第8章 案例研究:剖析社会工程人员
安全之本在于教育。
——马蒂·阿哈罗尼
本书涵盖了如何成为一名杰出社会工程人员的各个方面。若将这些内容运用于实践,社会工程人员会成为难以对付的人。
上学时,学生通过学习历史来了解什么可为、什么不可为。历史是一个很伟大的工具,能告诉我们过去哪些行为成功了以及为何会成功,也能为我们指明前进的方向及方式。
社会工程的历史也不例外,纵观其整个发展史,充满了欺诈和偷窃行为,也有很多人为对抗恶势力鞠躬尽瘁,奉献了一生。
要探讨专业社会工程攻击的方方面面是十分困难的,因为这种行为要么是非法的,要么由于委托合同的限制不能公开讨论。幸运的是,凯文·米特尼克(Kevin Mitnick,世界著名的社会工程人员及计算机安全专家)共享了许多有趣的故事供我们了解。本书从他的著作《欺骗的艺术》中选取了一部分故事。
本章我从米特尼克的书中选取了两个最著名的案例,简单重述了凯文的做法,分析了其中涉及社会工程方面的内容,并且讨论了大家能从中学到什么。
分析完那两个案例之以后,我会分析自己的两个案例,以表明信息获取之简单,以及利用信息入侵整个公司又是何等地轻而易举。最后,我会公开两个不能透露来源的“最高机密”,但你会发现从这些故事中可以学到很多东西。我的目的是告诉你,即使是一丁点信息,若落入技术高超的社会工程人员手中,也会造成极大的破坏性。同时,你也可以看到社会工程人员如何从之前的成败中吸取经验教训,以提高自己的技能。
下面让我们来看看第一个案例。