社会工程师还会采取直接攻击,开门见山的索取想要的信息。他们会伪装成处理公司故障的工人或者其他角色,降低目标的警戒心,一举致命。
熟悉公司的行话、组织结构、各个办公场所和部门,以及每个部门在做什么,掌握了哪些信息,是社交工程师成功的基础。所以,确定一个人的信息不能仅凭直觉,必须要有有效的身份验证方式。
当公司为保护信息资产制定政策后,所做的安全培训必须针对公司的每个员工,而不是仅仅针对那些有权通过电子或物理方式访问到信息资产的人。
在谈论公司信息的时候,必须要确定对方是谁,在和谁谈。
安全培训中应该注意,不要因为对方知道公司里某些人的名字,或者了解公司的行话和办事程序,就听信他说自己是谁就真的是谁,这更不意味着他有资格知道公司的内部信息,或者有权进入公司的计算机系统或网络。
当你有疑虑时,一定要确认,确认,再确认,核实对方的身份,坚决不能仅仅听信对方的一面之词,即使他声称是你的上司。在如今的社会上,每个级别的工人,即使不使用计算机,也是有可能成为被攻击的目标。
技术层面的网络安全就是信息之间的相互信任,而社会工程学里的安全便是人的相互信任。人的信任感一旦受人控制,那么他就会错误地信任别人。
一个人越是让你觉得他公事公办,你越会对他打消怀疑,这样,社交工程师们可以轻易取得对方的信任了。
当我们需要帮助某个人的时候,一定要认真的想一想,自己是否真的认识那个人,在这里,认识是在现实社会里认识,并且还不是点头之交。我们每个人都应该学会观察,思考和质疑。