公司对社会工程战略有哪些预防措施/培训？

Question

例如，如果有人打电话给像the这样的手机提供商，假装是另一个人来获取一些信息，那么the如何才能验证它是否是实际的人呢？我假设，如果有人策划了一次攻击，并且正在使用社会工程，那么他们就不知道受害者的用户名/密码。因此，当客户服务代表询问密码或密码时，攻击者就不知道了。

Answer 1

这方面有“脚本书”，有的用于操作员培训，有的甚至在接线员接听时放在接线员的办公桌上。他们详细说明了你可以说什么，你必须提供什么，以及操作者在任何可能的情况下都能做什么。

在这种情况下，those运营商会在他们的脚本手册中要求提供某种证据。攻击者要么可以提供，要么他不能提供。我看到了这样一本针对我国某家供应商的脚本手册，如果你要求，比如说，PIN重置或一个新的SIM，你要么被引导到销售点，在那里他们会询问你的身份证，要么要求通过传真或电子邮件发送它们。

作为一种常规的预防措施，在半定期(我不知道这是由电信运营商做的，但我在更敏感的客户关怀环境中看到的)一个假客户会打电话给一个两手帕哭泣故事，尽他/她最该死的说服运营商帮助他/她。如果他/她成功了，第二天，接线员就会接到管理层的电话，对安全规则进行不舒服的讨论。

这有两个目的:确保经营者至少有一些攻击的证据；以及加强他们对上述攻击的抵抗力，因为即使他们不怀疑这是一次社会工程攻击，他们仍然怀疑这是管理层在测试他们。

个人故事:我有一个习惯，在过去的日子里，向员工发送带有可执行附件的电子邮件，这些附件听起来像是扩音器，显示出“傻瓜！”在屏幕上，把确认的“命中”发回给我。有一天，我无意中听到一位同事在问：“我刚收到一份叫做QJWFWKEK.EXE的附件，我该怎么办？”--当我想“哦，不，他得到了一个真正的附件--还真有个白痴问该怎么办！”我听到他的同伴大喊：“看在皮特的份上，不要点击它！立刻删除它！这肯定是塞尔尼一直给我们发的那些陷阱之一！”

Answer 2

就像LSemi提到的脚本书籍、运行书籍等的挑战问题一样，你也可以通过运营商可以发送的多因素身份验证来获得挑战令牌。如果您正在寻找针对安全社会工程攻击和一些欺诈用例的正式培训，那么SANS有一个安全意识培训方案。作为一个无生命的人，这并不是免费的。

Answer 3

有一些方法可以识别某人是否是他(她)声称的那个人，而不用密码和引脚。像这样的公司有一些用户证书，如国家身份证号码，税号，社会保险号码。等等，独特的数字，人们通常保持“安全”。然后，公司员工需要遵守公司的操作手册，并遵循公司执行的所有识别步骤。大多数社会工程都是通过成功而获得成功的。人们正努力帮助客户尽可能少地制造麻烦，有时还会导致攻击的成功。