ws操作系统的默认设置——“隐藏已知文件类型的扩展名”,因此实际显示的文件名为manuscript。doc。
他让一个女性朋友打电话给维特诺的秘书,按照狄龙的指示,她说:“我是多伦多终结者书店经理保罗o斯帕多內(Paul Spadone)的执行助理,前阵子维特诺先生在一个书展上遇到了我的上司,他要他打电话给他商讨一个合作项目。斯帕多內先生有非常多的时间是在四处奔波,所以他说我应该弄清楚维特诺先生在办公室的时间。”
等到两个人核对好了时间表,这位女士就有了足够的信息提供给攻击者——一张维特诺先生在办公室的日程表,这意味着他同样知道了维特诺先生不在办公室的时间。不需要过多额外的交流就可以了解到维特诺的秘书会利用他不在的一段时间去滑雪,虽然时间不是很长,但两个人都不会在办公室,非常好。
术语
间谍程序:用于监控目标计算机活动的专业软件。一种形式是记录因特网购物者访问过的站点,这样在线广告就可以根据他们的上网习惯进行修改,另一种形式类似于监听,除了目标设备是计算机。这些软件监控用户的活动,包括密码、按键、Email、聊天记录、即时聊天、所有访问过的网站和显示屏图像。
无声安装:在计算机用户或操作员毫不知情的情况下安装软件程序的一种方法。
星期天他们按照预定计划打去电话进行确认,然后被一个接待员告知“维特诺先生不在办公室,他的秘书也不在,最近几天都别指望他们会在。”
他的初次尝试非常成功地使一个新进员工加入到了他的计划中,她毫不犹豫地帮他下载了一个“manuscript”(原稿)文件,而事实上这个文件是一个流行的商业间谍程序,攻击者把它改成了无声安装,通过这种方法,安装程序就不会被任何杀毒软件发现。因为一些奇怪的理由,杀毒软件厂商销售的产品并不能识别商业化的间谍程序。
当这位年轻女士在维特诺的计算机上运行了那个程序之后,库尔特马上回到了Geocities站点上,他把那个doc。exe文件替换成了一个他在网上找到的书籍原稿,以防有人无意中发现了这个骗局并回到该站点进行调查,他们唯一能找到的是一份无用的、业余的、不适合出版的书籍原稿。
一旦程序安装完成并重新启动了计算机,设置马上就会生效。罗恩o维特诺将在几天后回到这里开始工作,间谍程序也将开始记录他的计算机上的所有键入,包括所有寄出的Email和那时他的屏幕上显示的图像,所有这些都将被定期发送到一个乌克兰的免费邮箱上。
在维特诺返回数天后,库尔特的邮箱里已经堆满了收集的日志文件,不久之后他在一封秘密的电子邮件里发现了Millard…Fenton出版社与作家达成协议的底线,有了这些信息,就可以通过代理和出版社商讨比原来更好的合同条款,而不会有失去合作机会的风险,当然,这也意味着需要更多的代理费。
过程分析
在这个骗局中,攻击者之所以能成功很大程度上是因为他选择了一个新进员工作为他的代理,多亏了她自愿的合作成为了团队的成员,既不了解公司和它的员工,也不清楚哪些是可以抵挡攻击的好的安全习惯。
因为库尔特在和安娜的谈话中伪装成了商务部的副部长,他知道她不太可能会怀疑他的身份,相反的,她可能认为帮助一个副部长对自己很有好处。
接着他引导安娜安装了一个表面上无害的间谍程序,安娜并不知道她的行为让一个攻击者获得了能影响公司利益的重要信息的访问权限。
为什么他要选择把这个副主管的日志文件发到一个乌克兰的邮箱帐户里?因为距离越远攻击者被追踪或抓捕的可能性就越低。当警察把目光集中在并不显著的的因特网入侵上时,这个国家就不会受到攻击者的青睐。因此,使用国外的邮箱可以大大减少和美国执法部门打交道的机会,这很吸引人。
预防措施
