The Art of Deception
前言
一些黑客毀壞別人的文件甚至整個硬盤,他們被稱為電腦狂人(crackers)或計算機破壞者(vandals)。另一些新手省去學習技術的麻煩,直接下載黑客工具侵入別人的計算機,這些人被稱為腳本小子(script kiddies)。而真正有著豐富經驗和編程技巧的黑客,則開發黑客程序發布到網站或論壇(BBS)。還有一些人對黑客技術沒有絲毫興趣,他們把計算機僅僅當做竊取金錢、商品和服務的輔助工具。
盡管媒體神話了凱文.米特尼克,但我并不是一個用心險惡的黑客,我只是喜歡不斷地超越自己。
人之初
我的人生之路,也許在我很小的時候就注定了。三歲時,由于父親的離去,使我無憂無慮的生活發生變故。做招待的母親支撐著家庭。那時的我(一個由深受沒有工作規律之苦的母親養活著的獨生子),除了睡覺以外,大部位時間都沒人管,我就是我自己的保姆。
在圣費爾南多谷(San Fernanado Valley)的成長經歷給予我探索整個洛杉磯的機會,十二歲時,我發現了一個可以免費周游洛杉磯的方法。我發現到坐公車時購買的換乘券,是由一種非常規的打孔機打出來的,公車司機用它來在換乘券上標記日期、時間和路線。一位司機友好地回答了我精心準備的問題,于是我知道了在哪里可以買到這種特殊的打孔機。換乘券用來改乘車次從而到達目的地,但是我想出的方法,可以讓我使用換乘券免費到達我想去的任何地方。
獲得空白換乘券很容易,如同去公園散步般簡單,因為公車終點站的廢物箱中總是充斥著公車司機換班時未用完的換乘券本子。用一疊空白換乘券加上打孔機,我可以制作出我自己的換乘券,并用它行遍全洛杉機公車能夠到達的任何地方。很快,我就差不多記住了整個公交系統的公車時刻表。(我對某種信息的記憶力總是讓人驚訝,這一個較早的例子。直到現在,我還能記住遠在童年時的電話號碼、口令以及其它一些看上去十分瑣碎的事情。)
另一個在小時候就顯露出來的個人興趣是對魔術的迷戀。一旦我知道了某個魔術的變法,我就會不斷的練習、練習,再練習,直到我完全掌握。從某種程度上說,正是由于魔術,才讓我發現獲取秘密信息的樂趣。
從盜打電話到黑客
我首次接觸社會工程學的時候是在中學時期,那時我遇到了一位喜歡盜打電話的同學。“電話盜打”是一種利用電話公司雇員和電話系統來探測電話網絡的黑客行為。他向我展示了使用電話的高級竅門,比如從電話公司獲取任何一位客戶的資料,以及使用秘密測試號碼拔打免費長途電話。實際上這只是對我們來說免費,因為我后來發現這根本就不是一個秘密測試號碼,那些話費事實上從某些倒霉公司的MCI(譯者注:美國著名通訊公司)帳戶上劃出了。
這就是我對社會工程學的入門,也可以說是我的啟蒙階段。我的朋友還有后來認識的另外一個盜打電話的人,他們在給電話公司打電話時讓我在旁邊聽,他們是如何讓電話公司相信他們所說的話。于是,我知道了許多電話公司的辦公地點,他們的業內用語,還有辦公程序。這種“訓練”并沒有花多長時間,不久我便可以完全自己來做這些事情,甚至比我的啟蒙老師們做的還要好。
我生命中下一個15年的生活已經注定。
在中學,我最為喜歡的惡作劇就是獲得對電話交換機未授權的訪問,然后改變某個電話盜打者的話費設置。當他從家里打電話時,他的電話就會告訴他需要投入一角硬幣,因為電話公司交換機的記錄被我更改,從而認為他拔打的是一個投幣電話。
我開始關注有關電話的任何事情,不只是電子學、交換機和計算機,還有公司組織、業務手續和行業術語。不久之后,我就比任何一個電話公司的雇員都更加了解電話系統。我對社會工程學的運用也達到了嫻熟的階段,十七歲時,我就能與大多數電信公司的員工談論幾乎任何事情,無論是當面聊還是打電話。
實際上我較為公開化的黑客之路,始于中學。盡管在這里我無法說清原委,但其實一句話也能表達了。在我黑客生涯的早期,一個驅使我的動力就是被黑客圈子的人所接受。在那時,黑客這個詞是指一個花費大量的時間調置軟硬件的人,或是開發更有效的程序,或是繞過不必要的步驟來更快的完成工作。這個詞如今已經是一個帶有貶義的“惡意犯法者”的意思了,但在本書中,我仍然按原來對它更為善意的理解使用這個詞匯。
中學之后,我在洛杉磯計算機學習中心攻讀計算機。沒幾個月的時間,學校的計算機管理人員就意識到我發現了操作系統的漏洞,并取得了管理員權限,但是在學校的教學人員中,最好的計算機專家也無法弄清我是如何這樣做的。這也許是最早雇傭黑客的例子之一吧,他們給了我一個無法拒絕的提議:要么做出一個榮譽學位的畢業設計來加強學校的計算機安全,要么由于黑客行為而中止學業。當然,我選擇了前者,以本科優等成績榮譽學士畢業。
成為社會工程師
每天早晨,許多人從床上一爬起來,便開始對千篇一律的繁重工作犯愁。我卻很幸運,因為我喜歡我的工作。你簡直無法想像我作為一個秘密調查者而得到的挑戰、獎賞和快樂。我的天份在稱為社會工程學(使人們做在通常情況下不會為陌生人做的事情)的表演藝術中得到磨練和回報。
對我來說,成為社會工程學的行家里手并不困難。我父親家一連好幾代都從事銷售領域,因此家里人都有著說服和影響別人的家族特征。當把這種特征與騙人的愛好結合起來時,這就是一個社會工程師的基本輪廓了。可以說行騙藝術的分類有兩種,一種是通過詐騙、欺騙來獲得錢財,這就是通常的騙子。另一種則通過蒙敝、影響、勸導來達到獲取信息的目的,這就是社會工程師。從我使用詭計免費乘車的時候(我那時還小,并沒有認識到這樣做有什么不對),就逐漸意識到我具有一種以前沒有料想到的挖掘秘密的天份。通過使用詭計、了解術語和培養良好的操縱技巧,更為加強了這種天份。一個用來發展我的專業技藝(如果這可以稱為一個專業的話)的方法就是看我是否能與電話另一端的人攀談,并獲得相關信息,即便這些信息對我毫無用處,這樣做只是為了證明我的專業技巧。同樣,我還用此種方法,練習奇巧的計謀、托辭,不久我發現我可以取得我想關注的任何信息。正如我在數年后的國會聽證會上,在利伯曼(Lieberman)和湯姆森(Tompson)參議員面前所做的證詞中描述的那樣:
“我未經授權進入了世界上最大的幾家公司的計算機系統,并成功滲透了一些防范最好的電腦系統。我使用技術和非技術手段來取得各種操作系統和通訊設備的源代碼,以研究它們的漏洞和工作機理。所有的這些行為都是為了滿足自己的好奇心。看看自己能做什么,并發現其中的秘密,比如操作系統、移動電話以及任何能引起我好奇心的東西。”
最后的想法
自從被捕以后,我已經承認了自己這些行為的非法,侵犯了他人的秘密。我的錯誤行為是由于好奇心引起的,我抑制不住的想知道電話網絡是如何運轉的,以及了解計算機安全的每個細節。我從一個喜歡魔術戲法的孩子成為一個最具惡名的、被政府和企業害怕的黑客。當我反省過去的這30年時,我承認自己做出了極其拙劣的選擇,被好奇心驅使,被學習技術的欲望和智力挑戰的虛榮所駕馭。
但我現在已經轉變,我正在運用我的才能和信息安全、社會工程學的許多有關知識來幫助政府、企業、個人來檢測、防范和應對信息安全的威脅。本書可以把我的經驗較好地介紹給他人,以避免那些懷有惡意的信息盜賊可能帶來的危害。我相信,你將會從本書中得到樂趣、教育和啟發。
內容介紹
本書包含豐富的信息安全與社會工程學的知識,為有助閱覽,下面對本書內容做一個簡要介紹:
在本書的第一部分(第一章),我將展示信息安全的薄弱環節,并指出為什么你和你們的企業處于社會工程師攻擊的危險之下。
本書的第二部分(第二至九章),大家將會看到社會工程師是如何利用人們的信任、樂于助人的愿望和同情心使你上當受騙,從而獲得他們想要的信息。本書通過小說故事的形式來敘述典型的攻擊案例,給讀者演示社會工程師可以戴上許多面具并冒充各種身份。如果你認為自己從來沒有遇到過這種事情,你很可能錯了。你能從本書的故事中認出自己似曾相識的場景么?你想知道自己是否經歷過社會工程學的攻擊么?這些都極有可能。但當你看完了第二章到第九章時,便知道下一個社會工程師打來電話時你該如何占取主動了。
接下來的部分將展示一個社會工程師如何鋌而走險,進入企業內部,盜取關健信息并越過高級安全防控措施的過程。此部分內容會讓人意識到安全威脅存在于各個方面,從普通員工對企業的報復一直到電腦空間的網絡恐怖主義。如果你對保持公司業務運轉的數據和秘密信息十分重視并為之感到擔心,請仔細的閱讀本書第三部分(第十至第十四章)。這里需要注明的是:“除非另做聲明,本書中的故事情節純屬虛構。”
本書第四部分(第十五至十六章)我將談到,在業務對話中如何成功的防止社會工程學給企業帶來的攻擊。第十五章提供一套有效的安全防范培訓計劃;第十六章也許正解你的燃眉之急――它包含一個完整的安全策略,你可以按公司的需要來立刻應用,以保證企業的信息安全。
最后,本書提供一個由列表、表格組成的“安全一瞥”,用來概括說明一些關健信息,以幫助員工在工作中阻止社會工程學帶來的攻擊。這些方法還可以為你做出自己的信息安全培訓計劃提供頗具價值的幫助。
縱覽全書,你還可以發現一些非常有用的內容條目:“術語箱”提供社會工程學和計算機黑客的術語;“米特尼克信箱”發出精典短語,有助于加深安全策略的印象;注釋與工具條則帶來一些有趣的背景知識等附加信息。
第一部 幕后的故事
第一章 安全軟肋
某公司也許購置了能用錢買到的最好的安全技術,員工們也訓練有素,每晚回家前把所有的秘密都鎖起來,并從業內最好的保安公司雇用了保安,但這家公司仍然易受攻擊。一些人可能遵從了專家所有最好的安全建議,安裝了各種受推薦的安全產品,并十分謹慎的處理系統配置以及應用安全補丁,但他們仍然很不安全。
人為因素
在國會聽證會前的一次證言中,我解釋到我經常可以從企業獲得密碼口令或其他類似的敏感信息,只需假扮某人直接開口要就是了。人們對于絕對安全的渴望常常導致他們滿足于虛假的安全感之中。想像一位負責任的可愛的屋主,他有一套麥迪科(譯者注:Medico,知名品牌、價格昂貴)防撬鎖裝在屋子的大門上,以保護他的妻子、孩子和他的家。他覺得很心安,因為他把家庭保護的很好。但對于破窗而入和解開車庫大門密碼的闖入者呢?再安裝一套強壯的安全系統么?雖然有用,但還是不夠安全。無論防盜鎖是昂貴還是便宜,屋主的安全仍然難以保障。為什么?因為人為因素才是安全的軟肋。
安全,通常情況下僅僅是個幻想,由其是輕信、好奇和無知存在的時候。二十世紀最受尊敬的科學家愛因斯坦這樣說道:“只有兩種事物是無窮盡的――宇宙和人類的愚蠢。但對于前者,我不敢確定。”最終,社會工程學的攻擊,成功于人們的愚蠢或更為普遍的對信息安全實踐上的無知。
與這位屋主一樣,有許多信息技術(IT)從業者都有著類似的錯誤觀念。他們認為自己的公司固若金湯,因為其配置了精良的安全設備――防火墻、入侵檢測,或是更為保險的身份認證系統,如時間令牌和生物識別卡。任何認為僅靠這些安全設備即可保證安全的人都會滿足于虛假的安全感之中,這就是一個生活在幻想世界中的例子,他們遲早會不可避免的遭遇安全事故。
正如著名的安全顧問布魯斯.施尼爾(Bruce Schneier)所說:“安全不是一件產品,它是一個過程。”近一步說,安全不是技術問題,它是人和管理的問題。由于開發商不斷的創造出更好的安全科技產品,攻擊者利用技術上的漏洞變得越來越困難。于是,越來越多的人轉向利用人為因素的手段來進行攻擊。穿越人這道防火墻十分容易,只需打一個電話的成本和冒最小的風險。
一個欺騙的經典案例
企業資產安全最大的威脅是什么?很簡單,社會工程師。一個無所顧忌的魔術師,用他的左手吸引你的注意,右手竊取你的秘密。他通常十分友善,很會說話,并會讓人感到遇上他是件榮幸的事情。我們來看一個社會工程學的例子:
許多人都已記不起一個叫斯坦利.馬克.瑞夫金(Stanley Mark Rifkin)的年輕人,和他在洛杉磯的美國保險太平洋銀行(Security Pacific National Bank)的冒險小故事了。他的劣跡很多,瑞夫金(同我一樣)從未把自己的事情告訴過別人,因此下面的敘述基于公開的報道。
