欺骗的艺术分章阅读 37

寻同事或级的帮助是件很普通的事，社会工程师知怎样利用们的天获得帮助并使其成为团队的成员。者利用们的这种特点引导员工的行为以达到的目标，了解这简单的概念非常重，这样在另个试图纵的时候就更有可能发现。

海量小说，在【伊书屋】

欺骗知的

之强调的是需对员工行充分的培训，使们会被陌生说去某些事， 所有员工同样需了解按照请在另个的计算机执行任何作都是很危险的，公司的政策应当止这些行为，除非得到名指定的管理员的批准。允许的况包括：

当发请的是个非常熟悉的，两个面对面或者通电话确认了呼者的声音时。

当通严格的程序核实了请者的份时。

当行得到名主管或其熟悉请者的权威士的批准时。

必须培训员工去帮助是自认识的，即使那个声称自己是经理主管员。旦安全政策方面的审核开始实施，管理层就必须让员工们遵守这些规定，即使这意味着员工可以质疑们绕安全规定的主管员。

每家公司还需有自己的政策和程序引导员工响应针对电脑或电脑相关设备的任何行。在这个关于版社的故事中，社会工程师有针对的选择了个没有接受信息安全策略与程序培训的新员工。为防止这类，所有员工都必须遵守这样个简单的规则：在任何计算机系统执行陌生请的作，就这点。

记住，任何能直接或间接接触到台计算机（或部与计算机相关的设备）的员工都很容易被者控成为实施些恶意行为的代理。

员工们（其是IT员工）需知让外部员入们的计算机网络就像是把的银行帐户给个电话销售员或把的电话卡号码给个监狱中的陌生。员工们必须谨慎考虑那些能导致信息泄或危及公司计算机系统安全的请。

IT员工也必须提防伪装成供应商的未知呼者。通常，公司应当考虑为每个技术供应商指定的联系员，如果实施了这策略，其员工就会响应供应商索取资料或更改任何电话或电脑设备的请。这样，指定的员工就会很熟悉打电话或拜访的供应商, 减小了被骗的可能。如果个和公司没有同的供应商打电话，也应当引起注意。

公司中的的每个都必须了解信息安全威胁与。注意，安全警卫等需的仅仅是安全培训，还应当包括信息安全培训，因为安全警卫经常接触公司的设施，所以们必须能够识别各类针对们的社会工程学。

当心间谍程序

商业间谍程序曾经被许多家用监控们孩子的网络行为，而对于公司的老板而言，们需找那些认真工作，只知网冲的员工，更重的是找那些潜在的信息窃贼或商业间谍。开发商推间谍件似乎旨在保护童，但事实，们真正的市场是那些想暗中监视别的。如今，间谍件之所以存在在很程度是因为们想知们的偶或其重是否在骗们。

久开始写这本书中的间谍故事的时候，帮收电子邮件的（因为被止网）发现了封宣传系列间谍程序的广告邮件，其中段是这样说的：

热门！必须拥有：

这强的监控程序秘密捕获所有的按键、时间与所有活窗的标题到个文本文档，同时隐藏在台运行。志文件可加密并自发到指定邮箱地址，或仅存储在盘。程序受密码保护并可在CTRL+ALT+DEL菜单中隐藏。可用它监控输入的网址、聊天记录、电子邮件和许多其它东西（甚至是密码）。

在任何PC台安装并把志发给自己！

杀毒件的缺陷？

杀毒件能查商业间谍程序，从而将其判定为非恶意件，即使它的用途是监控。如此电脑就相当于部被忽视的窃听器，在任何时候们每个都有被非法监控的危险。当然，杀毒件厂商可能认为，间谍程序可以用于法目的，因此应当视为恶意件。但是由黑客团免费发布（或当成安全相关程序售）的某些工却会被视为恶意代码，至今都明为什么会有这种重标准。

同封邮件中的另段则声称它可以捕捉用户的电脑屏幕图像，就像是台放在肩膀的摄像机。其中部分件产品甚至需自接触受害的电脑，只远程安装并置好应用程序，就马拥有了部电脑窃听器！FBI（联邦调查局）肯定很喜欢这种技术。

由于间谍程序的广泛使用，的企业需建立层防护。应当在所有工作站安装间谍程序检测件，如SpyCop （网址： NENYISW.COM），还应当员工行定期扫描。此外，还必须培训员工提防载程序或打开电子邮件附件之类的可以安装恶意程序的骗局。

除了防范间谍程序的安装（当员工因为茶会、午餐或会议离开办公桌时）以外，还应当规定所有员工在离开时必须使用屏幕保护密码或类似的方法锁定们的计算机系统，这能降低员工的计算机被非法访问的可能。即使混入某个的间或办公室也能访问们的任何文件，阅读们的电子邮件或安装间谍程序（或其恶意件）。使用屏幕保护密码需的资源几乎为零，却能很好地保护员工的工作站，在这种况行成本效益分析应该是很容易的事。

