者可能假装是管理部门做抽查,先打给IT维修部门,要求原公告知待修清单,一旦取得某一待修单的详细内容后,这位社交工程师又可假装是维修人员,打给熬熬待援的员工,并协助他们解决问题。之后几小时候,攻击者又可打电话回来说,“嗨,我是IT部门某某人,刚刚帮你解决email的问题。我等会寄一个诊断工具给你,你可帮我执行一下吗?”一般而言,用户多半不会拒绝,这招看似很简单,但许多人一时不察绝对都会上钩。
Mitnick表示要求他人泄漏信息或代为执行某些动做其实很类似销售员一般。“这只是把业务或营销技巧用在坏的地方而已。因此公司必须设定红灯与黄灯警示,让员工清楚知道哪些状况有可能会上当。”
除了训练员工外,还要加以督导验收才行,Mitnick表示,这种风险无法完全被排除,但却可以降到最低,证据何在?即使是Mitnick这种社交工程高手,最后也不是栽了吗?
PrintChapterError();