|
|
||||
|
资
讯安全小贴士 |
||||
|
0 张相片 |
||||
|
销售员东尼参加了一个业界研讨会,希望从中认识有潜质的客户,开拓销售机会。坐下不久,一名男士坐在他身旁,送上咭片,名叫彼得,是东尼所属公司的竞争对 手之一。东尼为了掩饰身份,所以用了一间公司的假咭片和对方交换。他希望将来透过这个假身份,套取对方公司的销售计划和手法。而这张咭片上的姓名电话都是 东尼真实的资料,但地址和公司名称则属於朋友。 东尼和彼得寒暄过后,彼得离开时遗下了一只「USB手指」。东尼没即时交还彼得,因为他认为「USB手指」可能存有重要资料。 东尼回家后尝试开启「USB手指」,但它已被软件加密,不能直接开启。为免令彼得怀疑及影响当中的资料,东尼先复制了内容,再把「USB手指」交还给彼 得。其后,他在复制本中尝试解密,他用「已有的资料」来猜测密码,不需很多功夫便成功了。 「USB手指」内除了对方产品资料外,更有用的是对方客户的联络资料,并有些公司连结,东尼开启了几个较陌生的公司网址。令他喜出望外的是找到彼得的收入 记录。看到其销售额竟然比自己的高很多,而且佣金很可观,东尼心想如果自己能进入对方公司工作便好了。 以上故事看似完结,但主角东尼并非「社交工程攻击」的攻击者,而是配角彼得。彼得的身份是假的,他是猎头公司的成员,他应客户的要求设下这个圈套去抢夺对 手几名销售额较高的销售员,以及对手的客户资料。当东尼开启资料时,他已走进圈套里。加密了的资料,其实是让东尼觉得内里资料更可靠。而那些客户公司的连 结,是用来打开东尼电脑的工具,他按了那些陌生连结,当中的假网站是用来建立入侵的通道。更重要的是东尼看到「更理想」的薪酬,而成为了彼得的猎物。只要 彼得的猎头公司找其他人接触东尼,他「跳槽」的机会便很高。而东尼「盗取」了那些假的商业机密,他会因有「痛脚」在他人之手,而更容易就范。当东尼准备成 为对手公司的员工前,他或被要求变成本身所属公司的内部攻击者。 我们应注意: (1)在没有更多证据下,别单靠咭片就相信对方的身份。 (2)「社交工程攻击」并非只收集资讯,还可透过「发放资讯」而达到目的。USB手指内那些收入记录,正正是让对方堕入圈套的工具。 (3)「贪」是让人堕入圈套的有效工具。若东尼不是贪图USB内的资料,就不会中圈套。贪心的后果,令东尼身不由己出卖自己公司,甚至被别人利用,成为商 业攻击的工具。
|
||||
| <<返回特 写>> <<返回页顶>> |