社会工程学是机密信息最大的敌人。作为资料室供应商,我们花大量的时间确定我们的专业人士深谙各种能摧毁最安全系统的伎俩。
社会工程学是一种利用人性是他们泄露机密信息。最糟糕的是,在信息技术影响着我们生活方方面面的今天,这种手段十分奏效。
1. 操控合法用户
社会工程学就是一个骗局,捕猎者利用合法用户的权限去削弱他们的安全系统。这就是为什么社会工程学是很难控制的,因为这需要培训每一个能进入资料室的人员不要落入他们的陷阱。一个社会工程学专家会以一个合理的理由给您的员工打电话,要求进入你们的网络。如果员工相信了他的借口,大捕猎者就进入公司系统了。
一个惯用的诡计就是,打电话过来假装是一个软件技术人员,刚收到通知说电脑或网络出现故障。致电者说服员工在电脑上安装软件或是一个病毒能让他们进入公司网络。
2. 滥用专业的信任
利用社会工程学的犯罪者会滥用员工之间的信任。这他们利用一个电话或其他通讯形式,例如“欺骗”或黑客电子邮件的形式。他们假装是同事或致电代表之一,编一个理由,如因忘记一个重要的密码或登录信息在藏有关键信息的虚拟数据室。假设该请求是合法的,一个员工在毫不知情的情况下泄露了关键信息,让罪犯者有了获得访问你所有的机密文件的机会。
3. 无需特殊技巧
我们倾向于认为黑客和其他IT安全风险会随着时间的推移不断演变进化,但事实是,社会工程学什么都不需要,只要有能力说服落实就行。这就是这个方法如此有效的原因之一,因为肇事者并不需要从牛津大学或麻省理工学院毕业,就可以实现它的。这可能是一个正常员工熟识的某个腐败的员工,或陌生人假装是权威的人物。
每年在拉斯维加斯举行一个地下黑客会议期间,在Defcon黑客大会商一个在加拿大的小沃尔玛商店成了目标。在20分钟的电话里,某人冒充政府物流经理,店经理泄露了对公司物流,IT部门和他的电脑足够的信息,使来电者说服服务台解除封锁恶意软件的安装。然后安装了一个程序,提供了访问网络以及存储在安全的虚拟数据室的任何信息。
4. 成本低廉
你会觉得使用昂贵的安全系数较高的虚拟数据室会对社会工程学专家提出一个挑战,但事实是,它并没有造成任何区别。因为在实践中他只用依靠操纵人类,摧毁那些花哨的安全措施是几乎没有成本的。它所需要的只是想象力和容易轻信别人的员工。因此训练你的员工不要轻信别人是至关重要的,不要再任何他们都可以找到的地方留下机密信息。
{{cta(‘6e9e8d74-32c9-40d0-8b82-c106bcb5b472’)}}