社会工程师永远喜欢不怀疑他的请求的人,这不仅使他的工作变得容易,而且也使风险变得更低——正如这一章中的故事所讲的那样。
米特尼克语录
寻求同事或下级的帮助是一件很普通的事情,社会工程师知道怎样利用人们的天性获得帮助并使其成为团队的成员。攻击者利用人们的这种特点引导员工的行为以达到他的目标,了解这一简单的概念非常重要,这样在另一个人试图操纵你的时候你就更有可能发现。
欺骗不知情的人
我之前强调的是需要对员工进行充分的培训,使他们不会被陌生人说服去做某些事情, 所有员工同样需要了解按照请求在另一个人的计算机上执行任何操作都是很危险的,公司的政策应当禁止这些行为,除非得到一名指定的管理人员的批准。允许的情况包括:
当发出请求的是一个你非常熟悉的人,两个人面对面或者你通过电话确认了呼叫者的声音时。
当你通过严格的程序核实了请求者的身份时。
当行动得到一名主管或其他熟悉请求者的权威人士的批准时。
必须培训员工不去帮助不是亲自认识的人,即使那个人声称自己是经理主管人员。一旦安全政策方面的审核开始实施,管理层就必须让员工们遵守这些规定,即使这意味着员工可以质疑要求他们绕过安全规定的主管人员。
每家公司还需要有自己的政策和程序引导员工响应针对电脑或电脑相关设备的任何行动。在这个关于出版社的故事中,社会工程师有针对性的选择了一个没有接受过信息安全策略与程序培训的新员工。为防止这类攻击,所有员工都必须遵守这样一个简单的规则:不要在任何计算机系统上执行陌生人请求的操作,就这一点。
记住,任何能直接或间接接触到一台计算机(或一部与计算机相关的设备)的员工都很容易被攻击者操控成为实施一些恶意行为的代理。
员工们(尤其是IT员工)需要知道让外部人员进入他们的计算机网络就像是把你的银行帐户交给一个电话销售员或把你的电话卡号码交给一个监狱中的陌生人。员工们必须谨慎考虑那些能导致敏感信息泄露或危及公司计算机系统安全的请求。
IT员工也必须提防伪装成供应商的未知呼叫者。通常,公司应当考虑为每一个技术供应商指定具体的联系人员,如果实施了这一策略,其他员工就不会响应供应商索取资料或更改任何电话或电脑设备的请求。这样,指定的员工就会很熟悉打电话或前来拜访的供应商, 减小了被骗的可能性。如果一个和公司没有合同的供应商打来电话,也应当引起注意。
公司中的的每个人都必须了解信息安全威胁与攻击。注意,安全警卫等需要的不仅仅是安全培训,还应当包括信息安全培训,因为安全警卫经常要接触公司的设施,所以他们必须要能够识别各类针对他们的社会工程学攻击。
当心间谍程序
商业间谍程序曾经被许多家长用来监控他们孩子的网络行为,而对于公司的老板而言,他们需要找出那些不认真工作,只知道上网冲浪的员工,更重要的是找出那些潜在的信息窃贼或商业间谍。开发商推出间谍软件似乎旨在保护儿童,但事实上,他们真正的市场是那些想要暗中监视别人的人。如今,间谍软件之所以存在在很大程度上是因为人们想要知道他们的配偶或其他重要人物是否在骗他们。
前不久我开始写这本书中的间谍故事的时候,帮我收电子邮件的人(因为我被禁止上网)发现了一封宣传一系列间谍程序的广告邮件,其中一段是这样说的:
热门!必须拥有:
这一强大的监控程序秘密捕获所有的按键、时间与所有活动窗口的标题到一个文本文档,同时隐藏在后台运行。日志文件可加密并自动发送到指定邮箱地址,或仅存储在硬盘上。程序受密码保护并可在CTRL+ALT+DEL菜单中隐藏。可用它来监控输入的网址、聊天记录、电子邮件和许多其它东西(甚至是密码)。
在任何PC上后台安装并把日志发给自己!
杀毒软件的缺陷?
