第 3 节
作者:
做男人挺好的 更新:2022-10-30 13:52 字数:4861
丁⒏挥芯椤⒈3志眩⒅鞫牢牢颐堑男畔⒆什⒏鋈诵畔ⅲ约肮业墓亟』∩枋O衷冢颐潜匦胧敌醒辖鳌⒅苊艿纳璺馈?br />
欺骗与恐怖分子
当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001年,发生在纽约的911事件把悲伤和恐惧植入每一个人的心中,不只是美国人,还有世界上所有善良的人们。我们已经开始警觉,因为这个世界上还分布着受到良好训练的极端恐怖分子,伺机再次发动对我们的攻击。
政府最近的强化努力已经提升了大众的安全意识,我们需要保持警醒,警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份,假扮学生、邻居而混入人群的,他们掩饰住自己真实的思想以密谋恐怖行动,而他们使用的就是类似于本书中介绍的欺骗手法。
然而,就我所认为,恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂,或其它关系国计民生的基础设施中,但可能性依然存在,这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强,因为这本书恰逢其时。
关于此书
企业安全是一个平衡问题,安全性太差公司易受攻击,但过多的强调安全又会妨碍业务管理和公司的发展,其难点在于达到生产效率和安全之间的平衡。
其它关于企业信息安全的书都把重点放在硬、软件技术上,而忽略了最重要的安全威胁——对人的欺骗。与之相反,此书的目的,就是要帮助大家理解自己、同事,和公司其他人员是如何被操纵的,并帮助大家建立屏障,谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上,它能够对看似安全的信息完整性产生威胁,甚至破坏公司的工作成果。
我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着,他们有办法(比如:“这是为了你好”)让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法,巧妙的编出看似有理的故事、理由以及借口,来达到他们的目的。是的,我们都被我们的父母所引导——那些乐善好施的(偶尔也不完全如此)社会工程师们。
由于这种生长环境,导致我们软弱而容易被操纵。可总是对他人怀有戒心,担心上当受骗,会活得很累。在理想的世界里我们应对他人给予绝对信任,每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中,我们必须锻炼我们的防欺诈能力以对付我们的敌人。
这本书的主要内容——第二和第三部分,讲述社会工程师如何实施欺骗的故事。在这两部分中,大家将会看到如下内容:
·电话盗打者早就发现的,一个从电话公司弄到未刊登电话号码的方法;
·几个不同的社会工程学方法,甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令;
·信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息;
·隐私调查者是如何弄到你的企业、你本人的隐密信息的,我可以保证,这会让你脊背发凉。
你也许会认为这两部分中讲述的故事实际上不可能发生,没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上,在每个案例中,这些故事都是可以成为现实而且已经成为现实的,这些事情每天都在世界的某个地方发生,甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪,还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。
在本书的第四部分,我转变了方向。在这里我想帮助大家建立企业必要的安全策略和安全意识培训,以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、方法和技巧,在不会降低公司的生产效率的同时,帮助你布置合理的控制策略来保护企业的信息资产。
简而言之,我写此书的目的就是要提升大家的安全意识,以应对来自社会工程师的严重威胁,并帮助你的公司和公司员工尽可能的不被利用。或者我应该这样说,不再被利用。
第二部 攻击者的手段
第二章 无害信息的价值
对大多数人来说,社会工程师的真正威胁在哪里?又该如何保持警惕?
如果社会工程师的目标是“最有价值奖”——比如,企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安,对么?
但在现实中,坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件,这些信息和文件看起来十分平常,也不重要,公司里的人大都不明白为什么这些东西会被限制和保护。
信息的隐藏价值
社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上可信外衣的至关重要的因素。
在这一章里,我将通过让读者“亲身”经历攻击过程,来展示社会工程师的攻击手段。有时从受害人的角度来表现情节,让读者以当事人的身份估计自己(或是你的同事和员工)可能会做出的反应。而更多的时候,让读者从社会工程师的角度来经历攻击过程。
第一个故事着眼于金融行业的一个漏洞。
信誉支票(CREDITCHEX)
曾经有一段很长的时期,英国的银行系统十分闭塞,大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户,除非他带有某位正式银行客户的推荐信。
当然,这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了,任何人都可以走进银行轻松的建立一个日常账户,是这样么?
并非如此。事实上可以理解,银行很难为一个才开过空头支票的人建立账户,这很自然,同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。
与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构称之为“信誉支票”。它为客户提优质的服务,但同许多公司一样,它也会“无心”的为“有心”的社会工程师们提供便利的服务。
第一个电话:吉姆·安德鲁斯(Kim Andrews)
“国家银行,我是吉姆,您是想要开一个帐户么?”
“嗨,吉姆,我想请教个问题。你们与信誉支票打交道么?”
“是的。”
“你们给信誉支票打电话时,怎么称呼你们提供的号码?是叫‘交易号’(Merchant ID)么?”短暂的沉默,基姆在衡量这个问题,对方是什么意图,她是否应该回答。打电话的人不容对方思考接着问:“是这样,吉姆,我在写一本涉及私人调查的书。”
“是的。”她有了回答的信心,因为她还是愿意帮助一个作家的。
“就叫“交易号”,对么?”
