我们无法彻底阻止社会工程，但我们可以反击

一位女士走进某企业办公楼大堂。这是她第一次踏入这栋大楼。在场无人见过她。她不是员工。没有预约记录。没有身份凭证。 

但从人们对她的反应来看，你不会知道这一点。事实上，他们根本没有反应。他们疲惫地无视她，就像办公室里一件十分无趣的用品。甚至算不上是休息室中的足球桌，而更像是用螺栓固定在地板上的塑料盆栽植物：常驻于此，不值得停下来欣赏。

她畅通无阻地大步走向接待台。

“嗨”，她有点不好意思地说道。

前台接待员猛然从电脑屏幕前抬头，热切神情透露出她正渴望找点事做。（财务部的 Jerry 又在回复本应私密的群发邮件。） 

当她注意到办公桌前的陌生人时，心中的轻松感很快就变成了困惑。她试图认出来访者，但失败了，于是沉思着拧起了眉头。

“我本不想打扰你，”这位女士继续说，“但我在隔壁的办公室面试时，把咖啡洒在了简历上。能不能请你帮我打印一份新的呢？我这里有文件。”

这位女士一甩手，亮出一个闪存盘。铛铛！接待员的脸上露出了笑容。她当然会帮助这个可怜又不幸的人。在洛杉矶的交通早高峰时间喷了几句脏话后，现在她需要积一点功德了。

接待员不假思索地将 U 盘插入电脑。两人闲聊之际，她找到驱动器上唯一的文件双击打开——这个动作将触发连锁反应，当日下班前整个网络将因此沦陷。 

你看，这份简历根本不是简历，而是一个巧妙伪装的恶意软件，它现在正在秘密地安装在接待员的电脑上。她没有怀疑任何事，谁又能责怪她呢？这位女士看起来人很好，她的父母也教育她要善良。

上述情节改编自真实事件，而我就是那个诱骗善意前台让公司系统失守的“访客”。善举未必有善报，对吧？

尽管确实需要强调，我实际上并没有用勒索软件感染任何人的计算机，我是在获得许可的情况下到那里的。该公司雇用我对该场所进行物理评估。（我多少算是擅长做这个）。正如你所见，我发现了一些弱点。

但我在做评估时，不管是物理评估还是数字评估，通常都会发现弱点。尤其是社会工程学的弱点。

尽管提供了各种培训、执法部门的公告、损失达数百万美元的盗窃故事以及专家（像我一样！）的警告，但社会工程攻击仍然继续让我们防不胜防。

你会觉得这很简单：“不要拿陌生人的 U 盘”。但社会工程学之所以有效，正是因为它利用了我们人性中最基础的本能，比如乐于助人的愿望。

骗子也会利用其他情绪。

为了激起这些情绪，骗子编造了假托的借口（假故事）和角色（他们扮演的角色）。例如：

“我是 IT 部门的 Susan，因为我是新来的，所以你还没有听说过我。但你听说过电子邮件迁移，对吗？我需要为你设置新帐户。你是你们部门的最后一个。如果我能知道你的密码……”

有时我认为为这些人创办一家剧院公司可以将社会工程攻击的数量减少一半。为他们的幻想提供一个健康的出口。嘿，我明白，我喜欢戴着假发闯入客户的大楼。

不是要成为一个悲观主义者，但我们确实需要面对事实。我们永远无法完全战胜社会工程学。我们绝对无法开发出攻击者无法通过巧妙伪装来欺骗的垃圾邮件过滤器。我们永远无法通过万无一失的测试来区分恶意伪造和真实，无论是来自银行的短信，还是拿着沾满咖啡渍简历的笨手笨脚的女士。

只要人们还有感情，骗子就会利用。（也许我们的 AI 主宰需要快点行动。）

这对我作为“首席人员黑客”的工作前景来说是个好消息，但对你们其他人来说却不是个好消息。

从好的方面来说，我多年来冒充欺诈者（自我指涉的！）的经验告诉我，我们在潜在攻击者的道路上设置的障碍越多，他们就越不可能让我们措手不及。

为此，以下是您的组织可以阻止社会工程攻击的一些最有效方法。

社会工程攻击之所以依赖于恐惧和社会压力等强烈情绪，就是让你在思考之前就行动起来。

哦，不 - 我的老板说，如果我不立即支付这张超大额度的发票，我们就会有大麻烦。最好现在就做！

我的建议是，要切实放慢速度并评估任何短信、电子邮件、电话或其他消息。说起来容易做起来难，但它是抵御社会工程攻击的最有效防御手段。如果大多数人在做出反应之前仔细阅读他们的电子邮件并提出问题，他们就会开始看到所有的危险信号就在他们眼前展开。

等一下。我们的供应商付款数额通常不会这么大。还有，为什么我的老板直接给我发电子邮件而不是通过会计系统发送？我最好跟进一下这个问题。

还有一条建议：在跟进可疑请求时，请尝试使用不同的通信渠道。如果您的老板发了一封奇怪的电子邮件，请打电话进行确认。如果原始消息是社会工程攻击，直接响应它会将您直接引导向骗子。

