“盡管某些員工表示懷疑，但是沒有一家公司拒絕我們。只要我們打電話過去，仍然有一些員工樂意提供公司敏感數據給我們。”

Offensive Security的首席培訓師Mati Aharoni說“比賽關鍵目的不是要羞辱任何人，我們是想讓人們意識到，目前這種攻擊可能是入侵一家公司最簡單也是最有效的辦法之一，我們真心的不希望任何人受到傷害或者遭受到損失。”

社會工程學是一種黑客技術，它利用簡單的方法侵入到電腦系統中，并竊取一些敏感信息，而不是使用技術手段獲取數據行為，例如侵入計算機系統獲取相關數據。此次比賽的組織者表示，公司將購買安全軟件和設備以及建立防止數據泄漏的系統作為重點，但是他們忽視了一個致命的弱點：為企業(yè)工作的是人。

Aharoni說：“人力資源是整個企業(yè)中最薄弱和最容易受到攻擊的地方”，這正是目前黑客最常用的載體，也是最簡單的途徑，這通常就是人的因素。

10名參賽者，在一周的時間內，每人被分配了一個目標公司，并允許做“被動”網絡調查，以收集有關情報，并制定目標的攻擊計劃。他們不允許進行社會工程通話或使用網絡釣魚或其他網上方法來獲取這些信息。

Defcon黑客大會的參賽者有25分鐘撥打電話試圖獲取相關信息，這些信息被列在一張預先確定的列表中。通話被一個音響系統廣播，大部分參賽者獲得了勝利。

比賽組織者說：“參賽者被要求向這些公司詢問一些不重要的信息。例如什么公司提供垃圾服務，是否有自助餐廳，還有員工使用什么瀏覽器。”

根據比賽組織者表示，比賽中，沒有一個被詢問公司的員工被要求提供或給予任何財務信息，信用卡信息，個人資料或其他被比賽禁止的敏感信息，他們的網站是致力于對人們受到來自社會工程技術的危害進行教育。

在超過50名接聽電話的員工中只有3個人，表示了懷疑并且拒絕提供任何信息掛斷了電話，而且這3名都是女性。

“一名女性員工說 '對我來說這個問題聽起來有點可疑' 并且在20秒內掛斷了電話，”

“我們?yōu)樗恼啤?rdquo;

根據Hadnagy的表示，在另一個例子中，一名黑客幾乎得到了列表中30到40個問題的全部答案，還有一些不屬于正式名單的問題。“人們盡可能地開放自己的電子郵件客戶端，Adobe Reader，微軟Word的版本號，以及點擊'幫助/關于'按鈕，給出他們軟件的確切版本號，” Aharoni說。 “對于一個攻擊者來說，確切的版本號將取得更大的成功”，這將使黑客可以很方便的利用這個版本的已知漏洞。

這次比賽在正式開始之前引起了一些波瀾。 在本次比賽之后，FS-ISAC（財務服務與信息服務分析中心）在Defcon黑客大會上對公司發(fā)出警告。本次比賽的組織者與FS-ISAC進行了接觸并表示愿意與它合作，對有關辨別和預防社會工程攻擊進行教育和培訓。

【編輯推薦】

1. 黑客入侵三菱重工 大量潛艇導彈資料泄露
2. 《黑客自律公約》草案公布 向全社會征集意見
3. 以黑客的方式控訴　哈藥六廠官網被黑
4. 黑客防衛(wèi)之戰(zhàn)
5. 黑客入侵NBC發(fā)布劫機假消息