由于社會化工程攻擊正變得日益復(fù)雜難于被發(fā)現(xiàn)，并且針對的目標也不再僅限于最終用戶，從而導(dǎo)致技術(shù)管理員以及數(shù)據(jù)中心工作人員也開始被包括在內(nèi)。業(yè)內(nèi)觀察家指出，由于客戶數(shù)據(jù)保護的難度進一步上升，這就意味著企業(yè)需要變得更加靈活，才能實現(xiàn)及時察覺盜竊信息企圖的目標。

兩星期前，原Gizmodo網(wǎng)站作者馬特·霍南發(fā)現(xiàn)自己的谷歌、推特以及蘋果iCloud賬戶在短短一小時的時間內(nèi)被全部黑掉。按照霍南在網(wǎng)絡(luò)日志中的說明：黑客所采取的方法是避開常規(guī)密碼安全機制直接針對蘋果公司技術(shù)支持團隊；在利用“極為聰明”的社會化工程手段來說服工作人員自己就是iCloud帳戶的真正所有者之后，黑客獲得了足夠權(quán)限來拿到其它密碼，而接下來的工作就是直接刪除了賬戶里面的所有個人數(shù)據(jù)。

按照沃特吉安全的副總裁馬克·鮑爾的觀點，這意味著社會化工程攻擊已經(jīng)開始選擇將針對目標從最終用戶轉(zhuǎn)移到企業(yè)技術(shù)管理人員身上。他補充說，這種事故在過去幾年里已經(jīng)發(fā)生過好幾起了。

鮑爾進一步解釋說：變得越來越精明的黑客已經(jīng)開始意識到，對于所有企業(yè)來說，人本身都必然是內(nèi)部技術(shù)安全體系中最薄弱的環(huán)節(jié)；換句話說，社會化工程可以成為獲取客戶信息的有效方法。

格林阿莫公司的首席執(zhí)行官約瑟夫·斯坦伯格補充說，黑客現(xiàn)在就經(jīng)常利用谷歌搜索引擎來對呼叫中心用于對客戶進行“身份驗證”的很多問題進行深入分析。他進一步解釋說，在發(fā)現(xiàn)社會安全號碼之類的個人信息之后，黑客就可以用來繞過各種不同平臺之上的守護者以及管理員設(shè)定的限制。

守護使公司亞太區(qū)的技術(shù)負責(zé)人保羅·達克林在鮑爾的觀點之上進行了深入分析并進一步指出：網(wǎng)絡(luò)犯罪分子正在針對“擁有必需數(shù)據(jù)的所有人與事物”。他解釋說，這些把戲不僅會涉及到管理員，甚至連家人以及朋友都可能遭遇波及。網(wǎng)絡(luò)犯罪分子往往會聲稱當事人正處于危險之中，為進行緊急救護他們迫切需要獲得更多的個人信息。

達克林補充說，如果攻擊者無法通過呼叫中心內(nèi)某位員工審核的話，他們就會改換門庭試圖繞過其余工作人員。他指出，在這一過程之中，黑客就可能會獲得企業(yè)以及內(nèi)部安全策略方面的相關(guān)信息，從而實現(xiàn)找到一條繞過途徑的目標。

來自守護使公司的高管表示：“由于和工作人員進行頻繁溝通屬于非常簡單的事情，這就意味著騙子可以直接針對公司內(nèi)部的所有員工——最終用戶與管理員之間并不會存在任何差別”。

堅持使用最佳方案

為了達到更有效地防范此類安全隱患的目標，達克林建議企業(yè)設(shè)立一個交流平臺，讓最終用戶以及內(nèi)部員工都可以對存在疑點的信息收集企圖進行及時報告。他指出，這樣的系統(tǒng)可以讓公司或者用戶更容易找出潛在的問題并及時進行有效處理。

他補充說，為做到可以禮貌而堅定地回絕無法確認身份的呼叫以及提出不恰當問題的人員，呼叫中心也需要對工作人員進行專門培訓(xùn)。盡管員工絕對不能直接回答這些問題，但可以選擇請求呼叫者留下詳細信息，并在確認之后予以回電。他指出，那些不能提供詳細聯(lián)絡(luò)方式的人員往往就屬于不能被信任的類型。

來自Zscaler ThreatLabZ公司負責(zé)安全研發(fā)的副總裁邁克爾·薩頓發(fā)出呼吁，為了確保自己不受到攻擊，用戶就應(yīng)當選擇效果更出色的安全方案。

以霍南事件為例，薩頓指出：“如果蘋果、谷歌以及其它公司能夠堅持使用嚴格控制措施，馬特選擇遵循最佳方案的話，就算這種襲擊真的出現(xiàn)，導(dǎo)致的后果可能也不會象已經(jīng)發(fā)生的那么嚴重。如果保存在一個賬戶的數(shù)據(jù)對于其它賬戶沒有建立防范措施的話——這在什么時間都不能說屬于一個好主意”。