獲得密碼
1978的一天,瑞夫金無意中來到了美國保險太平洋銀行的授權職員準入的電匯交易室,這里每天的轉款額達到幾十億美元。瑞夫金當時工作的那家公司恰巧負責開發電匯交易室的數據備份系統,這給了他了解轉賬程序的機會,包括銀行職員拔出賬款的步驟。他了解到被授權進行電匯的交易員每天早晨都會收到一個嚴密保護的密碼,用來進行電話轉帳交易。
電匯室里的交易員為了記住每天的密碼,圖省事把密碼記到一張紙片上,并把它貼到很容易看得見的地方。11月的一天,瑞夫金有了一個特殊的理由出入電匯室。到達電匯室后,他做了一些操作過程的記錄,裝做在確定備份系統的正常工作。借此機會偷看紙片上的密碼,并用腦子記了下來,幾分鐘后走出電匯室。瑞夫金后來回憶道:“感覺就像中了大獎”。
轉款入戶
瑞夫金約在下午3點離開電匯室,徑直走到大廈前廳的付費電話旁,塞入一枚硬幣,打給電匯室。此時,他改變身份,裝扮成一名銀行職員――工作于國際部的麥克.漢森(Mike Hansen)。那次對話大概是這樣的:
“喂,我是國際部的麥克.漢森。”他對接聽電話的小姐說,小姐按正常工作程序讓他報上辦公電話。“286。”他已有所準備。小姐接著說:“好的,密碼是多少?”瑞夫金曾回憶到他那時的“興奮異常”。“4789”他盡量平靜地說出密碼。接著他讓對方從紐約歐文信托公司(Irving Trust Company)貸一千零二十萬美元到瑞士蘇黎士某銀行(Wozchod Handels Bank),他已經建立好的賬戶上。對方說:“好的,我知道了,現在請告訴我轉賬號。”
瑞夫金嚇出一身冷汗,這個問題事先沒有考慮到,他的騙錢方案出現了紕漏。但他盡量保持自己的角色,十分沉穩,并立刻回答對方:“我看一下,馬上給你打過來。”這次,他裝扮成電匯室的工作人員,打給銀行的另一個部門,拿到帳號后打回電話。對方收到后說:“謝謝。”(在這種情況下說“謝謝”,真是莫大的諷刺。)
成功結束
幾天后,瑞夫金乘飛機來到瑞士提取了現金,他拿出八百萬通過俄羅斯一家代理處購置了一些鉆石,然后把鉆石封在腰帶里通過了海關,飛回美國。瑞夫金成功的實施了歷史上最大的銀行劫案,他沒有使用武器,甚至勿需計算機的協助。奇怪的是,這一事件以“最大的計算機詐騙案”為名,收錄在吉尼斯世界紀錄中。斯坦利.瑞夫金用的就是欺騙的藝術,這種技巧和能力我們現在把它稱為――社會工程學。
威脅的天然性
瑞夫金的故事確切的證明了我們的安全感是多么不可靠。這樣的事件(也許到不了一千萬美元,但終歸有所損失)每天都在發生,你的資金可能正在流失,新產品方案正在被竊取,而你卻一無所知。即使你的公司還沒有這樣的事情出現,那也會終將出現。但它何時出現呢?
日益增長的安全事件
美國計算機安全協會在2001年計算機犯罪調查報告中聲稱,在接受調查的組織機構中,有85%的組織在過去的12個月中發現了計算機安全事件。這是一個驚人的數字,只有15%的機構在過去的一年中沒有發現安全事件。另一個數字同樣驚人,有64%的機構由于計算機的問題而導致財務損失,超過一年中遭受財務損失企業的二分之一強。
我的經驗告訴我這個數字有些夸大,并對這項調查的研究結果表示懷疑。但這并不是說安全事件的危害面不大,相反,它很大。那些未把安全事件考慮在內的人,遲早會出問題。大多數公司配置的安全產品主是應付業余入侵者的,比如被稱為“腳本小子”的年輕人。實際上,這些利用別人的軟件,并憧憬著成為真正黑客的人,大多數情況下只能引起一些麻煩。真正的損失和威脅,來自于經驗豐富、目標清晰,受商業利益驅動的攻擊者。這些人一次只盯準一個目標,而不像業余入侵者試圖進入盡可能多的系統。業余黑客看重數量,而職業黑客在乎的是信息的質量和價值。
認證設備(身份認證)、訪問控制(對文件和系統資源的控制管理)和入侵檢測系統(計算機化的防盜器)等技術,對公司的安全防護是十分必要的。然而,現在的公司在布置保護企業免受攻擊的安全對策方面的投入比其花在咖啡上的錢還要少。
正如同罪惡的心無法抵制誘惑,黑客們一心要找出功能強大的安全系統的弱點。在許多時候,他們把這種心思放在了人的身上。
欺騙的使用
許多人都說,關掉了的計算機才是安全的計算機,但這是錯誤的,找個借口讓人去辦公室打開它就是了。你的對手不僅僅有一種方法可以從你那里得到他想要的信息,這只是時間的問題。耐心、個性和堅持,這正是欺騙的藝術的切入點。
要擊敗安全措施,一個攻擊者、入侵者,或是社會工程師,必須找到一個方法,從可信用戶那里騙取信息,或是不露痕跡的獲得訪問權。當可信用戶被欺騙、影響,并被操縱而吐露出敏感信息時,或是做出了不當的舉動,從而讓攻擊者有漏洞可鉆時,什么樣的安全技術也無法保護住你的業務了。正如同密碼專家有時通過尋找漏洞來繞過加密技術解出密文一樣,社會工程師通過欺騙你的雇員來繞過安全技術。
信任的弊端
大多數情況下,成功的社會工程師都有著很強的人際交往能力。他們有魅力、講禮貌、討人喜歡,并具有快速建立起可親、可信感的特點。一個經驗豐富的社會工程師,使用他自已的戰略、戰術,幾乎能夠接近任何他感興趣的信息。精干的技術專家辛辛苦苦地設計出安全解決方案來最小化使用計算機的風險,然而卻沒有解決最大的漏洞――人為因素。盡管我們很聰明,
但對我們人類――你、我、他的安全最嚴重的威脅,來自于我們彼此之間。
我們的國民性格
我們對危險漠不關心,尤其在西方,美國則更甚。我們沒有受到要對別人保有懷疑態度的訓練,我們接受的是“愛汝之鄰”(譯者注:此句引自《圣經》)的教育,人與人之間要相互信任和忠實,試像一下小區的保安機構讓人們鎖上家門和車門是多么的困難。這種情形是很明顯的,卻似乎被許多寧愿活在理想世界里的人忽略,直至受到傷害。
我們知道,并不是所有的人都誠實善良、友愛可親,可我們在生活中卻經常把他人想像成這樣。這種可愛的無知一直都是美國人的生活方式,放棄這種習慣十分不易。做為美國人,自由和最適宜居住的地方就是鎖和鑰匙最沒必要的地方,這種理念已經深入人心。大多數人持有不會被欺騙的想法是覺得被騙的可能性很低,而攻擊者利用這種心理,編出不會引起懷疑的聽上去十分合理的理由,充分的利用了受騙者的信任。
機構的無知
無知是我們國民性格的一部分,這可以在回溯計算機首次遠程聯接時輕易的看出。APPANet(美國國防部高級研究項目署網絡),互聯網的前身,用來在政府、科研和教育機構之間共享信息,其目標是信息共享和科技進步,許多教育機構因此建立了幾乎沒有任何安全措施的早期計算機系統。一個著名的軟件開發自由主義者,理查德.斯托曼,甚至拒絕為他的賬號設置口令。但隨著互聯網電子商務的興起,由于互聯網脆弱的安全措施導致的危害性發生了極大的變化。
使用再多的安全技術也不能解決人為的安全因素,拿今天的機場為例,安全已經成為首要措施,然而我們仍然被媒體的報道所警告,還是有人可以避開安全措施、攜帶潛在性武器通過檢測。在一個機場時刻處于警戒狀態下的時期,這種事情又是怎么發生的呢?是那些金屬儀器失效了么?不,問題不在機器,問題在于人,機器是由人操縱的。機場的官員雖然可以布署國民警衛隊并安裝檢測器和面部識別系統,但如何培訓一線保衛人員正確地檢查旅客則更為重要。全世界的政府、商業、教育機構都有同樣的問題,雖然各個地方的職業安全人員不敢懈怠,但信息仍然易受攻擊,并被具備社會工程學技巧的攻擊者視為可摘之果,除非安全鏈中最薄弱的環節 ――人為因素,被加固強化。
現在,我們比任何時候都需要停止幻想,同時對攻擊計算機系統和網絡機密性、完整性以及實用性的技術加深認識。我們已經認識到主動防御的必要,是接受和學習安全防護的時候了。
對你的隱私、思想和公司信息系統的非法入侵似乎很遙遠,直到它真的發生。為了避免付出昂貴的代價,我們所有的人都需加深認識、富有經驗、保持警醒,并主動防衛我們的信息資產、個人信息,以及國家的關健基礎設施。現在,我們必須實行嚴謹、周密的設防。
欺騙與恐怖分子
當然,欺騙并不是社會工程師的專用工具。暴戾的恐怖主義制造了聳人聽聞的新聞事件,我們前所未有地意識到我們居住的世界充滿了危險。文明,終歸只是一層脆弱的薄板。2001年,發生在紐約的911事件把悲傷和恐懼植入每一個人的心中,不只是美國人,還有世界上所有善良的人們。我們已經開始警覺,因為這個世界上還分布著受到良好訓練的極端恐怖分子,伺機再次發動對我們的攻擊。
政府最近的強化努力已經提升了大眾的安全意識,我們需要保持警醒,警惕各種形式的恐怖主義。我們需要了解恐怖分子是如何偽造各種身份,假扮學生、鄰居而混入人群的,他們掩飾住自己真實的思想以密謀恐怖行動,而他們使用的就是類似于本書中介紹的欺騙手法。
然而,就我所認為,恐怖分子目前尚未利用社會工程學的手法滲透到水處理廠、發電廠,或其它關系國計民生的基礎設施中,但可能性依然存在,這畢竟太容易做到了。我希望安全意識和相應的安全策略將會得到正確的應用并得到企業上層管理的加強,因為這本書恰逢其時。
關于此書
企業安全是一個平衡問題,安全性太差公司易受攻擊,但過多的強調安全又會妨礙業務管理和公司的發展,其難點在于達到生產效率和安全之間的平衡。
其它關于企業信息安全的書都把重點放在硬、軟件技術上,而忽略了最重要的安全威脅――對人的欺騙。與之相反,此書的目的,就是要幫助大家理解自己、同事,和公司其他人員是如何被操縱的,并幫助大家建立屏障,謹防成為受害者。本書的重點放在入侵者用來盜取信息的非技術手段上,它能夠對看似安全的信息完整性產生威脅,甚至破壞公司的工作成果。
我的任務由于一個簡單的事實而更加困難――每個讀者都一直被社會工程學高級專家――他們的父母所控制著,他們有辦法(比如:“這是為了你好”)讓你去做他們認為最應該做的事。父母們就是使用類似社會工程學的方法,巧妙的編出看似有理的故事、理由以及借口,來達到他們的目的。是的,我們都被我們的父母所引導――那些樂善好施的(偶爾也不完全如此)社會工程師們。
由于這種生長環境,導致我們軟弱而容易被操縱。可總是對他人懷有戒心,擔心上當受騙,會活得很累。在理想的世界里我們應對他人給予絕對信任,每個人都是誠實和值得信賴的。但我們并沒有生活在理想世界中,我們必須鍛煉我們的防欺詐能力以對付我們的敵人。
這本書的主要內容――第二和第三部分,講述社會工程師如何實施欺騙的故事。在這兩部分中,大家將會看到如下內容:
電話盜打者早就發現的,一個從電話公司弄到未刊登電話號碼的方法;
幾個不同的社會工程學方法,甚至可以讓有所警覺和懷疑的職員吐露出自己的用戶名和口令;
信息中心的管理人員如何被控制以配合攻擊者竊取企業最機密的產品信息;
隱私調查者是如何弄到你的企業、你本人的隱密信息的,我可以保證,這會讓你脊背發涼。
你也許會認為這兩部分中講述的故事實際上不可能發生,沒有人能夠使用書中的謊言、卑鄙的方法和計劃真正的達到目的。事實上,在每個案例中,這些故事都是可以成為現實而且已經成為現實的,這些事情每天都在世界的某個地方發生,甚至在你閱讀此書的時候都有可能。本書中的內容不僅對你的商務信息保護上有所啟迪,還可以讓你親自阻撓社會工程師的攻擊以保護你的私有信息。
在本書的第四部分,我轉變了方向。在這里我想幫助大家建立企業必要的安全策略和安全意識培訓,以期將員工被社會工程師利用的可能性降到最低。了解社會工程師的策略、方法和技巧,在不會降低公司的生產效率的同時,幫助你布置合理的控制策略來保護企業的信息資產。
簡而言之,我寫此書的目的就是要提升大家的安全意識,以應對來自社會工程師的嚴重威脅,并幫助你的公司和公司員工盡可能的不被利用。或者我應該這樣說,不再被利用。
第二部 攻擊者的手段
第二章 無害信息的價值
對大多數人來說,社會工程師的真正威脅在哪里?又該如何保持警惕?
