前言
一些黑客毁坏别人的文件甚至整个硬盘,他们被称为电脑狂人(crackers)或计算机破坏者(vandals)。另一些新手省去学习技术的麻烦,直接下载黑客工具侵入别人的计算机,这些人被称为脚本小子(scriptkiddies)。而真正有着丰富经验和编程技巧的黑客,则开发黑客程序发布到网站或论坛(BBS)。还有一些人对黑客技术没有丝毫兴趣,他们把计算机仅仅当做窃取金钱、商品和服务的辅助工具。
尽管媒体神话了凯文·米特尼克,但我并不是一个用心险恶的黑客,我只是喜欢不断地超越自己。
人之初
我的人生之路,也许在我很小的时候就注定了。三岁时,由于父亲的离去,使我无忧无虑的生活发生变故。做招待的母亲支撑着家庭。那时的我(一个由深受没有工作规律之苦的母亲养活着的独生子),除了睡觉以外,大部位时间都没人管,我就是我自己的保姆。
在圣费尔南多谷(SanFernanadoValley)的成长经历给予我探索整个洛杉矶的机会,十二岁时,我发现了一个可以免费周游洛杉矶的方法。我发现到坐公车时购买的换乘券,是由一种非常规的打孔机打出来的,公车司机用它来在换乘券上标记日期、时间和路线。一位司机友好地回答了我精心准备的问题,于是我知道了在哪里可以买到这种特殊的打孔机。换乘券用来改乘车次从而到达目的地,但是我想出的方法,可以让我使用换乘券免费到达我想去的任何地方。
获得空白换乘券很容易,如同去公园散步般简单,因为公车终点站的废物箱中总是充斥着公车司机换班时未用完的换乘券本子。用一叠空白换乘券加上打孔机,我可以制作出我自己的换乘券,并用它行遍全洛杉机公车能够到达的任何地方。很快,我就差不多记住了整个公交系统的公车时刻表。(我对某种信息的记忆力总是让人惊讶,这一个较早的例子。直到现在,我还能记住远在童年时的电话号码、口令以及其它一些看上去十分琐碎的事情。)
另一个在小时候就显露出来的个人兴趣是对魔术的迷恋。一旦我知道了某个魔术的变法,我就会不断的练习、练习,再练习,直到我完全掌握。从某种程度上说,正是由于魔术,才让我发现获取秘密信息的乐趣。
从盗打电话到黑客
我首次接触社会工程学的时候是在中学时期,那时我遇到了一位喜欢盗打电话的同学。“电话盗打”是一种利用电话公司雇员和电话系统来探测电话网络的黑客行为。他向我展示了使用电话的高级窍门,比如从电话公司获取任何一位客户的资料,以及使用秘密测试号码拔打免费长途电话。实际上这只是对我们来说免费,因为我后来发现这根本就不是一个秘密测试号码,那些话费事实上从某些倒霉公司的MCI(译者注:美国著名通讯公司)帐户上划出了。
这就是我对社会工程学的入门,也可以说是我的启蒙阶段。我的朋友还有后来认识的另外一个盗打电话的人,他们在给电话公司打电话时让我在旁边听,他们是如何让电话公司相信他们所说的话。于是,我知道了许多电话公司的办公地点,他们的业内用语,还有办公程序。这种“训练”并没有花多长时间,不久我便可以完全自己来做这些事情,甚至比我的启蒙老师们做的还要好。
我生命中下一个15年的生活已经注定。
在中学,我最为喜欢的恶作剧就是获得对电话交换机未授权的访问,然后改变某个电话盗打者的话费设置。当他从家里打电话时,他的电话就会告诉他需要投入一角硬币,因为电话公司交换机的记录被我更改,从而认为他拔打的是一个投币电话。
我开始关注有关电话的任何事情,不只是电子学、交换机和计算机,还有公司组织、业务手续和行业术语。不久之后,我就比任何一个电话公司的雇员都更加了解电话系统。我对社会工程学的运用也达到了娴熟的阶段,十七岁时,我就能与大多数电信公司的员工谈论几乎任何事情,无论是当面聊还是打电话。
实际上我较为公开化的黑客之路,始于中学。尽管在这里我无法说清原委,但其实一句话也能表达了。在我黑客生涯的早期,一个驱使我的动力就是被黑客圈子的人所接受。在那时,黑客这个词是指一个花费大量的时间调置软硬件的人,或是开发更有效的程序,或是绕过不必要的步骤来更快的完成工作。这个词如今已经是一个带有贬义的“恶意犯法者”的意思了,但在本书中,我仍然按原来对它更为善意的理解使用这个词汇。
中学之后,我在洛杉矶计算机学习中心攻读计算机。没几个月的时间,学校的计算机管理人员就意识到我发现了操作系统的漏洞,并取得了管理员权限,但是在学校的教学人员中,最好的计算机专家也无法弄清我是如何这样做的。这也许是最早雇佣黑客的例子之一吧,他们给了我一个无法拒绝的提议:要么做出一个荣誉学位的毕业设计来加强学校的计算机安全,要么由于黑客行为而中止学业。当然,我选择了前者,以本科优等成绩荣誉学士毕业。
成为社会工程师
每天早晨,许多人从床上一爬起来,便开始对千篇一律的繁重工作犯愁。我却很幸运,因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。我的天份在称为社会工程学(使人们做在通常情况下不会为陌生人做的事情)的表演艺术中得到磨练和回报。
对我来说,成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域,因此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时,这就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种,一种是通过诈骗、欺骗来获得钱财,这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的,这就是社会工程师。从我使用诡计免费乘车的时候(我那时还小,并没有认识到这样做有什么不对),就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了解术语和培养良好的操纵技巧,更为加强了这种天份。一个用来发展我的专业技艺(如果这可以称为一个专业的话)的方法就是看我是否能与电话另一端的人攀谈,并获得相关信息,即便这些信息对我毫无用处,这样做只是为了证明我的专业技巧。同样,我还用此种方法,练习奇巧的计谋、托辞,不久我发现我可以取得我想关注的任何信息。正如我在数年后的国会听证会上,在利伯曼(Lieberman)和汤姆森(Tompson)参议员面前所做的证词中描述的那样:
“我未经授权进入了世界上最大的几家公司的计算机系统,并成功渗透了一些防范最好的电脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码,以研究它们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么,并发现其中的秘密,比如操作系统、移动电话以及任何能引起我好奇心的东西。”
最后的想法
自从被捕以后,我已经承认了自己这些行为的非法,侵犯了他人的秘密。我的错误行为是由于好奇心引起的,我抑制不住的想知道电话网络是如何运转的,以及了解计算机安全的每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。当我反省过去的这30年时,我承认自己做出了极其拙劣的选择,被好奇心驱使,被学习技术的欲望和智力挑战的虚荣所驾驭。
但我现在已经转变,我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他人,以避免那些怀有恶意的信息盗贼可能带来的危害。我相信,你将会从本书中得到乐趣、教育和启发。
第一章 安全软肋
某公司也许购置了能用钱买到的最好的安全技术,员工们也训练有素,每晚回家前把所有的秘密都锁起来,并从业内最好的保安公司雇用了保安,但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理系统配置以及应用安全补丁,但他们仍然很不安全。
人为因素
在国会听证会前的一次证言中,我解释到我经常可以从企业获得密码口令或其他类似的敏感信息,只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主,他有一套麦迪科(译者注:Medico,知名品牌、价格昂贵)防撬锁装在屋子的大门上,以保护他的妻子、孩子和他的家。他觉得很心安,因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢?再安装一套强壮的安全系统么?虽然有用,但还是不够安全。无论防盗锁是昂贵还是便宜,屋主的安全仍然难以保障。为什么?因为人为因素才是安全的软肋。
安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”最终,社会工程学的攻击,成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。
与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为其配置了精良的安全设备――防火墙、入侵检测,或是更为保险的身份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭遇安全事故。
正如著名的安全顾问布鲁斯·施尼尔(BruceSchneier)所说:“安全不是一件产品,它是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断地创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。
一个欺骗的经典案例
企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:
许多人都已记不起一个叫斯坦利·马克·瑞夫金(StanleyMarkRifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(SecurityPacificNationalBank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。
获得密码
1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。
电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。
转款入户
瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克·汉森(MikeHansen)。那次对话大概是这样的:
“喂,我是国际部的麦克·汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司(IrvingTrustCompany)贷一千零二十万美元到瑞士苏黎士某银行(WozchodHandelsBank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”
瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)
成功结束
几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为——社会工程学。
威胁的天然性
瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?
