第3章

认证设备（身份认证）、访问控制（对文件和系统资源的控制管理）和入侵检测系统（计算机化的防盗器）等技术，对公司的安全防护是十分必要的。然而，现在的公司在布置保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。

正如同罪恶的心无法抵制诱惑，黑客们一心要找出功能强大的安全系统的弱点。在许多时候，他们把这种心思放在了人的身上。

欺骗的使用

许多人都说，关掉了的计算机才是安全的计算机，但这是错误的，找个借口让人去办公室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息，这只是时间的问题。耐心、个性和坚持，这正是欺骗的艺术的切入点。

要击败安全措施，一个攻击者、入侵者，或是社会工程师，必须找到一个方法，从可信用户那里骗取信息，或是不露痕迹的获得访问权。当可信用户被欺骗、影响，并被操纵而吐露出敏感信息时，或是做出了不当的举动，从而让攻击者有漏洞可钻时，什么样的安全技术也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样，社会工程师通过欺骗你的雇员来绕过安全技术。

此时，他改变身份，装扮成一名银行职员――工作于国际部的麦克?汉森（MikeHansen）。那次对话大概是这样的：

“喂，我是国际部的麦克?汉森。”他对接听电话的小姐说，小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说：“好的，密码是多少？”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司（IrvingTrustCompany）贷一千零二十万美元到瑞士苏黎士某银行（WozchodHandelsBank），他已经建立好的账户上。对方说：“好的，我知道了，现在请告诉我转账号。”

瑞夫金吓出一身冷汗，这个问题事先没有考虑到，他的骗钱方案出现了纰漏。但他尽量保持自己的角色，十分沉稳，并立刻回答对方：“我看一下，马上给你打过来。”这次，他装扮成电汇室的工作人员，打给银行的另一个部门，拿到帐号后打回电话。对方收到后说：“谢谢。”（在这种情况下说“谢谢”，真是莫大的讽刺。）

成功结束

几天后，瑞夫金乘飞机来到瑞士提取了现金，他拿出八百万通过俄罗斯一家代理处购置了一些钻石，然后把钻石封在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历史上最大的银行劫案，他没有使用武器，甚至勿需计算机的协助。奇怪的是，这一事件以“最大的计算机诈骗案”为名，收录在吉尼斯世界纪录中。斯坦利?瑞夫金用的就是欺骗的艺术，这种技巧和能力我们现在把它称为――社会工程学。

信任的弊端

大多数情况下，成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢，并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师，使用他自已的战略、战术，几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险，然而却没有解决最大的漏洞――人为因素。尽管我们很聪明，

威胁的天然性

瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件（也许到不了一千万美元，但终归有所损失）每天都在发生，你的资金可能正在流失，新产品方案正在被窃取，而你却一无所知。即使你的公司还没有这样的事情出现，那也会终将出现。但它何时出现呢？

日益增长的安全事件

美国计算机安全协会在2001年计算机犯罪调查报告中声称，在接受调查的组织机构中，有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字，只有15%的机构在过去的一年中没有发现安全事件。另一个数字同样惊人，有64%的机构由于计算机的问题而导致财务损失，超过一年中遭受财务损失企业的二分之一强。

我的经验告诉我这个数字有些夸大，并对这项调查的研究结果表示怀疑。但这并不是说安全事件的危害面不大，相反，它很大。那些未把安全事件考虑在内的人，迟早会出问题。大多数公司配置的安全产品主是应付业余入侵者的，比如被称为“脚本小子”的年轻人。实际上，这些利用别人的软件，并憧憬着成为真正黑客的人，大多数情况下只能引起一些麻烦。真正的损失和威胁，来自于经验丰富、目标清晰，受商业利益驱动的攻击者。这些人一次只盯准一个目标，而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量，而职业黑客在乎的是信息的质量和价值。