“啊,嗯。”
“好的,很好。我是想确认我的书中使用了正确的专业用语,谢谢你的帮忙,再见,吉姆。”
第二个电话:克瑞丝·塔伯特(Chris Talbert)
“国家银行,开户处,我是克瑞丝。”
“嗨,克瑞丝,我是阿莱克斯。”打电话的人说,“我是‘信誉支票’的客服代表,我们在做一项改善服务质量的调查。能耽误您几分钟么?”克瑞丝表示愿意,打电话的人继续:“好的。你们部门营业时间是多少?”她给予回答,并接着回答下面的一系列问题。
“你们部门有多少人使用我们的服务?”
“大约多长时间给我们打一次咨询电话?”
“您用的是我们哪一个800免费电话号码?”
“我们的客服代表服务态度好么?”
“我们对业务的响应时间如何?”
“您在银行工作多长时间了?”
“您通常使用的交易号是多少?”
“您是否发现过我们提供过的信息不准确?”
“如果您对我们的服务有所建议,建议是什么呢?”最后:
“如果我们把定期调查表寄到你们部门,您会填写么?”
她表示同意,然后彼此简单对了几句话,电话挂掉,克瑞丝继续她的工作。
第三个电话:亨利·麦克金赛(Henry McKinsey)
“信誉支票,我是亨利·麦克金赛,需要帮忙么?”
打电话的人表明自己是国家银行的职员,并报出正确的交易号,以及他想查询的人的名字和社会保险号。亨利要求出生日期,他也报上。不一会儿,亨利看着自己的计算机屏幕读道:“韦尔斯·法果在1998年报过一次NSF”——客户账款不足(Non Sufficient Funds),支票已开出,账户里却没有足够钱支付的银行常用专业用语。
“自那之后,还有资金往来么?”
“没有了。”
“有没有申请其他账户?”
“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会(Third United Credit Union of Chicago),”他断断续续地读出第二个地方,斯卡奈塔第共同投资(Schenectady Mutual Investments),他不得不逐字母的将名称拼出。“纽约州。”他最后补充道。
工作中的私人侦探
所有的这三个电话都是同一个人打的,一个私人侦探,我们且称他为奥斯卡·格瑞斯(Oscar Grace)吧。格瑞斯有了一位新客户,他的首批客户其中之一。几个月前还是名警察的格瑞斯发现他的新工作有些做起来易如反掌,有些则对他的智力和创造性是个挑战,这件案子无疑很具有挑战性。
小说中的冷面神探――塞姆·斯贝兹(Sam Spades)和菲利浦·马洛斯(Philip Marlowes),在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣(译者注:塞姆和菲利浦都是著名小说和电影中的人物),现实中的私人侦探也做同样的事情。他们为相互敌对的伴侣之间打探消息,也许没小说中写得那么夸张,但重要性却一点不差。他们的方法主要是依靠社会工程学的技巧,而不是坐在车子里与守夜的困倦做斗争。
格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天,她走进他的办公室,在唯一的一把未堆着文件的皮椅上坐下来,把她的古琦(译者注:Gucci,意大利名牌)手包放到桌子上,商标冲着他的脸。这位女士告诉格瑞斯,她想跟他的丈夫离婚,但“有一点小麻烦。”
他的丈夫比她早了一步,已经从两人的储蓄帐户中把存款提了出来,并从代理公司(译者注:专门从事为客户买卖股票和债券的公司)的账户中提走了更大的款项。她想知道他们的钱到哪里去了,她的离婚律师对此无能为力。格瑞斯猜想她的律师是那种身居住宅区高楼大厦的法律顾问,才不会为这种“钱到哪里去了”的烂事自找麻烦。
格瑞斯有办法么?
他向她保证这是小事一桩,接着报出价格,列出费用,并收了一张支票做为第一笔佣金。接下来,他要面对此事了。如果你以前从未处理过这样的事情,并根本不知道如何跟踪一笔资金的来龙去脉,你该从何做起呢?一步一步地往前挪?好吧,我们来讲格瑞斯的故事。
我知道信誉支票以及银行与其的联系,我的前妻曾在银行工作。但我并不知道那些专业术语和业务过程,而向我前妻打听则是浪费时间。
第一步:了解专业术语,设计出获取信息时所需要的对话,以便听起来不会露出马脚。我给银行打电话时,第一位年轻的小姐,吉姆,在我询问他们如何向信誉支票确定自己身份时就有所迟疑,她犹豫着,不知道是否应该告诉我。我被难住了么?才不。事实上,她的犹豫给了我一个重要的线索,提醒我必须给她提供一个可信的理由。当我骗她说为写一本书而做的调查时,便打消了她的怀疑。声称自己是一位作家或电影剧本作者,可以让人放松警惕。
她知道一些有用的信息,比如信誉支票如何确定打电话人的身份,你可以查询哪些信息,最重要的——吉姆所在银行的交易号。我已准备好提出这些问题,但她的犹豫造成了麻烦。吉姆相信了写书的故事,可她已经有所疑心。如果她更配合些,我就会多问些操作细节了。
专业术语
马克(MARK):受骗者
激警(BURN THE SOURCE):攻击者如果让对方看出来攻击的?