程序和禁止打开来历不明的附件等方面进行考虑。

(4)建立完善的安全响应措施

应当建立完善的安全响应措施,当员工受到了社会工程学的攻击或其他攻击,或者怀疑受到了社会工程学和反社会工程学的攻击,应当及时报告,相关人员按照安全响应措施进行相应的处理,降低安全风险。

1.4 专家课堂(常见问题与解答)

点拨1:社会工程学攻击者常利用身份窃取这种手机,对目标进行攻击,用户应如何避免这种情况发生?

解答:身份窃取指通过假装为另外一个人的身份而进行欺诈、窃取等,并获取非法利益的活动。社交网络的信息可透露一些颇有价值的内容,如受害者的姓名和出生日期。身份窃贼可以用这些信息猜测用户的口令或模仿这些用户,并最终窃取其身份。

这里提醒用户不要回答社会网站提交的全部问题,或不要提供自己真实的出生日期。用户不必告诉网站自己真实的教育背景、电话号码等,还要想方设法让窃贼得到错误的其他敏感信息。

点拨2:如果某用户认为自己已受到社会工程学攻击,并泄露了公司的相关信息时,应如何做呢?

解答:如果认为自己已经泄露了有关公司的敏感信息,要把这个事情报告给公司内部的有关人员,包括网络管理员。他们能够对任何可疑的或者不同寻常的行动保持警惕。