如果社會工程師的目標是“最有價值獎”――比如,企業智力資產的核心組成。那么也許需要的是更堅固的保險庫和全副武裝的保安,對么?
但在現實中,壞人滲透企業安全的第一步就是獲得某些似乎無利害關系的信息和文件,這些信息和文件看起來十分平常,也不重要,公司里的人大都不明白為什么這些東西會被限制和保護。
信息的隱藏價值
社會工程師十分重視企業中許多表面上看去無利害關系的信息,因為這些信息是他能否披上可信外衣的至關重要的因素。
在這一章里,我將通過讓讀者“親身”經歷攻擊過程,來展示社會工程師的攻擊手段。有時從受害人的角度來表現情節,讓讀者以當事人的身份估計自己(或是你的同事和員工)可能會做出的反應。而更多的時候,讓讀者從社會工程師的角度來經歷攻擊過程。
第一個故事著眼于金融行業的一個漏洞。
信譽支票(CREDITCHEX)
曾經有一段很長的時期,英國的銀行系統十分閉塞,大街上一位誠實普通的市民并不能隨便走進銀行而直接申請一個銀行帳戶。銀行不會把他當做客戶,除非他帶有某位正式銀行客戶的推薦信。
當然,這與如今的表面上人人平等的銀行機構大不一樣。如今辦理銀行業務沒什么地方比友善、平等的美國更方便了,任何人都可以走進銀行輕松的建立一個日常賬戶,是這樣么?
并非如此。事實上可以理解,銀行很難為一個才開過空頭支票的人建立賬戶,這很自然,同樣還有那些有著搶劫銀行和挪用賬款記錄的人。這就是一個銀行對其潛在客戶瞬間做出好壞判斷的實際例子。
與銀行有著重要業務聯系的公司中,有一種機構專門為銀行提供這類信息,我們把這種機構稱之為“信譽支票”。它為客戶提優質的服務,但同許多公司一樣,它也會“無心”的為“有心”的社會工程師們提供便利的服務。
第一個電話:吉姆.安德魯斯(Kim Andrews)
“國家銀行,我是吉姆,您是想要開一個帳戶么?”
“嗨,吉姆,我想請教個問題。你們與信譽支票打交道么?”
“是的。”
“你們給信譽支票打電話時,怎么稱呼你們提供的號碼?是叫‘交易號’(Merchant ID)么?”短暫的沉默,基姆在衡量這個問題,對方是什么意圖,她是否應該回答。打電話的人不容對方思考接著問:“是這樣,吉姆,我在寫一本涉及私人調查的書。”
“是的。”她有了回答的信心,因為她還是愿意幫助一個作家的。
“就叫“交易號”,對么?”
“啊,嗯。”
“好的,很好。我是想確認我的書中使用了正確的專業用語,謝謝你的幫忙,再見,吉姆。”
第二個電話:克瑞絲.塔伯特(Chris Talbert)
“國家銀行,開戶處,我是克瑞絲。”
“嗨,克瑞絲,我是阿萊克斯。”打電話的人說,“我是‘信譽支票’的客服代表,我們在做一項改善服務質量的調查。能耽誤您幾分鐘么?”克瑞絲表示愿意,打電話的人繼續:“好的。你們部門營業時間是多少?”她給予回答,并接著回答下面的一系列問題。
“你們部門有多少人使用我們的服務?”
“大約多長時間給我們打一次咨詢電話?”
“您用的是我們哪一個800免費電話號碼?”
“我們的客服代表服務態度好么?”
“我們對業務的響應時間如何?”
“您在銀行工作多長時間了?”
“您通常使用的交易號是多少?”
“您是否發現過我們提供過的信息不準確?”
“如果您對我們的服務有所建議,建議是什么呢?”最后:
“如果我們把定期調查表寄到你們部門,您會填寫么?”
她表示同意,然后彼此簡單對了幾句話,電話掛掉,克瑞絲繼續她的工作。
第三個電話:亨利.麥克金賽(Henry McKinsey)
“信譽支票,我是亨利.麥克金賽,需要幫忙么?”
打電話的人表明自己是國家銀行的職員,并報出正確的交易號,以及他想查詢的人的名字和社會保險號。亨利要求出生日期,他也報上。不一會兒,亨利看著自己的計算機屏幕讀道:“韋爾斯.法果在1998年報過一次NSF”――客戶賬款不足(Non Sufficient Funds),支票已開出,賬戶里卻沒有足夠錢支付的銀行常用專業用語。
“自那之后,還有資金往來么?”
“沒有了。”
“有沒有申請其他賬戶?”
“我看一下。有的,兩次,都在上個月。一次是在芝加哥第三聯合信用會(Third United Credit Union of Chicago),”他斷斷續續地讀出第二個地方,斯卡奈塔第共同投資(Schenectady Mutual Investments),他不得不逐字母的將名稱拼出。“紐約州。”他最后補充道。
工作中的私人偵探
所有的這三個電話都是同一個人打的,一個私人偵探,我們且稱他為奧斯卡.格瑞斯(Oscar Grace)吧。格瑞斯有了一位新客戶,他的首批客戶其中之一。幾個月前還是名警察的格瑞斯發現他的新工作有些做起來易如反掌,有些則對他的智力和創造性是個挑戰,這件案子無疑很具有挑戰性。
小說中的冷面神探――塞姆.斯貝茲(Sam Spades)和菲利浦.馬洛斯(Philip Marlowes),在漫長的夜晚久候在汽車里誘捕一位騙人的伴侶(譯者注:塞姆和菲利浦都是著名小說和電影中的人物),現實中的私人偵探也做同樣的事情。他們為相互敵對的伴侶之間打探消息,也許沒小說中寫得那么夸張,但重要性卻一點不差。他們的方法主要是依靠社會工程學的技巧,而不是坐在車子里與守夜的困倦做斗爭。
格瑞斯的新客戶是一位看起來從不缺少衣服和珠寶的女士。一天,她走進他的辦公室,在唯一的一把未堆著文件的皮椅上坐下來,把她的古琦(譯者注:Gucci,意大利名牌)手包放到桌子上,商標沖著他的臉。這位女士告訴格瑞斯,她想跟他的丈夫離婚,但“有一點小麻煩。”
他的丈夫比她早了一步,已經從兩人的儲蓄帳戶中把存款提了出來,并從代理公司(譯者注:專門從事為客戶買賣股票和債券的公司)的賬戶中提走了更大的款項。她想知道他們的錢到哪里去了,她的離婚律師對此無能為力。格瑞斯猜想她的律師是那種身居住宅區高樓大廈的法律顧問,才不會為這種“錢到哪里去了”的爛事自找麻煩。
格瑞斯有辦法么?
他向她保證這是小事一樁,接著報出價格,列出費用,并收了一張支票做為第一筆傭金。接下來,他要面對此事了。如果你以前從未處理過這樣的事情,并根本不知道如何跟蹤一筆資金的來龍去脈,你該從何做起呢?一步一步地往前挪?好吧,我們來講格瑞斯的故事。
我知道信譽支票以及銀行與其的聯系,我的前妻曾在銀行工作。但我并不知道那些專業術語和業務過程,而向我前妻打聽則是浪費時間。
第一步:了解專業術語,設計出獲取信息時所需要的對話,以便聽起來不會露出馬腳。我給銀行打電話時,第一位年輕的小姐,吉姆,在我詢問他們如何向信譽支票確定自己身份時就有所遲疑,她猶豫著,不知道是否應該告訴我。我被難住了么?才不。事實上,她的猶豫給了我一個重要的線索,提醒我必須給她提供一個可信的理由。當我騙她說為寫一本書而做的調查時,便打消了她的懷疑。聲稱自己是一位作家或電影劇本作者,可以讓人放松警惕。
她知道一些有用的信息,比如信譽支票如何確定打電話人的身份,你可以查詢哪些信息,最重要的――吉姆所在銀行的交易號。我已準備好提出這些問題,但她的猶豫造成了麻煩。吉姆相信了寫書的故事,可她已經有所疑心。如果她更配合些,我就會多問些操作細節了。
專業術語
馬克(MARK):受騙者
激警(BURN THE SOURCE):攻擊者如果讓對方看出來攻擊的意圖稱為激警。一旦對方有所警覺并通知其他人員,以后再想套出類似的信息就十分困難了。
你必須依靠自己的感覺,仔細的傾聽馬克的說話內容和說話方式。這位小姐看起來就十分聰明,如果我提出很多的敏感問題,她一定會敲響警鐘的。即使她不知道我是誰,我用哪個號碼打過來,也不要讓任何人注意到有人在打探消息而有所警覺。這是因為我們不想激警,有可能還需要給這個地方打電話的。
我總是留意那些能夠幫助我了解一個人配合程度的微小跡象,其態度各異,從“你聽起來真是一個好人,我相信你所說的每一句話”到“打電話給警察,通知國民警衛隊,這小子要倒霉了”。
我發現了吉姆的警覺,于是我打電話給另一個人――克瑞絲。在我的第二個電話中,調查表的把戲很能迷惑人。我把重要的問題插進可以建立信任感的無關緊要的問題中,在信譽支票的交易號問題之前,我通過問她在這家銀行工作多久了這樣一個私人問題,做了一個最后的小測試。
私人問題就像一顆地雷,有些人會毫不注意的踩上去,有些人則知道它會爆炸,趕緊躲開。因此,如果我問及一個私人問題,她在回答的語氣上沒有變化,這就意味著她很可能沒有對提問產生懷疑,我可以在她沒有疑心的問題之下安全地提出關健問題。
一個好的私人偵探還知道,千萬不要在得到關鍵信息后馬上結束談話。多問兩三個問題,小聊一會兒,然后再說拜拜。如果對方稍后想起你提過的問題,很可能是你最后提出的問題,其它的通常會忘記。
這樣,我從克瑞絲那里得到了他們的交易號和他們查詢時所用的電話號碼,如果當時我再多問些信譽支票的事,我會更高興的。但沒有進一步冒險,也許更好。
如同有了一張空白支票,無論什么時候我都可以從信譽支票那里獲得我需要的信息,甚至不用付費。從前面的情況看出,信譽支票的客服代表十分愿意為我提供信息,于是我知道了我客戶的丈夫最近在兩個地方申請建立賬戶。那他將要離婚的妻子尋找的那筆資產在哪里呢?無論在哪家銀行,信譽支票都會將其列出吧?
