致谢

致谢

2014年,我的生活发生了一些改变,其中一个较好的变化是我的团队在成长。我和米歇尔开始教授新成员一些钓鱼攻击意识方法论,这也让我意识到该再写一本书了。

我们在新闻中看到的网络攻击中大部分都利用了钓鱼攻击,但是人们仍然没有意识到钓鱼攻击是什么,以及应该如何抵御钓鱼攻击。

然而,我的客户见证了员工在面对网络钓鱼邮件时的惊人变化——从80%以上的点击率和少得可怜的汇报率到低于10%的点击率和超过60%的汇报率。随着时间的推移,这些数据仍在朝着好的方向发展。

我最近完成了《社会工程 卷2:解读肢体语言》1,并告诉妻子我会暂时停笔休息一段时间。而当我又开始写作时,我变成了个隐士。妻子说我“难对付”。我仍然记得那个场景——我们在公路上开车,我想着可以通过谈论一些近期的安全新闻来激起我写本新书的欲望。于是我开始谈论钓鱼攻击为什么是个大问题,并说我希望能有一本书可以帮助人们解决问题。

1该书已经由人民邮电出版社出版,书号9787115382467。——编者注

在我说完后,我那既聪慧又有惊人洞察力的妻子说:“不,不要现在就开始写另一本书。”我做了每个好男人在这种情况下都会做的事,把责任归咎于我的得力助手米歇尔。

“我和米歇尔认为这是个好主意,另外她会负责主要的写作工作。”

如今摆在这里的就是我们的最终成果——一本细致的关于如何增强企业钓鱼防范意识的书。渗透测试中的审计者常常利用钓鱼攻击来获取远程访问权限,但本书不会谈到渗透测试中使用的钓鱼攻击。本书主要是为了让人们了解他们所在的组织机构会遇到的钓鱼攻击并为此做好准备。

我想感谢很多人,没有他们的话,这本书不可能成功出版。

再一次,感激我的妻子阿丽莎。感谢你的耐心和支持,你总是让我畅所欲言,即使你并不想谈论这个话题。我爱你。

米歇尔,尽管最后我没有让你负责大部分的写作任务,但是如果没有你的支持,这本书也许就不会完成。谢谢你。

卡罗尔,你为这本书付出了很多。我想让你知道你的努力没有被忽视。感谢你的支持。

夏洛特,和你一起工作很开心,很顺利,也很有收获。谢谢你。

大卫,你知道的,当你没有跟我开玩笑、拿我活跃气氛、取笑我、让我尴尬或者用恼人的音乐让我生气的时候,你还是很不错的。谢谢你对本书的贡献。

尼克·菲诺克斯,谢谢你让我借用你的想法。你长期的支持和建议是我继续下去的理由。

平·卢克,七八届Black Hat会议前,如果当时你没有花3个小时和我谈话并向我推荐米歇尔,帮我调整心态,那么也许就不会有这本书了。

我的队友——阿曼达、迈克、科林、杰西卡和塔玛拉,谢谢你们在我和米歇尔需要抓紧写作的时候支持并帮助我们。

罗宾,真是见鬼了,谁能想到一起工作这么年后我们会是现在这样呢?谢谢你长期的支持、友谊和帮助,也十分感谢你为我的这本书作序。

我忠实的客户、顾客和朋友们同意我使用他们的点子,谢谢你们。

我知道我的前两本书无法让所有人都满意。对于这本书,肯定有人读过之后会喜欢,有人读过之后会反感。如果你发现了错误,或看到了你不喜欢或者不同意的部分,请联系我和米歇尔,给我们一个机会来解释或者更正。

我希望你能看到本书背后付出的汗水和心血,你会发现这本书不仅有趣,同时也对你理解、教授和抵御钓鱼攻击有所帮助。

再次感谢你们让我在你们心中停留一小会儿。

——克里斯托弗·海德纳吉,Social-Engineer公司CEO和创始人

尽管没人会为了取乐而读一本关于钓鱼攻击的书,但我还是希望你在这本书中能乐趣和实用性兼得。我写作本书的主要动机不仅是出于对客户的关心,也出于对身边人的关心。我希望他们的生活能够更安全。我的侄女和侄子已经伴随着互联网长大了,想到他们可能在人生真正开始前,就已经成为了网上身份信息窃取的受害者,我感到有些忧虑。因此,这不是一本专门写给安全专家看的书,而是一本写给所有通过网络与世界相连的人看的书。

正如克里斯托弗所提到的,一本书的写作过程需要得到很多支持。如果我遗漏了谁,那么我提前在这里道歉。要是没有你们的帮助,我可能还在整日为这本书忙碌。

和我丈夫结婚对我写作本书是一大益处。事实证明,他能够一边忍耐冷了的或者烧糊了的晚餐,一边做研究并修改我的书稿。我不知道我们就着比萨(通常是由于晚餐冷了或者烧焦了)进行过多少次 “你真的想写那个吗”的讨论。谢谢你,亲爱的。

克里斯托弗,你本可以让其他人帮忙的,而我得到了这个机会,我很感激。

阿曼达、迈克、科林、杰西卡和塔玛拉,你们知道自己有多努力,我也知道。谢谢你们。

Wiley公司的卡罗尔和夏洛特,谢谢你们让我感觉到我的第一次出书经历如此美好。

——米歇尔·芬奇,Social-Engineer公司首席影响官

(Chief Influencing Agent)

目录

  • 版权声明
  • 献词
  • 致谢
  • 引言
  • 第 1 章 真实世界的钓鱼攻击
  • 第 2 章 决策背后的心理学原则
  • 第 3 章 影响与操控
  • 第 4 章 保护课程
  • 第 5 章 规划钓鱼攻击旅程:开展企业钓鱼攻击项目
  • 第 6 章 积极的、消极的和丑陋的:公司政策及其他
  • 第 7 章 专业钓鱼攻击者的工具包
  • 第 8 章 像老板一样进行钓鱼攻击