您现在的位置: 好书推荐
2014年12月01日 来源:北京阅读季
时间:
《反欺骗:世界传奇黑客的经历分享》
出版社:清华大学出版社
作者:(美) 米特尼克(Mitnick, K. D.),(美) 西蒙(Simon, W. L.)
译者:潘爱民
出版时间:2014年08月
当克里斯给了我商户号码和他们用来向CreditChex请求服务的电话号码以后,如果我继续问她从CreditChex能得到哪些信息,则对我将会有极大的帮助。但最好不要碰这样的运气。
现在我如同有了CreditChex的一张空白支票。任何时候我想打电话了解情况都可以。我甚至不需要为该服务付费。正如后来所发生的那样,CrcditChex的代表很乐意提供我想知道的情况:我的客户的丈夫最近在两个地方申请开户。那么,即将成为他前妻的那位夫人要找的财产到哪里去了呢?除了CreditChcx上列出的那两家银行,还能有哪里?
骗局分析
这整个骗局建立在社交工程领域中的一个基本策略基础之上:获取那些在尚未造成危害时公司职员认为无害的信息。
第一个银行职员确认了在致电CreditChex时描述标识信息的用语:商户号码。第二个给出了致电CreditChex所用的电话号码,以及更重要的信息,即银行的商户号码。所有这些信息在银行职员看来都是无害的。毕竟,银行职员认为自己在跟CrcditChcx公司的人讲话——既然如此,透漏该号码又有何妨?
所有这些工作为第三个电话打下了基础。格雷斯掌握了给CreditChex打电话所需要的一切信息,他假扮成来自他们的某一个客户银行,即国家银行,然后直接询问他需要的信息。
就像一个出色的骗子善于窃取钱财一样,格雷斯善于窃取信息,懂得察言观色之妙用。他深知“把关键的问题隐藏在无关紧要的问题当中”这一普遍策略,也知道用一个私人问题就能测试出第二个职员是否愿意合作,然后在不经意间向她询问商户号码。
第一个职员所犯的错误,即确认CrcditChcx身份号码的用语,几乎不可能避免。这一用语在银行业是广为人知的,因而它显得毫无重要性可言。这是一个典型的被认为无害的信息。但第二个职员,克里斯,不应该在尚未确认电话对方的身份是否如他所宣称的那样之前就轻率地回答问题。她至少应该记下他的名字和电话号码,并给他打电话回去;这样的话,如果以后发生了什么问题,那她至少还记录下这个人使用过哪个电话号码。在这个案例中,像这样回打一个电话将使攻击者很难冒充CrcditChex的代表。
北京百道世纪网络信息技术有限公司及其平行公司北京百道世纪教育科技有限公司下属的网络媒体平台百道网、百道网微信、帮书店微信,以及百道学习APP和小程序等平台上发布的文章,版权属于北京百道世纪网络信息技术有限公司所有,或北京百道世纪网络信息技术有限公司与著作权人共同拥有,严禁转载。任何纸媒、网媒或社交媒体需要发布或转载,请与版权专员联系(service@bookdao.biz),获得授权后,方可转载。对于任何未经授权的转载,我们将依法追究其侵权责任。
扫描二维码 分享文章