過程分析
整個過程都基于社會工程師的基本策略之一,獲得公司職員認為無關緊要的信息(實際上它是有用的)。第一個銀行職員肯定了打電話給信譽支票時確認身份的術語,第二個職員提供了電話號碼和最至關重要的信息――交易號。透露這些信息對于她們來說似乎是無所謂的,畢竟她們認為與之交談的是信譽支票的工作人員,把號碼說出來又有什么不對呢?
前兩個電話為第三個電話打下基礎,格瑞斯已經具備給信譽支票打電話需要知道的一切信息,于是冒充信譽支票的客戶――國家銀行,輕松地查詢信息。
格瑞斯竊取信息的技巧絲毫不遜于一個高超的騙子詐騙錢財時所用的手段,在了解人方面格瑞斯久經磨練。他懂得把關健信息藏在無關緊要的信息中,也知道在套出交易號之前用私人問題來測試對方的配合程度。
第一個銀行職員在確認信譽支票專業術語上的錯誤幾乎是最難防范的,這種專業用語在銀行業幾乎人人都知道,因此顯得無關緊要――無害信息最普遍的表現形式。但第二個職員,克瑞絲,不應該在確定打電話人的身份真實與否之前,就非常樂意的回答問題。她至少應該詢問對方的名字和電話號碼并拔回,這樣如果日后發生問題,她還有一個打電話人所使用電話號碼的記錄。在這個案例中,拔回這樣的一個電話還會給攻擊者假扮信譽支票服務人員造成很大的困難。
米特尼克信箱
這個案例中的交易號相當于一個密碼,如果銀行工作人員將其與自動取款機的個人識別碼(PIN)一樣看待,便會對它的敏感性給予重視。你所在的機構中有沒有大家沒有給予重視的編碼和數字呢?
用以前記錄的銀行電話號碼給信譽支票回拔一個電話(不要用對方提供的號碼),以驗證對方是否在那兒工作,信譽支票是否正在做一項客戶調查,這樣的電話還是有必要打的。現代社會人們的工作時間都很緊張,而且這樣的確認電話會占用不少時間,考慮到現實中的實用性,建議工作人員在對對方的目的性有所懷疑時打回一個確認電話。
工程師的圈套
很多人都知道,獵頭公司使用社會工程學來擴大業務范圍,這里有一個例子:
在90年代末,某個不怎么道德的職業介紹所簽了一家新客戶,一家正在尋找有通訊行業工作經驗的電氣工程師的公司。負責這個項目的經理是一位女士,有著有磁性的嗓音,和充滿誘惑力的言談舉止,這使得她在電話里很容易獲取別人的好感和信任。這位女士準備對移動電話服務提供商進行一次偷襲,以期找到一些可能會投奔到競爭對手那里的工程師。她當然不能直接給接線員打電話說:“我要找五年經驗的工程師”,那樣她的動機會立刻暴露的。她通過詢問看上去無關緊要的信息,電話公司人人都可以告訴別人的信息,巧妙的發動了這次襲擊。
第一個電話:接線員
攻擊者使用迪迪.桑德斯這個名字給移動電話服務商的總機打了一個電話,對話情形大致如下:
接線員:下午好,我是瑪麗,您有什么事情?
迪迪:請幫我接運輸部好么?
接:我不一定能找到這個號碼,我查一下目錄,您是哪位?
迪:我是迪迪。
接:您在公司大樓里還是在……?
迪:不,我在外面。
接:你是迪迪……?
迪:迪迪.桑德斯,我以前知道運輸部的分機號,但我現在忘了。
接:稍等。
為了減少懷疑,在這里迪迪設計了一次談話,讓對方認為她是內部人員,熟悉公司的情況。
接:您在哪里辦公?主街商廈(Main Place)還是望湖大廈(Lakeview)?
迪:主街。(停頓一下)電話是805-555-6469。
有可能給運輸部打電話后也得不到所需的信息,迪迪又要了資產部的電話,作為備用。接線員幫迪迪接到運輸部,但線路正忙。于是,迪迪又問第三個電話,位于得克薩斯州首府奧斯丁的收款部號碼。接線員讓她等一會兒,并放下電話。接線員有所警覺了么?她在向保衛部門報告她接到一個可疑電話么?才不,迪迪一點都不擔心。接線員只是有些不耐煩了,但這是她再平常不過的日常工作了。一分鐘后,接線員拿起電話,查到收款部的號碼,給迪迪接通。
第二個電話:派基(Peggy)
對話大致如下:
派基:收款部,我是派基。
迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。
派:嗨,迪迪。
迪:你好嗎?
派:還好。
迪迪接著使用企業內部的習慣用語來描述成本核算代碼――給一個特定的機構或工作組分配費用的代碼(譯者注:常在報銷費用時填寫)。
迪:很好。我有個問題問你。我如何才能找到某個部門的成本中心(cost center)?
派:你必須聯系到那個部門的預算師。
迪:你知道誰是橡木城總部的預算師么?我在填表,但我不知道該填哪個成本中心?
派:我只知道要找成本中心的代碼時,打電話給預算師。
迪:你們部門在德克薩斯有成本中心么?
派:我們有自己的成本中心,但我們沒有完整的成本中心列表。
迪:成本中心的代碼是多少位?比如,你們的成本中心?
派:嗯,這樣,你是9WC還是SAT?
迪迪并不知道這是指哪個部門或工作組,但這并不重要,她回答道:
迪:9WC。
派:那一般是四位數字。你說你在哪里?
迪:橡木城總部。
派:哦,這里有橡木城的代碼。 1A5N,N是Nancy的N。
僅僅與愿意幫忙的人打交道到足夠時間,迪迪便得到了她需要的代碼,這個代碼就是所謂的被人認為是無需保護的信息,因為它對企業外面的人來講,似乎沒有任何價值。
第三個電話:有用的錯誤號碼
迪迪的下一步是把成本中心的代碼當做籌碼來開發更大的價值。她先給資產部打電話,假裝是故意拔錯的電話。以“不好意思,但……”做為話頭,她聲稱自己丟失了公司的通訊錄,看看對方可不可以幫她弄一個新的。對方說公司已將通訊錄放在內部網站上,打印出來的已經過期了。迪迪說她還是想要一份復印件,對方讓她打刊印部的電話,并主動查到刊印部的電話(也許是想讓這位聲音性感的女士多在電話上呆一會兒吧)然后告訴了她。
第四個電話:刊印部的巴特
在刊印部,她與一個叫巴特的人談上了話。迪迪說她是橡木城的,他們新來了一位顧問,需要一份公司的通訊錄。她告訴巴特,對于這位顧問來說,一份復印件會讓工作更順利些,即便有些過期。巴特告訴她需要填一份申請單然后再寄給他。迪迪說她手頭沒有申請單,而且事情很急,她甜言蜜語地問巴特是否能發個善心幫她填這個單子?他有些過分熱心地同意了,接著迪迪報出單子上的各項內容。在報出虛構的簽單人地址時,她慢慢地說出了一個被社會工程師稱為“秘密通信地”的號碼,在這里是一個郵箱號,商用的,她的公司為類似這種情況而租用的郵箱。這時,早先的準備工作派上了用場。郵遞這份目錄會產生費用,迪迪給出了橡木城成本中心的成本核算代碼:“1A5N,N是Nancy的N。”
幾天后,企業通訊錄寄到,迪迪發現比她期望的還要好。上面不僅有名字和電話號碼,還有人員之間的工作關系,整個企業的組織結構。
這位有著磁性嗓音的女士可以通過拔打人員電話開始她的獵頭行動了。她使用社會工程師久經磨練的談話技巧,騙取了開始行動所需的信息,她現在已經準備好收獲了。
專業術語
秘密通信地(Mail Drop):社會工程師把租來的郵箱稱為秘密通信地,通常是用假名字租用的,用來接收受騙者發來的文件和包裹。
米特尼克信箱
猶如拼圖游戲,每條信息本身并沒有什么聯系。然而,當把它們放在一起時,一個清晰的畫面便出現了。在這個案例中,社會工程師看到的畫面就是那家公司的整個內部結構。
過程分析
在這次社會工程學的攻擊中,迪迪以獲得目標企業的三個部門電話為開始。這很容易,因為她詢問的電話號碼并不是秘密,尤其是對于內部工作人員。一個社會工程師要聽起來像一個內部人員,此例中的迪迪就很善此道。一個電話號碼幫她弄到成本中心的核算代碼,而后者用來獲取公司職員的通訊錄。她使用的主要工具是:友善的語氣、企業專業用語,以及對那個最后的上當者拋一個口頭上的媚眼。還有一件無法輕易得到的必不可少的工具――社會工程師的操縱能力,它來自于廣泛的實踐,和老一輩騙子們口頭傳下來的經驗。
更多的“無價值”信息
除了成本核算代碼和內部分機電話,還有哪些看似無用但對你的敵人來說非常有價值的信息?
皮特.艾伯爾(Peter Abel)的電話
“嗨,”電話的另一端說:“我是帕克斯特(Parkhurst)旅行社的湯姆,您去往舊金山的機票已訂好,您要寄過去還是您來拿?”
“舊金山?”皮特說:“我沒打算去舊金山。”
“您是皮特.艾伯爾么?”
“是的,但我沒有任何旅行的安排。”
“嗯,”對方友好的笑笑,“您確定您不想去舊金山么?”
“如果你認為你能跟我老板談談此事的話……”皮特對這次友好的談話開起玩笑。
“這聽起來有些亂,”對方說:“我們的系統依照員工號碼登記旅行安排,也許有人把號碼弄錯了,你的員工號碼是多少?”
皮特欣然報出他的號碼。為什么?因為這如同他平時所填的公司里很多人都會看到的人員登記表,人事部、工資名單,很明顯,還有外面的旅行社。沒人把員工號碼當做秘密。這會有什么影響嗎?
這很難說清。兩到三個信息也許就可以讓社會工程師裝扮成他人扮演一場好戲了。弄到一個工作人員的名字和他的電話號碼,也許為了保險起見,再找到他上司的名字和電話號碼。即使一個不怎么出色的社會工程師也會盡可能的搜集所需要的信息,以使他給下一個目標打電話時聽起來可信。
如果昨天有人給你打過電話,聲稱他是公司另一個部門的職員,并給出一個含糊的理由來詢問你的員工號碼,你很輕易的就告訴他了么?
還有,你的社會保險號呢?(譯者注:美國、加拿大居民的身份代碼,類似于中國的身份證號。)
米特尼克信箱
這個故事的寓意在于,不要把任何個人和公司內部信息或是識別標識告訴他人,除非你聽出她或他的聲音是熟人,并確認對方有這些信息的知情權。
預防措施
公司有責任讓員工意識到對非公共信息的管理不善會帶來嚴重的后果。一個深思熟慮地信息安全策略,再加上正確的教育和培訓,將會極大的提升員工正確處理企業內部信息的意識。資料數據的分類策略也將幫助你實施對信息使用的正確控制,如果沒有分類策略,所有的內部信息都應被視為保密,除非另做指定。
采取以下步驟來防止公司看似無害信息的泄漏:
信息安全部門應操辦意識培訓來講解社會工程師所使用的手段。其中一個方法,正如上文所提到的,就是獲得看似不敏感的信息,然后把它當做籌碼來取得短暫的信任。每一個員工都應該意識到,當一個知道公司辦事程序、專業用語和內部標識的人打來電話時,并不意味著他或她就可以知道所查詢的信息。對方可能是公司以前的員工或是知道公司內部一般情況的合同工(譯者注:某些大公司將員工分為regular和contractor,前者類似事業單位的固定工,后者類似合同工)。因此,每個企業都有責任制定適當的驗證方法,在員工與他們不認識的人通電話或當面交談時使用。
負責制訂資料分類政策的人應該仔細檢查信息的分類,注意那些正式員工可以訪問到的看似無害卻可能會導致敏感信息泄漏的信息。盡管你從未把現金卡(ATM)的密碼告訴過別人,但你曾把開發公司軟件產品的服務器告訴過別人么?這個信息可不可以讓一個人裝扮成企業員工合法地訪問企業網絡呢?