第十三章 聪明的骗局

现在已经知了，当接到陌生请信息（或其它对者有用的东西）的电时，接电话的必须被培训询问呼者的电话号码，然打去核实这个的份是否和声称的样——例如，名公司员工，名商业伙伴员工，或者名供应商技术支持代表。

甚至当家公司明确规定员工必须小心核实呼者的份时，经验富的者仍然可以利用许多骗局使受害相信们是们声称的，即使是安全意识较的员工也会被面所述的方法所骗。

骗的电显示

任何用手机接电话的都曾看到电显示——显示屏呼者的电话号码。在商业环境，员工只看眼能知打的电话是公司同事还是外部员。

很多年，些雄心壮志的电话盗打者就已经用了电显示功能，那时电话公司甚至还没有向公众开放这务，有段时间们吓了少，接电话的时候总是在对方还没得及说话之就喊们的名字。

当养成了看电显示的习惯时，认为它是安全的并以此判断呼者的份——这正是者想的。

琳达的电话

期/时间：7月23，星期二，午3:12

地点：星级漫游航公司财政部办公室

当琳达?希尔（Linda Hill）的电话响起的时候正在为的老板书写备忘录，看了眼电显示，发现是个维克托?马丁（Victor Martin）的从公司在纽约的办公室打的——认识这。

本想把电话转到语音信箱，这样就会中断写备忘录的思路，但好奇心还是占了风，拿起了电话，然对方自介绍说是产品推广部的员工，正在为CEO整理些材料，“正在赶往波士顿和们的些银行家开会，需本季度的财务报表，”说，“另外，还需Apache项目的财政预算。”维克多提到了公司季主打产品代号。

问电子邮件地址，但是说现在无法接收电子邮件，技术员正在想办法解决，能否传真？说也可以，然把的部传真号给了。

几分钟发了传真。

但维克多并在产品推广部工作，事实，甚至是这家公司的员工。

杰克的故事

杰克?金斯很年的时候就开始了的职业生涯——在纽约育场、拥挤的地铁月台和夜间聚集着游的泰唔士广场行窃。可以从个的手腕取手表而被发现，可见作之捷手法之超。但在充烦恼的少年时期，却因失手而被抓了。在少管所里，杰克学到了个新职业，被抓住的可能非常之低。

当的任务是获得家公司的季度损益表与现金流量信息，在这些数据被提到美国证券易委员会( SEC ) 并公布之。的客户是个愿意解释为什么需这些信息的牙医，这个的小心翼翼在杰克看十分有趣，之的推测是——这家伙可能赌博赢了钱，么就是有个直没被的子发现的有钱的女朋友，或者也有可能是向的子吹嘘了自己在股票市场的英明神武，总之现在已经失去了所有的管束，只想行笔投资，在这家公司公布们的季度财务报表之，预测们的股票价格将如何化。

们惊讶地发现，心的社会工程师可以迅速地应对从未遇到的况。当杰克从牙医那里回到家的时候，已经想好了个计划。的个朋友查尔斯?贝茨（Charles Bates）在Panda公司工作，这家公司有自己的电话换机或PBX（译者注：专用分组换机）。

在了解电话系统的熟悉的术语中，PBX连接着数字电话务T1，并被设置为初始速率接ISDN（综务数字网络）或PRI ISDN，这意味着从Panda打的每个电话都会通个数据频发呼理信息到电话公司的换机：这些信息包括将转到（除非被锁定了）对方电显示的主号码。

杰克的这个朋友知怎样修改换机让接到电话的在电显示看到伪造的号码，而事实电话是从Panda办公室打的。这种骗局之所以有效，是因为当地电话公司懒得去验证客户的呼号码是是实际付钱的那个号码。

杰克?金斯需的只是使用这种电话务，幸运的是的朋友与作伙伴查尔斯?贝茨总是乐于援助之手，而只收取象征的费用。在这里，杰克和查尔斯临时修改了电话换机的设置，让Panda公司的条指定电话线路使用维克托?马丁的部电话号码，这样电话看去就是从星际漫游航公司打的了。

的电显示会错，很多都这样想，在这里，琳达愉地把资料传真给了认为是产品推广部员工的。

当杰克挂电话时，查尔斯又把换机的设置给改了回。

程分析

些公司想让客户或供应商知们员工的电话号码。比如，福特公司规定，从们的客户支持中心打的电话应当显示800号码和“福特支持”字样，而是每个客户支持代表真实的电话号码。微公司则让员工自己选择是否把电话号码告诉别，并是每个接到们电话的都能看到电显示并找们的位置。通这种方法公司能保持部号码的隐匿。

但是修改换机设置对于些而言是在是太简单了，比如，恶作剧好者、收账单的、电话销售员，当然，还有社会工程师。