日益增长的安全事件
美国计算机安全协会在2001年计算机犯罪调查报告中声称,在接受调查的组织机构中,有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字,只有15%的机构在过去的一年中没有发现安全事件。另一个数字同样惊人,有64%的机构由于计算机的问题而导致财务损失,超过一年中遭受财务损失企业的二分之一强。
我的经验告诉我这个数字有些夸大,并对这项调查的研究结果表示怀疑。但这并不是说安全事件的危害面不大,相反,它很大。那些未把安全事件考虑在内的人,迟早会出问题。大多数公司配置的安全产品主是应付业余入侵者的,比如被称为“脚本小子”的年轻人。实际上,这些利用别人的软件,并憧憬着成为真正黑客的人,大多数情况下只能引起一些麻烦。真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱动的攻击者。这些人一次只盯准一个目标,而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。
认证设备(身份认证)、访问控制(对文件和系统资源的控制管理)和入侵检测系统(计算机化的防盗器)等技术,对公司的安全防护是十分必要的。然而,现在的公司在布置保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。
正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许多时候,他们把这种心思放在了人的身上。
欺骗的使用
许多人都说,关掉了的计算机才是安全的计算机,但这是错误的,找个借口让人去办公室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。
要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到一个方法,从可信用户那里骗取信息,或是不露痕迹的获得访问权。当可信用户被欺骗、影响,并被操纵而吐露出敏感信息时,或是做出了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样,社会工程师通过欺骗你的雇员来绕过安全技术。
信任的弊端
大多数情况下,成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师,使用他自已的战略、战术,几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我们很聪明,但对我们人类——你、我、他的安全最严重的威胁,来自于我们彼此之间。
我们的国民性格
我们对危险漠不关心,尤其在西方,美国则更甚。我们没有受到要对别人保有怀疑态度的训练,我们接受的是“爱汝之邻”(译者注:此句引自《圣经》)的教育,人与人之间要相互信任和忠实,试想一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是很明显的,却似乎被许多宁愿活在理想世界里的人忽略,直至受到伤害。
我们知道,并不是所有的人都诚实善良、友爱可亲,可我们在生活中却经常把他人想像成这样。这种可爱的无知一直都是美国人的生活方式,放弃这种习惯十分不易。做为美国人,自由和最适宜居住的地方就是锁和钥匙最没必要的地方,这种理念已经深入人心。大多数人持有不会被欺骗的想法是觉得被骗的可能性很低,而攻击者利用这种心理,编出不会引起怀疑的听上去十分合理的理由,充分的利用了受骗者的信任。
机构的无知
无知是我们国民性格的一部分,这可以在回溯计算机首次远程联接时轻易的看出。APPANet(美国国防部高级研究项目署网络),互联网的前身,用来在政府、科研和教育机构之间共享信息,其目标是信息共享和科技进步,许多教育机构因此建立了几乎没有任何安全措施的早期计算机系统。一个著名的软件开发自由主义者,理查德·斯托曼,甚至拒绝为他的账号设置口令。但随着互联网电子商务的兴起,由于互联网脆弱的安全措施导致的危害性发生了极大的变化。
使用再多的安全技术也不能解决人为的安全因素,拿今天的机场为例,安全已经成为首要措施,然而我们仍然被媒体的报道所警告,还是有人可以避开安全措施、携带潜在性武器通过检测。在一个机场时刻处于警戒状态下的时期,这种事情又是怎么发生的呢?是那些金属仪器失效了么?不,问题不在机器,问题在于人,机器是由人操纵的。机场的官员虽然可以布署国民警卫队并安装检测器和面部识别系统,但如何培训一线保卫人员正确地检查旅客则更为重要。全世界的政府、商业、教育机构都有同样的问题,虽然各个地方的职业安全人员不敢懈怠,但信息仍然易受攻击,并被具备社会工程学技巧的攻击者视为可摘之果,除非安全链中最薄弱的环节——人为因素,被加固强化。
现在,我们比任何时候都需要停止幻想,同时对攻击计算机系统和网络机密性、完整性以及实用性的技术加深认识。我们已经认识到主动防御的必要,是接受和学习安全防护的时候了。
对你的隐私、思想和公司信息系统的非法入侵似乎很遥远,直到它真的发生。为了避免付出昂贵的代价,我们所有的人都需加深认识、富有经验、保持警醒,并主动防卫我们的信息资产、个人信息,以及国家的关健基础设施。现在,我们必须实行严谨、周密的设防。
欺骗与恐怖分子
当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001年,发生在纽约的911事件把悲伤和恐惧植入每一个人的心中,不只是美国人,还有世界上所有善良的人们。我们已经开始警觉,因为这个世界上还分布着受到良好训练的极端恐怖分子,伺机再次发动对我们的攻击。
政府最近的强化努力已经提升了大众的安全意识,我们需要保持警醒,警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份,假扮学生、邻居而混入人群的,他们掩饰住自己真实的思想以密谋恐怖行动,而他们使用的就是类似于本书中介绍的欺骗手法。
然而,就我所认为,恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂,或其它关系国计民生的基础设施中,但可能性依然存在,这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强,因为这本书恰逢其时。
关于此书
企业安全是一个平衡问题,安全性太差公司易受攻击,但过多的强调安全又会妨碍业务管理和公司的发展,其难点在于达到生产效率和安全之间的平衡。
其它关于企业信息安全的书都把重点放在硬、软件技术上,而忽略了最重要的安全威胁——对人的欺骗。与之相反,此书的目的,就是要帮助大家理解自己、同事,和公司其他人员是如何被操纵的,并帮助大家建立屏障,谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上,它能够对看似安全的信息完整性产生威胁,甚至破坏公司的工作成果。
我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着,他们有办法(比如:“这是为了你好”)让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法,巧妙的编出看似有理的故事、理由以及借口,来达到他们的目的。是的,我们都被我们的父母所引导——那些乐善好施的(偶尔也不完全如此)社会工程师们。
由于这种生长环境,导致我们软弱而容易被操纵。可总是对他人怀有戒心,担心上当受骗,会活得很累。在理想的世界里我们应对他人给予绝对信任,每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中,我们必须锻炼我们的防欺诈能力以对付我们的敌人。
这本书的主要内容——第二和第三部分,讲述社会工程师如何实施欺骗的故事。在这两部分中,大家将会看到如下内容:
·电话盗打者早就发现的,一个从电话公司弄到未刊登电话号码的方法;
·几个不同的社会工程学方法,甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令;
