他长什么样?”
“高个子,瘦瘦的。”
“我想是他吧,他姓什么来着?”
“哈德利。哈-德-利(h--a--d--l--e--y.)”
“是的,是他。他什么时候上班?”
“我不知道他这星期的排班,但上夜班的人5点到。”
“好的,那我试试晚上找他。谢谢,泰德。”
第二个电话:凯蒂(katie)
第二个电话打给位于北广街(northbroadstreet)的连锁店。
“嗨,电器商城。我是凯蒂,需要帮忙么?”
“凯蒂,嗨!我是威廉?哈德利,西吉拉德店的。今天过得怎么样?”
“有点儿忙,什么事?”
“我有一位顾客想购买那个一美分的手机,你知道这个手机的资费捆绑吧?”
“是的,上星期我售出了一些。”
“你那儿还有这种资费捆绑的手机么?”
“还有一堆呢。”
“很好。我刚售出了一个这种手机的资费,顾客通过了信用记录(译者注:美国通讯公司会查询手机用户过去的使用记录,以确定用户是否具备享受某一资费方式的资格),我们也签了资费合同。我查了一下该死的存货记录,却没有这种手机了。这让我很难做,你能帮个忙么?我让他到你们店去买一美分的手机,你卖给他后开张发票。他买到手机后会给我打电话,然后我再告诉他怎么用。”
“好的,当然可以。让他来吧。”
“太好了,他叫泰德,泰德?岩西(tedyancy)。”
一个自称泰德?岩西的人来到北广街连锁店,凯蒂开了一张发票,把一美分的手机卖给他,完全依照她的“同事”交待给她的事情,从而彻底地掉入骗局。付钱时,这个顾客的钱包里一枚硬币也没有,于是他到收款台的零钱碟中拿了一枚,交给她完成登记。他甚至一分钱都没有花就得到了那部手机。
过程分析
人们会很自然地相信熟悉公司内部的业务流程和专业用语,并声称自己是公司同事的人。这个故事中的社会工程师就是利用了这一点,通过了解促销活动的细节,扮做公司的职员,并要求另一个分店人员的帮助。这种事情在各零售店之间以及一个公司的各部门之间经常发生,这是因为人们没有机会接触,天天与从未见过面的同事打交道。
入侵fbi
人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目,节目制作者在网上做了一次搜索,发现了一份访问国家犯罪信息中心(ncic)的操作说明拷贝。不久他发现,真正的ncic操作说明原件就在网上,这是一份相当敏感的文档,它记录着从fbi的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门,这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息,手册里包含了数据库中用来标明各种信息的代码,从各种各样的纹身到各式各样的轮船外壳,再到失窃纸币和债券的面额。
任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则,然后依据手册上的步骤指导,再加一点胆量,人人都可以从数据库中提取信息,而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。
fbi几乎肯定不知道如此敏感的资料暴露在网上,我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的,另一份是由得克萨斯州的执法机构传到网上。为什么?这都是因为,也许某人觉得这些信息可能没什么价值,放到网上也不会有什么害处。也许有人为了内部人员使用上的方便,而它放到内网上,却从未想到会被在网上使用搜索引擎(如google)的人找到,包括仅仅是好奇的人、还有想当警察的人、黑客,以及有组织的犯罪团伙。
接入系统
利用这样的信息来欺骗有政府或企业背景的人,使用的准则是相同的:由于社会工程师知道如何访问特定的数据库或应用程序,或是知道公司的服务器名称等类似的事情,他因此具备可信性,这种可信导致信任。一旦社会工程师拥有了这样的代码,获得所需信息就十分简单。在这个例子中,他首先给当地的州警察局电讯室打电话,针对手册上的一个代码,提出问题。比如,犯罪代码。他可能这样说,“我在ncic做犯罪记录查询时,碰到‘系统发生问题’的错误提示。你做记录查询时碰到过这种情况么?能帮我试一下么?”或者他会说正在查询wpf(警方用语,被通辑人的档案)。电话另一端,电讯室的工作人员就会意识到对方熟悉查询ncic数据库的操作程序和命令,除了受过训练的人,谁会知道这些操作程序呢?
