越來越多的企業(yè)開始注重互聯(lián)網(wǎng)的安全防護，以防止公司的內(nèi)部數(shù)據(jù)遭到泄漏。很多大型企業(yè)也在計劃著購進新一代的安全設(shè)備，乃至于升級他們的網(wǎng)絡(luò)瀏覽器。但是就在企業(yè)積極應(yīng)對網(wǎng)絡(luò)入侵的同時，卻忽略了一個重大的安全漏洞，而這種漏洞并不是由于技術(shù)側(cè)面導(dǎo)致的，反而是因為這些大企業(yè)沒有中意對員工進行基礎(chǔ)的社會工程學(xué)攻擊培訓(xùn)導(dǎo)致的。

社會工程學(xué)攻擊黑客，是指誘騙員工做或者說他們不應(yīng)該做和說的事情，社會工程學(xué)攻擊定位在計算機信息安全工作鏈的一個最脆弱的環(huán)節(jié)，即“人”這個環(huán)節(jié)上。這些社會工程黑客在Defcon黑客大會上成功攻入世界五百強公司，向我們展示了社會工程學(xué)攻擊的厲害。

在一次比賽中，黑客利用他們的社會工程學(xué)攻擊技術(shù)僅僅在數(shù)十分鐘內(nèi)就騙取了企業(yè)信息。首先參賽者通過大公司(包括微軟、思科系統(tǒng)、蘋果和Shell公司)IT員工獲取了所有可以用于計算機攻擊的信息，包括他們正在使用的瀏覽器和版本、用于打開pdf文件的軟件、操作系統(tǒng)和服務(wù)包號碼、郵件客戶端、使用的殺毒軟件，甚至是當(dāng)?shù)責(zé)o線網(wǎng)絡(luò)的名稱。

前兩名參賽者很快就拿到了這些信息。

Wayne是來自澳大利亞的安全顧問，他的任務(wù)是：獲取一家美國公司的數(shù)據(jù)，出于安全風(fēng)險考慮，這里不予以透露該公司的名稱。

他坐在隔音室里，首先聯(lián)系了IT呼叫中心，名為Ledoi的員工接聽了他的電話，他假裝是畢馬威會計師事務(wù)所的顧問迫于壓力進行審計調(diào)查，這樣Ledoi透露了很多細節(jié)信息。

Wayne沒有回答Ledoi關(guān)于員工號碼的問題，而是立即談?wù)撍�是如何迫于老板壓力，需要盡快完成這次審計調(diào)查。而Ledoi僅在這家新公司工作一個月，不出幾分鐘，Ledoi似乎愿意透露任何Wayne想知道的信息，Ledoi甚至訪問了Wayne建立的假的畢馬威會計師事務(wù)所網(wǎng)站。最后Wayne還答應(yīng)請Ledoi喝啤酒。

在通話后的采訪中，Wayne簡直不敢相信自己的運氣，“我想他們是一家相當(dāng)大的公司，他們肯定做了大量內(nèi)部安全審計，對社會工程學(xué)攻擊防御應(yīng)該十分到位。”

隨后，比賽組織者表示，他是當(dāng)天最努力的，但幾乎每個人都透露了或多或少的信息，這次比賽的組織者之一Chris Hadnagy相信受害者會透露密碼等敏感信息，“他們甚至愿意發(fā)送家人的照片。”

比賽規(guī)定禁止詢問任何敏感信息，或者針對某種類型的阻止，如政府或者金融機構(gòu)。即使如此，這次比賽甚至在未開始之前就讓人神經(jīng)緊繃，上個月，Hadnagy就接到美國聯(lián)邦調(diào)查局詢問本次比賽內(nèi)容的電話。

作為安全顧問，已經(jīng)做了15年這種類型的社會工程學(xué)攻擊工作，Wayne表示，在比賽之前，他花了20小時進行偵察，他知道如何呼叫IT呼叫中心，使用怎樣的名字讓他過關(guān)。

他承認(rèn)碰到這樣一位剛?cè)牍�司的人是他的運氣，新員工通常能夠透露最多的信息，“如果你遇到的是公司多年的員工，你可能什么都聞不到，因為他們經(jīng)常遇到這樣的事情。”

第二名參賽者Shane MacDougall決定跳過呼叫中心，直接聯(lián)系另一家知名公司的安全人員，他自稱是為CSO雜志做安全調(diào)查。

他接觸的第一個人知道他在做什么，在拒絕回答幾個問題后，便彬彬有禮的掛斷了MacDougall的電話，“這些問題我不想回答。”

參賽者只有25分鐘來進行社會工程攻擊，所剩時間不多，MacDougall很快地選擇了在公司工作兩個月安全工程部門的合約雇員Ryan，在詢問關(guān)于工作滿意度以及食堂食物質(zhì)量問題后，他開始透露其他信息。

Ryan透露的信息包括：操作系統(tǒng)Windows XP，殺毒軟件是McAfee VirusScan 8.7，電子郵件是Outlook 2003，瀏覽器IE6。

隨后MacDougall讓他訪問網(wǎng)站獲取25美元的調(diào)查優(yōu)惠券，Ryan也欣然前往。

此次比賽獲勝者將獲得iPad。