亊例：Whuriey之所以能从Lenore那儿得到有用信息，部分要 归功于他的”冷阅读“.他观察她的反应，不断地调整自己的话语 来迎合她，让她觉得他们有共同的品味和爱好（”我也是！ “），她 对他的好感也使她愿意分享更多的信息。
    
    人们喜欢那些和自己相像的人，比如彼此有相似的职业兴趣、 教育背景和个人爱好。社交工程师会研究攻击目标的各种背景，然 后佯装和他们有共同的喜好：航海、网球、古董飞机、收集老式机 枪等等。社交工程师也通过赞美和恭维达到目的。相貌姣好的社交 工程师还可以利用自己的美貌。
    
    另一个技巧是不断讲出攻击目标熟悉和喜爱的人的名字。攻击 者通过这种手段试图融入攻击目标的组织群体。黑客也会利用赞美 和恭维来唤醒攻击目标的自负，有时候他们甚至会直接将刚刚获得 奖励的人员定为攻击目标。唤醒攻击目标的自负会使原本很普通的 他们变为非常乐于助人的帮助者。
    
    恐惧社交工程师偶尔会令攻击目标相信将要发生意外，但若按照他 的建议去做，就能避免可能迫在眉睫的损失。这时，恐惧变成了社 交工程师的武器。
    
    事例：在The Art of Deception第章的”紧急补丁“中，社 交工程师警告攻击目标如果在公司数椐库服务器上不安装他提供 的紧急补丁，他们将会去失一些重要数据。这种恐惧让攻击目标对 社交工程师的”解决方案“毫无戒备。
    
    利用职位的攻击经常要借助于恐惧。伪装成执行官的社交工程 师常会给秘书或是低层职员下达”紧急“指令，并且暗示：如果不 釆取行动，他就会有麻烦，甚至会被解雇。
    
    …件实呼的爽击f粤争。苎爽御-苎芩曳抗拒心理抗拒是指：我们在失去选择的权利或自由时所作出的一种 消极反应。当我们忍受着抗拒带来的剧痛时，我们就失去了洞察力， 因为我们对找回丢失的东西毫无兴致。
    
    事例：The Art of Deception中有两个故事阐述了抗拒的力量。 其中之一是关于对信息失去访问权限的威胁，另一个是关于失去对 计算机资源的访问权限。
    
    利用抵抗的典型攻击是这样的：攻击者通知攻击目标，其将会 在接下来的一段时间内无法访问自己计算机文件，而这段时间又正 好是攻击目标无法承受的，”你下面的两周将无法访问文件，但我 们会尽力让你快点恢复权限。“攻击目标会气得跳起来，于是攻击 者对他说如果有用户名和口令，他就能帮他尽快恢复权限。攻击目 标为了避免损失，通常会放松警惕而愉快答应。
    
    另一种利用方式是迫使攻击目标追逐某物，也就是说，让攻击 目标陷入会丢失登录信息或信用卡信息的站点。你会如何处理一封 通知你前1000名进入某特定站点的用户可以仅支付200美元就能 得到一部全新Apple iPod?你会不会登录那个站点并注册买一 台？当你注册电子邮箱时，你会不会设置一个你在别处也同样使用 的相同口令呢？
    
    对策减轻社交工程攻击需要一系列的协同努力，包括如下儿点： ?在组织内部制定简洁明了的安全草案，并坚持贯彻。 ?开展安全警惕培训。 ?制定简明规则以定义敏感信息的范畴。 ?制定简明规则，以规定无论何时都必须根据公司政策，核 实要求限权行为的人员（限权行为指任何与计算机设备有 关并不可预测后果的行为）。
    
    入侵的艺术制定信息分类政策。 ?培训雇员抵抗社交工程风险。 ?用安全评估测量雇员抵抗社交工程的灵敏度。 其中最重要的步骤在于制定合适的安全草案并令雇员严格实 施。下一节将讨论培训雇员抵抗社交工程风险和设计其方案时的一 些基本要点。
    
    培训指导方针以下是用于培训的基本指导方针。
    
    树立社交工程师可能随时并且会不断地攻击公司任意环节 的意识。
    
    许多人并未意识到社交工程的巨大威胁，甚至还有人从未意识 到这种威胁。人们通常不会怀有被他人操纵和欺骗的防备心理，因 此他们对社交工程也亳不设防。许多网络用户通过邮件收到自称尼 曰利亚政府的请求帮助，请求转移一大笔资金到美国，他们应允会 给予帮助者一些现金回报。然后，你就会被通知要为这笔资金的转 移交上大笔税费，你可能会因此分文不剩。近期，一位纽约妇女就 上了此当。她为了付税费向自己的老板借了几十万美元。于是，她 原本可以享受的购买游艇的快乐时光，现在却只能面对可能即将发 生的牢狱之灾了。人们会经常上社交工程师的当，否则那些谎称尼 曰利亚的骗子们就会停止发邮件了。
    
