Mitnick不是IT安全通才,社交工程才是他的拿手戏,Mitnick之前还研究过心理层面才能屡屡犯罪得逞,「社交心理学说人类有两种思考模式,一种是系统(systematic)模式,一种则是探索式的(heuristic),」Mitnick解释说,当你在系统模式下,你会有动机去做思考,若是在探索式模式下,你就懒散过去,你会分心,思考其他东西,「我们有90%时间都处於这种状态。」
也就是在这种时候我们最容易变成攻击者的共谋,社交工程师就是有办法说服受害者,让他们没有机会仔细思考。最厉害的是,他们所做的要求往往是超乎受害者日常工作范围之外的。
「你跟人聊天时,若发现对方跟你是同乡,或者有相同的嗜好兴趣,那么攻击者就会尽量迎合你的所好,因为就心理学而言,你会比较喜欢跟自己很像的人,」Mitnick说,「而你喜欢某人后,你自然也比较可能答应对方的请求。」
「一旦发现对方跟你有太多巧合,那你就应该心生警觉了。」他说。
设定红灯与黄灯警戒线
Mitnick建议引进红绿灯制度来协助员工判断是否被诱骗了。conAd2();
人性本善,大家一开始多半会相信陌生人,而不会故意去怀疑对方,这也让社交工程骗子有机可乘。你是否曾经帮同栋大楼的陌生住户开门?大家都喜欢给人好印象,即使跟陌生人也是如此,也因此大家都很乐於施点小恩小惠,同理,若对方给予一些回报也是一种礼尚往来,这种人性倾向反而成了攻击者的最大漏洞,Mitnick如此认为。他以往最成功的例子都是通过这种手段犯下的。
「若有人给你一点好处,你理所当然也会有所回馈,这种人之常情走到哪里都适用,尤其是美国,」他说,「攻击者会假装是在协助你解决问题,或者他们会刻意制造问题,然后再假装帮你忙。」
攻击者可能假装是管理部门做抽查,先打给IT维修部门,要求原公告知待修清单,一旦取得某一待修单的详细内容后,这位社交工程师又可假装是维修人员,打给熬熬待援的员工,并协助他们解决问题。之后几小时候,攻击者又可打电话回来说,「嗨,我是IT部门某某人,刚刚帮你解决email的问题。我等会寄一个诊断工具给你,你可帮我执行一下吗?」一般而言,用户多半不会拒绝,这招看似很简单,但许多人一时不察绝对都会上钩。
Mitnick表示要求他人泄漏信息或代为执行某些动做其实很类似销售员一般。「这只是把业务或营销技巧用在坏的地方而已。因此公司必须设定红灯与黄灯警示,让员工清楚知道哪些状况有可能会上当。」
除了训练员工外,还要加以督导验收才行,Mitnick表示,这种风险无法完全被排除,但却可以降到最低,证据何在?即使是Mitnick这种社交工程高手,最后也不是栽了吗?
PrintChapterError();