杀毒软件不能查出商业间谍程序,从而将其判定为非恶意软件,即使它的用途是监控他人。如此一来电脑就相当于一部被忽视的窃听器,在任何时候我们每个人都有被非法监控的危险。当然,杀毒软件厂商可能认为,间谍程序可以用于合法目的,因此不应当视为恶意软件。但是由黑客团体免费发布(或当成安全相关程序出售)的某些工具却会被视为恶意代码,我至今都不明白为什么会有这种双重标准。
同一封邮件中的另一段则声称它可以捕捉用户的电脑屏幕图像,就像是一台放在他肩膀上的摄像机。其中部分软件产品甚至不需要亲自接触受害人的电脑,只要远程安装并配置好应用程序,你就马上拥有了一部电脑窃听器!FBI(联邦调查局)肯定很喜欢这种技术。
由于间谍程序的广泛使用,你的企业需要建立双层防护。你应当在所有工作站上安装间谍程序检测软件,如SpyCop (网址: www。shubao2。com),你还应当要求员工进行定期扫描。此外,你还必须培训员工提防下载程序或打开电子邮件附件之类的可以安装恶意程序的骗局。
除了防范间谍程序的安装(当员工因为茶会、午餐或会议离开办公桌时)以外,还应当规定所有员工在离开时必须使用屏幕保护密码或类似的方法锁定他们的计算机系统,这能大大降低员工的计算机被非法访问的可能性。即使混入某个人的房间或办公室也不能访问他们的任何文件,阅读他们的电子邮件或安装间谍程序(或其他恶意软件)。使用屏幕保护密码需要的资源几乎为零,却能很好地保护员工的工作站,在这种情况下进行成本效益分析应该是很容易的事情。
第十三章 聪明的骗局
现在你已经知道了,当接到陌生人请求敏感信息(或其它对攻击者有用的东西)的来电时,接电话的人必须被培训询问呼叫者的电话号码,然后打过去核实这个人的身份是否和他声称的一样——例如,一名公司员工,一名商业伙伴员工,或者一名供应商技术支持代表。
甚至当一家公司明确规定员工必须小心核实呼叫者的身份时,经验丰富的攻击者仍然可以利用许多骗局使受害人相信他们是他们声称的人,即使是安全意识较高的员工也会被下面所述的方法所骗。
骗人的来电显示
任何用手机接过电话的人都曾看到过来电显示——显示屏上呼叫者的电话号码。在商业环境下,员工只要看一眼便能知道打来的电话是公司同事还是外部人员。
很多年前,一些雄心壮志的电话盗打者就已经用上了来电显示功能,那时电话公司甚至还没有向公众开放这一服务,有一段时间他们吓坏了不少人,接电话的时候总是在对方还没来得及说话之前就喊出他们的名字。
当你养成了看来电显示的习惯时,你认为它是安全的并以此判断呼叫者的身份——这正是攻击者想要的。
琳达的电话
日期/时间:7月23日,星期二,下午3:12
地点:星级漫游航空公司财政部办公室
当琳达o希尔(Linda Hill)的电话响起的时候她正在为她的老板书写备忘录,她看了一眼来电显示,发现是一个叫维克托o马丁(Victor Martin)的人从公司在纽约的办公室打来的——她不认识这人。
她本来想把电话转到语音信箱,这样她就不会中断写备忘录的思路,但好奇心还是占了上风,她拿起了电话,然后对方自我介绍说他是产品推广部的员工,正在为CEO整理一些材料,“他正在赶往波士顿和我们的一些银行家开会,他需要本季度的财务报表,”他说,“另外,他还需要Apache项目的财政预算。”维克多提到了公司春季主打产品代号。
她问他要电子邮件地址,但是他说他现在无法接收电子邮件,技术人员正在想办法解决,能否传真过来?她说也可以,然后他把他的内部传真号给了她。
几分钟后她发出了传真。
但维克多并不在产品推广部工作,事实上,他甚至不是这家公司的员工。
杰克的故事
杰克o道金斯很年轻的时候就开始了他的职业生涯——在纽约人体育场、拥挤的地铁月台和夜间聚集着游人的泰唔士广场行窃。他可以从一个人的手腕上取下手表而不被发现,可见他动作之敏捷手法之高超。但在他充满烦恼的少年时期,他却因失手而被抓了。在少管所里,杰克学到了一个新职业,被抓住的可能性非常之低。
他当前的任务是获得一家公司的季度损益表与现金流量信息,要在这些数据被提交到美国证券交易委员会( SEC ) 并公布之前。他的客户是一个不愿意解释为什么需要这些信息的牙医,这个人的小心翼翼在杰克看来十分有趣,他之前的推测是——这家伙可能赌博赢了钱,要么就是有一个一直没被他的妻子发现的有钱的女朋友,或者也有可能是向他的妻子吹嘘了自己在股票市场的英明神武,总之现在他已经失去了所有的管束,只想进行一大笔投资,在这家公司公布他们的季度财务报表之前,预测他们的股票价格将如何变化。
人们惊讶地发现,细心的社会工程师可以迅速地应对从未遇到过的情况。当杰克从牙医那里回到家的时候,他已经想好了一个计划。他的一个朋友查尔斯o贝茨(Charles Bates)在Panda进出口公司工作,这家公司有自己的电话交换机或PBX(译者注:专用分组交换机)。
在了解电话系统的人熟悉的术语中,PBX连接着数字电话服务T1,并被设置为初始速率接口ISDN(综合服务数字网络)或PRI ISDN,这意味着从Panda打出的每一个电话都会通过一个数据频道发送呼叫处理信息到电话公司的交换机:这些信息包括将转到(除非被锁定了)对方来电显示上的主叫号码。
杰