欺骗的艺术

要么做出一个荣誉学位的毕业设计来加强学校的计算机安
全，要么由于黑客行为而中止学业

一种是通过诈骗、欺骗
来获得钱财，这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的，
这就是社会工程师。

人们对于绝对安全的渴望常常导致他们满足于
虚假的安全感之中。

人为因素才是安全的软肋。

二十世纪最受
尊敬的科学家爱因斯坦这样说道：“只有两种事物是无穷尽的――宇宙和人类的愚蠢。

著名的安全顾问布鲁斯·施尼尔（Bruce Schneier）所说：“安全不是一件产品，它
是一个过程。”近一步说，安全不是技术问题，它是人和管理的问题。

耐心、个性和坚持，这正是欺骗的艺术的切入点。

爱汝之邻
文明，终归只是一层脆弱的薄板。

可总是对他人怀有戒心，担心上当受
骗，会活得很累。

事实上，她的犹
豫给了我一个重要的线索，提醒我必须给她提供一个可信的理由。

激警（BURN THE SOURCE）：攻击者如果让对方看出来攻击的意图称为激警。一旦对
方有所警觉并通知其他人员，以后再想套出类似的信息就十分困难了。

秘密通信地（Mail Drop）：社会工程师把租来的邮箱称为秘密通信地，通常是用假名字
租用的，用来接收受骗者发来的文件和包裹。

有时仅仅知道内部的专用术语，就可以让社会工程师显得知道很多并可以信赖，攻击
者常常利用这个普遍的错误观念来操纵受骗者。

秘点（DEAD DROP）：很难被别人发现的存放信息的地方。在传统的间谍活动中，秘点可
能是一堵墙壁上某块松动的石头。对于计算机黑客来说，一般都是位于遥远国度的互联网上
的一个站点。

软心糖安全：贝尔实验室的贝劳文和切斯威克提出的说法，用以描述一种安全状况。外
部防御十分强壮，如防火墙，但其后面的设施却十分脆弱。这个说法来自于 M＆M 巧克力，
这种糖果有着坚硬的外壳和柔软的糖心。

地下酒吧式的安全：知道自己想要的信息在哪里，并且使用一个词或是名称来获得对此
信息或计算机系统的访问权的一种安全形式

隐晦安全：一种效率低下的计算机安全手段，通过对系统运转细节（协议、算法和内部
系统）的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统，因此这
种安全并不可靠。

双因素认证：用两种不同的验证方式对身份进行确认。比如，一个人必须从某个可确认
的地方打来电话并知道口令来确认自已的身份，然后工作人员从你的信息中选出某个条目
（通常为社会保险号码、出生日期或是母亲的姓氏）来询问你，如果你的答案正确，这就是
第二次的验证――基于你应该知道的信息。

欺骗网址 1 l
为什么人们可以注册欺骗性和不合适的域名？现行的法律和互联网政策规定，任何
人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者，但结果并不
理 想 。

安全套接层协议：网景开发的用于互联网上客户与服务器端的安全认证协议。

如果一个人在公司里地位相当低，通过提及权威人士工作的胁迫方式很有效，利用重要
人物的名字不仅可以消除正常的不愿和怀疑，而且经常让人热情的满足要求。

哑终端：一台没有处理器的终端。只能响应简单的控制码和显示字符及数字

逆向骗局：一种入侵手段，让被攻击者向攻击者寻求帮助。

当你偷钱或者商品时，会有人注意
到它的发生。当你偷窃信息时，大多数情况下没有人会发觉，因为他们仍然拥有这些信息。

P136 第十章
暂时搁置