第4章

信誉支票(CREDITCHEX)

简而言之，我写此书的目的就是要提升大家的安全意识，以应对来自社会工程师的严重威胁，并帮助你的公司和公司员工尽可能的不被利用。或者我应该这样说，不再被利用。

第二部攻击者的手段

第二章无害信息的价值

对大多数人来说，社会工程师的真正威胁在哪里？又该如何保持警惕？

如果社会工程师的目标是“最有价值奖”――比如，企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安，对么？

与之相反，此书的目的，就是要帮助大家理解自己、同事，和公司其他人员是如何被操纵的，并帮助大家建立屏障，谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上，它能够对看似安全的信息完整性产生威胁，甚至破坏公司的工作成果。

我的任务由于一个简单的事实而更加困难――每个读者都一直被社会工程学高级专家――他们的父母所控制着，他们有办法（比如：“这是为了你好”）让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法，巧妙的编出看似有理的故事、理由以及借口，来达到他们的目的。是的，我们都被我们的父母所引导――那些乐善好施的（偶尔也不完全如此）社会工程师们。

由于这种生长环境，导致我们软弱而容易被操纵。可总是对他人怀有戒心，担心上当受骗，会活得很累。在理想的世界里我们应对他人给予绝对信任，每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中，我们必须锻炼我们的防欺诈能力以对付我们的敌人。

这本书的主要内容――第二和第三部分，讲述社会工程师如何实施欺骗的故事。在这两部分中，大家将会看到如下内容：

?电话盗打者早就发现的，一个从电话公司弄到未刊登电话号码的方法；

但在现实中，坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件，这些信息和文件看起来十分平常，也不重要，公司里的人大都不明白为什么这些东西会被限制和保护。

信息的隐藏价值

社会工程师十分重视企业中许多表面上看去无利害关系的信息，因为这些信息是他能否披上可信外衣的至关重要的因素。

在这一章里，我将通过让读者“亲身”经历攻击过程，来展示社会工程师的攻击手段。有时从受害人的角度来表现情节，让读者以当事人的身份估计自己（或是你的同事和员工）可能会做出的反应。而更多的时候，让读者从社会工程师的角度来经历攻击过程。

第一个故事着眼于金融行业的一个漏洞。

?几个不同的社会工程学方法，甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令；

?信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息；

?隐私调查者是如何弄到你的企业、你本人的隐密信息的，我可以保证，这会让你脊背发凉。

你也许会认为这两部分中讲述的故事实际上不可能发生，没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上，在每个案例中，这些故事都是可以成为现实而且已经成为现实的，这些事情每天都在世界的某个地方发生，甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪，还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。

在本书的第四部分，我转变了方向。在这里我想帮助大家建立企业必要的安全策略和安全意识培训，以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、方法和技巧，在不会降低公司的生产效率的同时，帮助你布置合理的控制策略来保护企业的信息资产。