第 29 节
作者:
做男人挺好的 更新:2022-10-30 13:52 字数:4795
者利用人们的这种特点引导员工的行为以达到他的目标,了解这一简单的概念非常重要,这样在另一个人试图操纵你的时候你就更有可能发现。
欺骗不知情的人
我之前强调的是需要对员工进行充分的培训,使他们不会被陌生人说服去做某些事情, 所有员工同样需要了解按照请求在另一个人的计算机上执行任何操作都是很危险的,公司的政策应当禁止这些行为,除非得到一名指定的管理人员的批准。允许的情况包括:
当发出请求的是一个你非常熟悉的人,两个人面对面或者你通过电话确认了呼叫者的声音时。
当你通过严格的程序核实了请求者的身份时。
当行动得到一名主管或其他熟悉请求者的权威人士的批准时。
必须培训员工不去帮助不是亲自认识的人,即使那个人声称自己是经理主管人员。一旦安全政策方面的审核开始实施,管理层就必须让员工们遵守这些规定,即使这意味着员工可以质疑要求他们绕过安全规定的主管人员。
每家公司还需要有自己的政策和程序引导员工响应针对电脑或电脑相关设备的任何行动。在这个关于出版社的故事中,社会工程师有针对性的选择了一个没有接受过信息安全策略与程序培训的新员工。为防止这类攻击,所有员工都必须遵守这样一个简单的规则:不要在任何计算机系统上执行陌生人请求的操作,就这一点。
记住,任何能直接或间接接触到一台计算机(或一部与计算机相关的设备)的员工都很容易被攻击者操控成为实施一些恶意行为的代理。
员工们(尤其是IT员工)需要知道让外部人员进入他们的计算机网络就像是把你的银行帐户交给一个电话销售员或把你的电话卡号码交给一个监狱中的陌生人。员工们必须谨慎考虑那些能导致敏感信息泄露或危及公司计算机系统安全的请求。
IT员工也必须提防伪装成供应商的未知呼叫者。通常,公司应当考虑为每一个技术供应商指定具体的联系人员,如果实施了这一策略,其他员工就不会响应供应商索取资料或更改任何电话或电脑设备的请求。这样,指定的员工就会很熟悉打电话或前来拜访的供应商; 减小了被骗的可能性。如果一个和公司没有合同的供应商打来电话,也应当引起注意。
公司中的的每个人都必须了解信息安全威胁与攻击。注意,安全警卫等需要的不仅仅是安全培训,还应当包括信息安全培训,因为安全警卫经常要接触公司的设施,所以他们必须要能够识别各类针对他们的社会工程学攻击。
当心间谍程序
商业间谍程序曾经被许多家长用来监控他们孩子的网络行为,而对于公司的老板而言,他们需要找出那些不认真工作,只知道上网冲浪的员工,更重要的是找出那些潜在的信息窃贼或商业间谍。开发商推出间谍软件似乎旨在保护儿童,但事实上,他们真正的市场是那些想要暗中监视别人的人。如今,间谍软件之所以存在在很大程度上是因为人们想要知道他们的配偶或其他重要人物是否在骗他们。
前不久我开始写这本书中的间谍故事的时候,帮我收电子邮件的人(因为我被禁止上网)发现了一封宣传一系列间谍程序的广告邮件,其中一段是这样说的:
热门!必须拥有:
这一强大的监控程序秘密捕获所有的按键、时间与所有活动窗口的标题到一个文本文档,同时隐藏在后台运行。日志文件可加密并自动发送到指定邮箱地址,或仅存储在硬盘上。程序受密码保护并可在CTRL+ALT+DEL菜单中隐藏。可用它来监控输入的网址、聊天记录、电子邮件和许多其它东西(甚至是密码)。
在任何PC上后台安装并把日志发给自己!
杀毒软件的缺陷?
