9.1 学会识别社会工程攻击

防御和减轻社会工程的第一步是了解攻击。你不必深入了解这些攻击,不需要知道如何创建恶意的PDF文件或者如何制造完美的骗局。但是你必须清楚地知道打开一个恶意PDF文件时会发生什么,必须知道通过什么迹象来判断是否有人在骗你,这样才能保护自己。你需要了解威胁以及运用威胁的手段。

举例来说,你十分重视自己的家,尤其是家人。你不会在火灾发生时才开始计划、预防和减轻火灾所带来的危害,而是会提前安装烟雾探测器并设计发生火灾时的逃生路线。此外,你还会对孩子进行火灾逃生口诀训练,“停、放、跑”。你会教他们通过摸门来判断温度以及蹲低身子防止吸入烟雾。所有这些方法都是为了防止一场真正的火灾以及减轻火灾带来的危害所做的准备。

这些原则同样适用于保护你自己和你的公司防御社会工程攻击。不要等到攻击发生后才意识到它们的危害会有多严重。不要认为我在自我推销,我建议定期对员工进行社会工程审计,看看他们是否具备抵御攻击的能力,然后再进行培训。

教导你自己和员工面对此类攻击时,如何像逃生口令那样,做到“停、放、跑”。社会工程人员攻击公司的最新案例是什么?就像知道火灾会对你家造成什么后果一样,了解这些是预防的第一步。要了解现代社会工程人员与身份窃贼所使用的方法有何不同。你可以在社会工程网站www.social-engineer.org/framework/Social_Engineering_In_The_News上查看有关社会工程人员、骗子、身份窃贼等的最新故事和案例。

另一个好方法就是阅读本书。本书包含了社会工程人员所使用的操纵对象的所有方法及原则。书中不仅涵盖了案例及绝妙的黑客攻击事件,还分析了恶意社会工程人员的思维方式和所使用的策略。

你还可以登录社会工程网站(www.social-engineer.org)的资源区观看视频,它们真实地演示了行动的过程。普通用户不需要通过视频了解如何亲自去执行这些攻击,只需了解社会工程人员是怎样进行攻击的就可以了。

一般来说,你越了解攻击的方式,就越容易“随时”识破它们。要了解社会工程人员使用的肢体语言、表情和措辞,这样当听到或看到某人使用这些方法时,你就会马上有所警觉。

你无需耗费大量的时间去学习社会工程方法。然而,时不时花几分钟时间阅读一下社会工程网站或其他网站上的新闻和案例有助于你了解现今社会工程人员攻击公司的方法。

在你对这些知识和审计过程有了基本的了解之后,接下来创建安全意识文化就相对简单些了。