有時僅僅知道內部的專用術語,就可以讓社會工程師顯得知道很多并可以信賴,攻擊者常常利用這個普遍的錯誤觀念來操縱受騙者。比如,交易碼是銀行開戶處用工作人員每天都使用的認證標識,這個標識的意義與密碼一模一樣。如果每一個工作人員都認識到它的意義――唯一用來確認查詢人身份,他們也許會更加謹慎的對待它。
米特尼克信箱
正如人所說――即使一個真正的妄想狂也可能有敵人,我們也必須假定每個企業都有它的敵人――以網絡設施為目標危及商業秘密的攻擊者。不要只把計算機犯罪視作一個統計數字,應盡早地布置深思熟慮的安全操作方案和策略,這樣才能對企業進行正確的控制以加強防范。
沒有公司或只有很少的公司,會將首席執行官或董事長的直撥電話告訴別人。盡管大多數公司并不在意在內部公開電話號碼,尤其對于似乎是內部員工的人,實施這樣一個政策還是必要的:禁止對外公開內部職員、合同工、顧問和臨時雇員的電話號碼。
部門或工作組的財務制度,還有企業通訊錄(無論是復印件還是資料文件或是內網上的電子版),都是社會工程師常見的目標。每個企業對這類信息都要有一個成文的使用政策,并讓所有的員工都知道。保安人員則應保留一份備查日志,用以記錄敏感信息透露給企業外人員的情況。像員工號碼這樣的信息,它本身不能用做任何形式的驗證,內部員工不僅要驗證查詢信息者的身份,還要確定對方是否具有相關信息的知情權。
在進行安全培訓時,試一下這個方法:無論什么時候在接受一個陌生人詢問時,首先要禮貌的拒絕,直到確認對方身份。然后,在做好心人之前,先遵循公司對非公共信息的驗證和使用政策。這種工作方式也許違背了我們樂于助人的天性,但多一點有益的懷疑也許是必要的,以免成為社會工程師的下一個受騙者。
正如本章故事中所敘述的,看似無害的信息也許會成為打開企業最有價值的秘密信息的鑰匙。
電話公司的人都知道,對于非公開的號碼查詢信息只能讓已授權的電話公司知道,線路分配中心的的號碼只能告訴本公司的職員。然而,即使他們從不會將這些信息公之于眾,誰又能拒絕幫助一位身負繁重工作任務的公司員工呢?她對他保羅起了同情之心,她今天的工作也很不順,于是她小小地破了個例,來幫助這個遇到麻煩的同事。她告訴他電纜線的配對,以及每個分配到相應地址的號碼。
米特尼克信箱
人們都很容易相信自己的同事,尤其是在其要求滿足合理的測試之后。社會工程師便利用這種知識從受騙者身上獲取信息以達到他們的目標。
過程分析
正如你不斷地在這些故事中看到的,企業專業術語的知識和它的結構組織――各個辦公室和部門都是做什么的、具備什么樣的信息,是一個優秀社會工程師的騙術箱中的必備品。
逃亡者
一個我們將稱之為弗蘭克.帕森斯(Frank Parsons)的人已經在逃多年,作為60年代地下反戰組織的一分子,他仍然被聯邦政府通輯。在餐館里,他總面對著門口坐著,習慣于左顧右盼,偶爾會被人注意到神色緊張。
弗蘭克每隔幾年都會搬家。有一次,他來到一個陌生的城市,準備找個工作。對于弗蘭克這樣有著精湛計算機技術的人(同樣,還有嫻熟的社會工程學技術,即便他從不會把這寫到應聘簡歷上),找到一個不錯的工作還是很容易的。只要不是處于經濟特別緊張的時期,具備良好計算機知識的人很容易得到施展才能的機會并擺脫困境。弗蘭克很快的看中了一份薪資優厚的工作,一家龐大、高級的長期療養院,而且離他住的地方很近。
他想,這真合適。但當他埋頭苦干地填寫申請表時,忽然碰到一個麻煩。雇用方要求應聘者提供一份犯罪歷史記錄的復印件,這份復印件他只能親自去州警察局去拿。在工作申請表里就包含著一張需要這個復印件的表格,上面還有一個用來按指紋的地方。即便他們只需要右手食指的指紋,但如果把這個指紋與聯邦調查局數據庫中的指紋做比較的話,他可能很快就要到聯邦政府資助的地方(譯者注:指監獄)食堂工作了。
另一方面,對于弗蘭克來說,還可能(僅僅是可能),仍然平安無事,州警察局也許根本不會把指紋樣發到聯邦調查局。但他如何獲知這一點呢?
怎么辦?他是一個社會工程師,你認為他會怎么做呢?
弗蘭克往州警察局撥了一個電話:“嗨,我們正在為州司法部執手一項研究,調查是否有必要實施一個新的指紋認證系統。可以找一個你們內部熟悉此項工作的人幫我們一下么?”
當本地的專家拿起電話時,弗蘭克詢問了一系列有關他們使用的指紋系統的問題,以及檢索和儲存指紋數據的能力。他們的系統是否出過故障?他們在國家犯罪信息中心(NCIC)還是僅在本州進行指紋檢索?這套系統對于每個人來說容易學習使用么?
狡猾的弗蘭克悄悄地得到了其中的關鍵信息。答案對他來說如音樂般動聽――不,他們不在NCIC檢索,他們只在州犯罪信息索引(CII)中查詢。
米特尼克信箱
精明的信息騙子想獲悉法律執行程序方面的問題時,從不會遲疑于給聯邦、州或是地方政府打電話。利用這些唾手可得的信息,社會工程師很可能會繞過企業的常規安全檢查。
那就是弗蘭克所需要知道的,他在這個州沒有任何犯罪記錄。因此,他提交了他的工作申請,并被錄用。而且,一直也沒有任何人出現在他的辦公桌前對他說:“這些先生是聯邦調查局的,他們想跟你談談。”
據弗蘭克所說,他后來成為那家公司的一名模范雇員。
放到門口
盡管我們有美麗的無紙辦公神話,但在企業,每天還是繼續打印出大量的紙張,而紙上打印的企業內部信息很容易泄露,即使上面印著機密并采取了安全防范措施。這里有一個故事,它將顯示社會工程師如何獲取你最機密的文件。
“環回”欺騙
電話公司每年都要刊印一本叫做測試號碼目錄的電話冊。至少以前是這樣,由于我還處于監督釋放期(譯者注:類似假釋),我并不打算去問電話公司是否還在這樣做。電話盜打者十分重視這本電話冊,因為它包含了一個列表,上面列出了所有企業工人、技師使用的受到嚴密保護的號碼,以及其他一些總是處于忙音的中繼線測試和檢查號碼。在這些測試號碼當中,有一個術語稱做“環回”(loop-around)的號碼,尤其有用。電話盜打者用它做為一個找到其它同行聊天的方法,對他們來說這無需成本。電話盜打者還把它用來做為給予對方的回電號碼,比如銀行。一個社會工程師會告訴銀行的人,打這個電話號碼到他的辦公室,當銀行按這個號碼(環回號碼)打過來時,電話盜打者就可以接到,同時還很安全,因為依據這個號碼無法追蹤到他。
測試號碼目錄提供許多極其有用的信息,從而被對信息無比渴求、內分泌激素發達的電話盜打者所利用。因此,每當新的目錄發布時,都會被大量的喜歡探究電話網絡的年輕人所覬覦。
米特尼克信箱
為保護企業的信息資產,企業里的每個人都需要而進行安全培訓,而不僅僅是那些通過電子線路或是物理接觸而訪問到企業信息資產的人。
史蒂夫的詭計
無疑,電話公司不會輕易地讓人得到這些目錄。因此,電話盜打者必須想出創造性的辦法。他們怎么做呢?一個對目錄有著強烈渴望的年輕人可能會設計這樣一個場景……
某日,南加利福尼亞秋天的一個傍晚,一個我稱之為史蒂夫(Stevie)的人給一家小電話公司的總機室打電話,這個總機室所在的大樓負責服務區內所有家庭及企業電話線路的連接。當值班的接線員拿起電話時,史蒂夫稱自己是電話公司刊印和發行打印資料部門的人。“我們刊印了你們新的測試號碼目錄,”他說。“但出于安全考慮,如果我們沒有收到舊的目錄,就不能給你們發新的。可送目錄的人遲到了,如果你們把舊的目錄放到門口,他經過時就能取到,并放下新的,然后繼續趕路。”
毫不懷疑的接線員似乎覺得這很合理,于是照做,把目錄放到大樓門口,雖然目錄的封皮上用紅字清楚地印著“公司機密――無用時銷毀。”
史蒂夫開車過來,小心的察看四周,是否有警察或電話公司的保安人員藏在樹后或在停泊的汽車里監視。沒有人。他裝作不經意地拾起那本令人垂涎的目錄,開車走了。
這就是社會工程師輕易得到他想要的東西的另一個例子,這里就使用了那個簡單的原則――“直接索取”。
謊言攻擊
不只是企業的資產處于社會工程師設置騙局的危險之下,有時,企業客戶也會成為受害者。做為客服人員,不可避免的會受到挫折、譏笑和無辜的誤解,有些人還會給企業的客戶帶來不良后果。
珍妮.愛克頓(Janie Acton)的故事
感恩節的一周,打來了一個不同尋常的電話。打電話的人說:“我是客戶名單部的愛德華多(Eduardo),我正與一位女士通著電話,她是執行辦公室一位副總裁的秘書,她需要知道一些信息,而我的計算機壞了。我接到了人力資源部一位姑娘發來的一封寫著‘我愛你’的郵件,當我打開附件時,就再也不能使用我的電腦了。病毒,我中了一個愚蠢的病毒。就是這樣,你能幫我查一下客戶信息么?”
“當然,”珍妮回答。“它毀了你的計算機么?真糟糕。”
“是啊。”
“我該如何幫你?”珍妮問。
在這里,攻擊者為了使自己聽起來可信,便對想知道的信息預先做了調查。他了解到他所需的信息存儲在一個叫做“客戶名單信息系統”(CBIS)的系統中,并且他還知道了工作人員與系統的關系。他問:“你能從CBIS中查一個賬戶么?”
“可以,賬戶號碼是多少?”
“我不知道。我需要你用姓名來查。”
“好的,什么姓名?”
“希瑟.瑪寧(Heather Marning)。”他拼出名字,珍妮把它輸入。
“好的,我查到了。”
“很好。賬戶調出來了?”
“嗯哼,調出來了。”
“賬戶號碼是什么?”他問。
“你有筆么?”
“準備好了。”
“賬戶號碼,BAZ6573NR27Q。”
他重復了一遍號碼,然后問:“服務地址是什么?”
她告訴他地址。
“電話呢?”
珍妮也欣然地讀給他。打電話的人向她致謝,并說再見,然后掛線。珍妮繼續下一個電話,再也不去想這件事情。
亞特.錫利(Art Sealy)的調查方案
亞特.錫利放棄了為那些小出版社做自由編輯的工作,他找到了一個更能賺錢的方法,為作者和相關業務做調查。不久,他發現他的工作內容越是接近非法與合法之間的模糊界限,他就越可以收取更高的費用。從沒有想到過,當然也從不知道這就是社會工程,亞特使用著與每個信息經濟人都使用著的類似方法和技術,成為了一名社會工程師。他最終證明自己有此方面的天分,懂得了大多數社會工程師必須從他人身上學來的技巧。不久,他就毫無罪惡感的跨過了非法與合法之間的界限。
一個位正在寫一本尼克松年代時關于政府內閣方面的書的作家打電話給我,說他想找一個能夠挖掘出威廉.西蒙(William E. Simon)內幕消息的調查人。威廉.西蒙,曾任尼克松時期的財政部長。西蒙先生現已去世,但這位作家知道他的一名女下屬的名字,并確切的知道她仍然住在華盛頓特區,可不知道詳細地址。她的名字也未登記電話,或者至少是沒有列出她的電話,這就是他之所以聯系我的原因。我告訴他,好的,沒問題。
這就是那種通常一兩個電話就可以完成的工作,如果你知道自已是在做什么的話。通常情況下,每個地方上的公共事業公司都有可能查到這樣的信息,當然,這需要些小小的謊言,但偶爾撒一個小謊無所謂吧,對么?
