想像一个这样的情景,一位费城(Philadelphia)的社会工程师被通讯公司提供的一款十分便宜的手机所打动,但他讨厌与其捆绑的资费方式。没什么大不了的,他也许使用下面的方法来解决此事……
第一个电话:泰德(Ted)
他首先打给位于西吉拉德(West Girard)的一家电器连锁店。
“电子商城,我是泰德。”
“嗨,泰德,我叫亚当。是这样,我在前几天晚上,跟你们的一个男销售员谈到一个手机,我说一旦决定了就给他打电话。可我忘了他的名字,你们值夜班的人是谁?”
“不只一位,是威廉么?”
“不知道,也许是吧。他长什么样?”
“高个子,瘦瘦的。”
“我想是他吧,他姓什么来着?”
“哈德利。哈-德-利(H——A——D——L——E—— Y。)”
“是的,是他。他什么时候上班?”
“我不知道他这星期的排班,但上夜班的人5点到。”
“好的,那我试试晚上找他。谢谢,泰德。”
第二个电话:凯蒂(Katie)
第二个电话打给位于北广街(North Broad Street)的连锁店。
“嗨,电器商城。我是凯蒂,需要帮忙么?”
“凯蒂,嗨!我是威廉·哈德利,西吉拉德店的。今天过得怎么样?”
“有点儿忙,什么事?”
“我有一位顾客想购买那个一美分的手机,你知道这个手机的资费捆绑吧?”
“是的,上星期我售出了一些。”
“你那儿还有这种资费捆绑的手机么?”
“还有一堆呢。”
“很好。我刚售出了一个这种手机的资费,顾客通过了信用记录(译者注:美国通讯公司会查询手机用户过去的使用记录,以确定用户是否具备享受某一资费方式的资格),我们也签了资费合同。我查了一下该死的存货记录,却没有这种手机了。这让我很难做,你能帮个忙么?我让他到你们店去买一美分的手机,你卖给他后开张发票。他买到手机后会给我打电话,然后我再告诉他怎么用。”
“好的,当然可以。让他来吧。”
“太好了,他叫泰德,泰德·岩西(Ted Yancy)。”
一个自称泰德·岩西的人来到北广街连锁店,凯蒂开了一张发票,把一美分的手机卖给他,完全依照她的“同事”交待给她的事情,从而彻底地掉入骗局。付钱时,这个顾客的钱包里一枚硬币也没有,于是他到收款台的零钱碟中拿了一枚,交给她完成登记。他甚至一分钱都没有花就得到了那部手机。
过程分析
人们会很自然地相信熟悉公司内部的业务流程和专业用语,并声称自己是公司同事的人。这个故事中的社会工程师就是利用了这一点,通过了解促销活动的细节,扮做公司的职员,并要求另一个分店人员的帮助。这种事情在各零售店之间以及一个公司的各部门之间经常发生,这是因为人们没有机会接触,天天与从未见过面的同事打交道。
入侵FBI
人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目,节目制作者在网上做了一次搜索,发现了一份访问国家犯罪信息中心(NCIC)的操作说明拷贝。不久他发现,真正的NCIC操作说明原件就在网上,这是一份相当敏感的文档,它记录着从FBI的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门,这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息,手册里包含了数据库中用来标明各种信息的代码,从各种各样的纹身到各式各样的轮船外壳,再到失窃纸币和债券的面额。
任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则,然后依据手册上的步骤指导,再加一点胆量,人人都可以从数据库中提取信息,而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。
FBI几乎肯定不知道如此敏感的资料暴露在网上,我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的,另一份是由得克萨斯州的执法机构传到网上。为什么?这都是因为,也许某人觉得这些信息可能没什么价值,放到网上也不会有什么害处。也许有人为了内部人员使用上的方便,而它放到内网上,却从未想到会被在网上使用搜索引擎(如Google)的人找到,包括仅仅是好奇的人、还有想当警察的人、黑客,以及有组织的犯罪团伙。
接入系统
利用这样的信息来欺骗有政府或企业背景的人,使用的准则是相同的:由于社会工程师知道如何访问特定的数据库或应用程序,或是知道公司的服务器名称等类似的事情,他因此具备可信性,这种可信导致信任。一旦社会工程师拥有了这样的代码,获得所需信息就十分简单。在这个例子中,他首先给当地的州警察局电讯室打电话,针对手册上的一个代码,提出问题。比如,犯罪代码。他可能这样说,“我在NCIC做犯罪记录查询时,碰到'系统发生问题'的错误提示。你做记录查询时碰到过这种情况么?能帮我试一下么?”或者他会说正在查询WPF(警方用语,被通辑人的档案)。电话另一端,电讯室的工作人员就会意识到对方熟悉查询NCIC数据库的操作程序和命令,除了受过训练的人,谁会知道这些操作程序呢?