杀毒软件不能查出商业间谍程序,从而将其判定为非恶意软件,即使它的用途是监控他人。如此一来电脑就相当于一部被忽视的窃听器,在任何时候我们每个人都有被非法监控的危险。当然,杀毒软件厂商可能认为,间谍程序可以用于合法目的,因此不应当视为恶意软件。但是由黑客团体免费发布(或当成安全相关程序出售)的某些工具却会被视为恶意代码,我至今都不明白为什么会有这种双重标准。
同一封邮件中的另一段则声称它可以捕捉用户的电脑屏幕图像,就像是一台放在他肩膀上的摄像机。其中部分软件产品甚至不需要亲自接触受害人的电脑,只要远程安装并配置好应用程序,你就马上拥有了一部电脑窃听器!FBI(联邦调查局)肯定很喜欢这种技术。
由于间谍程序的广泛使用,你的企业需要建立双层防护。你应当在所有工作站上安装间谍程序检测软件,如SpyCop (网址: spycop),你还应当要求员工进行定期扫描。此外,你还必须培训员工提防下载程序或打开电子邮件附件之类的可以安装恶意程序的骗局。
除了防范间谍程序的安装(当员工因为茶会、午餐或会议离开办公桌时)以外,还应当规定所有员工在离开时必须使用屏幕保护密码或类似的方法锁定他们的计算机系统,这能大大降低员工的计算机被非法访问的可能性。即使混入某个人的房间或办公室也不能访问他们的任何文件,阅读他们的电子邮件或安装间谍程序(或其他恶意软件)。使用屏幕保护密码需要的资源几乎为零,却能很好地保护员工的工作站,在这种情况下进行成本效益分析应该是很容易的事情。
第十三章 聪明的骗局
现在你已经知道了,当接到陌生人请求敏感信息(或其它对攻击者有用的东西)的来电时,接电话的人必须被培训询问呼叫者的电话号码,然后打过去核实这个人的身份是否和他声称的一样——例如,一名公司员工,一名商业伙伴员工,或者一名供应商技术支持代表。
甚至当一家公司明确规定员工必须小心核实呼叫者的身份时,经验丰富的攻击者仍然可以利用许多骗局使受害人相信他们是他们声称的人,即使是安全意识较高的员工也会被下面所述的方法所骗。
骗人的来电显示
任何用手机接过电话的人都曾看到过来电显示——显示屏上呼叫者的电话号码。在商业环境下,员工只要看一眼便能知道打来的电话是公司同事还是外部人员。
很多年前,一些雄心壮志的电话盗打者就已经用上了来电显示功能,那时电话公司甚至还没有向公众开放这一服务,有一段时间他们吓坏了不少人,接电话的时候总是在对方还没来得及说话之前就喊出他们的名字。
当你养成了看来电显示的习惯时,你认为它是安全的并以此判断呼叫者的身份——这正是攻击者想要的。
琳达的电话
日期/时间:7月23日,星期二,下午3:12
地点:星级漫游航空公司财政部办公室
当琳达·希尔(Linda Hill)的电话响起的时候她正在为她的老板书写备忘录,她看了一眼来电显示,发现是一个叫维克托·马丁(Victor Martin)的人从公司在纽约的办公室打来的——她不认识这人。
她本来想把电话转到语音信箱,这样她就不会中断写备忘录的思路,但好奇心还是占了上风,她拿起了电话,然后对方自我介绍说他是产品推广部的员工,正在为CEO整理一些材料,“他正在赶往波士顿和我们的一些银行家开会,他需要本季度的财务报表,”他说,“另外,他还需要Apache项目的财政预算。”维克多提到了公司春季主打产品代号。
她问他要电子邮件地址,但是他说他现在无法接收电子邮件,技术人员正在想办法解决,能否传真过来?她说也可以,然后他把他的内部传真号给了她。
几分钟后她发出了传真。
但维克多并不在产品推广部工作,事实上,他甚至不是这家公司的员工。
杰克的故事
杰克·道金斯很年轻的时候就开始了他的职业生涯——在纽约人体育场、拥挤的地铁月台和夜间聚集着游人的泰唔士广场行窃。他可以从一个人的手腕上取下手表而不被发现,可见他动作之敏捷手法之高超。但在他充满烦恼的少年时期,他却因失手而被抓了。在少管所里,杰克学到了一个新职业,被抓住的可能性非常之低。