我喜歡使用不同的方法,只為了讓事情有趣些。“我是執行辦公室的某某……”這樣的開場白,一直都很好用。同樣還有這次使用的“我正在與某副總裁辦公室的人通話”也不錯。
你必須充分發揮社會工程師的潛能,把握電話另一端將與之打交道的人的配合性。這次我幸運的碰到了一位友善、熱心的女士,僅打了一個電話,就得到了地址和電話,任務完成。
米特尼克信箱
絕不要以為所有的社會工程學攻擊都會把騙局設計的十分復雜,以防被人輕易識破。有些攻擊來去匆匆、得手即逝,更簡單的攻擊僅僅是,直接索取。
過程分析
珍妮肯定知道客戶信息屬于敏感信息,她絕不會與一位客戶談論另一位客戶的賬戶,也不會向外部泄露客戶的私人信息。但是很自然地,當一個公司內部的人員打來電話時,情況便不同了。做為公司團隊的一員,同事之間最重要的是互相幫助,以完成工作。那個客戶名單部的工作人員,如果不是病毒把計算機搞壞,他自己完全可以查閱客戶信息,她自然很樂意幫助一個同事。
亞特漸漸地接近了他真正想尋求的關健信息,在這一過程中他還提出了他不必知道的問題,如賬戶號碼。然而,這個賬戶號碼也為他提供了一個退路。萬一珍妮有所警覺,他再打第二個電話時,成功的可能性便大大的增加了。因為,這個賬戶號碼會讓他給下一個工作人員打電話時,聽起來更加可信。
從未有人向珍妮撒過這樣的謊,打電話的人根本就不是客戶名單部門的人。當然,珍妮也不應被責怪。她并不熟悉那條“在談論客戶檔案信息之前,一定要知道與之談話的人是誰”的規則,沒有人告訴過她象亞特這樣打來電話的危險性,公司里也沒有制定這樣的政策,她也從來沒有培訓過這方面的內容,而且她的主管也從未提及過。
預防措施
企業安全培訓的一個要點就是:如果一個來訪者或是打電話的人知道公司某人的名字,或是知道一些內部用語或業務程序,并不意味著他的身份不值得懷疑。而且絕對不要認為他是可信任的,從而把內部信息泄露給他,或是讓他訪問到你的計算機系統和內部網絡。在安全培訓中需要反復強調:一旦有所懷疑,必須確認、確認,再確認。
在過去,能夠訪問到企業內部信息是擁有權力和級別的標志。工人們往熔爐里添燃料、運轉機器,員工們打字、填寫報告,工頭或是上司告訴他們做什么,何時做,如何做。只有工頭或上司才知道一個班上的每個員工生產多少零件,工廠這個星期、下個星期、這個月底需要生產出什么顏色、什么尺寸、什么數目的產品來。
工人們負責機器、工具和原材料,老板們負責處理信息。工人只需要知道與本職工作有關的信息。
那時的情況與現在有所不同,不是么?現在,許多工廠的員工都使用某種計算機或是由計算機控制的機器。對大多數人來說,重要的信息都直接放在使用者的桌子上,以便于他們履行自己的職責來完成工作。在現代社會,幾乎每一名員工都離不開處理信息的工作。因此,企業的安全策略應遍布企業的各個地方,而無所謂職位的高低不同。每個人都應該認識到,不僅是上司或管理人員擁有攻擊者想追尋的信息。今天,每個層次級別上的職員,甚至是不使用計算機的人,都有可能成為攻擊者的目標。而公司新近雇用的客服人員則是社會工程師最容易突破的薄弱環節,企業的安全培訓和安全策略務必要加強這方面的注意。
第三章 正面攻擊――直接索取
很多時候,社會工程學的攻擊是十分復雜的,包括一系列的步驟和精心的策劃,并同時具備操作技巧和透徹的背景知識。但令人驚奇的是一位技藝高超的社會工程師經常可以使用簡單、直接、正面的攻擊方式來達到目標。直接了當的開口要求所需的信息,也許僅此一點就已經足夠,正如下文中你即將看到的。
快速搞定線路分配中心
想知道某人未登記的電話號碼么?一個社會工程師可以告訴你半打的方法(你也可以在本書中的其它故事內容中看到),但最簡單的辦法就是撥出這樣的一個電話……
請告訴我號碼
攻擊者撥打線路分配中心(Mechanized Line Assignment Center)未公開的電話公司號碼,接聽電話的是個女子,攻擊者說道:“嗨,我是保羅.安東尼(Paul Anthony),我是線路員。是這樣,這里有一個接線盒在火災中燒毀,警察認為是有人故意燒掉自己的房子來騙保險。他們讓我一個人來為二百對接線柱接線。現在,我真得需要幫忙了。南大街6723號的線路是怎樣分配的?”
這些故事可能會導致你認為我把業務中接觸到的每一個人都看成十足的傻瓜,都很樂意地、甚至是渴望著把他或她所擁有的每一個秘密泄露出去。社會工程師知道,這是不可能的。為什么社會工程的攻擊容易得手呢?這不是因為人們的愚蠢或是缺乏常識,而是因為,我們人類很容易被操縱而把信任用錯了地方,因此被欺騙。社會工程師早已料到會受到阻力和懷疑,他隨時準備著把人們對他的懷疑扭轉。一個優秀的社會工程師策劃攻擊時如同下象棋,預先想到對方可能會提出什么樣的問題,從而把合適的答案準備好。他的一個很常用的技巧就是給受騙者建立信任感,一個騙子如何才能獲得你的信任呢?相信我,他能夠。
?
信任:欺騙的關健
社會工程師越把情況營造得像普通的業務聯系,就越能減少懷疑。當人們沒有疑心時,得到他們的信任就很容易了。一旦取得你的信任,如同吊橋放下,城門打開,他就可以入內隨心所欲地取得他所需的信息。
注:你也許注意到我在提及社會工程師、電話盜打者和設計騙局的人時,大多數情況下用的是“他”。這不是偏見,這只是反應了一個事實――從事這些領域的人大都是男性。但盡管女社會工程師很少,可這個數字正在增長。不要僅僅因為聽到了一位女性的聲音而放松了你的警覺,女社會工程師還是有的。事實上,女社會工程師有著獨特的優勢,利用她們的女性特征來得到對方的配合。本書以后的內容中將會出現少量的女性社會工程師。
第一個電話:安德瑞亞.洛偑茲(Andrea Lopez)
安德瑞亞.洛偑茲在她工作的音像店接到了一個電話,她立刻微笑起來(當一位客戶特意打來電話對服務表示滿意時,總會讓人高興)。打電話的人說,在他們店里得到了非常好的服務,他想給寫封信告訴他們的經理。他詢問經理的名字和通信地址,她告訴他名字是湯米.艾里森(Tommy Allison),并把通信地址也給了他。就在要掛電話時,他又有了一個想法,他說:“我還想寫給你們公司總部,那兒的電話是多少?”她也告訴了他。他道了謝謝,并說了些她的服務十分讓人滿意之類的話,然后再見了。“像這樣的電話,”她想,“總能讓上班的時間過的快些,如果多有些這樣的人就好了。”
第二個電話:吉妮
“歡迎致電音像工作室,我是吉妮,需要幫忙么?”
“嗨,吉妮,”打電話者熱情的打招呼,聽起來就像每個星期都給吉妮通話似的。“我是湯米.艾里森”,863店森林公園的經理。我這兒有一位客戶,想租《洛奇5》,可我們這兒已經沒有拷貝了,你能查一下你們那兒有么?”
過了一會兒,她回答:“是的,我們還有三個拷貝。”
“好的,我問一下客戶是否愿意過去,謝謝你。如果有任何需要,請致電湯米,我很樂意為你效勞。”
接下來的幾個星期,吉妮又接到過三、四次湯米尋求幫助的電話,這些要求似乎都很正常,他總是十分友善,沒有故意接近她的意思。同時,稍稍有些嘮叨。如“你聽說橡樹園的大火了么?一連串的街道都封掉了,”類似的話。對于日常工作來說,這些電話可以讓人得到片刻的休息,吉妮總是樂意接到他的電話。
一天,湯米打來電話,聽上去有些焦慮,他說:“你們的計算機出過問題么?”
“沒有,”吉妮回答。“怎么了?”
“有個人開車把電線桿撞了,電話公司的修理人員說城市的一部分地區沒辦法打電話和上網,直到他們修好。”
“哦,不會吧。那個人受傷了么?”
“他們把他送到救護車上了。別管這些了,我需要你幫個忙。我這兒有一個你們的客戶,想租《教父2》,但他沒帶租片卡,你能幫我確認一下他的信息嗎?”
“是的,當然。”
湯米說出客戶的名字和地址,吉妮在計算機中找到,然后告訴湯米客戶的賬號。
“有過期未還和欠款記錄么?”湯米問。
“沒有。”
“好的,很好。我手工給他登記一下賬戶,計算機故障恢復之后再錄入數據庫。而且,客戶還想用在你們店使用的維薩卡(Visa)付賬,但他也沒帶。他的卡號和有效期是多少?”
吉妮都告訴了他。湯米最后說:“嗨,謝謝幫忙,回聊!”
道伊爾.羅尼甘(Doyle Lonnegan)的故事
羅尼甘可不是一個普通的年輕人,他過去是一個收藏家,欠了不少賭債,如果不是這些賭債弄得他焦頭爛額的話,他還會偶爾繼續他的愛好。在這個故事里,他僅僅往一家音像店打了幾個電話,就得了一筆現金。這聽起相當不錯,因為他的“客戶”沒有人知道如何設計這個騙局,他們需要像羅尼甘這類人的知識和才能。
每個人都知道,當他們在牌桌上運氣差或是犯錯誤而輸錢時,是不會用支票來代替賭資的。可為什么我的這些朋友們還要跟一個沒帶鈔票的騙子賭錢呢?不要問了,也許他們的智商有點兒問題,但他們是我的朋友,我又能怎么辦?
這個家伙沒帶錢,于是他們收了他的支票。讓你說,他們應該開車把他帶到自動柜員機那兒去吧?本應這樣做的。但他們沒有,他們收了一張支票,3230美元。不用想,這是張空頭支票。還有什么其它可能呢?于是,他們給我打電話,問我能幫忙么?我不再用門去擠別人的手指了(譯者注:指暴力手段),而且,現在有更好的辦法。我告訴他們,我要30%的傭金,看我的本事吧。他們給了我他的名字和地址,我用計算機找到離他最近的音像店。我并不著急,先后打了四個電話來討好音像店的經理,然后,我就得到了那個騙子的維薩卡號。我有一個朋友開了一間半裸吧(譯者注:裸露半身的脫衣舞酒吧),用了50美元,把那個騙子所欠的賭資當做酒吧消費從他的維薩卡上劃出,讓他給老婆解釋去吧。你認為他會找信息卡公司說他沒有花這筆錢嗎?好好想想。他知道我們知道他是誰,而且如果我們可以拿到他的維薩卡號,他會認為我們還可以做更多的事情,因此,這件事沒什么可擔心的。
過程分析
湯米打給吉妮的第一個電話僅僅是為了建立信任,當真正的攻擊開始時,她已經放松了警惕并認同湯米所聲稱的身份――另一家連鎖店的經理。有什么理由不接受他呢?她已經認識了他。當然,僅僅是通過電話聯系,可他們已經建立了工作上的友誼,那是信任的基礎。一旦她認為他是可以相信的人――同一家公司的一位經理,信任感就已經建立,剩下的事就順其自然了。
米特尼克信箱
建立信任的欺騙技術是社會工程學最有效的策略之一,你務必要考慮你是否真正認識與你談話的人。在一些不常見的情形下,對方很可能不是他自己聲稱的那個人。因此,我們必須學會觀察、思考和提問。
主題變奏:攫取信用卡
建立信任感,不一定非得給受騙者打上一系列的電話,如上文中講述的案例。我想起一個親身經歷的故事,它建立信任感只用了5分鐘。
驚奇吧,爸爸
有一次,我與漢瑞(Henry)和他父親坐在一家餐館。談話中,漢瑞責怪他父親把信用卡號像電話號碼一樣隨便泄露給別人。
“當然,買東西時必須使用信用卡號,”漢瑞說。“但是把你的卡號告訴一家商店,并讓他們記錄下來,那是非常不明智的。”
“我只在音像工作室這么做過,”康克林(Conklin)先生說,“但我每個月都會查看我的維薩卡記錄,如果他們多收費用,我會知道的。”
“當然,”漢瑞說。“但他們一旦知道了你的卡號,別人就很容易弄到了。”
“你是指不懷好意的店員么?”