工作人员确定她的系统运行正常后,谈话可能像这样进行:
“我可以帮点儿忙。你要查什么?”
“我要查瑞尔顿·马丁的犯罪记录,出生日期66年10月18日。”
“索什(SOSH,执行部门的人有时把社会保险号简称为索什)是多少?”
“700…14…7435。”
找到名单后,她可能这样说:“他的犯罪记录代码是2602。”
现在,攻击者只需到NCIC的网站上查一下这个号码的含义了——这个人有一桩诈骗的犯罪记录。
过程分析
一个出色的社会工程师一刻也不会停止思考闯入NCIC数据库的办法,往当地警察局打上一个电话,花言巧语一番让对方认为自己是内部人员,这就足以能够得到他所需的信息。下一次,他只需使用相同的借口往另一个警察局打电话就是了。
你也许会吃惊,往警察局或是州政府打电话不危险吗?那攻击者不是冒了很大的风险?
答案是不……因为一个特殊的理由。执法人员像军人一样,从他们第一天到学院开始等级制度观念就已经根深蒂固了。只要社会工程师伪装成一个警官或助理官员——比和他谈话的人等级更高——受骗者将被精心学习的课程支配,不要怀疑比你职位更高的人。等级,换句话说就是拥有特权,特权不会被等级低的人挑战。
但是不要认为执法部门和军事部门是社会工程师唯一可以利用等级制度的地方,社会工程师经常在商业攻击中像使用武器一样利用公司的职权或等级——就像这一章的许多故事所示范的那样。
预防措施
保护你的消费者
在这个电子时代许多公司出售商品给消费者时将信用卡信息存档。理由是:解决了消费者每次进入商店或Web站点购物时都要输入信用卡信息的麻烦。然而,这种做法应该避免。
如果你必须将信用卡号存档,使用复杂的编码或者存取控制来进行安全防范必不可少。员工需要培训识别像这一章中社会工程师的一些诡计。那些从没亲眼见过但在电话里成为朋友的同事可能并不像他或她声称的那样。他也许并不“需要知道”客户的敏感信息,因为他可能根本就不在这家公司工作。
米特尼克信箱
每个人都应该知道社会工程师的一贯手法:尽可能地搜集一些关于目标的信息,利用这些信息增加内部人员的信任。然后直取要害!
聪明的信任
不只是有明显的敏感信息的人——软件工程师,研究与开发(R&D)人员,等等——需要防范入侵者攻击。你的公司的几乎所有人都需要训练保护企业防范商业间谍和信息窃贼。
一切的基础应该从一个企业信息资产调查开始,分离地看待每一个敏感的,关键的或贵重的资产,并寻找攻击者使用社会工程学策略可能危及这些资料安全的方法。对有权访问这些信息的人进行的适当培训应该有计划地围绕这些问题的答案。
当一个你不认识的人请求获得一些信息或材料,或要求你在你的电脑上完成任何操作时,让你的员工问他们自己一些问题。如果我把这些信息给了我最坏的敌人,它会被用来伤害我或我的公司吗?我十分了解被要求输入到我的电脑的这些命令的潜在影响吗?
我们不想抱着对我们遇到的每一个陌生人的怀疑度过一生。但是我们的信任越多,下一个看上去十分友好的社会工程师就会来到我们的城市里,欺骗我们,获得我们公司的所有信息。
什么属于你的Intranet(企业内部互联网)?
你的Intranet的一部分可能开放到了外部世界中,而另一部分则限制只有员工能使用。你的公司有没有仔细地确认受保护的敏感信息没有被放到访客易接近的地方?当上次公司的一个人在Intranet上查看到任何敏感信息并不经意地提交到了Web站点的公共访问空间的时候?