这似乎很明显，但太多的组织依赖于通用的网络安全培训，而这些培训并不针对其员工所面临的真正攻击。

我无法告诉你有多少次我审查了客户的培训，却发现它非常过时，专注于攻击者甚至不再做的事情。（淘汰：尼日利亚王子。加入：加密货币投资。）

意识培训应围绕行业标准最佳实践和组织的独特背景进行。您接到过特定类型的电话吗？骗子在针对你们的人时，是否会使用特定的借口和角色？将其纳入安全意识培训。

一种受到较少关注的训练类型是使用网络靶场演习。

网络靶场是模拟真实世界网络和网络攻击的物理或虚拟环境。我们使用它们来运行网络危机模拟，让高管和其他团队成员遭受模拟攻击（例如勒索软件感染），并观察他们的反应。

为了避免您认为我只是在为 Big Cyber Range 打广告，我要这样说：也许网络危机模拟的最大优点是它可以帮助您找出危机应对计划中缺少什么。

许多组织带着适当的计划走进我们的网络靶场，但当关键时刻来临时，他们很快就会发现这些计划中存在巨大漏洞：他们没有考虑过的攻击策略、他们从未分配的责任、他们从未澄清的通信计划。

通过执行网络危机模拟，团队可以在黑客来敲门之前确定谁负责什么以及谁与谁合作。这样，就不会出现梗图“这很好”狗狗一样的情景：人坐在休息室里喝咖啡，而网络正在燃烧。

阻止攻击者的最简单方法之一是要求对每项重要或异常请求进行验证：为发票付款、共享机密信息、帮助您的 CEO 为清洁人员购买 iTunes 礼品卡。

（好吧，最后一个绝对是骗局。）

问题在于，许多组织使用容易猜到的验证因素，例如生日或开始日期。相反，我推荐那些更难伪造或发现的因素。

例如，去年夏天，Ferrari 的一位高管通过询问欺诈者（他们使用语音克隆工具冒充 CEO！）是否记得真正的 CEO 最近推荐的书，挫败了一起未遂的电话钓鱼（语音网络钓鱼）骗局。慌乱的骗子立即挂断了电话。

除非您经营一家图书馆，否则您可能无法根据书籍推荐进行所有验证。但您可以执行其他操作。我的一位客户使用每周一更换的轮转密码。遗憾的是，这是他们使用的唯一验证因素，所以我仍然能够通过欺骗他人向我提供密码来入侵他们的系统。

这就引出了下一点：层级。不要只设定一个验证因素。要设定两到三个。请求的利害关系越大，要求提供的因素就越多。当诈骗者需要收集多项信息时，他们更难欺骗他人。

您可以让每个人都接受最先进的培训，并制定无懈可击的政策。如果人们没有必需的工具来实践你所宣讲的内容，那么这一切实际上都是空谈。

让我们回到刚才讲的故事。我对它进行了一些自由发挥。并不是没人注意到我。有个人注意到了 - 我尾随其进入大楼时身前的那个女人。

瞧，要进入，员工需要刷卡。我没有，所以我不得不使用古老的尾随艺术 - 也就是说，紧紧跟在某人身后，这样他们就会为你留门，因为把门砰的一声扇到你的脸上是很粗鲁的。

当我跟踪这位女士时，我能感觉到她有所察觉。她向我投来的恶狠狠的眼神说明了一切。意识到自己的身份暴露后，我做好了心理准备，准备迎接某个魁梧的保安把我抱起来，像卡通里面一样把我扔出去。

令我惊讶的是，这种情况并没有发生。在前台上演高潮对决之前，我可以像恶意软件仙子一样，花上几个小时到处安插 USB。

当我站在那里，看着接待员打印我的简历时，我听到身后发生了一段有趣的对话。有人在描述他们见过的一个人，天哪，听起来肯定很像我。我的着装。我的身高。我的发色。

我小心翼翼地回头瞥了一眼。她在那里。门口的那位女士向一名保安人员描述了我，他正在审视笔记本电脑上的摄像机信息。他在寻找我时，我站在数英尺之外。

不管怎样，我还是能在被发现前偷偷溜出去。

当我回去与客户讨论我的评估结果时，我问的第一件事是：“为什么要花这么长的时间？”当我进入大楼时，那个女人发现了我，但直到三四个小时后她才报告我的问题。

我们做了一些调查，结果发现她更早就想举报我。她只是不知道怎么做。她花了几个小时才找到正确的电子邮件地址，又花了几个小时才收到安全部门的回复。

我经常遇到这样的情况：一个人抓到我的尾随行为。我用我最开朗的声音说：“多谢！”。他们上下打量我。他们不认识我。但是他们应该怎么做？

他们不知道该说些什么。他们不知道如何阻止某人跟在后面，也不知道如何礼貌地拒绝陌生人使用打印机的请求。人们并不一定会被教导去质疑别人，因为想要帮助别人是人的天性，更别提直接说“不”了。

我的观点是，仅仅给出诸如“不要让陌生人进入大楼”或“向保安报告可疑人员”之类的命令是不够的。引导员工了解该过程的具体行动，并让他们有机会进行练习，以此作为培训的一部分。

如果您看到有人没有 ID 徽牌走来走去，而且他们看起来很陌生，请阻止他们。询问：“需要帮忙吗？我帮你登记吧。”如果有人要求使用打印机，可以说：“我首先需要为您弄到徽牌 - 只是一个形式！我们先去保安那里吧。”

并且不要指望人们能够记住这些步骤。当你面对真实情况时，很容易心浮气躁。确保每个工作站（每个设备和办公桌）都有一份随时可用的指南，以应对物理和数字社会工程攻击。包括重要的电话号码、电子邮件地址和分步报告说明。

如果那个女人一看到我就能采取行动，我就肯定骗不到接待员了。

所以，仔细想想，都是她的错。不是我的。