·信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息;
·隐私调查者是如何弄到你的企业、你本人的隐密信息的,我可以保证,这会让你脊背发凉。
你也许会认为这两部分中讲述的故事实际上不可能发生,没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上,在每个案例中,这些故事都是可以成为现实而且已经成为现实的,这些事情每天都在世界的某个地方发生,甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪,还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。
在本书的第四部分,我转变了方向。在这里我想帮助大家建立企业必要的安全策略和安全意识培训,以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、方法和技巧,在不会降低公司的生产效率的同时,帮助你布置合理的控制策略来保护企业的信息资产。
简而言之,我写此书的目的就是要提升大家的安全意识,以应对来自社会工程师的严重威胁,并帮助你的公司和公司员工尽可能的不被利用。或者我应该这样说,不再被利用。
一些黑客毁坏别人的文件甚至整个硬盘,他们被称为电脑狂人(crackers)或计算机破坏者(vandals)。另一些新手省去学习技术的麻烦,直接下载黑客工具侵入别人的计算机,这些人被称为脚本小子(scriptkiddies)。而真正有着丰富经验和编程技巧的黑客,则开发黑客程序发布到网站或论坛(BBS)。还有一些人对黑客技术没有丝毫兴趣,他们把计算机仅仅当做窃取金钱、商品和服务的辅助工具。
尽管媒体神话了凯文·米特尼克,但我并不是一个用心险恶的黑客,我只是喜欢不断地超越自己。
人之初
我的人生之路,也许在我很小的时候就注定了。三岁时,由于父亲的离去,使我无忧无虑的生活发生变故。做招待的母亲支撑着家庭。那时的我(一个由深受没有工作规律之苦的母亲养活着的独生子),除了睡觉以外,大部位时间都没人管,我就是我自己的保姆。
在圣费尔南多谷(SanFernanadoValley)的成长经历给予我探索整个洛杉矶的机会,十二岁时,我发现了一个可以免费周游洛杉矶的方法。我发现到坐公车时购买的换乘券,是由一种非常规的打孔机打出来的,公车司机用它来在换乘券上标记日期、时间和路线。一位司机友好地回答了我精心准备的问题,于是我知道了在哪里可以买到这种特殊的打孔机。换乘券用来改乘车次从而到达目的地,但是我想出的方法,可以让我使用换乘券免费到达我想去的任何地方。
获得空白换乘券很容易,如同去公园散步般简单,因为公车终点站的废物箱中总是充斥着公车司机换班时未用完的换乘券本子。用一叠空白换乘券加上打孔机,我可以制作出我自己的换乘券,并用它行遍全洛杉机公车能够到达的任何地方。很快,我就差不多记住了整个公交系统的公车时刻表。(我对某种信息的记忆力总是让人惊讶,这一个较早的例子。直到现在,我还能记住远在童年时的电话号码、口令以及其它一些看上去十分琐碎的事情。)
另一个在小时候就显露出来的个人兴趣是对魔术的迷恋。一旦我知道了某个魔术的变法,我就会不断的练习、练习,再练习,直到我完全掌握。从某种程度上说,正是由于魔术,才让我发现获取秘密信息的乐趣。
从盗打电话到黑客
我首次接触社会工程学的时候是在中学时期,那时我遇到了一位喜欢盗打电话的同学。“电话盗打”是一种利用电话公司雇员和电话系统来探测电话网络的黑客行为。他向我展示了使用电话的高级窍门,比如从电话公司获取任何一位客户的资料,以及使用秘密测试号码拔打免费长途电话。实际上这只是对我们来说免费,因为我后来发现这根本就不是一个秘密测试号码,那些话费事实上从某些倒霉公司的MCI(译者注:美国著名通讯公司)帐户上划出了。
这就是我对社会工程学的入门,也可以说是我的启蒙阶段。我的朋友还有后来认识的另外一个盗打电话的人,他们在给电话公司打电话时让我在旁边听,他们是如何让电话公司相信他们所说的话。于是,我知道了许多电话公司的办公地点,他们的业内用语,还有办公程序。这种“训练”并没有花多长时间,不久我便可以完全自己来做这些事情,甚至比我的启蒙老师们做的还要好。
我生命中下一个15年的生活已经注定。
在中学,我最为喜欢的恶作剧就是获得对电话交换机未授权的访问,然后改变某个电话盗打者的话费设置。当他从家里打电话时,他的电话就会告诉他需要投入一角硬币,因为电话公司交换机的记录被我更改,从而认为他拔打的是一个投币电话。
我开始关注有关电话的任何事情,不只是电子学、交换机和计算机,还有公司组织、业务手续和行业术语。不久之后,我就比任何一个电话公司的雇员都更加了解电话系统。我对社会工程学的运用也达到了娴熟的阶段,十七岁时,我就能与大多数电信公司的员工谈论几乎任何事情,无论是当面聊还是打电话。
实际上我较为公开化的黑客之路,始于中学。尽管在这里我无法说清原委,但其实一句话也能表达了。在我黑客生涯的早期,一个驱使我的动力就是被黑客圈子的人所接受。在那时,黑客这个词是指一个花费大量的时间调置软硬件的人,或是开发更有效的程序,或是绕过不必要的步骤来更快的完成工作。这个词如今已经是一个带有贬义的“恶意犯法者”的意思了,但在本书中,我仍然按原来对它更为善意的理解使用这个词汇。
中学之后,我在洛杉矶计算机学习中心攻读计算机。没几个月的时间,学校的计算机管理人员就意识到我发现了操作系统的漏洞,并取得了管理员权限,但是在学校的教学人员中,最好的计算机专家也无法弄清我是如何这样做的。这也许是最早雇佣黑客的例子之一吧,他们给了我一个无法拒绝的提议:要么做出一个荣誉学位的毕业设计来加强学校的计算机安全,要么由于黑客行为而中止学业。当然,我选择了前者,以本科优等成绩荣誉学士毕业。
成为社会工程师
每天早晨,许多人从床上一爬起来,便开始对千篇一律的繁重工作犯愁。我却很幸运,因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。我的天份在称为社会工程学(使人们做在通常情况下不会为陌生人做的事情)的表演艺术中得到磨练和回报。
对我来说,成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域,因此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时,这就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种,一种是通过诈骗、欺骗来获得钱财,这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的,这就是社会工程师。从我使用诡计免费乘车的时候(我那时还小,并没有认识到这样做有什么不对),就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了解术语和培养良好的操纵技巧,更为加强了这种天份。一个用来发展我的专业技艺(如果这可以称为一个专业的话)的方法就是看我是否能与电话另一端的人攀谈,并获得相关信息,即便这些信息对我毫无用处,这样做只是为了证明我的专业技巧。同样,我还用此种方法,练习奇巧的计谋、托辞,不久我发现我可以取得我想关注的任何信息。正如我在数年后的国会听证会上,在利伯曼(Lieberman)和汤姆森(Tompson)参议员面前所做的证词中描述的那样:
“我未经授权进入了世界上最大的几家公司的计算机系统,并成功渗透了一些防范最好的电脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码,以研究它们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么,并发现其中的秘密,比如操作系统、移动电话以及任何能引起我好奇心的东西。”
最后的想法
