《反欺骗的艺术》摘抄其二

我将其安全性成为“糖果式的安全”，一个又硬又脆的外壳包着一个又软又耐嚼的内核，外边的壳，即防火墙，不能提供充分的保护，因为一旦入侵者绕过或穿透了防火墙，内部计算机系统将极为脆弱。 – —————第六章 “你能帮我吗？”

地下酒吧式的安全：这种安全依赖于（1）知道所要的信息在何处（2）使用某个词或名字来访问该信息或计算机系统，它实际上意味着某种形式的不加保护。 ————–第六章 “你能帮我吗？”

给予隐匿度的安全：一种不太有效的计算机安全方法，它依赖于对系统运行的细节情况（协议、算法和内部系统）进行保密，它错误地假设了在可信任的一群人外其他人无法进入系统，给予隐匿度的安全性对于社交工程攻击毫无作用，世界上的每一个计算机系统都至少有一个人会使用它。所以，如果攻击者能巧妙地对付使用者，则系统的隐匿度便变得无关紧要。 ————–第六章 “你能帮我吗？”

所有恶意代码中最具破坏力的形式——例如名为求爱信（Love Letter），Cam先生（Sir Cam），库娃（Anna Kournikiva）偶读依赖于社交工程学的欺骗技术，利用邮件附件的形式出现在用户前，声称可以提供某种非常有人的东西，比如机密信息，免费的黄色内容，或者——一种非常聪明的把戏——在邮件中说明所附文件是你订购的一件贵重物品的收据。 ————–第七章 假冒的站点和危险的附件

面对一个出色的社交工程师，无人能幸免于上当受骗，因为在正常生活中，我们并不总是经过深思熟虑之后再做出决定，即使是非常重要的事情，复杂的情形，时间的缺乏，情绪激动或精神疲劳都很容易是我们分神，所以我们的头脑会走捷径，未对信息做仔细全面的分析就轻易地做出决定，这个心智过程称作“自动反应” – ———第八章 利用同情心，内疚感和胁迫手段

不必惊讶，人们在选择密码的时候，总是丧失了所有创造力。 —————-第十章 侵入公司领地

出于某一种古怪的原因，防病毒软件厂商不再市场上发行可检测商业间谍软件的产品。 – ——————–第十二章 针对低级别员工的攻击

人们为了获取自己想要的东西，或为了摆脱窘境二想出来的种种欺骗手段是多么富于想象力，为保护公共部门和私有领域的信息和计算机系统，你必须使用同样的创造性和想象力。因此，在制定安全政策时，要发挥创造力，思路不能拘于窠臼。 ——————–第十三章 巧妙的骗术

社交工程师善于利用的，人总是愿意顺从他人的六种心理倾向

一、权威——提出请求者具有权威或被授权；
二、讨人喜欢——提出请求者讨人喜欢或与被害者有相似的兴趣，信念或态度；
三、汇报——提出请求者给了或承诺给某类有价值的东西或帮助（人情债）；
四、言行一致——人们一旦公开表示过支持或提倡一件事，这会倾向于兑现自己的承诺；
五、从众——如果一个人已经与其他人合作过，则未合作的人会倾向于满足其请求；
六、供不应求——如果人们认为自己寻求的东西资源紧张切面临竞争，则会倾向于满足请求。