每次看到群发的email,总是有些让人很无语的地方。
其一:群发的目的email地址列表都是明文显示的,这样就给社会工程学攻击提供了一个非常好的靶子。
举个例子,A是email群发者,B、C是其中两个收信人,而且两人不认识,C的名字以及与A的关系有可能会在有email里面明显透露(这里假设C为A的母亲)。
那么B有很多种方式可以恶意攻击,比如以A朋友的身份对C进行金融诈骗(诈骗的方式就不多说了,非常多的方式的,不带坏小孩子),从心理学的角度来讲,C相信B的概率非常大,因为直觉认为:作为朋友能知道自己子女和自己关系的人,肯定是子女最亲密的朋友。
诈骗很有可能成功。
社会工程学就是这么简单,很细节的地方,总是容易折射很多的其他信息。
如何解决这个问题呢?有很多方法,最简单的莫过于把地址都放到密送里,别人也就无法查看了。
以前在Sun的时候,他们采用的是另外一种方式,把各个项目组的联系人,在邮件服务器上分成相应的工作组,这样发给整个群组的邮件,属于这个组的人都可以收到,而显示上只有一个地址,比如testproject.company.com,这种方法也属于比较明智的。
欧美的公司确实在有些地方比我们先进。