“不,我是指任何人,不僅僅是店員。”
“你在信口開河,”康克林先生說。
“我可以現在就打電話,讓他們告訴我你的維薩卡號,”漢瑞立刻大聲回應道。
“不,這不可能,”他父親說。
“我可以在五分鐘之內搞定這件事,就在你的面前,連桌子我都不會離開。”
康克林先生看起來有些緊張,他自己感覺到了這種緊張,但并不想讓別人知道。“你根本就不知道你在說什么,”他急促地說,并掏出錢包拿出50美元甩到桌子上,“如果你能做到你說的話,這是你的了。”
“我不想要你的錢,爸爸。”漢瑞拿出手機,詢問他父親是哪一個音像店分店,然后打電話給查號臺找到分店的電話號碼以及謝爾曼橡樹園(Sherman Oaks)分店的電話號碼。接著,他打電話給謝爾曼.奧克分店,幾乎用了跟上一個故事完全一樣的方法,很快得到了經理的名字和分店的店號(譯者注:如上文中提到的863分店)。然后,他打電話給登記著他父親賬戶的分店,利用剛剛得到的名字和分店店號來假扮分店經理。接著使用相同的手法:“你們的計算機沒出問題吧?我們這兒的計算機時好時壞。”聽到了她的回答后他接著說,“嗯,是這樣,我這兒有一位你們的客戶想租一部片子,可我們的計算機現在壞掉了,我需要你幫忙查一下客戶的賬號以確定他就是你們店的客戶。”
漢瑞給出他父親的名字,使用了一個稍有不同的方法,他請求對方把賬戶信息讀出來:地址、電話,開戶日期,然后說:“嗨,是這樣,我這兒有一大堆等著的客戶,他的信用卡和有效期是多少?”漢瑞一支手在耳邊拿著手機,另一支手在餐巾紙上寫。打完電話,他把餐巾紙推到瞪著眼睛、張著嘴巴的父親面前,可憐的父親看上去完全震驚了,似乎他的信任系統已被完全顛覆。
過程分析
當某個不認識的人詢問你某事時,想想自己是什么態度。如果一個衣衫襤褸的陌生人來到你門前,很可能你不會讓他進去。如果是一位衣著得體、皮鞋明亮、發型完美,舉止優雅并面帶微笑的陌生人,你可能就會放松警覺。也許他就是現實生活中的占森(譯者注:電影《十三號星期五》中的殺人狂)呢?但你仍然愿意相信他,只要他看起來正當,手里也沒有握著餐刀。
米特尼克信箱
人們習慣的認為自己在任何特定的事務中不大可能走進騙局,否則至少也得有理由相信這是個騙局。大多數情況下,我們權衡風險,然后假定別人沒有惡意。這就是有教養人的一般行為,至少那些沒有被操縱、利用或被騙過一大筆錢的有教養的人這樣認為。在兒時,我們的父母告誡我們不要相信陌生人,也許在當今的工作環境下,我們所有的人都就應謹記這個陳舊的規則。
工作中,人們總是會有各種各樣的請求。你有這個人的電子郵件地址么?最新的客戶名單在哪兒?誰是這個項目本部分的分包商?請發給我最新的計劃更新。我需要新版本的源代碼。有時,做出這些請求的人你并不直接認識,或是公司其他部門的人,或是他們自己說是其他部門的人。但如果他們提供的信息是正確的,并且看來熟悉公司內情(“瑪麗安說……”、“這里是K16服務器”、“……新產計劃第26次修訂版”),我們便把信任圈擴大他們身上,輕率的滿足了他們的請求。
當然,我們也許會有些困惑的問自己:“為什么這個達拉斯(Dallas)分廠的人想知道新的產品計劃?”或是“說出服務器的名稱會有害處么?”等等這類問題,如果答案看上去合情合理,對方的言行也比較可靠,我們便會放松警惕,恢復相信同事的習慣,并滿足(有理由的)對方的請求。
絕不要認為攻擊者只會把目標鎖定到使用計算機的人身上,收發室的人也可能是目標。“能幫個忙么?把這個放到公司內部的郵袋。”收發室的人可不知道它是一張帶有特殊程序的針對首席執行官秘書的軟盤。這樣,攻擊者本人就擁有了首席執行官的郵件拷貝。不會吧?這事情真得會在企業中發生么?答案是,絕對可能。
一美分的手機
許多人都在尋找好的機會,不達目的不罷休。社會工程師不然,他們找到辦法使機會變得更好。比如,某公司進行一項誘人的市場優惠活動,社會工程師就會想辦法擴大他的利益。
不久以前,一家全國性的無線通訊公司發起了一個大規模的促銷活動,只要你登記接受一種資費方式,便可以得到一部全新的手機,只收一美分。對于一個精明的消費者來說,在登記一種資費方式之前,有好多問題要問清楚。通訊服務是模擬還是數字的,或是兩者結合?每個月的免費通話時間是多少?是否包含漫游費…… 等等,等等,尤其重要的是資費合同時限――你承諾的資費方式是多長時間,幾個月還是幾年?
想像一個這樣的情景,一位費城(Philadelphia)的社會工程師被通訊公司提供的一款十分便宜的手機所打動,但他討厭與其捆綁的資費方式。沒什么大不了的,他也許使用下面的方法來解決此事……
第一個電話:泰德(Ted)
他首先打給位于西吉拉德(West Girard)的一家電器連鎖店。
“電子商城,我是泰德。”
“嗨,泰德,我叫亞當。是這樣,我在前幾天晚上,跟你們的一個男銷售員談到一個手機,我說一旦決定了就給他打電話。可我忘了他的名字,你們值夜班的人是誰?”
“不只一位,是威廉么?”
“不知道,也許是吧。他長什么樣?”
“高個子,瘦瘦的。”
“我想是他吧,他姓什么來著?”
“哈德利。哈-德-利(H--A--D--L--E-- Y.)”
“是的,是他。他什么時候上班?”
“我不知道他這星期的排班,但上夜班的人5點到。”
“好的,那我試試晚上找他。謝謝,泰德。”
第二個電話:凱蒂(Katie)
第二個電話打給位于北廣街(North Broad Street)的連鎖店。
“嗨,電器商城。我是凱蒂,需要幫忙么?”
“凱蒂,嗨!我是威廉.哈德利,西吉拉德店的。今天過得怎么樣?”
“有點兒忙,什么事?”
“我有一位顧客想購買那個一美分的手機,你知道這個手機的資費捆綁吧?”
“是的,上星期我售出了一些。”
“你那兒還有這種資費捆綁的手機么?”
“還有一堆呢。”
“很好。我剛售出了一個這種手機的資費,顧客通過了信用記錄(譯者注:美國通訊公司會查詢手機用戶過去的使用記錄,以確定用戶是否具備享受某一資費方式的資格),我們也簽了資費合同。我查了一下該死的存貨記錄,卻沒有這種手機了。這讓我很難做,你能幫個忙么?我讓他到你們店去買一美分的手機,你賣給他后開張發票。他買到手機后會給我打電話,然后我再告訴他怎么用。”
“好的,當然可以。讓他來吧。”
“太好了,他叫泰德,泰德.巖西(Ted Yancy)。”
一個自稱泰德.巖西的人來到北廣街連鎖店,凱蒂開了一張發票,把一美分的手機賣給他,完全依照她的“同事”交待給她的事情,從而徹底地掉入騙局。付錢時,這個顧客的錢包里一枚硬幣也沒有,于是他到收款臺的零錢碟中拿了一枚,交給她完成登記。他甚至一分錢都沒有花就得到了那部手機。
過程分析
人們會很自然地相信熟悉公司內部的業務流程和專業用語,并聲稱自己是公司同事的人。這個故事中的社會工程師就是利用了這一點,通過了解促銷活動的細節,扮做公司的職員,并要求另一個分店人員的幫助。這種事情在各零售店之間以及一個公司的各部門之間經常發生,這是因為人們沒有機會接觸,天天與從未見過面的同事打交道。
入侵FBI
人們通常不住地去想他們的公司會在網站上提供什么資料。我在洛杉磯一個電臺做每周一次的脫口秀節目,節目制作者在網上做了一次搜索,發現了一份訪問國家犯罪信息中心(NCIC)的操作說明拷貝。不久他發現,真正的NCIC操作說明原件就在網上,這是一份相當敏感的文檔,它記錄著從FBI的國家犯罪記錄數據庫中提取信息的所有操作說明。對于執法部門,這份說明就是一本從國家數據庫中提取犯罪記錄和罪犯信息的格式和代碼的操作手冊。國家的所有執法部門都可以依據他們所屬的權限從同一個數據庫中查詢有助于辦案的信息,手冊里包含了數據庫中用來標明各種信息的代碼,從各種各樣的紋身到各式各樣的輪船外殼,再到失竊紙幣和債券的面額。
任何人接觸到這本手冊的人都可以在上面找出從國家數據庫中查找信息的命令和語法規則,然后依據手冊上的步驟指導,再加一點膽量,人人都可以從數據庫中提取信息,而且手冊還提供使用數據庫系統的服務支持電話。也許你的公司也有這樣的包含著產品代碼或是查詢敏感信息的代碼手冊。
FBI幾乎肯定不知道如此敏感的資料暴露在網上,我想如果他們知道此事一定會很惱火的。一份拷貝是由俄勒岡州政府部門放到網上的,另一份是由得克薩斯州的執法機構傳到網上。為什么?這都是因為,也許某人覺得這些信息可能沒什么價值,放到網上也不會有什么害處。也許有人為了內部人員使用上的方便,而它放到內網上,卻從未想到會被在網上使用搜索引擎(如Google)的人找到,包括僅僅是好奇的人、還有想當警察的人、黑客,以及有組織的犯罪團伙。
接入系統
利用這樣的信息來欺騙有政府或企業背景的人,使用的準則是相同的:由于社會工程師知道如何訪問特定的數據庫或應用程序,或是知道公司的服務器名稱等類似的事情,他因此具備可信性,這種可信導致信任。一旦社會工程師擁有了這樣的代碼,獲得所需信息就十分簡單。在這個例子中,他首先給當地的州警察局電訊室打電話,針對手冊上的一個代碼,提出問題。比如,犯罪代碼。他可能這樣說,“我在NCIC做犯罪記錄查詢時,碰到‘系統發生問題’的錯誤提示。你做記錄查詢時碰到過這種情況么?能幫我試一下么?”或者他會說正在查詢WPF(警方用語,被通輯人的檔案)。電話另一端,電訊室的工作人員就會意識到對方熟悉查詢 NCIC數據庫的操作程序和命令,除了受過訓練的人,誰會知道這些操作程序呢?
工作人員確定她的系統運行正常后,談話可能像這樣進行:
“我可以幫點兒忙。你要查什么?”
“我要查瑞爾頓.馬丁的犯罪記錄,出生日期66年10月18日。”
“索什(SOSH,執行部門的人有時把社會保險號簡稱為索什)是多少?”
“700-14-7435。”
找到名單后,她可能這樣說:“他的犯罪記錄代碼是2602。”
現在,攻擊者只需到NCIC的網站上查一下這個號碼的含義了――這個人有一樁詐騙的犯罪記錄。
過程分析
一個出色的社會工程師一刻也不會停止思考闖入NCIC數據庫的辦法,往當地警察局打上一個電話,花言巧語一番讓對方認為自己是內部人員,這就足以能夠得到他所需的信息。下一次,他只需使用相同的借口往另一個警察局打電話就是了。為什么獲得信息如此容易?
專業術語
索什:執法部門對社會保險號的簡稱。
你可能覺得奇怪,往州、縣警察局,或是高速公路巡警處打電話不危險么?攻擊者豈不是冒著很大的風險?