自从被捕以后,我已经承认了自己这些行为的非法,侵犯了他人的秘密。我的错误行为是由于好奇心引起的,我抑制不住的想知道电话网络是如何运转的,以及了解计算机安全的每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。当我反省过去的这30年时,我承认自己做出了极其拙劣的选择,被好奇心驱使,被学习技术的欲望和智力挑战的虚荣所驾驭。
但我现在已经转变,我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他人,以避免那些怀有恶意的信息盗贼可能带来的危害。我相信,你将会从本书中得到乐趣、教育和启发。
第一章 安全软肋
某公司也许购置了能用钱买到的最好的安全技术,员工们也训练有素,每晚回家前把所有的秘密都锁起来,并从业内最好的保安公司雇用了保安,但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理系统配置以及应用安全补丁,但他们仍然很不安全。
人为因素
在国会听证会前的一次证言中,我解释到我经常可以从企业获得密码口令或其他类似的敏感信息,只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主,他有一套麦迪科(译者注:Medico,知名品牌、价格昂贵)防撬锁装在屋子的大门上,以保护他的妻子、孩子和他的家。他觉得很心安,因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢?再安装一套强壮的安全系统么?虽然有用,但还是不够安全。无论防盗锁是昂贵还是便宜,屋主的安全仍然难以保障。为什么?因为人为因素才是安全的软肋。
安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”最终,社会工程学的攻击,成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。
与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为其配置了精良的安全设备――防火墙、入侵检测,或是更为保险的身份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭遇安全事故。
正如著名的安全顾问布鲁斯·施尼尔(BruceSchneier)所说:“安全不是一件产品,它是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断地创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。
一个欺骗的经典案例
企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:
许多人都已记不起一个叫斯坦利·马克·瑞夫金(StanleyMarkRifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(SecurityPacificNationalBank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。
获得密码
1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。
电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。
转款入户
瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克·汉森(MikeHansen)。那次对话大概是这样的:
“喂,我是国际部的麦克·汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司(IrvingTrustCompany)贷一千零二十万美元到瑞士苏黎士某银行(WozchodHandelsBank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”
瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)
成功结束
几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为——社会工程学。
威胁的天然性
瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?
日益增长的安全事件
美国计算机安全协会在2001年计算机犯罪调查报告中声称,在接受调查的组织机构中,有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字,只有15%的机构在过去的一年中没有发现安全事件。另一个数字同样惊人,有64%的机构由于计算机的问题而导致财务损失,超过一年中遭受财务损失企业的二分之一强。
我的经验告诉我这个数字有些夸大,并对这项调查的研究结果表示怀疑。但这并不是说安全事件的危害面不大,相反,它很大。那些未把安全事件考虑在内的人,迟早会出问题。大多数公司配置的安全产品主是应付业余入侵者的,比如被称为“脚本小子”的年轻人。实际上,这些利用别人的软件,并憧憬着成为真正黑客的人,大多数情况下只能引起一些麻烦。真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱动的攻击者。这些人一次只盯准一个目标,而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。
认证设备(身份认证)、访问控制(对文件和系统资源的控制管理)和入侵检测系统(计算机化的防盗器)等技术,对公司的安全防护是十分必要的。然而,现在的公司在布置保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。
正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许多时候,他们把这种心思放在了人的身上。
欺骗的使用
许多人都说,关掉了的计算机才是安全的计算机,但这是错误的,找个借口让人去办公室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。
要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到一个方法,从可信用户那里骗取信息,或是不露痕迹的获得访问权。当可信用户被欺骗、影响,并被操纵而吐露出敏感信息时,或是做出了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样,社会工程师通过欺骗你的雇员来绕过安全技术。
信任的弊端
大多数情况下,成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师,使用他自已的战略、战术,几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我们很聪明,但对我们人类——你、我、他的安全最严重的威胁,来自于我们彼此之间。
我们的国民性格
我们对危险漠不关心,尤其在西方,美国则更甚。我们没有受到要对别人保有怀疑态度的训练,我们接受的是“爱汝之邻”(译者注:此句引自《圣经》)的教育,人与人之间要相互信任和忠实,试想一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是很明显的,却似乎被许多宁愿活在理想世界里的人忽略,直至受到伤害。
我们知道,并不是所有的人都诚实善良、友爱可亲,可我们在生活中却经常把他人想像成这样。这种可爱的无知一直都是美国人的生活方式,放弃这种习惯十分不易。做为美国人,自由和最适宜居住的地方就是锁和钥匙最没必要的地方,这种理念已经深入人心。大多数人持有不会被欺骗的想法是觉得被骗的可能性很低,而攻击者利用这种心理,编出不会引起怀疑的听上去十分合理的理由,充分的利用了受骗者的信任。
