企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:
瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克·汉森(Mike
Hansen)。那次对话大概是这样的:
几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为——社会工程学。
许多人都说,关掉了的计算机才是安全的计算机,但这是错误的,找个借口让人去办公室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。
使用再多的安全技术也不能解决人为的安全因素,拿今天的机场为例,安全已经成为首要措施,然而我们仍然被媒体的报道所警告,还是有人可以避开安全措施、携带潜在性武器通过检测。在一个机场时刻处于警戒状态下的时期,这种事情又是怎么发生的呢?是那些金属仪器失效了么?不,问题不在机器,问题在于人,机器是由人操纵的。机场的官员虽然可以布署国民警卫队并安装检测器和面部识别系统,但如何培训一线保卫人员正确地检查旅客则更为重要。全世界的政府、商业、教育机构都有同样的问题,虽然各个地方的职业安全人员不敢懈怠,但信息仍然易受攻击,并被具备社会工程学技巧的攻击者视为可摘之果,除非安全链中最薄弱的环节——人为因素,被加固强化。
我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着,他们有办法(比如:“这是为了你好”)让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法,巧妙的编出看似有理的故事、理由以及借口,来达到他们的目的。是的,我们都被我们的父母所引导——那些乐善好施的(偶尔也不完全如此)社会工程师们。
[欺骗的艺术]第二章 无害信息的价值
第二部 攻击者的手段
第二章 无害信息的价值
对大多数人来说,社会工程师的真正威胁在哪里?又该如何保持警惕?
如果社会工程师的目标是“最有价值奖”——比如,企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安,对么?
但在现实中,坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件,这些信息和文件看起来十分平常,也不重要,公司里的人大都不明白为什么这些东西会被限制和保护。
信息的隐藏价值
社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上可信外衣的至关重要的因素。
在这一章里,我将通过让读者“亲身”经历攻击过程,来展示社会工程师的攻击手段。有时从受害人的角度来表现情节,让读者以当事人的身份估计自己(或是你的同事和员工)可能会做出的反应。而更多的时候,让读者从社会工程师的角度来经历攻击过程。
第一个故事着眼于金融行业的一个漏洞。
信誉支票(CREDITCHEX)
曾经有一段很长的时期,英国的银行系统十分闭塞,大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户,除非他带有某位正式银行客户的推荐信。
当然,这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了,任何人都可以走进银行轻松的建立一个日常账户,是这样么?
并非如此。事实上可以理解,银行很难为一个才开过空头支票的人建立账户,这很自然,同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。
与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构称之为“信誉支票”。它为客户提优质的服务,但同许多公司一样,它也会“无心”的为“有心”的社会工程师们提供便利的服务。
第一个电话:吉姆·安德鲁斯(Kim Andrews)
“国家银行,我是吉姆,您是想要开一个帐户么?”
“嗨,吉姆,我想请教个问题。你们与信誉支票打交道么?”
“是的。”
“你们给信誉支票打电话时,怎么称呼你们提供的号码?是叫‘交易号’(Merchant
ID)么?”短暂的沉默,基姆在衡量这个问题,对方是什么意图,她是否应该回答。打电话的人不容对方思考接着问:“是这样,吉姆,我在写一本涉及私人调查的书。”
“是的。”她有了回答的信心,因为她还是愿意帮助一个作家的。
“就叫“交易号”,对么?”
“好的,很好。我是想确认我的书中使用了正确的专业用语,谢谢你的帮忙,再见,吉姆。”
第二个电话:克瑞丝·塔伯特(Chris Talbert)
“国家银行,开户处,我是克瑞丝。”
“嗨,克瑞丝,我是阿莱克斯。”打电话的人说,“我是‘信誉支票’的客服代表,我们在做一项改善服务质量的调查。能耽误您几分钟么?”克瑞丝表示愿意,打电话的人继续:“好的。你们部门营业时间是多少?”她给予回答,并接着回答下面的一系列问题。
“你们部门有多少人使用我们的服务?”
“大约多长时间给我们打一次咨询电话?”
“您用的是我们哪一个800免费电话号码?”
“我们的客服代表服务态度好么?”
“我们对业务的响应时间如何?”
“您在银行工作多长时间了?”
“您通常使用的交易号是多少?”
“您是否发现过我们提供过的信息不准确?”
“如果您对我们的服务有所建议,建议是什么呢?”最后:
“如果我们把定期调查表寄到你们部门,您会填写么?”
她表示同意,然后彼此简单对了几句话,电话挂掉,克瑞丝继续她的工作。
第三个电话:亨利·麦克金赛(Henry McKinsey)
“信誉支票,我是亨利·麦克金赛,需要帮忙么?”
打电话的人表明自己是国家银行的职员,并报出正确的交易号,以及他想查询的人的名字和社会保险号。亨利要求出生日期,他也报上。不一会儿,亨利看着自己的计算机屏幕读道:“韦尔斯·法果在1998年报过一次NSF”——客户账款不足(Non
Sufficient
Funds),支票已开出,账户里却没有足够钱支付的银行常用专业用语。
“自那之后,还有资金往来么?”
“没有了。”
“有没有申请其他账户?”