如果你的公司执行代理服务保护企业应对信息安全威胁,这些服务在最近的检查中确认被适当的配置了吗?
事实上,有人检查过他们的Intranet安全性吗?
第五章 我来帮你
当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。社会工程师了解这一点,并懂得如何利用它。他还知道如何制造一个麻烦,然后帮你解决以获得你的感激,最后利用你的感激之情来获取信息或得到你的一些小关照,这将把你的公司或是你个人置于不利的地步,而你可能永远不知道你已经遭受损失。下面是一些社会
工程师“帮忙”的典型方法。
网络故障
日期/时间:2月12日星期一,15:25
地点:斯达伯德(Starboard)造船厂办公室
第一个电话:汤姆·狄雷(Tom Delay)
“簿记处,汤姆·狄雷。”
“嗨,汤姆,我是服务中心的艾迪·马丁(Eddie Martin)。我们正在检修计算机网络,你们部门有人在线时遇到问题了么?”
“嗯,据我所知没有人。”
“你这儿也没什么麻烦吧?”
“没有,还算正常。”
“好的,很好。是这样,我们正在给可能发生网络问题的人打电话,如果你的网络连接中断请立即告诉我们,这很重要。”
“听起来可不妙,你觉得它可能出问题么?”
“我们希望不会,但一旦有情况,请打电话好么?”
“这你放心。”
“是这样,如果你们的网络连接掉线,很可能是你这儿的问题……”
“那可没准儿。”
“所以我们会检修你这里的网络,我把我的手机号留给你,如果有需要你可以直接找到我。”
“太好了,请说。”
“555 867 5309。”
“555 867 5309,好了,谢谢。你叫什么来着?”
“艾迪。听着,还有一件事。我需要检测一下你的计算机连接端口,看一下你的计算机哪里贴着一个大概写着”端口号“字样的标签?”
“稍等,没有,我看不到有这样的东西。”
“好吧,这样,你再看计算机的后面,能找到网线么?”
“是的。”
“顺着线找到它的插头,看看它的插口上是否有一个标签。”
“稍等一下,再等等,我必须蹲下离近些才能看清楚。好的,上面写着6杠47(6…47)。”
“很好,那就是我们记录的端口号,只是为了确认一下。”
第二个电话:技术支持
两天后,一个电话打到该厂的网络管理中心。
“嗨,我是鲍勃(Bob),我现在簿记处汤姆·狄雷的办公室。我们正在检修网线故障,请你封掉6…47的端口。”
技术支持人员回答说很快就封掉,并说可以恢复的时候再通知他们。
第三个电话:敌人的帮助
一个小时后,一位自称艾迪·马丁的人在Circuit City购物时,他的手机响了。他发现是造船厂的号码,便迅速地转到一个安静的角落接听手机。
“服务中心,艾迪。”
“哦,嗨,艾迪。有事找你,你在哪儿?”
“我么,嗯,我在机房,你是?”
“我是汤姆·狄雷。伙计,很高兴能找到你。或许你还记得前两天给我打过电话吧?我的网络连接可能像你说的那样断掉了,我有点不知道怎么办。”
“是的,刚刚好几个人都说掉线了,我们在今天晚上会处理此事,好么?”
“不!见鬼!如果断线那么长时间,就要耽误事了。能尽量帮帮我么?”
“事情很紧?”
“我有事得赶紧弄,有没有可能在半个小时之内处理好?”
“半个小时?你也太着急了。嗯,这样,我放下手里的活,看看能不能帮你解决。”
“嗨,艾迪,真是谢谢你了。”
第四个电话:搞定
45分钟后……
“汤姆?我是艾迪,去看看你的网络连接。”
不一会儿:
“噢,好了,它好了,太棒了!”
“很好,很高兴为你解决了。”
“是啊,十分感谢!”
“听着,如果你不想让它再出毛病,要安装一个软件,几分钟就可以了。”
“可现在不太合适。”
“我理解,但如果下次网络连接再出毛病,这会让我们都省心的。”
“好吧,如果只需几分钟的话。”
“你照这样做……”
艾迪指导汤姆从一个网站下载一个小程序,下完之后,艾迪叫汤姆双击它