5.3.3  社會工程學(xué)攻擊

信息安全從業(yè)者和組織機(jī)構(gòu)的信息化管理人員需要建立一個概念，盡管我們非常重視信息安全，投人大量的資金并選擇先進(jìn)的技術(shù)來保護(hù)我們的信息系統(tǒng)和數(shù)據(jù)，但是社會工程學(xué)工程師仍然可能通過人性的“弱點(diǎn)”利用內(nèi)部人員繞過所有技術(shù)的保護(hù)達(dá)到非法的目的。凱文，米特尼克在他所著的關(guān)于社會工程學(xué)書籍《欺騙的藝術(shù)》中這樣形容社會工程師：一個無所顧忌的魔術(shù)師，用他的左手吸引你的注意，右手竊取你的秘密。他通常十分友善，很會說話，并會讓人感到遇上他是件榮幸的事情。

社會工程學(xué)攻擊是建立在人性“弱點(diǎn)”利用基礎(chǔ)上的攻擊，大部分的社會工程學(xué)攻擊都是經(jīng)過精心策劃才能實(shí)施成功的。即使是最簡單的“直接攻擊”也需要進(jìn)行前期的準(zhǔn)備。女口果希望受害者接受攻擊者所偽裝的身份，攻擊者就必須具備這個身份所需要的一些特征。攻擊者在實(shí)施攻擊之前，需要盡量收集偽裝身份所需要的信息，這些信息是攻擊者偽裝成功的基礎(chǔ)。例如攻擊者要偽裝成某個大型集團(tuán)公司總部的系統(tǒng)管理員，那么他需要了解這個大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者內(nèi)部約定、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司中相關(guān)人員的綽號等等，想象一下，如果攻擊者偽裝成集團(tuán)公司的網(wǎng)絡(luò)管理人員，在跟某個用戶溝通交流時，不僅能準(zhǔn)確的使用行業(yè)術(shù)語，還能隨口說出公司內(nèi)部所熟知的人員的綽號，想讓受害者相信你是公司內(nèi)部人員幾乎是非常容易的。