答案是“不”。由于某種原因,執法部門的人(比如軍事部門),自從步入這個圈子的那一天起,就牢牢地記住對等級的尊重。社會工程師只要裝扮成一名中士或中尉(比對方級別要高),對方就會被那句根深蒂固的訓誡所支配――不要向職位、權力比你高的人提問。換句話來說,級別,享有特權,尤其是級別低的人不能對級別高的人提出置疑的特權。不要認為只有執法部門和軍事部門才會看重級別的高低,社會工程師經常把企業中的等級特權做為他們對業務信息的攻擊武器,一如本書中的故事中所做的示范。
預防措施
你的機構能采取哪些措施以降低社會工程師利用雇員相信他人的習慣來實施攻擊的可能?下面提供一些建議:
保護你的客戶
在當今的電子時代,許多銷售公司都會把客戶的信用卡信息存檔。這是由于,在客戶去商店或網站購物時,它省去了客戶每次都要填寫信用卡信息的麻煩。然而,這種習慣應該去除。如果你必須將信用卡號存檔,則應采取加密或訪問控制等相應的安全措施,工作人員需要培訓以認清類似于本章中描述的社會工程師的詭計。只是通過電話但從未見過面的同事,可能不是她或他聲稱的那個人,他也許沒有訪問客戶信息的知情權,因為,他可能根本就不在這個公司工作。
米特尼克信箱
人人都應了解社會工程師的慣用手段:盡可能的收集目標的所有信息,并利用這些信息獲取信任,讓對方認為自已是內部人員,然后便深入腹地。
有節制的給予信任
并不是只有那些有權訪問到敏感信息的人,軟件工程師、發展研究部門的人等等,需要得到防入侵的安全培訓,幾乎公司里的所有人員都需要安全培訓以保護企業,防范商業間諜和信息竊賊。實施這項基礎工作首先要在企業范圍內做一項信息資產的調查,單獨地審視每一項關鍵、敏感,或是有價值的信息資產,并提出問題,攻擊者可能會使用什么樣的社會工程手段來危及這些資產的安全。圍繞這些問題,為有權訪問信息資產的人制定出恰當的培訓方案。任何沒有見過面的人找你詢問某些信息和資料,或是讓你操作一下你的計算機時,每一個員工都應該問自己:如果我把這些信息透露給最壞的敵人,我或我的公司會因此而受到傷害么?我的確完全知道對方要求我做的計算機操作存在的潛在影響么?
我們并不想懷疑我們遇到的每一個陌生人,在懷疑中渡過人生。然而,我們越容易相信他人,我們就越容易被欺騙,從而把公司的私有信息泄露給下一個社會工程師。
內部網上有什么?
企業的內網也許有些內容會對外開放,剩下的只開放給員工。那你的公司是否確保了敏感信息不被放到不該放的地方?你的機構對內網上的敏感信息是否被放到網站公眾訪問區的最后一次檢查是在什么時候?如果你的公司使用了代理服務器來增加企業的網絡安全性,最近有沒有進行檢查以確保這些服務器做到正確的配置?
實際上,有人檢查過你的內網安全性么?
當我們遇到頭痛的事情時,如果有個經驗豐富、技術高超的人來幫忙,我們一定會很感激。社會工程師了解這一點,并懂得如何利用它。他還知道如何制造一個麻煩,然后幫你解決以獲得你的感激,最后利用你的感激之情來獲取信息或得到你的一些小關照,這將把你的公司或是你個人置于不利的地步,而你可能永遠不知道你已經遭受損失。下面是一些社會工程師“幫忙”的典型方法。
網絡故障
日期/時間:2月12日星期一,15:25
地點:斯達伯德(Starboard)造船廠辦公室
第一個電話:湯姆.狄雷(Tom Delay)
“簿記處,湯姆.狄雷。”
“嗨,湯姆,我是服務中心的艾迪.馬丁(Eddie Martin)。我們正在檢修計算機網絡,你們部門有人在線時遇到問題了么?”
“嗯,據我所知沒有人。”
“你這兒也沒什么麻煩吧?”
“沒有,還算正常。”
“好的,很好。是這樣,我們正在給可能發生網絡問題的人打電話,如果你的網絡連接中斷請立即告訴我們,這很重要。”
“聽起來可不妙,你覺得它可能出問題么?”
“我們希望不會,但一旦有情況,請打電話好么?”
“這你放心。”
“是這樣,如果你們的網絡連接掉線,很可能是你這兒的問題……”
“那可沒準兒。”
“所以我們會檢修你這里的網絡,我把我的手機號留給你,如果有需要你可以直接找到我。”
“太好了,請說。”
“555 867 5309。”
“555 867 5309,好了,謝謝。你叫什么來著?”
“艾迪。聽著,還有一件事。我需要檢測一下你的計算機連接端口,看一下你的計算機哪里貼著一個大概寫著“端口號”字樣的標簽?”
“稍等,沒有,我看不到有這樣的東西。”
“好吧,這樣,你再看計算機的后面,能找到網線么?”
“是的。”
“順著線找到它的插頭,看看它的插口上是否有一個標簽。”
“稍等一下,再等等,我必須蹲下離近些才能看清楚。好的,上面寫著6杠47(6-47)。”
“很好,那就是我們記錄的端口號,只是為了確認一下。”
第二個電話:技術支持
兩天后,一個電話打到該廠的網絡管理中心。
“嗨,我是鮑勃(Bob),我現在簿記處湯姆.狄雷的辦公室。我們正在檢修網線故障,請你封掉6-47的端口。”
技術支持人員回答說很快就封掉,并說可以恢復的時候再通知他們。
第三個電話:敵人的幫助
一個小時后,一位自稱艾迪.馬丁的人在Circuit City購物時,他的手機響了。他發現是造船廠的號碼,便迅速地轉到一個安靜的角落接聽手機。
“服務中心,艾迪。”
“哦,嗨,艾迪。有事找你,你在哪兒?”
“我么,嗯,我在機房,你是?”
“我是湯姆.狄雷。伙計,很高興能找到你。或許你還記得前兩天給我打過電話吧?我的網絡連接可能像你說的那樣斷掉了,我有點不知道怎么辦。”
“是的,剛剛好幾個人都說掉線了,我們在今天晚上會處理此事,好么?”
“不!見鬼!如果斷線那么長時間,就要耽誤事了。能盡量幫幫我么?”
“事情很緊?”
“我有事得趕緊弄,有沒有可能在半個小時之內處理好?”
“半個小時?你也太著急了。嗯,這樣,我放下手里的活,看看能不能幫你解決。”
“嗨,艾迪,真是謝謝你了。”
第四個電話:搞定
45分鐘后……
“湯姆?我是艾迪,去看看你的網絡連接。”
不一會兒:
“噢,好了,它好了,太棒了!”
“很好,很高興為你解決了。”
“是啊,十分感謝!”
“聽著,如果你不想讓它再出毛病,要安裝一個軟件,幾分鐘就可以了。”
“可現在不太合適。”
“我理解,但如果下次網絡連接再出毛病,這會讓我們都省心的。”
“好吧,如果只需幾分鐘的話。”
“你照這樣做……”
艾迪指導湯姆從一個網站下載一個小程序,下完之后,艾迪叫湯姆雙擊它。湯姆照做,但反饋說:“不行,什么反應都沒有。”
“噢,真討厭。程序一定有什么地方出錯了,算了吧,我們可以下次再試。”接著他指導湯姆刪除掉程序,以使其不能恢復。
整個過程花費時間,十二分鐘
攻擊者的故事
每當鮑比.華萊士(Bobby Wallace)接到這樣的一項任務時總覺得很可笑,他的客戶總是在為什么需要這種信息的問題上閃爍其詞。這件案例中,他只想到兩個原因:也許他們代表某個意圖收購斯達伯德造船廠的組織,因而想知道造船廠真正的財務現狀,尤其是被收購方想對潛在購買者刻意隱瞞的東西。或者,他們代表投資方,認為他們的資金在使用上有些可疑,并想知道是否有些管理人員私自開設了小金庫。
也許他的客戶并不想讓他知道真正的原因,因為如果鮑比知道了那些信息的價值,他可能會索要更多的酬金。
有許多破解企業最機密文檔的方法,鮑比在制定計劃前花了幾天時間做選擇并進行了小小的測試。他決定使用一個稱為“接近”的他尤其喜歡的方法,讓對方自己落入圈套,他會自動請求攻擊者的幫助。
首先,鮑比花39.95美元在便利店買了一部手機,然后打電話給那個他選做目標的人,冒充公司服務中心的人哄騙對方在網絡連接出問題時給他打電話。為了使事情看上去不那么明顯,他故意等了兩天才給網絡管理中心(NOC)打電話。他聲稱在為湯姆(他的目標)檢修網絡問題,并要求NOC把網絡連接禁止掉,鮑比知道這是整個計劃中最棘手的部分。在許多企業,服務中心與NOC有著緊密的工作關系,實際上他知道服務中心通常就是IT部門的一個分部。但NOC接電話的人懶得問那個解決網絡問題的服務中心人的名字,并同意禁止掉對方要求的網絡端口。這一切搞定之后,湯姆就被完全的從企業內網上隔離了,不能從服務器上檢索文件,也不能與同事交換文件、下載郵件,或甚至不能把數據傳到打印機。在當今的世界,這如同居住在一個洞穴中。
正如鮑比所預想的,他的手機很快就響了。當然,他盡量使自己聽上去十分愿意幫助這個不幸的同事,然后給NOC接電話把網絡連接恢復。最后,他打給湯姆再次控制了他,這一次由于幫他解決了問題,令對方心存感激,于是湯姆同意下載一個軟件到他的計算機上。當然,他同意下載的軟件并不是鮑比所說的那樣,是為了防止網絡連接的再次中斷,它實際上是一個特洛伊木馬,一個用來對付湯姆的計算機的應用程序(特洛伊是一種原始的把敵人帶到對方內部的欺騙方法)。湯姆回復說雙擊程序后沒有任何反應,這是故意讓他看不到發生任何事情的,實際上這個小巧的應用程序正在安裝一個允許滲透者悄悄訪問湯姆計算機的秘密軟件。利用這個軟件,鮑比可以完全的控制湯姆的計算機,這稱為遠程命令行解釋器。當鮑比訪問湯姆的計算機時,他可以查找他感興趣的財務文件并拷貝下來,然后,在方便時檢查它們是否包含他的客戶尋求的信息。
專業術語
特洛伊木馬:一種包含惡意或會造成危害的代碼,用來損壞受害者的計算機或文件,或是從受害者的計算機和網絡上獲取信息。某些特洛伊木馬會隱藏在操作系統中暗中監視擊鍵或操作,或者通過網絡連接來執行一些入侵命令,而這一切是在受害者意識不到的情況下進行的。這還不是全部,入侵者還可以在任何時候回到這臺計算機上搜索電子郵件和私人備忘錄,并對可能揭示出敏感信息的詞進行文本查找。
在哄騙目標安裝了特洛伊木馬程序的當晚,鮑比就把手機扔到了垃圾桶里。當然,在扔之前他首先小心的刪除了通話記錄并拔出了電池。這是他最后要做的事情,讓人再也撥不通這個電話號碼。
過程分析
攻擊者設計一個圈套來使對方認為自己的計算機存在問題,實際上,根本沒有。或者,問題還未發生,但攻擊者知道它會的,因為他將使之發生,然后他再假扮解決問題的人。這次攻擊中的程序安裝對于攻擊者來說更是獎賞,他事先埋下了伏筆,當目標發現問題時,會自動打電話懇求幫助。攻擊者只需坐在那兒等電話響就是了,可以把這次攻擊看做是一次反向的社會工程學――攻擊者迅速獲得了信任,從而使目標主動打電話給他。如果你打電話給某個你認為是服務中心的人,你會要求對方證明自己的身份嗎?這就是攻擊者想制造的效果。
專業術語
遠程命令行解釋器:接受文本命令來執行某種功能或運行程序的非圖形操作界面。通過利用漏洞或在目標計算機上安裝木馬,攻擊者可以獲得對命令行解釋器的遠程訪問權。
反向社會工程學:攻擊者設計的一種情形,受騙者碰到問題時會聯系攻擊者求助。另一種反向社會工程學是對付攻擊者的,被攻擊目標發現了對方是攻擊者后,利用心理影響盡可能的從攻擊者身上套出信息以保護企業的信息資產。
米特尼克信箱
如果某個陌生人幫了你的忙,然后要你幫他,不要不經過慎重考慮就回報他的幫助,要看對方要你做的是什么。在類似上面的這個騙局中,社會工程師找了一個計算機知識很少的人。他知道的越多,就越可能產生懷疑,或越能斷定是被騙了。計算機白癡――對計算機操作和知識了解很少的人,則很容易遵從你的指示。他太容易掉入“只需下一個小程序”這樣的陷井了,因為他對一個軟件程序可能造成的損害一無所知。而且,他很可能不知道他冒著風險放到網絡上的信息的價值。
總結
以上是生活随笔為你收集整理的The Art of Deception的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 基于微信小程序的课堂考勤系统设计与实现
- 下一篇: 《实战 Java 高并发程序设计》笔记—