票那里获得我需要的信息，甚至不用付费。从前面的情况看出，信誉支票的客服代表十分愿意为我提供信息，于是我知道了我客户的丈夫最近在两个地方申请建立账户。那他将要离婚的妻子寻找的那笔资产在哪里呢？无论在哪家银行，信誉支票都会将其列出吧？

    过程分析

    整个过程都基于社会工程师的基本策略之一，获得公司职员认为无关紧要的信息（实际上它是有用的）。第一个银行职员肯定了打电话给信誉支票时确认身份的术语，第二个职员提供了电话号码和最至关重要的信息——jiāo易号。透露这些信息对于她们来说似乎是无所谓的，毕竟她们认为与之jiāo谈的是信誉支票的工作人员，把号码说出来又有什么不对呢？

    前两个电话为第三个电话打下基础，格瑞斯已经具备给信誉支票打电话需要知道的一切信息，于是冒充信誉支票的客户——国家银行，轻松地查询信息。

    格瑞斯窃取信息的技巧丝毫不逊于一个高超的骗子诈骗钱财时所用的手段，在了解人方面格瑞斯久经磨练。他懂得把关健信息藏在无关紧要的信息中，也知道在套出jiāo易号之前用私人问题来测试对方的配合程度。

    第一个银行职员在确认信誉支票专业术语上的错误几乎是最难防范的，这种专业用语在银行业几乎人人都知道，因此显得无关紧要——无害信息最普遍的表现形式。但第二个职员，克瑞丝，不应该在确定打电话人的身份真实与否之前，就非常乐意的回答问题。她至少应该询问对方的名字和电话号码并拔回，这样如果日后发生问题，她还有一个打电话人所使用电话号码的记录。在这个案例中，拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成很大的困难。

    米特尼克信箱

    这个案例中的jiāo易号相当于一个密码，如果银行工作人员将其与自动取款机的个人识别码（PIN）一样看待，便会对它的敏感xìng给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢？

    用以前记录的银行电话号码给信誉支票回拔一个电话（不要用对方提供的号码），以验证对方是否在那儿工作，信誉支票是否正在做一项客户调查，这样的电话还是有必要打的。现代社会人们的工作时间都很紧张，而且这样的确认电话会占用不少时间，考虑到现实中的实用xìng，建议工作人员在对对方的目的xìng有所怀疑时打回一个确认电话。

    工程师的圈套

    很多人都知道，猎头公司使用社会工程学来扩大业务范围，这里有一个例子：

    在90年代末，某个不怎么道德的职业介绍所签了一家新客户，一家正在寻找有通讯行业工作经验的电气工程师的公司。负责这个项目的经理是一位女士，有着有磁xìng的嗓音，和充满诱惑力的言谈举止，这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电话服务提供商进行一次偷袭，以期找到一些可能会投奔到竞争对手那里的工程师。她当然不能直接给接线员打电话说：“我要找五年经验的工程师”，那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息，电话公司人人都可以告诉别人的信息，巧妙的发动了这次袭击。

    第一个电话：接线员

    攻击者使用迪迪?桑德斯这个名字给移动电话服务商的总机打了一个电话，对话情形大致如下：

    接线员：下午好，我是玛丽，您有什么事情？

    迪迪：请帮我接运输部好么？

    接：我不一定能找到这个号码，我查一下目录，您是哪位？

    迪：我是迪迪。

    接：您在公司大楼里还是在……？

    迪：不，我在外面。

    接：

『加入书签，方便阅读』