机构的无知
无知是我们国民性格的一部分,这可以在回溯计算机首次远程联接时轻易的看出。APPANet(美国国防部高级研究项目署网络),互联网的前身,用来在政府、科研和教育机构之间共享信息,其目标是信息共享和科技进步,许多教育机构因此建立了几乎没有任何安全措施的早期计算机系统。一个著名的软件开发自由主义者,理查德·斯托曼,甚至拒绝为他的账号设置口令。但随着互联网电子商务的兴起,由于互联网脆弱的安全措施导致的危害性发生了极大的变化。
使用再多的安全技术也不能解决人为的安全因素,拿今天的机场为例,安全已经成为首要措施,然而我们仍然被媒体的报道所警告,还是有人可以避开安全措施、携带潜在性武器通过检测。在一个机场时刻处于警戒状态下的时期,这种事情又是怎么发生的呢?是那些金属仪器失效了么?不,问题不在机器,问题在于人,机器是由人操纵的。机场的官员虽然可以布署国民警卫队并安装检测器和面部识别系统,但如何培训一线保卫人员正确地检查旅客则更为重要。全世界的政府、商业、教育机构都有同样的问题,虽然各个地方的职业安全人员不敢懈怠,但信息仍然易受攻击,并被具备社会工程学技巧的攻击者视为可摘之果,除非安全链中最薄弱的环节——人为因素,被加固强化。
现在,我们比任何时候都需要停止幻想,同时对攻击计算机系统和网络机密性、完整性以及实用性的技术加深认识。我们已经认识到主动防御的必要,是接受和学习安全防护的时候了。
对你的隐私、思想和公司信息系统的非法入侵似乎很遥远,直到它真的发生。为了避免付出昂贵的代价,我们所有的人都需加深认识、富有经验、保持警醒,并主动防卫我们的信息资产、个人信息,以及国家的关健基础设施。现在,我们必须实行严谨、周密的设防。
欺骗与恐怖分子
当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001年,发生在纽约的911事件把悲伤和恐惧植入每一个人的心中,不只是美国人,还有世界上所有善良的人们。我们已经开始警觉,因为这个世界上还分布着受到良好训练的极端恐怖分子,伺机再次发动对我们的攻击。
政府最近的强化努力已经提升了大众的安全意识,我们需要保持警醒,警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份,假扮学生、邻居而混入人群的,他们掩饰住自己真实的思想以密谋恐怖行动,而他们使用的就是类似于本书中介绍的欺骗手法。
然而,就我所认为,恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂,或其它关系国计民生的基础设施中,但可能性依然存在,这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强,因为这本书恰逢其时。
关于此书
企业安全是一个平衡问题,安全性太差公司易受攻击,但过多的强调安全又会妨碍业务管理和公司的发展,其难点在于达到生产效率和安全之间的平衡。
其它关于企业信息安全的书都把重点放在硬、软件技术上,而忽略了最重要的安全威胁——对人的欺骗。与之相反,此书的目的,就是要帮助大家理解自己、同事,和公司其他人员是如何被操纵的,并帮助大家建立屏障,谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上,它能够对看似安全的信息完整性产生威胁,甚至破坏公司的工作成果。
我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着,他们有办法(比如:“这是为了你好”)让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法,巧妙的编出看似有理的故事、理由以及借口,来达到他们的目的。是的,我们都被我们的父母所引导——那些乐善好施的(偶尔也不完全如此)社会工程师们。
由于这种生长环境,导致我们软弱而容易被操纵。可总是对他人怀有戒心,担心上当受骗,会活得很累。在理想的世界里我们应对他人给予绝对信任,每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中,我们必须锻炼我们的防欺诈能力以对付我们的敌人。
这本书的主要内容——第二和第三部分,讲述社会工程师如何实施欺骗的故事。在这两部分中,大家将会看到如下内容:
·电话盗打者早就发现的,一个从电话公司弄到未刊登电话号码的方法;
·几个不同的社会工程学方法,甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令;
·信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息;
·隐私调查者是如何弄到你的企业、你本人的隐密信息的,我可以保证,这会让你脊背发凉。
你也许会认为这两部分中讲述的故事实际上不可能发生,没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上,在每个案例中,这些故事都是可以成为现实而且已经成为现实的,这些事情每天都在世界的某个地方发生,甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪,还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。
在本书的第四部分,我转变了方向。在这里我想帮助大家建立企业必要的安全策略和安全意识培训,以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、方法和技巧,在不会降低公司的生产效率的同时,帮助你布置合理的控制策略来保护企业的信息资产。
简而言之,我写此书的目的就是要提升大家的安全意识,以应对来自社会工程师的严重威胁,并帮助你的公司和公司员工尽可能的不被利用。或者我应该这样说,不再被利用。
第二章 无害信息的价值
对大多数人来说,社会工程师的真正威胁在哪里?又该如何保持警惕?
如果社会工程师的目标是“最有价值奖”——比如,企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安,对么?
但在现实中,坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件,这些信息和文件看起来十分平常,也不重要,公司里的人大都不明白为什么这些东西会被限制和保护。
信息的隐藏价值
社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上可信外衣的至关重要的因素。
在这一章里,我将通过让读者“亲身”经历攻击过程,来展示社会工程师的攻击手段。有时从受害人的角度来表现情节,让读者以当事人的身份估计自己(或是你的同事和员工)可能会做出的反应。而更多的时候,让读者从社会工程师的角度来经历攻击过程。
第一个故事着眼于金融行业的一个漏洞。
信誉支票(CREDITCHEX)
曾经有一段很长的时期,英国的银行系统十分闭塞,大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户,除非他带有某位正式银行客户的推荐信。
当然,这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了,任何人都可以走进银行轻松的建立一个日常账户,是这样么?
并非如此。事实上可以理解,银行很难为一个才开过空头支票的人建立账户,这很自然,同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。
与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构称之为“信誉支票”。它为客户提优质的服务,但同许多公司一样,它也会“无心”的为“有心”的社会工程师们提供便利的服务。
第一个电话:吉姆·安德鲁斯(Kim
Andrews)
“国家银行,我是吉姆,您是想要开一个帐户么?”
“嗨,吉姆,我想请教个问题。你们与信誉支票打交道么?”