    用角色扮演的方法再现雇员们的无防御状态，并培训他们掌握抵抗社交工程的技巧。 许多人都生活在完全防御的幻境下，他们认为自己足够聪明， 绝不会被他人操纵、欺诈、哄骗和影响，他们相信只有”傻瓜“才 会上当，有两种方法可以让雇员意识到并完全相信自己的无防御状 态。其一可以通过再现社交工程攻击，使一些雇员受到模拟攻击， 并幵展讨论会让他们讨论经验。另外，也可以直接通过讨论社交工 程案例来阐明攻击的有效力度，包括研习攻击的手法，分析成功攻 击的原因以及讨论如何认识和抵抗攻击。
    
    第10章社交工程师的攻击手段以及防御其攻击的措施让受培训人员产生若在培训后仍令社交工程攻击成功的羞 耻感。
    
    培训过程中要强调每个雇员都有责任保护团体财产的安全。同 时，培训设计者也应意识到，只有充分理解了安全草案的重要性， 人们才会自觉遵循草案。安全意识培训中，培训人员应举出安全草 案成功抵抗风险的案例，这才会令人们相信如果不遵循该草案，公 司将面临危险。
    
    强调成功的社交工程攻击会利用公司雇员及其朋友同事的个 人信息，也同样重要。公司的人力资源数据库可能对确认盗贼身份 至关重要。
    
    不过最有效的内在动因还是人们都不愿被他人所操纵、欺诈、 哄骗的心理，人们不想自己会愚蠢到中了他人的骗局。
    
    如何对付社交工程师以下是在制定培训计划中应当遵循的基本观点： ?当职员己发现或怀疑自己正在受到社交工程师的攻击时，职员应釆取更髙明的手段。 读者应参阅大量安全手册，其中涵盖许多The Art of Deception 中提供的安全措施。这些措施作为一种参考，读者应有选择性地釆 用。一旦公司的工作流程得到发展并得以应用，信息就会在公司的 局域网上公开，而且会立即生效。另一个关于防护措施的资源来自 于Charles Cresson Wood关于发展信息安全技术的专题论文-- Information Security Policies Made fa^San Jose, CA: Baseline software, 2001）。
    
    为职员制定简明的方针，阐明公司的敏感性信息。 由于我们应用启发式模式来处理信息将耗费大量的时间，所以 一旦涉及到敏感性信息时（如个人口令这样的商业机密），简明的方 针就会凑效了。一旦职员发现要提供某些敏感性信息或计算机指 令，他们可以通过查阅公司局域网上的安全指南来判断操作过程是 否正确。
    
    入侵的艺术另外，对职员而言，明确和阐明以下观点是非常重要的：即使 那些不被看作具有敏感性的信息对社交工程师也会有用，因为他 们会从看上去没用的信息中搜集那些有价值的情报，从而再向职 员提供信息时可能会使他们产生一种可信赖的幻觉。一个敏感项目 中的经理的名字，土地幵发公司的地理位置，专业职员使用计算机 服务器的名称，以及机密项目中指定项目的名称都是有其各自的 意义的，因而每个公司都要权衡是否需要购买抵制潜在安全威胁的 业务。
    
    仅仅从几个例子我们就可以看出，那些看上去并不重要的信息 也是可以被黑客所运用的。The Art of Deception中的这些例子可以 使培训者有效地明白这一点。
    
    改进组织行为中的礼节方式--敢于说”不“ ! 在对别人说”不“的时候，大多数人会感到尴尬或难为情。（目 前市场上有种专为不好意思却要挂掉电话推销员打来电话的人而 设计的产品。当电话推销员打来电话，使用者只需按下”*“键便 可以挂掉电话，这时电话会对推销员说：”请原谅，这是管家电话， 很抱歉我只能直接地告诉您，您的询问将被拒绝。“）我喜欢这句 ”很抱歉“.我认为这是种有趣的产品，因为它敢于说”不“,很 多人需要买这样的电子设备，你愿意花50美元买这样的装置而免 掉说”不“时的尴尬吗？

　　请记住本书首发域名：www.llskw.org。来奇网电子书手机版阅读网址：m.llskw.org