黑客稱多數財富500強企業員工缺乏安全意識

據國外媒體報道，最近，由一群精英黑客充當的測試者對17家財富500強企業中的135名員工進行了安全意識測試，結果發現只有五位員工無論如何也不肯透露他們公司的任何信息。更令人驚訝的是，這五名員工竟然全部是女性。

名企員工普遍缺乏安全意識

這是組織者繼上月舉辦全球最負盛名的Defcon黑客大會後，實施的一次「社會工程學」（Social
Engineering）安全測試活動。社會工程學，準確地說，不是一門科學，而是一門藝術和學問。它利用人的弱點，以順從你的意願、滿足你的慾望的方式，讓你上當受騙。此次測試的結果耐人尋味。組織者已向美國聯邦調查局簡要匯報了他們的測試結果，但是他們還擬於下周發佈一份更為詳細的報告。

在這個為期兩天的測試活動中，測試者選擇了17家大型企業，包括谷歌、沃爾瑪、賽門鐵克、思科、微軟、百事、福特和可口可樂。測試者們坐在一個用樹脂玻璃製成的電話亭中，在觀眾的監督下，分別給這幾家著名企業的員工打電話，試圖套取他們公司的信息。

結果令人大跌眼鏡，測試者們竟然輕鬆得手，測試活動的組織者克裡斯-哈德納吉說。只有一家公司沒有洩露自己的信息，但原因只是無人接聽電話。「如果我們選擇其中的任何一家公司進行社會工程學方面的安全測試，恐怕沒有一家公司能夠及格。」哈德納吉說。

在測試中，測試者不允許索要密碼或身份證號等異常敏感的信息，而只准套取那些可能會被別有用心的黑客們利用的信息，例如被測試者安裝的操作系統、防病毒軟件和瀏覽器等信息。他們還竭力說服被測試者訪問未經安全認證的網頁。

在測試中，人們發現了一種有趣的現象：約有一半的公司仍在使用眾所周知具有嚴重安全漏洞的IE
6瀏覽器。而且，當測試者說服這些企業的員工訪問一個專為本次測試活動設計的外部網站時，這些員工最後總是乖乖就範，真的按照測試者的要求行事。

這個結果表明，即使安全防禦措施最嚴密的公司，也可能因為員工在無意中洩密而土崩瓦解。

安全培訓不能一勞永逸

思科公司的高級安全顧問克裡斯多弗-伯吉斯說，這些安全威脅是實際存在的。「在現實生活中，許許多多的公司都會接到像這樣的假冒電話。」他說，「這已成為不法分子套取信息的一門絕活。」

有人曾打電話給思科公司，謊稱他們的系統崩潰，情勢危急，企圖誘使員工洩露他們本不該洩露的信息，伯吉斯說。「我們就是要訓練我們的員工，讓他們認識到社會工程學是一門手藝，許多別有用心的人欲借此操控他人實施某種行為或洩露敏感信息。」

思科公司已將其安全培訓手冊公之於眾，以期其他公司能從中有所收穫。儘管思科是此次社會工程學測試活動中被測試的公司之一，但是組織者哈德納吉並沒有透露它以及其他任何一家公司的信息。

回顧此次測試結果，伯吉斯說這表明了我們的安全培訓計劃一刻也不能放鬆。「在安全培訓方面，你不可能做到一勞永逸。」他說，「你必須經常變換花樣地開展這種培訓。」

許 多測試者通過假冒內部審計人員或實施常規調查的顧問而成功地套取到了他們希望得到的信息。伯吉斯認為，員工應該知道何時掐斷這種假冒電話。「如果要從此次
測試活動中總結一條經驗，我認為這條經驗就是：最好的防禦方法就是培訓你的員工，在接聽電話時，如果辨認不出對方的聲音，請在提供有關公司的信息之前，先
確認一下談話的對象是誰。」

女性員工的安全意識更強？

伯吉斯沒有談論為何所有拒絕測試者的員工均是女性。然而，根據組織者哈德納吉的觀點，不同的攻擊方法對不同的人的作用效果是不同的。也許測試者使用的這種社會工程學方法對女性並不起作用。

儘管如此，這五位女士的表現仍然令人敬服，哈德納吉承認，「在通話的前15秒，他們就直接回絕說『這個好像不太適合我』，然後就毫無猶豫地地掐斷了電話。」然而，令人洩氣的是，他們同事的表現卻沒有這麼好。

「顯而易見，他們已在職業培訓中獲得了某種安全意識。」他說。這五位女性員工拒絕測試者的原因還可能在於：所有的測試者都是男性。「當有男性摻和進來時，女性本能地會變得警覺起來。」

在 這五位女性員工中，有三位是公司經理。一般來說，女性經理遭受社會工程學攻擊的可能性極小，Lake
Missoula公司的總裁、曾為好幾家金融服務公司做社會工程學測試的安全顧問喬納森-哈姆說。「他們對人的信任感非常低，是最具有懷疑精神的一群
人。」他說，「在針對公司高層的安全測試中，我常常會繞過女性職員，而專挑男性員工來打電話。」