“是的。”
“你们给信誉支票打电话时,怎么称呼你们提供的号码?是叫‘交易号’(Merchant
ID)么?”短暂的沉默,基姆在衡量这个问题,对方是什么意图,她是否应该回答。打电话的人不容对方思考接着问:“是这样,吉姆,我在写一本涉及私人调查的书。”
“是的。”她有了回答的信心,因为她还是愿意帮助一个作家的。
“就叫“交易号”,对么?”
“啊,嗯。”
“好的,很好。我是想确认我的书中使用了正确的专业用语,谢谢你的帮忙,再见,吉姆。”
第二个电话:克瑞丝·塔伯特(Chris
Talbert)
“国家银行,开户处,我是克瑞丝。”
“嗨,克瑞丝,我是阿莱克斯。”打电话的人说,“我是‘信誉支票’的客服代表,我们在做一项改善服务质量的调查。能耽误您几分钟么?”克瑞丝表示愿意,打电话的人继续:“好的。你们部门营业时间是多少?”她给予回答,并接着回答下面的一系列问题。
“你们部门有多少人使用我们的服务?”
“大约多长时间给我们打一次咨询电话?”
“您用的是我们哪一个800免费电话号码?”
“我们的客服代表服务态度好么?”
“我们对业务的响应时间如何?”
“您在银行工作多长时间了?”
“您通常使用的交易号是多少?”
“您是否发现过我们提供过的信息不准确?”
“如果您对我们的服务有所建议,建议是什么呢?”最后:
“如果我们把定期调查表寄到你们部门,您会填写么?”
她表示同意,然后彼此简单对了几句话,电话挂掉,克瑞丝继续她的工作。
第三个电话:亨利·麦克金赛(Henry
McKinsey)
“信誉支票,我是亨利·麦克金赛,需要帮忙么?”
打电话的人表明自己是国家银行的职员,并报出正确的交易号,以及他想查询的人的名字和社会保险号。亨利要求出生日期,他也报上。不一会儿,亨利看着自己的计算机屏幕读道:“韦尔斯·法果在1998年报过一次NSF”——客户账款不足(Non
Sufficient Funds),支票已开出,账户里却没有足够钱支付的银行常用专业用语。
“自那之后,还有资金往来么?”
“没有了。”
“有没有申请其他账户?”
“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会(Third
United Credit Union of Chicago),”他断断续续地读出第二个地方,斯卡奈塔第共同投资(Schenectady
Mutual Investments),他不得不逐字母的将名称拼出。“纽约州。”他最后补充道。
工作中的私人侦探
所有的这三个电话都是同一个人打的,一个私人侦探,我们且称他为奥斯卡·格瑞斯(Oscar
Grace)吧。格瑞斯有了一位新客户,他的首批客户其中之一。几个月前还是名警察的格瑞斯发现他的新工作有些做起来易如反掌,有些则对他的智力和创造性是个挑战,这件案子无疑很具有挑战性。
小说中的冷面神探――塞姆·斯贝兹(Sam
Spades)和菲利浦·马洛斯(Philip Marlowes),在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣(译者注:塞姆和菲利浦都是著名小说和电影中的人物),现实中的私人侦探也做同样的事情。他们为相互敌对的伴侣之间打探消息,也许没小说中写得那么夸张,但重要性却一点不差。他们的方法主要是依靠社会工程学的技巧,而不是坐在车子里与守夜的困倦做斗争。
格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天,她走进他的办公室,在唯一的一把未堆着文件的皮椅上坐下来,把她的古琦(译者注:Gucci,意大利名牌)手包放到桌子上,商标冲着他的脸。这位女士告诉格瑞斯,她想跟他的丈夫离婚,但“有一点小麻烦。”
他的丈夫比她早了一步,已经从两人的储蓄帐户中把存款提了出来,并从代理公司(译者注:专门从事为客户买卖股票和债券的公司)的账户中提走了更大的款项。她想知道他们的钱到哪里去了,她的离婚律师对此无能为力。格瑞斯猜想她的律师是那种身居住宅区高楼大厦的法律顾问,才不会为这种“钱到哪里去了”的烂事自找麻烦。
格瑞斯有办法么?
他向她保证这是小事一桩,接着报出价格,列出费用,并收了一张支票做为第一笔佣金。接下来,他要面对此事了。如果你以前从未处理过这样的事情,并根本不知道如何跟踪一笔资金的来龙去脉,你该从何做起呢?一步一步地往前挪?好吧,我们来讲格瑞斯的故事。
我知道信誉支票以及银行与其的联系,我的前妻曾在银行工作。但我并不知道那些专业术语和业务过程,而向我前妻打听则是浪费时间。
第一步:了解专业术语,设计出获取信息时所需要的对话,以便听起来不会露出马脚。我给银行打电话时,第一位年轻的小姐,吉姆,在我询问他们如何向信誉支票确定自己身份时就有所迟疑,她犹豫着,不知道是否应该告诉我。我被难住了么?才不。事实上,她的犹豫给了我一个重要的线索,提醒我必须给她提供一个可信的理由。当我骗她说为写一本书而做的调查时,便打消了她的怀疑。声称自己是一位作家或电影剧本作者,可以让人放松警惕。
她知道一些有用的信息,比如信誉支票如何确定打电话人的身份,你可以查询哪些信息,最重要的——吉姆所在银行的交易号。我已准备好提出这些问题,但她的犹豫造成了麻烦。吉姆相信了写书的故事,可她已经有所疑心。如果她更配合些,我就会多问些操作细节了。
专业术语
马克(MARK):受骗者
激警(BURN THE SOURCE):攻击者如果让对方看出来攻击的意图称为激警。一旦对方有所警觉并通知其他人员,以后再想套出类似的信息就十分困难了。
你必须依靠自己的感觉,仔细的倾听马克的说话内容和说话方式。这位小姐看起来就十分聪明,如果我提出很多的敏感问题,她一定会敲响警钟的。即使她不知道我是谁,我用哪个号码打过来,也不要让任何人注意到有人在打探消息而有所警觉。这是因为我们不想激警,有可能还需要给这个地方打电话的。
我总是留意那些能够帮助我了解一个人配合程度的微小迹象,其态度各异,从“你听起来真是一个好人,我相信你所说的每一句话”到“打电话给警察,通知国民警卫队,这小子要倒霉了。”
我发现了吉姆的警觉,于是我打电话给另一个人——克瑞丝。在我的第二个电话中,调查表的把戏很能迷惑人。我把重要的问题插进可以建立信任感的无关紧要的问题中,在信誉支票的交易号问题之前,我通过问她在这家银行工作多久了这样一个私人问题,做了一个最后的小测试。
私人问题就像一颗地雷,有些人会毫不注意的踩上去,有些人则知道它会爆炸,赶紧躲开。因此,如果我问及一个私人问题,她在回答的语气上没有变化,这就意味着她很可能没有对提问产生怀疑,我可以在她没有疑心的问题之下安全地提出关健问题。
一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。如果对方稍后想起你提过的问题,很可能是你最后提出的问题,其它的通常会忘记。
这样,我从克瑞丝那里得到了他们的交易号和他们查询时所用的电话号码,如果当时我再多问些信誉支票的事,我会更高兴的。但没有进一步冒险,也许更好。
如同有了一张空白支票,无论什么时候我都可以从信誉支票那里获得我需要的信息,甚至不用付费。从前面的情况看出,信誉支票的客服代表十分愿意为我提供信息,于是我知道了我客户的丈夫最近在两个地方申请建立账户。那他将要离婚的妻子寻找的那笔资产在哪里呢?无论在哪家银行,信誉支票都会将其列出吧?