“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会(Third
United Credit Union of
Chicago),”他断断续续地读出第二个地方,斯卡奈塔第共同投资(Schenectady
Mutual
Investments),他不得不逐字母的将名称拼出。“纽约州。”他最后补充道。
工作中的私人侦探
所有的这三个电话都是同一个人打的,一个私人侦探,我们且称他为奥斯卡·格瑞斯(Oscar
Grace)吧。格瑞斯有了一位新客户,他的首批客户其中之一。几个月前还是名警察的格瑞斯发现他的新工作有些做起来易如反掌,有些则对他的智力和创造性是个挑战,这件案子无疑很具有挑战性。
小说中的冷面神探――塞姆·斯贝兹(Sam
Spades)和菲利浦·马洛斯(Philip
Marlowes),在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣(译者注:塞姆和菲利浦都是著名小说和电影中的人物),现实中的私人侦探也做同样的事情。他们为相互敌对的伴侣之间打探消息,也许没小说中写得那么夸张,但重要性却一点不差。他们的方法主要是依靠社会工程学的技巧,而不是坐在车子里与守夜的困倦做斗争。
格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天,她走进他的办公室,在唯一的一把未堆着文件的皮椅上坐下来,把她的古琦(译者注:Gucci,意大利名牌)手包放到桌子上,商标冲着他的脸。这位女士告诉格瑞斯,她想跟他的丈夫离婚,但“有一点小麻烦。”
他的丈夫比她早了一步,已经从两人的储蓄帐户中把存款提了出来,并从代理公司(译者注:专门从事为客户买卖股票和债券的公司)的账户中提走了更大的款项。她想知道他们的钱到哪里去了,她的离婚律师对此无能为力。格瑞斯猜想她的律师是那种身居住宅区高楼大厦的法律顾问,才不会为这种“钱到哪里去了”的烂事自找麻烦。
格瑞斯有办法么?
他向她保证这是小事一桩,接着报出价格,列出费用,并收了一张支票做为第一笔佣金。接下来,他要面对此事了。如果你以前从未处理过这样的事情,并根本不知道如何跟踪一笔资金的来龙去脉,你该从何做起呢?一步一步地往前挪?好吧,我们来讲格瑞斯的故事。
我知道信誉支票以及银行与其的联系,我的前妻曾在银行工作。但我并不知道那些专业术语和业务过程,而向我前妻打听则是浪费时间。
第一步:了解专业术语,设计出获取信息时所需要的对话,以便听起来不会露出马脚。我给银行打电话时,第一位年轻的小姐,吉姆,在我询问他们如何向信誉支票确定自己身份时就有所迟疑,她犹豫着,不知道是否应该告诉我。我被难住了么?才不。事实上,她的犹豫给了我一个重要的线索,提醒我必须给她提供一个可信的理由。当我骗她说为写一本书而做的调查时,便打消了她的怀疑。声称自己是一位作家或电影剧本作者,可以让人放松警惕。
她知道一些有用的信息,比如信誉支票如何确定打电话人的身份,你可以查询哪些信息,最重要的——吉姆所在银行的交易号。我已准备好提出这些问题,但她的犹豫造成了麻烦。吉姆相信了写书的故事,可她已经有所疑心。如果她更配合些,我就会多问些操作细节了。
专业术语
马克(MARK):受骗者
激警(BURN THE
SOURCE):攻击者如果让对方看出来攻击的意图称为激警。一旦对方有所警觉并通知其他人员,以后再想套出类似的信息就十分困难了。
你必须依靠自己的感觉,仔细的倾听马克的说话内容和说话方式。这位小姐看起来就十分聪明,如果我提出很多的敏感问题,她一定会敲响警钟的。即使她不知道我是谁,我用哪个号码打过来,也不要让任何人注意到有人在打探消息而有所警觉。这是因为我们不想激警,有可能还需要给这个地方打电话的。
我总是留意那些能够帮助我了解一个人配合程度的微小迹象,其态度各异,从“你听起来真是一个好人,我相信你所说的每一句话”到“打电话给警察,通知国民警卫队,这小子要倒霉了。”
我发现了吉姆的警觉,于是我打电话给另一个人——克瑞丝。在我的第二个电话中,调查表的把戏很能迷惑人。我把重要的问题插进可以建立信任感的无关紧要的问题中,在信誉支票的交易号问题之前,我通过问她在这家银行工作多久了这样一个私人问题,做了一个最后的小测试。
私人问题就像一颗地雷,有些人会毫不注意的踩上去,有些人则知道它会爆炸,赶紧躲开。因此,如果我问及一个私人问题,她在回答的语气上没有变化,这就意味着她很可能没有对提问产生怀疑,我可以在她没有疑心的问题之下安全地提出关健问题。
一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。如果对方稍后想起你提过的问题,很可能是你最后提出的问题,其它的通常会忘记。
这样,我从克瑞丝那里得到了他们的交易号和他们查询时所用的电话号码,如果当时我再多问些信誉支票的事,我会更高兴的。但没有进一步冒险,也许更好。
如同有了一张空白支票,无论什么时候我都可以从信誉支票那里获得我需要的信息,甚至不用付费。从前面的情况看出,信誉支票的客服代表十分愿意为我提供信息,于是我知道了我客户的丈夫最近在两个地方申请建立账户。那他将要离婚的妻子寻找的那笔资产在哪里呢?无论在哪家银行,信誉支票都会将其列出吧?
过程分析
整个过程都基于社会工程师的基本策略之一,获得公司职员认为无关紧要的信息(实际上它是有用的)。第一个银行职员肯定了打电话给信誉支票时确认身份的术语,第二个职员提供了电话号码和最至关重要的信息――交易号。透露这些信息对于她们来说似乎是无所谓的,毕竟她们认为与之交谈的是信誉支票的工作人员,把号码说出来又有什么不对呢?