他当前的任务是获得一家公司的季度损益表与现金流量信息,要在这些数据被提交到美国证券交易委员会( SEC ) 并公布之前。他的客户是一个不愿意解释为什么需要这些信息的牙医,这个人的小心翼翼在杰克看来十分有趣,他之前的推测是——这家伙可能赌博赢了钱,要么就是有一个一直没被他的妻子发现的有钱的女朋友,或者也有可能是向他的妻子吹嘘了自己在股票市场的英明神武,总之现在他已经失去了所有的管束,只想进行一大笔投资,在这家公司公布他们的季度财务报表之前,预测他们的股票价格将如何变化。
人们惊讶地发现,细心的社会工程师可以迅速地应对从未遇到过的情况。当杰克从牙医那里回到家的时候,他已经想好了一个计划。他的一个朋友查尔斯·贝茨(Charles Bates)在Panda进出口公司工作,这家公司有自己的电话交换机或PBX(译者注:专用分组交换机)。
在了解电话系统的人熟悉的术语中,PBX连接着数字电话服务T1,并被设置为初始速率接口ISDN(综合服务数字网络)或PRI ISDN,这意味着从Panda打出的每一个电话都会通过一个数据频道发送呼叫处理信息到电话公司的交换机:这些信息包括将转到(除非被锁定了)对方来电显示上的主叫号码。
杰克的这个朋友知道怎样修改交换机让接到电话的人在来电显示上看到伪造的号码,而事实上电话是从Panda办公室打来的。这种骗局之所以有效,是因为当地电话公司懒得去验证客户的呼叫号码是不是实际上付钱的那个号码。
杰克·道金斯需要的只是使用这种电话服务,幸运的是他的朋友与合作伙伴查尔斯·贝茨总是乐于伸出援助之手,而只收取象征性的费用。在这里,杰克和查尔斯临时修改了电话交换机的设置,让Panda公司的一条指定电话线路使用维克托·马丁的内部电话号码,这样电话看上去就是从星际漫游航空公司打出的了。
你的来电显示不会出错,很多人都这样想,在这里,琳达愉快地把资料传真给了她认为是产品推广部员工的人。
当杰克挂上电话时,查尔斯又把交换机的设置给改了回来。
过程分析
一些公司不想让客户或供应商知道他们员工的电话号码。比如,福特公司规定,从他们的客户支持中心打来的电话应当显示800号码和“福特支持”字样,而不是每一个客户支持代表真实的电话号码。微软公司则让员工自己选择是否把电话号码告诉别人,并不是每一个接到他们电话的人都能看到来电显示并找出他们的位置。通过这种方法公司便能保持内部号码的隐匿性。
但是修改交换机设置对于一些人而言是在是太简单了,比如,恶作剧爱好者、收账单的人、电话销售员,当然,还有社会工程师。
变奏:美国总统来电
作为洛杉矶KFI谈话节目〃互联网黑暗面〃的客串主持人,我认识电台的节目总监大卫,他是我见过的最勤奋最负责的人,你很难电话联系到他,因为他实在是太忙了。他不接任何电话,除非来电显示上出现了他必须谈话的人。
当我打电话给他时候,因为我的手机出了问题,他不知道是谁的电话所以没有接,而让它转到了语音信箱,这让我觉得很失败。
我和一个老朋友详细地讨论了这件事,他创办了一家专门为高科技公司提供办公室的房地产公司。我们一起制定了一个计划,他可以使用他们公司的子午线电话交换机,也就是说他可以修改主叫号码,就像刚才的故事描述的那样。每当我需要联系节目总监但又打不通电话时,我就请我的朋友帮忙修改来电显示上的号码,有时候我想让电话看上去是大卫的办公室助理打来的,有时候则是电台的控股公司。
但我最喜欢的还是把它改成大卫自己家的电话号码,他总是会接,因为他信任这个人。当他拿起电话并发现我再一次和他开了个玩笑时,他永远都是那么幽默。当然,他会在线足够长的时间解决我的所有问题。
当我在阿特响铃秀上证明这一小小的骗局时,我让我的来电显示出现了FBI洛杉矶总部的名字和号码。阿特对整件事情非常震惊,他警告我说这是违法的,但我告诉他这是完全合法的,只要不用来诈骗。在那次节目之后我收到了几百封