过程分析
整个过程都基于社会工程师的基本策略之一,获得公司职员认为无关紧要的信息(实际上它是有用的)。第一个银行职员肯定了打电话给信誉支票时确认身份的术语,第二个职员提供了电话号码和最至关重要的信息――交易号。透露这些信息对于她们来说似乎是无所谓的,毕竟她们认为与之交谈的是信誉支票的工作人员,把号码说出来又有什么不对呢?
前两个电话为第三个电话打下基础,格瑞斯已经具备给信誉支票打电话需要知道的一切信息,于是冒充信誉支票的客户——国家银行,轻松地查询信息。
格瑞斯窃取信息的技巧丝毫不逊于一个高超的骗子诈骗钱财时所用的手段,在了解人方面格瑞斯久经磨练。他懂得把关健信息藏在无关紧要的信息中,也知道在套出交易号之前用私人问题来测试对方的配合程度。
第一个银行职员在确认信誉支票专业术语上的错误几乎是最难防范的,这种专业用语在银行业几乎人人都知道,因此显得无关紧要――无害信息最普遍的表现形式。但第二个职员,克瑞丝,不应该在确定打电话人的身份真实与否之前,就非常乐意的回答问题。她至少应该询问对方的名字和电话号码并拔回,这样如果日后发生问题,她还有一个打电话人所使用电话号码的记录。在这个案例中,拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成很大的困难。
米特尼克信箱
这个案例中的交易号相当于一个密码,如果银行工作人员将其与自动取款机的个人识别码(PIN)一样看待,便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢?
用以前记录的银行电话号码给信誉支票回拔一个电话(不要用对方提供的号码),以验证对方是否在那儿工作,信誉支票是否正在做一项客户调查,这样的电话还是有必要打的。现代社会人们的工作时间都很紧张,而且这样的确认电话会占用不少时间,考虑到现实中的实用性,建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。
工程师的圈套
很多人都知道,猎头公司使用社会工程学来扩大业务范围,这里有一个例子:
在90年代末,某个不怎么道德的职业介绍所签了一家新客户,一家正在寻找有通讯行业工作经验的电气工程师的公司。负责这个项目的经理是一位女士,有着有磁性的嗓音,和充满诱惑力的言谈举止,这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电话服务提供商进行一次偷袭,以期找到一些可能会投奔到竞争对手那里的工程师。她当然不能直接给接线员打电话说:“我要找五年经验的工程师”,那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息,电话公司人人都可以告诉别人的信息,巧妙的发动了这次袭击。
第一个电话:接线员
攻击者使用迪迪·桑德斯这个名字给移动电话服务商的总机打了一个电话,对话情形大致如下:
接线员:下午好,我是玛丽,您有什么事情?
迪迪:请帮我接运输部好么?
接:我不一定能找到这个号码,我查一下目录,您是哪位?
迪:我是迪迪。
接:您在公司大楼里还是在……?
迪:不,我在外面。
接:你是迪迪……?
迪:迪迪·桑德斯,我以前知道运输部的分机号,但我现在忘了。
接:稍等。
为了减少怀疑,在这里迪迪设计了一次谈话,让对方认为她是内部人员,熟悉公司的情况。
接:您在哪里办公?主街商厦(Main
Place)还是望湖大厦(Lakeview)?
迪:主街。(停顿一下)接:电话是805-555-6469。
有可能给运输部打电话后也得不到所需的信息,迪迪又要了资产部的电话,作为备用。接线员帮迪迪接到运输部,但线路正忙。于是,迪迪又问第三个电话,位于得克萨斯州首府奥斯丁的收款部号码。接线员让她等一会儿,并放下电话。接线员有所警觉了么?她在向保卫部门报告她接到一个可疑电话么?才不,迪迪一点都不担心。接线员只是有些不耐烦了,但这是她再平常不过的日常工作了。一分钟后,接线员拿起电话,查到收款部的号码,给迪迪接通。
第二个电话:派基(Peggy)
对话大致如下:
派基:收款部,我是派基。
迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。
派:嗨,迪迪。
迪:你好吗?
派:还好。
迪迪接着使用企业内部的习惯用语来描述成本核算代码——给一个特定的机构或工作组分配费用的代码(译者注:常在报销费用时填写)。
迪:很好。我有个问题问你。我如何才能找到某个部门的成本中心(cost
center)?
派:你必须联系到那个部门的预算师。
迪:你知道谁是橡木城总部的预算师么?我在填表,但我不知道该填哪个成本中心?
派:我只知道要找成本中心的代码时,打电话给预算师。
迪:你们部门在德克萨斯有成本中心么?
派:我们有自己的成本中心,但我们没有完整的成本中心列表。
迪:成本中心的代码是多少位?比如,你们的成本中心?
派:嗯,这样,你是9WC还是SAT?
迪迪并不知道这是指哪个部门或工作组,但这并不重要,她回答道:
迪:9WC。
派:那一般是四位数字。你说你在哪里?