前两个电话为第三个电话打下基础,格瑞斯已经具备给信誉支票打电话需要知道的一切信息,于是冒充信誉支票的客户——国家银行,轻松地查询信息。
格瑞斯窃取信息的技巧丝毫不逊于一个高超的骗子诈骗钱财时所用的手段,在了解人方面格瑞斯久经磨练。他懂得把关健信息藏在无关紧要的信息中,也知道在套出交易号之前用私人问题来测试对方的配合程度。
第一个银行职员在确认信誉支票专业术语上的错误几乎是最难防范的,这种专业用语在银行业几乎人人都知道,因此显得无关紧要――无害信息最普遍的表现形式。但第二个职员,克瑞丝,不应该在确定打电话人的身份真实与否之前,就非常乐意的回答问题。她至少应该询问对方的名字和电话号码并拔回,这样如果日后发生问题,她还有一个打电话人所使用电话号码的记录。在这个案例中,拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成很大的困难。
米特尼克信箱
这个案例中的交易号相当于一个密码,如果银行工作人员将其与自动取款机的个人识别码(PIN)一样看待,便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢?
用以前记录的银行电话号码给信誉支票回拔一个电话(不要用对方提供的号码),以验证对方是否在那儿工作,信誉支票是否正在做一项客户调查,这样的电话还是有必要打的。现代社会人们的工作时间都很紧张,而且这样的确认电话会占用不少时间,考虑到现实中的实用性,建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。
工程师的圈套
很多人都知道,猎头公司使用社会工程学来扩大业务范围,这里有一个例子:
在90年代末,某个不怎么道德的职业介绍所签了一家新客户,一家正在寻找有通讯行业工作经验的电气工程师的公司。负责这个项目的经理是一位女士,有着有磁性的嗓音,和充满诱惑力的言谈举止,这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电话服务提供商进行一次偷袭,以期找到一些可能会投奔到竞争对手那里的工程师。她当然不能直接给接线员打电话说:“我要找五年经验的工程师”,那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息,电话公司人人都可以告诉别人的信息,巧妙的发动了这次袭击。
第一个电话:接线员
攻击者使用迪迪·桑德斯这个名字给移动电话服务商的总机打了一个电话,对话情形大致如下:
接线员:下午好,我是玛丽,您有什么事情?
迪迪:请帮我接运输部好么?
接:我不一定能找到这个号码,我查一下目录,您是哪位?
迪:我是迪迪。
接:您在公司大楼里还是在……?
迪:不,我在外面。 )
接:你是迪迪……?
迪:迪迪·桑德斯,我以前知道运输部的分机号,但我现在忘了。
接:稍等。
为了减少怀疑,在这里迪迪设计了一次谈话,让对方认为她是内部人员,熟悉公司的情况。
接:您在哪里办公?主街商厦(Main
Place)还是望湖大厦(Lakeview)?
迪:主街。(停顿一下)接:电话是805-555-6469。
有可能给运输部打电话后也得不到所需的信息,迪迪又要了资产部的电话,作为备用。接线员帮迪迪接到运输部,但线路正忙。于是,迪迪又问第三个电话,位于得克萨斯州首府奥斯丁的收款部号码。接线员让她等一会儿,并放下电话。接线员有所警觉了么?她在向保卫部门报告她接到一个可疑电话么?才不,迪迪一点都不担心。接线员只是有些不耐烦了,但这是她再平常不过的日常工作了。一分钟后,接线员拿起电话,查到收款部的号码,给迪迪接通。
第二个电话:派基(Peggy)
对话大致如下:
派基:收款部,我是派基。
迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。
派:嗨,迪迪。
迪:你好吗?
派:还好。
迪迪接着使用企业内部的习惯用语来描述成本核算代码——给一个特定的机构或工作组分配费用的代码(译者注:常在报销费用时填写)。
迪:很好。我有个问题问你。我如何才能找到某个部门的成本中心(cost
center)?
派:你必须联系到那个部门的预算师。
迪:你知道谁是橡木城总部的预算师么?我在填表,但我不知道该填哪个成本中心?
派:我只知道要找成本中心的代码时,打电话给预算师。
迪:你们部门在德克萨斯有成本中心么?
派:我们有自己的成本中心,但我们没有完整的成本中心列表。
迪:成本中心的代码是多少位?比如,你们的成本中心?
派:嗯,这样,你是9WC还是SAT?
迪迪并不知道这是指哪个部门或工作组,但这并不重要,她回答道:
迪:9WC。
派:那一般是四位数字。你说你在哪里?
