由于社會(huì)化工程攻擊正變得日益復(fù)雜難于被發(fā)現(xiàn)，并且針對(duì)的目標(biāo)也不再僅限于最終用戶(hù)，從而導(dǎo)致技術(shù)管理員以及數(shù)據(jù)中心工作人員也開(kāi)始被包括在內(nèi)。業(yè)內(nèi)觀察家指出，由于客戶(hù)數(shù)據(jù)保護(hù)的難度進(jìn)一步上升，這就意味著企業(yè)需要變得更加靈活，才能實(shí)現(xiàn)及時(shí)察覺(jué)盜竊信息企圖的目標(biāo)。

兩星期前，原Gizmodo網(wǎng)站作者馬特·霍南發(fā)現(xiàn)自己的谷歌、推特以及蘋(píng)果iCloud賬戶(hù)在短短一小時(shí)的時(shí)間內(nèi)被全部黑掉。按照霍南在網(wǎng)絡(luò)日志中的說(shuō)明：黑客所采取的方法是避開(kāi)常規(guī)密碼安全機(jī)制直接針對(duì)蘋(píng)果公司技術(shù)支持團(tuán)隊(duì)；在利用“極為聰明”的社會(huì)化工程手段來(lái)說(shuō)服工作人員自己就是iCloud帳戶(hù)的真正所有者之后，黑客獲得了足夠權(quán)限來(lái)拿到其它密碼，而接下來(lái)的工作就是直接刪除了賬戶(hù)里面的所有個(gè)人數(shù)據(jù)。

按照沃特吉安全的副總裁馬克·鮑爾的觀點(diǎn)，這意味著社會(huì)化工程攻擊已經(jīng)開(kāi)始選擇將針對(duì)目標(biāo)從最終用戶(hù)轉(zhuǎn)移到企業(yè)技術(shù)管理人員身上。他補(bǔ)充說(shuō)，這種事故在過(guò)去幾年里已經(jīng)發(fā)生過(guò)好幾起了。

鮑爾進(jìn)一步解釋說(shuō)：變得越來(lái)越精明的黑客已經(jīng)開(kāi)始意識(shí)到，對(duì)于所有企業(yè)來(lái)說(shuō)，人本身都必然是內(nèi)部技術(shù)安全體系中最薄弱的環(huán)節(jié)；換句話(huà)說(shuō)，社會(huì)化工程可以成為獲取客戶(hù)信息的有效方法。

格林阿莫公司的首席執(zhí)行官約瑟夫·斯坦伯格補(bǔ)充說(shuō)，黑客現(xiàn)在就經(jīng)常利用谷歌搜索引擎來(lái)對(duì)呼叫中心用于對(duì)客戶(hù)進(jìn)行“身份驗(yàn)證”的很多問(wèn)題進(jìn)行深入分析。他進(jìn)一步解釋說(shuō)，在發(fā)現(xiàn)社會(huì)安全號(hào)碼之類(lèi)的個(gè)人信息之后，黑客就可以用來(lái)繞過(guò)各種不同平臺(tái)之上的守護(hù)者以及管理員設(shè)定的限制。

守護(hù)使公司亞太區(qū)的技術(shù)負(fù)責(zé)人保羅·達(dá)克林在鮑爾的觀點(diǎn)之上進(jìn)行了深入分析并進(jìn)一步指出：網(wǎng)絡(luò)犯罪分子正在針對(duì)“擁有必需數(shù)據(jù)的所有人與事物”。他解釋說(shuō)，這些把戲不僅會(huì)涉及到管理員，甚至連家人以及朋友都可能遭遇波及。網(wǎng)絡(luò)犯罪分子往往會(huì)聲稱(chēng)當(dāng)事人正處于危險(xiǎn)之中，為進(jìn)行緊急救護(hù)他們迫切需要獲得更多的個(gè)人信息。

達(dá)克林補(bǔ)充說(shuō)，如果攻擊者無(wú)法通過(guò)呼叫中心內(nèi)某位員工審核的話(huà)，他們就會(huì)改換門(mén)庭試圖繞過(guò)其余工作人員。他指出，在這一過(guò)程之中，黑客就可能會(huì)獲得企業(yè)以及內(nèi)部安全策略方面的相關(guān)信息，從而實(shí)現(xiàn)找到一條繞過(guò)途徑的目標(biāo)。

來(lái)自守護(hù)使公司的高管表示：“由于和工作人員進(jìn)行頻繁溝通屬于非常簡(jiǎn)單的事情，這就意味著騙子可以直接針對(duì)公司內(nèi)部的所有員工——最終用戶(hù)與管理員之間并不會(huì)存在任何差別”。

堅(jiān)持使用最佳方案

為了達(dá)到更有效地防范此類(lèi)安全隱患的目標(biāo)，達(dá)克林建議企業(yè)設(shè)立一個(gè)交流平臺(tái)，讓最終用戶(hù)以及內(nèi)部員工都可以對(duì)存在疑點(diǎn)的信息收集企圖進(jìn)行及時(shí)報(bào)告。他指出，這樣的系統(tǒng)可以讓公司或者用戶(hù)更容易找出潛在的問(wèn)題并及時(shí)進(jìn)行有效處理。

他補(bǔ)充說(shuō)，為做到可以禮貌而堅(jiān)定地回絕無(wú)法確認(rèn)身份的呼叫以及提出不恰當(dāng)問(wèn)題的人員，呼叫中心也需要對(duì)工作人員進(jìn)行專(zhuān)門(mén)培訓(xùn)。盡管員工絕對(duì)不能直接回答這些問(wèn)題，但可以選擇請(qǐng)求呼叫者留下詳細(xì)信息，并在確認(rèn)之后予以回電。他指出，那些不能提供詳細(xì)聯(lián)絡(luò)方式的人員往往就屬于不能被信任的類(lèi)型。

來(lái)自Zscaler ThreatLabZ公司負(fù)責(zé)安全研發(fā)的副總裁邁克爾·薩頓發(fā)出呼吁，為了確保自己不受到攻擊，用戶(hù)就應(yīng)當(dāng)選擇效果更出色的安全方案。

以霍南事件為例，薩頓指出：“如果蘋(píng)果、谷歌以及其它公司能夠堅(jiān)持使用嚴(yán)格控制措施，馬特選擇遵循最佳方案的話(huà)，就算這種襲擊真的出現(xiàn)，導(dǎo)致的后果可能也不會(huì)象已經(jīng)發(fā)生的那么嚴(yán)重。如果保存在一個(gè)賬戶(hù)的數(shù)據(jù)對(duì)于其它賬戶(hù)沒(méi)有建立防范措施的話(huà)——這在什么時(shí)間都不能說(shuō)屬于一個(gè)好主意”。