工作人员确定她的系统运行正常后,谈话可能像这样进行:
“我可以帮点儿忙。你要查什么?”
“我要查瑞尔顿?马丁的犯罪记录,出生日期66年10月18日。”
“索什(sosh,执行部门的人有时把社会保险号简称为索什)是多少?”
“700-14-7435。”
找到名单后,她可能这样说:“他的犯罪记录代码是2602。”
现在,攻击者只需到ncic的网站上查一下这个号码的含义了――这个人有一桩诈骗的犯罪记录。
过程分析
一个出色的社会工程师一刻也不会停止思考闯入ncic数据库的办法,往当地警察局打上一个电话,花言巧语一番让对方认为自己是内部人员,这就足以能够得到他所需的信息。下一次,他只需使用相同的借口往另一个警察局打电话就是了。为什么获得信息如此容易?
专业术语
索什:执法部门对社会保险号的简称。
你可能觉得奇怪,往州、县警察局,或是高速公路巡警处打电话不危险么?攻击者岂不是冒着很大的风险?
答案是“不”。由于某种原因,执法部门的人(比如军事部门),自从步入这个圈子的那一天起,就牢牢地记住对等级的尊重。社会工程师只要装扮成一名中士或中尉(比对方级别要高),对方就会被那句根深蒂固的训诫所支配――不要向职位、权力比你高的人提问。换句话来说,级别,享有特权,尤其是级别低的人不能对级别高的人提出置疑的特权。不要认为只有执法部门和军事部门才会看重级别的高低,社会工程师经常把企业中的等级特权做为他们对业务信息的攻击武器,一如本书中的故事中所做的示范。
预防措施
你的机构能采取哪些措施以降低社会工程师利用雇员相信他人的习惯来实施攻击的可能?下面提供一些建议:
保护你的客户
在当今的电子时代,许多销售公司都会把客户的信用卡信息存档。这是由于,在客户去商店或网站购物时,它省去了客户每次都要填写信用卡信息的麻烦。然而,这种习惯应该去除。如果你必须将信用卡号存档,则应采取加密或访问控制等相应的安全措施,工作人员需要培训以认清类似于本章中描述的社会工程师的诡计。只是通过电话但从未见过面的同事,可能不是她或他声称的那个人,他也许没有访问客户信息的知情权,因为,他可能根本就不在这个公司工作。
米特尼克信箱
人人都应了解社会工程师的惯用手段:尽可能的收集目标的所有信息,并利用这些信息获取信任,让对方认为自已是内部人员,然后便深入腹地。
有节制的给予信任
并不是只有那些有权访问到敏感信息的人,软件工程师、发展研究部门的人等等,需要得到防入侵的安全培训,几乎公司里的所有人员都需要安全培训以保护企业,防范商业间谍和信息窃贼。实施这项基础工作首先要在企业范围内做一项信息资产的调查,单独地审视每一项关键、敏感,或是有价值的信息资产,并提出问题,攻击者可能会使用什么样的社会工程手段来危及这些资产的安全。围绕这些问题,为有权访问信息资产的人制定出恰当的培训方案。任何没有见过面的人找你询问某些信息和资料,或是让你操作一下你的计算机时,每一个员工都应该问自己:如果我把这些信息透露给最坏的敌人,我或我的公司会因此而受到伤害么?我的确完全知道对方要求我做的计算机操作存在的潜在影响么?
我们并不想怀疑我们遇到的每一个陌生人,在怀疑中渡过人生。然而,我们越容易相信他人,我们就越容易被欺骗,从而把公司的私有信息泄露给下一个社会工程师。
内部网上有什么?
企业的内网也许有些内容会对外开放,剩下的只开放给员工。那你的公司是否确保了敏感信息不被放到不该放的地方?你的机构对内网上的敏感信息是否被放到网站公众访问区的最后一次检查是在什么时候?如果你的公司使用了代理服务器来增加企业的网络安全性,最近有没有进行检查以确保这些服务器做到正确的配置?
实际上,有人检查过你的内网安全性么?
当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。