派:哦,这里有橡木城的代码。 1A5N,N是Nancy的N。
仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。
第三个电话:有用的错误号码
迪迪的下一步是把成本中心的代码当做筹码来开发更大的价值。她先给资产部打电话,假装是故意拔错的电话。以“不好意思,但……”做为话头,她声称自己丢失了公司的通讯录,看看对方可不可以帮她弄一个新的。对方说公司已将通讯录放在内部网站上,打印出来的已经过期了。迪迪说她还是想要一份复印件,对方让她打刊印部的电话,并主动查到刊印部的电话(也许是想让这位声音性感的女士多在电话上呆一会儿吧)然后告诉了她。
第四个电话:刊印部的巴特
在刊印部,她与一个叫巴特的人谈上了话。迪迪说她是橡木城的,他们新来了一位顾问,需要一份公司的通讯录。她告诉巴特,对于这位顾问来说,一份复印件会让工作更顺利些,即便有些过期。巴特告诉她需要填一份申请单然后再寄给他。迪迪说她手头没有申请单,而且事情很急,她甜言蜜语地问巴特是否能发个善心帮她填这个单子?他有些过分热心地同意了,接着迪迪报出单子上的各项内容。在报出虚构的签单人地址时,她慢慢地说出了一个被社会工程师称为“秘密通信地”的号码,在这里是一个邮箱号,商用的,她的公司为类似这种情况而租用的邮箱。这时,早先的准备工作派上了用场。邮递这份目录会产生费用,迪迪给出了橡木城成本中心的成本核算代码:“1A5N,N是Nancy的N。”
几天后,企业通讯录寄到,迪迪发现比她期望的还要好。上面不仅有名字和电话号码,还有人员之间的工作关系,整个企业的组织结构。
这位有着磁性嗓音的女士可以通过拔打人员电话开始她的猎头行动了。她使用社会工程师久经磨练的谈话技巧,骗取了开始行动所需的信息,她现在已经准备好收获了。
专业术语
秘密通信地(Mail
Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租用的,用来接收受骗者发来的文件和包裹。
米特尼克信箱
犹如拼图游戏,每条信息本身并没有什么联系。然而,当把它们放在一起时,一个清晰的画面便出现了。在这个案例中,社会工程师看到的画面就是那家公司的整个内部结构。
过程分析
在这次社会工程学的攻击中,迪迪以获得目标企业的三个部门电话为开始。这很容易,因为她询问的电话号码并不是秘密,尤其是对于内部工作人员。一个社会工程师要听起来像一个内部人员,此例中的迪迪就很善此道。一个电话号码帮她弄到成本中心的核算代码,而后者用来获取公司职员的通讯录。她使用的主要工具是:友善的语气、企业专业用语,以及对那个最后的上当者抛一个口头上的媚眼。还有一件无法轻易得到的必不可少的工具——社会工程师的操纵能力,它来自于广泛的实践,和老一辈骗子们口头传下来的经验。
更多的“无价值”信息 -;
除了成本核算代码和内部分机电话,还有哪些看似无用但对你的敌人来说非常有价值的信息?
皮特·艾伯尔(Peter Abel)的电话 ;
“嗨,”电话的另一端说:“我是帕克斯特(Parkhurst)旅行社的汤姆,您去往旧金山的机票已订好,您要寄过去还是您来拿?”
“旧金山?”皮特说:“我没打算去旧金山。”
“您是皮特·艾伯尔么?”
“是的,但我没有任何旅行的安排。”
“嗯,”对方友好的笑笑,“您确定您不想去旧金山么?”
“如果你认为你能跟我老板谈谈此事的话……”皮特对这次友好的谈话开起玩笑。
“这听起来有些乱,”对方说:“我们的系统依照员工号码登记旅行安排,也许有人把号码弄错了,你的员工号码是多少?”
皮特欣然报出他的号码。为什么?因为这如同他平时所填的公司里很多人都会看到的人员登记表,人事部、工资名单,很明显,还有外面的旅行社。没人把员工号码当做秘密。这会有什么影响吗?
这很难说清。两到三个信息也许就可以让社会工程师装扮成他人扮演一场好戏了。弄到一个工作人员的名字和他的电话号码,也许为了保险起见,再找到他上司的名字和电话号码。即使一个不怎么出色的社会工程师也会尽可能的搜集所需要的信息,以使他给下一个目标打电话时听起来可信。
如果昨天有人给你打过电话,声称他是公司另一个部门的职员,并给出一个含糊的理由来询问你的员工号码,你很轻易的就告诉他了么?
还有,你的社会保险号呢?(译者注:美国、加拿大居民的身份代码,类似于中国的身份证号。)
米特尼克信箱
这个故事的寓意在于,不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
预防措施
公司有责任让员工意识到对非公共信息的管理不善会带来严重的后果。一个深思熟虑地信息安全策略,再加上正确的教育和培训,将会极大的提升员工正确处理企业内部信息的意识。资料数据的分类策略也将帮助你实施对信息使用的正确控制,如果没有分类策略,所有的内部信息都应被视为保密,除非另做指定。
采取以下步骤来防止公司看似无害信息的泄漏:
信息安全部门应操办意识培训来讲解社会工程师所使用的手段。其中一个方法,正如上文所提到的,就是获得看似不敏感的信息,然后把它当做筹码来取得短暂的信任。每一个员工都应该意识到,当一个知道公司办事程序、专业用语和内部标识的人打来电话时,并不意味着他或她就可以知道所查询的信息。对方可能是公司以前的员工或是知道公司内部一般情况的合同工(译者注:某些大公司将员工分为regular和contractor,前者类似事业单位的固定工,后者类似合同工)。因此,每个企业都有责任制定适当的验证方法,在员工与他们不认识的人通电话或当面交谈时使用。
负责制订资料分类政策的人应该仔细检查信息的分类,注意那些正式员工可以访问到的看似无害却可能会导致敏感信息泄漏的信息。尽管你从未把现金卡(ATM)的密码告诉过别人,但你曾把开发公司软件产品的服务器告诉过别人么?这个信息可不可以让一个人装扮成企业员工合法地访问企业网络呢?
