一家大型金融集团的客户服务中心每天会接到成百上千个电话,客户打来咨询问题、办理业务或者投诉建议。客服人员都经过专业培训,熟悉业务流程,也接受过信息安全方面的基本培训,知道不能随意透露客户的隐私信息。
有一天,客服小王接到了一个电话。来电人自称是公司内部审计部门的张经理,说正在做一项紧急的内部安全审查,需要核对几位高管的个人信息。他准确地报出了其中一位副总裁的姓名和部门,语气非常自信,听起来就像是一个内部同事。他还说这是紧急任务,需要小王配合,不然会影响审计进度。
小王按照来电人的要求,从系统中查出了副总裁的联系电话、家庭住址、身份证号码和紧急联系人信息。来电人又通过聊天式引导,套出了公司内部会议的时间安排、部分会议室使用的密码以及几位高管出差的具体行程计划。
这个所谓的张经理当然不是公司的人。他是一个专业的社会工程学攻击者,专门通过电话诈骗的方式获取企业内部信息。他事先通过公司官网、新闻报道和社交媒体收集了一些关于这家公司的公开信息,然后用这些信息来构建可信的对话场景。他选择打电话给客服部门,因为他知道客服人员习惯于帮助人,对他们来说配合别人是工作本能。
攻击者拿到这些信息后,利用副总裁的个人信息,尝试重置了他的几个个人账号的密码。由于很多互联网服务的密码重置流程只需要验证姓名、身份证号和手机号,攻击者轻松通过了验证,控制了副总裁的多个个人账号。这些账号中有几个绑定了他常用的企业邮箱的备用恢复方式。
接下来的事情就顺理成章了。攻击者利用这些个人账号拿到了企业邮箱的访问权限,然后通过企业邮箱又拿到了公司内部系统的访问权限。整个过程就像一个连锁反应,一次简单的电话诈骗引发了一系列的安全突破。等到事情败露时,攻击者已经成功从公司内部系统中获取了大量的客户信息和商业数据。
安全团队事后调查时发现,这起事件中暴露出的是整个社会工程学防御体系的薄弱。公司虽然有安全培训,但培训内容主要聚焦在网络钓鱼邮件的识别上,对于电话诈骗这种形式的攻击则缺乏针对性的训练。公司的内部信息管理也过于松散,在公开渠道上能够找到太多公司内部人员的详细信息,给攻击者提供了充分的情报基础。
防范社会工程学攻击需要从几个维度共同努力。在制度建设层面,企业要建立严格的内部信息核实机制。任何人通过电话或邮件要求提供敏感信息时,必须通过独立的渠道进行身份验证。比如客服人员接到自称内部同事的电话要求查询信息时,应该通过公司内部通讯录找到对应部门的电话回拨确认,而不是直接照着来电号码回复。
在培训层面,企业需要对所有员工,特别是客服、前台、行政等需要和人打交道的岗位,进行专门的社会工程学攻击防御培训。培训内容不能只是照本宣科地讲理论,更好使用真实的案例来让员工理解攻击者的手法和话术。可以定期开展模拟测试,让专业的测试人员假装攻击者给员工打电话,看看员工是否会上当。
在技术层面,企业可以减少对外暴露的信息量。官方网站、招聘信息、公开报告上面不应该出现内部员工的详细联系方式,特别是高管的个人信息。客服系统中需要建立信息查询的权限分级和审批机制,即使客服人员接到了看似合理的请求,敏感信息的查询也需要主管级别的审批授权。
社会工程学攻击之所以难以防范,是因为它不直接攻击技术系统,而是攻击人的心理弱点。再好的防火墙和入侵检测系统,也无法抵御一个精心设计的话术。
