駭客大騙局

這兩天接連爆出了花旗的網站客戶資料漏洞案，
以及地政機關戶籍謄本可輕易申請的案件，
我們的生活裡，
將慢慢發現科技的便利，
其負面的效應也將隨之而來。

這本書其實並不是談論跟電腦或電信專業有關的書籍，
書裡頭所說的都是「保密」與「安全」的觀念。
而作者利用一段段有趣的故事，
來提醒大家應該注意的一些細節。

我本身的工作，
其實與這個有很大的關連，
就如同書裡所說的，
大公司在預防駭客入侵或資訊外洩的機制上，
其實都花了很大的人力與資源，
但往往造成損失的，
通常都不是因為技術上的問題，
而是觀念上的問題。

書中最主要在描述「社交工程駭客」的行為與伎倆，
這些駭客不需要利用到艱深的技術，
只需要注意一些細節，
擁有騙人的天分，
然後知道一些行話，
那他便可以輕易取得信任，
進一步得到他想要的資訊。

[全文:]

看完了這本書之後，
我也發現了，
一些看似不重要的資訊，
但組合在一起之後，
可能就是一個很重要的東西。

舉個我個人發現的狀況來說明：

我經常在某品牌服飾的門市消費，
基本上台中各家分店的工作人員我都很熟悉。
如果我想取得一件免費的衣服或褲子，
那我應該怎麼作呢？

首先，
我可能會先取得各分店的號碼，
然後順便取得我想知道那件衣服的貨號。

之後，
我可能會先假冒台中某間分店的員工，
然後打電話到另一間分店，
然後詢問是否有這件衣服的某個SIZE？
如果有我可能會要求他先幫我保留，
因為我這間店有客人要。

然後過一會，
也許再打電話過去，
說明客人已經結帳，
他想回家時順道過去拿，
你能不能將衣服直接給他，
這樣客人就不需要改天再回來店裡拿一次了。

以上的狀況，
在許多門市店都會發生。
而通常確認是否已經付費，
靠的是一張很容易取得或偽造的單子。
甚至連取貨時，
都可以聲稱單子忘了拿或不見了。
那為什麼這樣的手法有可能會成功呢？

因為你在與對方確認的時候，
表明了你的身份，
而你的口氣，
詢問的方式，
都讓他誤以為你是自家人，
因為信任感已經建立，
所以成功的機率當然很高啦！

而上述的這個行為，
就是社交工程駭客的伎倆。

而書裡便是舉了許多的故事，
讓我們知道，
許多我們看似不重要的資訊是相當重要的。

有心人可能利用婉轉的方式，
從同一間公司，
不同的單位，
不同的職員，
取得他們想要的資料，
而這些靠的僅是溝通與建立信任。

所以說，
看一看這些故事，
可以讓我們對許多事更小心，
也更不容易成為受害者。

當然，
這本書的用意是提醒我們預防這些行為，
可千萬別學著書裡的方式，
來磨練自己的社交技術。
這年頭，
被抓到的機會也蠻大的，
哇哈哈！

總結：
是本有趣的書。
而我覺得這是 I.T. 人員必備的書籍。