有时仅仅知道内部的专用术语,就可以让社会工程师显得知道很多并可以信赖,攻击者常常利用这个普遍的错误观念来操纵受骗者。比如,交易码是银行开户处用工作人员每天都使用的认证标识,这个标识的意义与密码一模一样。如果每一个工作人员都认识到它的意义——唯一用来确认查询人身份,他们也许会更加谨慎的对待它。
米特尼克信箱
正如人所说——即使一个真正的妄想狂也可能有敌人,我们也必须假定每个企业都有它的敌人——以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字,应尽早地布置深思熟虑的安全操作方案和策略,这样才能对企业进行正确的控制以加强防范。
没有公司或只有很少的公司,会将首席执行官或董事长的直拨电话告诉别人。尽管大多数公司并不在意在内部公开电话号码,尤其对于似乎是内部员工的人,实施这样一个政策还是必要的:禁止对外公开内部职员、合同工、顾问和临时雇员的电话号码。
部门或工作组的财务制度,还有企业通讯录(无论是复印件还是资料文件或是内网上的电子版),都是社会工程师常见的目标。每个企业对这类信息都要有一个成文的使用政策,并让所有的员工都知道。保安人员则应保留一份备查日志,用以记录敏感信息透露给企业外人员的情况。像员工号码这样的信息,它本身不能用做任何形式的验证,内部员工不仅要验证查询信息者的身份,还要确定对方是否具有相关信息的知情权。
在进行安全培训时,试一下这个方法:无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。然后,在做好心人之前,先遵循公司对非公共信息的验证和使用政策。这种工作方式也许违背了我们乐于助人的天性,但多一点有益的怀疑也许是必要的,以免成为社会工程师的下一个受骗者。
正如本章故事中所叙述的,看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。
第三章 正面攻击——直接索取
很多时候,社会工程学的攻击是十分复杂的,包括一系列的步骤和精心的策划,并同时具备操作技巧和透彻的背景知识。但令人惊奇的是一位技艺高超的社会工程师经常可以使用简单、直接、正面的攻击方式来达到目标。直接了当的开口要求所需的信息,也许仅此一点就已经足够,正如下文中你即将看到的。
快速搞定线路分配中心
想知道某人未登记的电话号码么?一个社会工程师可以告诉你半打的方法(你也可以在本书中的其它故事内容中看到),但最简单的办法就是拨出这样的一个电话……
请告诉我号码
攻击者拨打线路分配中心(Mechanized Line Assignment
Center)未公开的电话公司号码,接听电话的是个女子,攻击者说道:“嗨,我是保罗·安东尼(Paul
Anthony),我是线路员。是这样,这里有一个接线盒在火灾中烧毁,警察认为是有人故意烧掉自己的房子来骗保险。他们让我一个人来为二百对接线柱接线。现在,我真得需要帮忙了。南大街6723号的线路是怎样分配的?”
话公司的人都知道,对于非公开的号码查询信息只能让已授权的电话公司知道,线路分配中心的的号码只能告诉本公司的职员。然而,即使他们从不会将这些信息公之于众,谁又能拒绝帮助一位身负繁重工作任务的公司员工呢?她对他保罗起了同情之心,她今天的工作也很不顺,于是她小小地破了个例,来帮助这个遇到麻烦的同事。她告诉他电缆线的配对,以及每个分配到相应地址的号码。
米特尼克信箱
人们都很容易相信自己的同事,尤其是在其要求满足合理的测试之后。社会工程师便利用这种知识从受骗者身上获取信息以达到他们的目标。
过程分析
正如你不断地在这些故事中看到的,企业专业术语的知识和它的结构组织——各个办公室和部门都是做什么的、具备什么样的信息,是一个优秀社会工程师的骗术箱中的必备品。
逃亡者
一个我们将称之为弗兰克·帕森斯(Frank
Parsons)的人已经在逃多年,作为60年代地下反战组织的一分子,他仍然被联邦政府通辑。在餐馆里,他总面对着门口坐着,习惯于左顾右盼,偶尔会被人注意到神色紧张。
弗兰克每隔几年都会搬家。有一次,他来到一个陌生的城市,准备找个工作。对于弗兰克这样有着精湛计算机技术的人(同样,还有娴熟的社会工程学技术,即便他从不会把这写到应聘简历上),找到一个不错的工作还是很容易的。只要不是处于经济特别紧张的时期,具备良好计算机知识的人很容易得到施展才能的机会并摆脱困境。弗兰克很快的看中了一份薪资优厚的工作,一家庞大、高级的长期疗养院,而且离他住的地方很近。
他想,这真合适。但当他埋头苦干地填写申请表时,忽然碰到一个麻烦。雇用方要求应聘者提供一份犯罪历史记录的复印件,这份复印件他只能亲自去州警察局去拿。在工作申请表里就包含着一张需要这个复印件的表格,上面还有一个用来按指纹的地方。即便他们只需要右手食指的指纹,但如果把这个指纹与联邦调查局数据库中的指纹做比较的话,他可能很快就要到联邦政府资助的地方(译者注:指监狱)食堂工作了。
另一方面,对于弗兰克来说,还可能(仅仅是可能),仍然平安无事,州警察局也许根本不会把指纹样发到联邦调查局。但他如何获知这一点呢?
怎么办?他是一个社会工程师,你认为他会怎么做呢?
