5.3.3  社會(huì)工程學(xué)攻擊

信息安全從業(yè)者和組織機(jī)構(gòu)的信息化管理人員需要建立一個(gè)概念，盡管我們非常重視信息安全，投人大量的資金并選擇先進(jìn)的技術(shù)來(lái)保護(hù)我們的信息系統(tǒng)和數(shù)據(jù)，但是社會(huì)工程學(xué)工程師仍然可能通過(guò)人性的“弱點(diǎn)”利用內(nèi)部人員繞過(guò)所有技術(shù)的保護(hù)達(dá)到非法的目的。凱文，米特尼克在他所著的關(guān)于社會(huì)工程學(xué)書(shū)籍《欺騙的藝術(shù)》中這樣形容社會(huì)工程師：一個(gè)無(wú)所顧忌的魔術(shù)師，用他的左手吸引你的注意，右手竊取你的秘密。他通常十分友善，很會(huì)說(shuō)話，并會(huì)讓人感到遇上他是件榮幸的事情。

社會(huì)工程學(xué)攻擊是建立在人性“弱點(diǎn)”利用基礎(chǔ)上的攻擊，大部分的社會(huì)工程學(xué)攻擊都是經(jīng)過(guò)精心策劃才能實(shí)施成功的。即使是最簡(jiǎn)單的“直接攻擊”也需要進(jìn)行前期的準(zhǔn)備。女口果希望受害者接受攻擊者所偽裝的身份，攻擊者就必須具備這個(gè)身份所需要的一些特征。攻擊者在實(shí)施攻擊之前，需要盡量收集偽裝身份所需要的信息，這些信息是攻擊者偽裝成功的基礎(chǔ)。例如攻擊者要偽裝成某個(gè)大型集團(tuán)公司總部的系統(tǒng)管理員，那么他需要了解這個(gè)大型集團(tuán)公司所處行業(yè)的一些行規(guī)或者內(nèi)部約定、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團(tuán)公司中相關(guān)人員的綽號(hào)等等，想象一下，如果攻擊者偽裝成集團(tuán)公司的網(wǎng)絡(luò)管理人員，在跟某個(gè)用戶溝通交流時(shí)，不僅能準(zhǔn)確的使用行業(yè)術(shù)語(yǔ)，還能隨口說(shuō)出公司內(nèi)部所熟知的人員的綽號(hào)，想讓受害者相信你是公司內(nèi)部人員幾乎是非常容易的。