技巧与问答

下面主要围绕本章中读者可能会遇到的问题及本章中比较重要知识点的拓展进行介绍，以帮助读者进一步深入了解本章的内容。

❖ 社会工程学还可以用在什么地方？

不知道大家对“网络钓鱼”这个概念是否熟悉？用户使用的IE、FireFox或是Google浏览器，都在不断出现各种各样的漏洞。例如，有的浏览器漏洞可以让黑客在网页中插入恶意代码，甚至有的黑客会故意向用户发送邮件或者QQ消息，让用户单击某个网址，这个网址的URL看上去是个著名网站，打开之后显示的页面也像那个网站，但其实这是个虚假的网站。

上面介绍的概念就是“网络钓鱼”，大家通过上面的介绍可能会有这样的一种疑问：网络钓鱼这不是跟社会工程学一样吗？都是骗人的。事实上，网络钓鱼属于社会工程学攻击的一种。网络钓鱼从攻击角度上分为两种形式：一种是通过伪造具有“概率可信度”的信息来欺骗受害者；另外一种则是通过“身份欺骗”信息来攻击受害者，这与社会工程学攻击一样，攻击者需要事先掌握对方的相关信息，利用人与人之间的信任关系，通过伪造身份来捏造信息，使受害者对攻击者所说的话确信无疑并做出响应。

我们在实际生活中常常会遇到钓鱼事件，并且如此拙劣的手段仍能频频得手，主要是因为网络钓鱼充分利用了人们的心理漏洞。首先，人们收到黑客发送的影响力很大的邮件时，很多人都不会怀疑信件的真实性，会下意识地根据要求打开邮件里面指定的URL进行操作。其次，页面打开后，人们通常不会注意浏览器地址栏中显示的地址，而只是留意页面内容，这正是让钓鱼者有机可乘的原因。

❖ 如何收集信息完成社会工程学攻击的第一步？

要做到一次成功的社会工程学攻击，社会工程学精通者们都必须要花时间进行必要的沟通和信息收集。我们有必要了解他们常用的收集信息的渠道。

（1）直接潜入工作区

黑客可以冒充被允许进入公司的维护人员或顾问，进入一个防范疏忽的工作区窃取密码，或是收集一些可以对公司的网络进行攻击的资料。

（2）通过电话收集信息

黑客可以冒充技术人员或是领导从其他职员那里获得信息，也可以伪装成是从该公司内部打电话从而骗取公司的网络管理员。一般公司的前台工作人员受到的安全教育都比较少，所以他们是最容易受到社会工程学攻击的对象。

（3）互联网陷阱

用户在网络聊天或上网注册时，都会无意间泄露自己的信息，如手机号码、出生日期等。一个善于推理的社会工程学精通者可以通过这些信息破译受害者常常使用的密码，一旦他们获得密码，就可以获得受害者多个账号的使用权。

当然还有其他的手段收集信息，如通过给受害者发恶意的电子邮件，诱导受害者填写隐私信息；甚至有的黑客会选择去翻找受害者公司的垃圾堆来获得受害者公司可能的机密信息。

❖ 合格的企业网络管理员需要具备什么素质？

网络管理的实施者一般称其为网络管理员，作为一名合格的网络管理员，需要具备各类知识与技能。

从大的方面来说，网络的规划设计、系统集成处理等事项是考验网络管理员综合素质的重要方面；而细到具体事务来说，设备的安装、配置和调试，保证局域网正常、稳定地运行，合理运用网络管理软件等，都是需要掌握的。

随着黑客利用社会工程学来攻击一个企业的内部手段越来越高明，一个企业的网络管理员不能局限于网络的相关知识，还必须具备信息安全的相关知识，如安装杀毒软件、开启系统的Update自动更新功能、安装入侵检测系统以及限制服务器的端口开放，这些安全方面的操作都是一名合格的网络管理员所必须具备的。另外，网络管理员必须对日常员工使用公司网络提高警惕，避免不良的攻击者利用员工的身份，套取有用的信息。