弗兰克往州警察局拨了一个电话:“嗨,我们正在为州司法部执手一项研究,调查是否有必要实施一个新的指纹认证系统。可以找一个你们内部熟悉此项工作的人帮我们一下么?”
当本地的专家拿起电话时,弗兰克询问了一系列有关他们使用的指纹系统的问题,以及检索和储存指纹数据的能力。他们的系统是否出过故障?他们在国家犯罪信息中心(NCIC)还是仅在本州进行指纹检索?这套系统对于每个人来说容易学习使用么?
狡猾的弗兰克悄悄地得到了其中的关键信息。答案对他来说如音乐般动听——不,他们不在NCIC检索,他们只在州犯罪信息索引(CII)中查询。
米特尼克信箱
精明的信息骗子想获悉法律执行程序方面的问题时,从不会迟疑于给联邦、州或是地方政府打电话。利用这些唾手可得的信息,社会工程师很可能会绕过企业的常规安全检查。
那就是弗兰克所需要知道的,他在这个州没有任何犯罪记录。因此,他提交了他的工作申请,并被录用。而且,一直也没有任何人出现在他的办公桌前对他说:“这些先生是联邦调查局的,他们想跟你谈谈。”
据弗兰克所说,他后来成为那家公司的一名模范雇员。
放到门口
尽管我们有美丽的无纸办公神话,但在企业,每天还是继续打印出大量的纸张,而纸上打印的企业内部信息很容易泄露,即使上面印着机密并采取了安全防范措施。这里有一个故事,它将显示社会工程师如何获取你最机密的文件。
“环回”欺骗
电话公司每年都要刊印一本叫做测试号码目录的电话册。至少以前是这样,由于我还处于监督释放期(译者注:类似假释),我并不打算去问电话公司是否还在这样做。电话盗打者十分重视这本电话册,因为它包含了一个列表,上面列出了所有企业工人、技师使用的受到严密保护的号码,以及其他一些总是处于忙音的中继线测试和检查号码。在这些测试号码当中,有一个术语称做“环回”(loop-around)的号码,尤其有用。电话盗打者用它做为一个找到其它同行聊天的方法,对他们来说这无需成本。电话盗打者还把它用来做为给予对方的回电号码,比如银行。一个社会工程师会告诉银行的人,打这个电话号码到他的办公室,当银行按这个号码(环回号码)打过来时,电话盗打者就可以接到,同时还很安全,因为依据这个号码无法追踪到他。
测试号码目录提供许多极其有用的信息,从而被对信息无比渴求、内分泌激素发达的电话盗打者所利用。因此,每当新的目录发布时,都会被大量的喜欢探究电话网络的年轻人所觊觎。
米特尼克信箱
为保护企业的信息资产,企业里的每个人都需要而进行安全培训,而不仅仅是那些通过电子线路或是物理接触而访问到企业信息资产的人。
史蒂夫的诡计
无疑,电话公司不会轻易地让人得到这些目录。因此,电话盗打者必须想出创造性的办法。他们怎么做呢?一个对目录有着强烈渴望的年轻人可能会设计这样一个场景……
"
某日,南加利福尼亚秋天的一个傍晚,一个我称之为史蒂夫(Stevie)的人给一家小电话公司的总机室打电话,这个总机室所在的大楼负责服务区内所有家庭及企业电话线路的连接。当值班的接线员拿起电话时,史蒂夫称自己是电话公司刊印和发行打印资料部门的人。“我们刊印了你们新的测试号码目录,”他说。“但出于安全考虑,如果我们没有收到旧的目录,就不能给你们发新的。可送目录的人迟到了,如果你们把旧的目录放到门口,他经过时就能取到,并放下新的,然后继续赶路。”
毫不怀疑的接线员似乎觉得这很合理,于是照做,把目录放到大楼门口,虽然目录的封皮上用红字清楚地印着“公司机密――无用时销毁。”
史蒂夫开车过来,小心的察看四周,是否有警察或电话公司的保安人员藏在树后或在停泊的汽车里监视。没有人。他装作不经意地拾起那本令人垂涎的目录,开车走了。
这就是社会工程师轻易得到他想要的东西的另一个例子,这里就使用了那个简单的原则――“直接索取”。
谎言攻击
不只是企业的资产处于社会工程师设置骗局的危险之下,有时,企业客户也会成为受害者。做为客服人员,不可避免的会受到挫折、讥笑和无辜的误解,有些人还会给企业的客户带来不良后果。
珍妮·爱克顿(Janie Acton)的故事
感恩节的一周,打来了一个不同寻常的电话。打电话的人说:“我是客户名单部的爱德华多(Eduardo),我正与一位女士通着电话,她是执行办公室一位副总裁的秘书,她需要知道一些信息,而我的计算机坏了。我接到了人力资源部一位姑娘发来的一封写着‘我爱你’的邮件,当我打开附件时,就再也不能使用我的电脑了。病毒,我中了一个愚蠢的病毒。就是这样,你能帮我查一下客户信息么?”
“当然,”珍妮回答。“它毁了你的计算机么?真糟糕。”
“是啊。”
“我该如何帮你?”珍妮问。
在这里,攻击者为了使自己听起来可信,便对想知道的信息预先做了调查。他了解到他所需的信息存储在一个叫做“客户名单信息系统”(CBIS)的系统中,并且他还知道了工作人员与系统的关系。他问:“你能从CBIS中查一个账户么?”
