《欺骗的艺术》读书笔记

  1. 人的因素是安全过程中最薄弱的环节。
  2. 你只要说你是一个写书的或者写电影剧本的,每个人都会对你开绿灯。
  3. 把重要的问题掺杂在琐碎的、不合逻辑的问题中间,这样可以给人一种可信的感觉。
  4. 不要在得到关键信息后马上结束谈话。再问两三个问题,闲聊几句,然后才说再见。以后,如果受害者记起你曾经问过什么,则极有可能是最后几个问题,其他的通常都忘掉了。
  5. 两三样信息可能就足以支撑起一次成功的假冒行为 —— 社交工程师冒用别人的身份。取得职员的名字、他的电话,以及他的职员编号 —— 或许,最好也能得到其经理的名字和电话 —— 这样,即使一个半瓶子醋的社交工程师,也有了足够的信息,使自己在给下一个目标打电话时听起来非常可信。
  6. 安全培训需要强调一点:当你有疑虑时,必须确认,确认,再确认。
  7. 执法部门的人跟军队里的人一样,从接受训练的第一天起就形成了一个根深蒂固的等级观念。只要社交工程师扮作警官或中尉 —— 级别比跟他谈话的人高 —— 受害者就会拘于一条长时间得来的教训,即“不要质问比你职别高的人”。级别,换个说法,就是特权,尤其是不被级别低的人质问的特权。
  8. 每个人都应该明白社交工程师的伎俩:获得尽可能多的与目标有关的信息,再利用这些信息使人相信自己是内部人员。然后一剑封喉。
  9. 逆向社交工程学:一种社交工程攻击方式。攻击者建立起这样一个场景:让受害者遇到问题,并向攻击者寻求帮助。逆向社交工程学的另一种表现形式是以其人之道还治其人之身。攻击目标识别出自己受到了攻击,从而利用心理学原理来牵制攻击者,并且从他那里引诱出尽可能多的信息,进而有效的保护目标资产。
  10. 新员工最容易成为攻击者的目标。他们认识的人还不多,也不太清楚公司的办事程序,以及什么该做什么不该做。而且,为给人留下良好的第一印象,他们急于表现自己是多么乐于合作与反应迅捷。
  11. 第一条原则:除非万不得已,否则不要造访他们的办公室。仅凭着电话中的声音,他们是很难认出你来的,而如果他们不能人称认出你,那就不能逮捕你。