1.1.5 电子攻击

你的组织更有可能遭受的，应该是某种形式的电子攻击（也叫网络攻击）。有人可能会破坏防火墙并在数据中心内开后门，但更有可能出现的情况，则是在你的工作环境中安插恶意软件，然后促使这款恶意软件从内部向外界打开一扇后门。

笔者听一位安全专家做过演讲，那位专家现场演示了怎样入侵某个组织。这些入侵手段根本就都没有利用防火墙的漏洞，它们利用的都是人的某种弱点，以促使员工自己去打开这个后门。这确实相当可怕。

这些恶意软件通常是通过网络钓鱼（phishing）或者社交欺骗[2]的手段安插的，攻击者会利用这些手段，诱导员工把恶意代码直接下载到他的工作环境里面。具体的手段可能涉及一封电子邮件、某个已经挂了恶意代码的网站，甚至是一通欺诈电话。（在刚才提到的那次演讲中，有一个例子是攻击者通过给手机充电的线缆来部署恶意软件。如果员工把这样的充电线连接到计算机的USB端口，而且开启了通过USB端口传输数据的功能，那么就会中招。）只要能打开一个口子，恶意软件就可以通过各种方式散播到整个组织。