“可以,账户号码是多少?”
“我不知道。我需要你用姓名来查。”
“好的,什么姓名?”
“希瑟·玛宁(Heather
Marning)。”他拼出名字,珍妮把它输入。
“好的,我查到了。”
“很好。账户调出来了?”
“嗯哼,调出来了。”
“账户号码是什么?”他问。
“你有笔么?”
“准备好了。”
“账户号码,BAZ6573NR27Q。”
他重复了一遍号码,然后问:“服务地址是什么?”
她告诉他地址。
“电话呢?”
珍妮也欣然地读给他。打电话的人向她致谢,并说再见,然后挂线。珍妮继续下一个电话,再也不去想这件事情。
亚特·锡利(Art Sealy)的调查方案
亚特·锡利放弃了为那些小出版社做自由编辑的工作,他找到了一个更能赚钱的方法,为作者和相关业务做调查。不久,他发现他的工作内容越是接近非法与合法之间的模糊界限,他就越可以收取更高的费用。从没有想到过,当然也从不知道这就是社会工程,亚特使用着与每个信息经济人都使用着的类似方法和技术,成为了一名社会工程师。他最终证明自己有此方面的天分,懂得了大多数社会工程师必须从他人身上学来的技巧。不久,他就毫无罪恶感的跨过了非法与合法之间的界限。
一个位正在写一本尼克松年代时关于政府内阁方面的书的作家打电话给我,说他想找一个能够挖掘出威廉·西蒙(William
E.
Simon)内幕消息的调查人。威廉·西蒙,曾任尼克松时期的财政部长。西蒙先生现已去世,但这位作家知道他的一名女下属的名字,并确切的知道她仍然住在华盛顿特区,可不知道详细地址。她的名字也未登记电话,或者至少是没有列出她的电话,这就是他之所以联系我的原因。我告诉他,好的,没问题。
这就是那种通常一两个电话就可以完成的工作,如果你知道自已是在做什么的话。通常情况下,每个地方上的公共事业公司都有可能查到这样的信息,当然,这需要些小小的谎言,但偶尔撒一个小谎无所谓吧,对么?
我喜欢使用不同的方法,只为了让事情有趣些。“我是执行办公室的某某……”这样的开场白,一直都很好用。同样还有这次使用的“我正在与某副总裁办公室的人通话”也不错。
你必须充分发挥社会工程师的潜能,把握电话另一端将与之打交道的人的配合性。这次我幸运的碰到了一位友善、热心的女士,仅打了一个电话,就得到了地址和电话,任务完成。
米特尼克信箱
绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂,以防被人轻易识破。有些攻击来去匆匆、得手即逝,更简单的攻击仅仅是,直接索取。
过程分析
珍妮肯定知道客户信息属于敏感信息,她绝不会与一位客户谈论另一位客户的账户,也不会向外部泄露客户的私人信息。但是很自然地,当一个公司内部的人员打来电话时,情况便不同了。做为公司团队的一员,同事之间最重要的是互相帮助,以完成工作。那个客户名单部的工作人员,如果不是病毒把计算机搞坏,他自己完全可以查阅客户信息,她自然很乐意帮助一个同事。
亚特渐渐地接近了他真正想寻求的关健信息,在这一过程中他还提出了他不必知道的问题,如账户号码。然而,这个账户号码也为他提供了一个退路。万一珍妮有所警觉,他再打第二个电话时,成功的可能性便大大的增加了。因为,这个账户号码会让他给下一个工作人员打电话时,听起来更加可信。
从未有人向珍妮撒过这样的谎,打电话的人根本就不是客户名单部门的人。当然,珍妮也不应被责怪。她并不熟悉那条“在谈论客户档案信息之前,一定要知道与之谈话的人是谁”的规则,没有人告诉过她象亚特这样打来电话的危险性,公司里也没有制定这样的政策,她也从来没有培训过这方面的内容,而且她的主管也从未提及过。
预防措施
企业安全培训的一个要点就是:如果一个来访者或是打电话的人知道公司某人的名字,或是知道一些内部用语或业务程序,并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的,从而把内部信息泄露给他,或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调:一旦有所怀疑,必须确认、确认,再确认。
在过去,能够访问到企业内部信息是拥有权力和级别的标志。工人们往熔炉里添燃料、运转机器,员工们打字、填写报告,工头或是上司告诉他们做什么,何时做,如何做。只有工头或上司才知道一个班上的每个员工生产多少零件,工厂这个星期、下个星期、这个月底需要生产出什么颜色、什么尺寸、什么数目的产品来。
工人们负责机器、工具和原材料,老板们负责处理信息。工人只需要知道与本职工作有关的信息。
那时的情况与现在有所不同,不是么?现在,许多工厂的员工都使用某种计算机或是由计算机控制的机器。对大多数人来说,重要的信息都直接放在使用者的桌子上,以便于他们履行自己的职责来完成工作。在现代社会,几乎每一名员工都离不开处理信息的工作。因此,企业的安全策略应遍布企业的各个地方,而无所谓职位的高低不同。每个人都应该认识到,不仅是上司或管理人员拥有攻击者想追寻的信息。今天,每个层次级别上的职员,甚至是不使用计算机的人,都有可能成为攻击者的目标。而公司新近雇用的客服人员则是社会工程师最容易突破的薄弱环节,企业的安全培训和安全策略务必要加强这方面的注意。
