越來越多的企業(yè)開始注重互聯(lián)網的安全防護，以防止公司的內部數(shù)據(jù)遭到泄漏。很多大型企業(yè)也在計劃著購進新一代的安全設備，乃至于升級他們的網絡瀏覽器。但是就在企業(yè)積極應對網絡入侵的同時，卻忽略了一個重大的安全漏洞，而這種漏洞并不是由于技術側面導致的，反而是因為這些大企業(yè)沒有中意對員工進行基礎的社會工程學攻擊培訓導致的。

社會工程學攻擊黑客，是指誘騙員工做或者說他們不應該做和說的事情，社會工程學攻擊定位在計算機信息安全工作鏈的一個最脆弱的環(huán)節(jié)，即“人”這個環(huán)節(jié)上。這些社會工程黑客在Defcon黑客大會上成功攻入世界五百強公司，向我們展示了社會工程學攻擊的厲害。

在一次比賽中，黑客利用他們的社會工程學攻擊技術僅僅在數(shù)十分鐘內就騙取了企業(yè)信息。首先參賽者通過大公司(包括微軟、思科系統(tǒng)、蘋果和Shell公司)IT員工獲取了所有可以用于計算機攻擊的信息，包括他們正在使用的瀏覽器和版本、用于打開pdf文件的軟件、操作系統(tǒng)和服務包號碼、郵件客戶端、使用的殺毒軟件，甚至是當?shù)責o線網絡的名稱。

前兩名參賽者很快就拿到了這些信息。

Wayne是來自澳大利亞的安全顧問，他的任務是：獲取一家美國公司的數(shù)據(jù)，出于安全風險考慮，這里不予以透露該公司的名稱。

他坐在隔音室里，首先聯(lián)系了IT呼叫中心，名為Ledoi的員工接聽了他的電話，他假裝是畢馬威會計師事務所的顧問迫于壓力進行審計調查，這樣Ledoi透露了很多細節(jié)信息。

Wayne沒有回答Ledoi關于員工號碼的問題，而是立即談論他是如何迫于老板壓力，需要盡快完成這次審計調查。而Ledoi僅在這家新公司工作一個月，不出幾分鐘，Ledoi似乎愿意透露任何Wayne想知道的信息，Ledoi甚至訪問了Wayne建立的假的畢馬威會計師事務所網站。最后Wayne還答應請Ledoi喝啤酒。

在通話后的采訪中，Wayne簡直不敢相信自己的運氣，“我想他們是一家相當大的公司，他們肯定做了大量內部安全審計，對社會工程學攻擊防御應該十分到位。”

隨后，比賽組織者表示，他是當天最努力的，但幾乎每個人都透露了或多或少的信息，這次比賽的組織者之一Chris Hadnagy相信受害者會透露密碼等敏感信息，“他們甚至愿意發(fā)送家人的照片。”

比賽規(guī)定禁止詢問任何敏感信息，或者針對某種類型的阻止，如政府或者金融機構。即使如此，這次比賽甚至在未開始之前就讓人神經緊繃，上個月，Hadnagy就接到美國聯(lián)邦調查局詢問本次比賽內容的電話。

作為安全顧問，已經做了15年這種類型的社會工程學攻擊工作，Wayne表示，在比賽之前，他花了20小時進行偵察，他知道如何呼叫IT呼叫中心，使用怎樣的名字讓他過關。

他承認碰到這樣一位剛入公司的人是他的運氣，新員工通常能夠透露最多的信息，“如果你遇到的是公司多年的員工，你可能什么都聞不到，因為他們經常遇到這樣的事情。”

第二名參賽者Shane MacDougall決定跳過呼叫中心，直接聯(lián)系另一家知名公司的安全人員，他自稱是為CSO雜志做安全調查。

他接觸的第一個人知道他在做什么，在拒絕回答幾個問題后，便彬彬有禮的掛斷了MacDougall的電話，“這些問題我不想回答。”

參賽者只有25分鐘來進行社會工程攻擊，所剩時間不多，MacDougall很快地選擇了在公司工作兩個月安全工程部門的合約雇員Ryan，在詢問關于工作滿意度以及食堂食物質量問題后，他開始透露其他信息。

Ryan透露的信息包括：操作系統(tǒng)Windows XP，殺毒軟件是McAfee VirusScan 8.7，電子郵件是Outlook 2003，瀏覽器IE6。

隨后MacDougall讓他訪問網站獲取25美元的調查優(yōu)惠券，Ryan也欣然前往。

此次比賽獲勝者將獲得iPad。