“同意"钓鱼

同意与授权

越来越多的企业转移到云上，魔高一尺，网络攻击者开始采用一些新的，非常巧妙的方法来劫持存储在云上的数据，这就是所谓的“同意钓鱼”。

这是一种社工的新型式，“同意钓鱼”使用恶意应用程序寻求用户的许可(而不是询问他们的密码)，以建立对云服务和应用程序的合法访问。这类应用程序不需要在用户的机器上执行代码，因此可以轻松规避终端安全软件。

类似OAuth2.0这样的授权技术目前被微软、谷歌和Facebook等许多领先的公司所使用。一个最新的典型案例就是对SANSInstitute的攻击，攻击者使用恶意Office附加程序，通过“同意”，将SANS员工的电子邮件账户自动转发到攻击者的邮箱。从而导致了个个人身份记录的泄露。

2.“”社会工程学

泄密无处不在

无论是和平时期还是战争时期，间谍为了获取情报，无所不用其极，照相、窃听、潜伏......,这些手段我们在电影中都见识过，在网络攻防的世界里，这些手段也被用来对付一些特定的目标，达到特定的目的。

在RSA大会上，黑客JohnStrand曾经分享过一个故事，他曾经让他的母亲帮忙，成功混入目标机构，将一个特殊u盘带入，而他则坐在咖啡馆里接收数据，从而成功社工。

式的社工，将网络和现实拉近了距离，在网络站愈演愈烈的当今，这种过去属于保密范畴的问题值得引起网络安全专业组织的重视。垃圾箱、打印机、桌面、碎纸机、门卡、废旧或遗失的U盘、WiFi等等，都有可能是社工所