第四章 建立信任
这些故事可能会导致你认为我把业务中接触到的每一个人都看成十足的傻瓜,都很乐意地、甚至是渴望着把他或她所拥有的每一个秘密泄露出去。社会工程师知道,这是不可能的。为什么社会工程的攻击容易得手呢?这不是因为人们的愚蠢或是缺乏常识,而是因为,我们人类很容易被操纵而把信任用错了地方,因此被欺骗。社会工程师早已料到会受到阻力和怀疑,他随时准备着把人们对他的怀疑扭转。一个优秀的社会工程师策划攻击时如同下象棋,预先想到对方可能会提出什么样的问题,从而把合适的答案准备好。他的一个很常用的技巧就是给受骗者建立信任感,一个骗子如何才能获得你的信任呢?相信我,他能够。
信任:欺骗的关健
社会工程师越把情况营造得像普通的业务联系,就越能减少怀疑。当人们没有疑心时,得到他们的信任就很容易了。一旦取得你的信任,如同吊桥放下,城门打开,他就可以入内随心所欲地取得他所需的信息。
注:你也许注意到我在提及社会工程师、电话盗打者和设计骗局的人时,大多数情况下用的是“他”。这不是偏见,这只是反应了一个事实——从事这些领域的人大都是男性。但尽管女社会工程师很少,可这个数字正在增长。不要仅仅因为听到了一位女性的声音而放松了你的警觉,女社会工程师还是有的。事实上,女社会工程师有着独特的优势,利用她们的女性特征来得到对方的配合。本书以后的内容中将会出现少量的女性社会工程师。
第一个电话:安德瑞亚·洛偑兹(Andrea
Lopez)
安德瑞亚·洛偑兹在她工作的音像店接到了一个电话,她立刻微笑起来(当一位客户特意打来电话对服务表示满意时,总会让人高兴)。打电话的人说,在他们店里得到了非常好的服务,他想给写封信告诉他们的经理。他询问经理的名字和通信地址,她告诉他名字是汤米·艾里森(Tommy
Allison),并把通信地址也给了他。就在要挂电话时,他又有了一个想法,他说:“我还想写给你们公司总部,那儿的电话是多少?”她也告诉了他。他道了谢谢,并说了些她的服务十分让人满意之类的话,然后再见了。“像这样的电话,”她想,“总能让上班的时间过的快些,如果多有些这样的人就好了。”
第二个电话:吉妮
“欢迎致电音像工作室,我是吉妮,需要帮忙么?”
“嗨,吉妮,”打电话者热情的打招呼,听起来就像每个星期都给吉妮通话似的。“我是汤米·艾里森”,863店森林公园的经理。我这儿有一位客户,想租《洛奇5》,可我们这儿已经没有拷贝了,你能查一下你们那儿有么?”
过了一会儿,她回答:“是的,我们还有三个拷贝。”
“好的,我问一下客户是否愿意过去,谢谢你。如果有任何需要,请致电汤米,我很乐意为你效劳。”
接下来的几个星期,吉妮又接到过三、四次汤米寻求帮助的电话,这些要求似乎都很正常,他总是十分友善,没有故意接近她的意思。同时,稍稍有些唠叨。如“你听说橡树园的大火了么?一连串的街道都封掉了,”类似的话。对于日常工作来说,这些电话可以让人得到片刻的休息,吉妮总是乐意接到他的电话。
一天,汤米打来电话,听上去有些焦虑,他说:“你们的计算机出过问题么?”
“没有,”吉妮回答。“怎么了?”
“有个人开车把电线杆撞了,电话公司的修理人员说城市的一部分地区没办法打电话和上网,直到他们修好。”
“哦,不会吧。那个人受伤了么?”
“他们把他送到救护车上了。别管这些了,我需要你帮个忙。我这儿有一个你们的客户,想租《教父2》,但他没带租片卡,你能帮我确认一下他的信息吗?”
“是的,当然。”
汤米说出客户的名字和地址,吉妮在计算机中找到,然后告诉汤米客户的账号。
“有过期未还和欠款记录么?”汤米问。
“没有。”
“好的,很好。我手工给他登记一下账户,计算机故障恢复之后再录入数据库。而且,客户还想用在你们店使用的维萨卡(Visa)付账,但他也没带。他的卡号和有效期是多少?”
吉妮都告诉了他。汤米最后说:“嗨,谢谢帮忙,回聊!”
道伊尔·罗尼甘(Doyle Lonnegan)的故事
罗尼甘可不是一个普通的年轻人,他过去是一个收藏家,欠了不少赌债,如果不是这些赌债弄得他焦头烂额的话,他还会偶尔继续他的爱好。在这个故事里,他仅仅往一家音像店打了几个电话,就得了一笔现金。这听起相当不错,因为他的“客户”没有人知道如何设计这个骗局,他们需要像罗尼甘这类人的知识和才能。
第五章 我来帮你
当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。社会工程师了解这一点,并懂得如何利用它。他还知道如何制造一个麻烦,然后帮你解决以获得你的感激,最后利用你的感激之情来获取信息或得到你的一些小关照,这将把你的公司或是你个人置于不利的地步,而你可能永远不知道你已经遭受损失。下面是一些社会
工程师“帮忙”的典型方法。
网络故障
日期/时间:2月12日星期一,15:25
地点:斯达伯德(Starboard)造船厂办公室
订阅数:8652