有这样一种工作，银行或机构付钱给黑客，让黑客通过社会工程和物理攻击的方法入侵自己，以测试机构本身对社会工程和物理攻击的抵抗力。

杰森·史崔特就是专门从事此种特殊工作的黑客。史崔特曾受雇入侵过酒店、企业数据中心、银行，金融中心，甚至金库。安全牛之前的一篇长篇报道中曾讲述过他的光荣事迹（关注“信息安全知识”，回复“黑客迈阿密”可阅读《黑客迈阿密纪实》），今天我们来看一看他是如何利用社会工程入侵银行的。

下图为摄像头实时拍摄一个典型的银行营业厅场景。大厅的人并不很多，一名银行职员在窗口工作。过了一会，银行主管走到左边跟顾客打招呼。在摄像时间35秒的时候，杰森穿着一件黑色的印有“DEF CON”字样的上衣出现了。

他不只是出现在银行里，他出现的地方，即使是银行里的工作人员也要授权进入的地方。而且，这所银行并不在美国，杰森在这里即不是顾客，也不是本地人。在这里，他是一名外国人。

杰森在做针对这家银行的渗透测试，包括物理安全和网络安全，但银行里的职员并不知道这些。几秒钟后，银行主管指向一台银行工作人员正在使用的计算机，杰森点头示意自己知道了。过了一会儿，他可以物理访问银行的计算机系统了。

他在柜台内一台计算机上插入一个U盘，运行上面的软件，而银行工作人员则需要给他腾出地方，并停止给客户服务。杰森目前所做的行为，意味着已经完全进入银行的安全保护领域。之后，他又在另外的几台计算机上重复了上述行为。

尽管杰森在银行里忙来忙去，但到银行工作人员似乎毫不在意。摄像时间记录显示，他在银行共呆了超过20分钟，然后才离开。

为什么他能如此自由？从视频上看，杰森径直走进银行，接着就开始工作，如同他是这个地方的老板。那么问题来了，“信心”在社会工程师的工作中占有多大比例呢？

“给别人一种知道自己在做什么的感觉，99.9%的社会工程工作就在于此。但并不是只有社会工程师才拥有这种绝地武士般的心理控制力。“

在一段时间内，杰森·斯崔特能够访问整个银行。工作人员站在那里看着他安装软件、收集用户账号、口令，和银行计算机上的智能卡。是因为他是个外国人的缘故，所以银行工作人员怕有什么不礼貌的言行吗？

“这不是文化背景的问题，也不是国别的事情。无论世界上哪一个地方的人，其大多数反应是一样的。”

原因就在于“凡事往好处想的思维模式”。

杰森称这个过程为“可爱的基础型破坏”（BAD），因为实施这种行为并不需要高端的技术，顶多在进入“工作”地点前，到谷歌上花点时间。实际上，视频中看到 的银行只是此次工作中的其中一家。其他几家银行均被杰森进入，安装软件、自由访问限制区域，甚至在一家银行杰森还带走了一台计算机。

“人们不愿意去想坏事情会发生在自己的身上，因为这有违人性。”

没有人期待坏事情发生，比如黑客随机的闯入并破坏企业的安全。人类不会去想，也不愿意去想坏事情发生在自己身上。这种想法，很容易在人群中传播开来。

“如果我能给他们一个合理的解释，而不是坏消息，他们会相信好的一面。他们会努力去相信好的一面，否则就只能去考虑坏事发生，而那是人类所不愿接受的。”

杰森·斯崔特还提供了另一个在纽约市某机构进行社会工程渗透的例子。

当斯崔特进入这家机构的时候，大厅里已经有特警队和搜查队在工作了，另外还有8名警卫和其他的保护措施。他的目标是楼上，但首先他需要通过设立着安全检查点的前厅。与银行相比，这家机构应该很难渗透，但事实并非如此。

“我必须穿过8名警卫守着的电梯前厅，而不是办公区前厅。”

带着一封伪造的电子邮件，斯崔特等到下午晚些时候才开始行动。挑选这个时间，是因为这个时间段人特别多。

先是与一名警卫交谈，最终斯崔特攀谈上了一位要上楼到目标办公室的人。这样就给看守检查点的警卫带来一种错觉，好像他与内部人员是一起的。于是，斯崔特得到了一个标有他名字和照片的安全标牌。手里拿这个标牌，斯崔特来到了目标楼层。

他走进目标办公室，在首席财务官助理的计算机中安上恶意软件。他的行为引起了一位网络管理员的注意。这位网络管理员来到办公室，跟斯崔特说，他发现了来自财务官计算机的网络流量的激增，于是来看看是怎么回事。

斯崔特把伪造的邮件让管理员查看，邮件上写着斯崔特前来做一个特别检测，因为机构老板很不高兴。结果，这位管理员带着斯崔特走到每一台计算机前，安装他的恶意软件。因为，管理员认为他即然有安全标牌也有说明问题的电子邮件，就相信了他的合法身份。

“最可怕的事情不是没有安全，而是认为自己很安全。”

避免甜言蜜语和微笑

大人们老是告诫孩子陌生人是危险的，而斯崔特认为成年人也应该警醒这一告诫，尤其是涉及到信息安全问题的时候。

“我们应该谨记，陌生人的危险不仅仅针对孩子。在你保护的区域发现陌生人，如同孩子在操作或工作人员在办公区一样。如果你不认识这个人，就去弄明白他到底是谁。”

保护企业和员工的关键点在于，让他们用所能使用的信息来武装自己。比如，打一个电话报告可疑的事情，一封不寻常的邮件，某人在不该在的地方转悠，异常的网络活动，甚至是与平常不一样的业务程序。再强调一遍，关键点在于赋予员工权力并鼓励他们拨打报告电话。

“可能会有成千上万封垃圾邮件需要响应，但里面可能就会有一封摧毁塔吉特的HVAC邮件。这些人，这些员工将会是企业拥有的最大的入侵检测系统。”

然而，除非这个庞大的员工入侵检测系统（IDS）设置到正确的位置，否则它与IT部门把一台闪着灯光的机器（指IDS）扔到架子上后一走了之没有什么区别。 而且，即使一台没有设置好的IDS可以在安全审计时起到帮助作用，但对企业长期来说却没什么实际意义。如同，信息安全意识培训一般都可以帮助企业通过审 计，但除非意识培训设置的恰当并保持下去，否则便毫无作用。

表面上看，信息安全意识是一个很容易达到的安全标准，容易实施和管理，但实际并不是这样。“陌生人的危险”在大多数成年人的意识中并不存在。这又是为什么呢？

“我们觉得自己是安全的是因为我们的安全控制，我们认为安全控制是没有漏洞的，有漏洞的只是我们人类。但实际上，安全控制与人类一样有着漏洞。我们必须认识到这一点，并去改善我们的安全措施和我们自己。”

安全行业长久以来，都有着一种“建立围墙”的观念。这种观念认为，如果墙建的足够高足够厚，就能够提供足够可靠的安全。但现如今，这种思想已经站不住脚。

“我们要开始理解，我们的围墙永远不可能建得足够高或足够厚。我们要开始在这些围墙上设立岗哨，注意那些向墙内窥视的人。我们不仅要显示出入侵何时发生，还要 显示出入侵发生时我们是如何快速检测到的。因此，我们不是要建立一堵只是抵抗入侵的围墙，而是要建立一堵能够轻松检测出入侵何时发生的围墙。正是这种应急 响应机制才是最关键的，而不是完全依靠防止入侵的机制。”