迪:橡木城总部。
派:哦,这里有橡木城的代码。 1A5N,N是Nancy的N。
仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。
第三个电话:有用的错误号码
迪迪的下一步是把成本中心的代码当做筹码来开发更大的价值。她先给资产部打电话,假装是故意拔错的电话。以“不好意思,但……”做为话头,她声称自己丢失了公司的通讯录,看看对方可不可以帮她弄一个新的。对方说公司已将通讯录放在内部网站上,打印出来的已经过期了。迪迪说她还是想要一份复印件,对方让她打刊印部的电话,并主动查到刊印部的电话(也许是想让这位声音性感的女士多在电话上呆一会儿吧)然后告诉了她。
第四个电话:刊印部的巴特
在刊印部,她与一个叫巴特的人谈上了话。迪迪说她是橡木城的,他们新来了一位顾问,需要一份公司的通讯录。她告诉巴特,对于这位顾问来说,一份复印件会让工作更顺利些,即便有些过期。巴特告诉她需要填一份申请单然后再寄给他。迪迪说她手头没有申请单,而且事情很急,她甜言蜜语地问巴特是否能发个善心帮她填这个单子?他有些过分热心地同意了,接着迪迪报出单子上的各项内容。在报出虚构的签单人地址时,她慢慢地说出了一个被社会工程师称为“秘密通信地”的号码,在这里是一个邮箱号,商用的,她的公司为类似这种情况而租用的邮箱。这时,早先的准备工作派上了用场。邮递这份目录会产生费用,迪迪给出了橡木城成本中心的成本核算代码:“1A5N,N是Nancy的N。”
几天后,企业通讯录寄到,迪迪发现比她期望的还要好。上面不仅有名字和电话号码,还有人员之间的工作关系,整个企业的组织结构。
这位有着磁性嗓音的女士可以通过拔打人员电话开始她的猎头行动了。她使用社会工程师久经磨练的谈话技巧,骗取了开始行动所需的信息,她现在已经准备好收获了。
专业术语
秘密通信地(Mail
Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租用的,用来接收受骗者发来的文件和包裹。
米特尼克信箱
犹如拼图游戏,每条信息本身并没有什么联系。然而,当把它们放在一起时,一个清晰的画面便出现了。在这个案例中,社会工程师看到的画面就是那家公司的整个内部结构。
过程分析
在这次社会工程学的攻击中,迪迪以获得目标企业的三个部门电话为开始。这很容易,因为她询问的电话号码并不是秘密,尤其是对于内部工作人员。一个社会工程师要听起来像一个内部人员,此例中的迪迪就很善此道。一个电话号码帮她弄到成本中心的核算代码,而后者用来获取公司职员的通讯录。她使用的主要工具是:友善的语气、企业专业用语,以及对那个最后的上当者抛一个口头上的媚眼。还有一件无法轻易得到的必不可少的工具——社会工程师的操纵能力,它来自于广泛的实践,和老一辈骗子们口头传下来的经验。
更多的“无价值”信息
除了成本核算代码和内部分机电话,还有哪些看似无用但对你的敌人来说非常有价值的信息?
皮特·艾伯尔(Peter Abel)的电话
“嗨,”电话的另一端说:“我是帕克斯特(Parkhurst)旅行社的汤姆,您去往旧金山的机票已订好,您要寄过去还是您来拿?”
“旧金山?”皮特说:“我没打算去旧金山。”
“您是皮特·艾伯尔么?”
“是的,但我没有任何旅行的安排。”
“嗯,”对方友好的笑笑,“您确定您不想去旧金山么?”
“如果你认为你能跟我老板谈谈此事的话……”皮特对这次友好的谈话开起玩笑。
“这听起来有些乱,”对方说:“我们的系统依照员工号码登记旅行安排,也许有人把号码弄错了,你的员工号码是多少?”
皮特欣然报出他的号码。为什么?因为这如同他平时所填的公司里很多人都会看到的人员登记表,人事部、工资名单,很明显,还有外面的旅行社。没人把员工号码当做秘密。这会有什么影响吗?
这很难说清。两到三个信息也许就可以让社会工程师装扮成他人扮演一场好戏了。弄到一个工作人员的名字和他的电话号码,也许为了保险起见,再找到他上司的名字和电话号码。即使一个不怎么出色的社会工程师也会尽可能的搜集所需要的信息,以使他给下一个目标打电话时听起来可信。
如果昨天有人给你打过电话,声称他是公司另一个部门的职员,并给出一个含糊的理由来询问你的员工号码,你很轻易的就告诉他了么?
还有,你的社会保险号呢?(译者注:美国、加拿大居民的身份代码,类似于中国的身份证号。)
米特尼克信箱
这个故事的寓意在于,不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
预防措施
公司有责任让员工意识到对非公共信息的管理不善会带来严重的后果。一个深思熟虑地信息安全策略,再加上正确的教育和培训,将会极大的提升员工正确处理企业内部信息的意识。资料数据的分类策略也将帮助你实施对信息使用的正确控制,如果没有分类策略,所有的内部信息都应被视为保密,除非另做指定。
采取以下步骤来防止公司看似无害信息的泄漏:
信息安全部门应操办意识培训来讲解社会工程师所使用的手段。其中一个方法,正如上文所提到的,就是获得看似不敏感的信息,然后把它当做筹码来取得短暂的信任。每一个员工都应该意识到,当一个知道公司办事程序、专业用语和内部标识的人打来电话时,并不意味着他或她就可以知道所查询的信息。对方可能是公司以前的员工或是知道公司内部一般情况的合同工(译者注:某些大公司将员工分为regular和contractor,前者类似事业单位的固定工,后者类似合同工)。因此,每个企业都有责任制定适当的验证方法,在员工与他们不认识的人通电话或当面交谈时使用。
负责制订资料分类政策的人应该仔细检查信息的分类,注意那些正式员工可以访问到的看似无害却可能会导致敏感信息泄漏的信息。尽管你从未把现金卡(ATM)的密码告诉过别人,但你曾把开发公司软件产品的服务器告诉过别人么?这个信息可不可以让一个人装扮成企业员工合法地访问企业网络呢?
有时仅仅知道内部的专用术语,就可以让社会工程师显得知道很多并可以信赖,攻击者常常利用这个普遍的错误观念来操纵受骗者。比如,交易码是银行开户处用工作人员每天都使用的认证标识,这个标识的意义与密码一模一样。如果每一个工作人员都认识到它的意义——唯一用来确认查询人身份,他们也许会更加谨慎的对待它。
米特尼克信箱
正如人所说——即使一个真正的妄想狂也可能有敌人,我们也必须假定每个企业都有它的敌人——以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字,应尽早地布置深思熟虑的安全操作方案和策略,这样才能对企业进行正确的控制以加强防范。
没有公司或只有很少的公司,会将首席执行官或董事长的直拨电话告诉别人。尽管大多数公司并不在意在内部公开电话号码,尤其对于似乎是内部员工的人,实施这样一个政策还是必要的:禁止对外公开内部职员、合同工、顾问和临时雇员的电话号码。
部门或工作组的财务制度,还有企业通讯录(无论是复印件还是资料文件或是内网上的电子版),都是社会工程师常见的目标。每个企业对这类信息都要有一个成文的使用政策,并让所有的员工都知道。保安人员则应保留一份备查日志,用以记录敏感信息透露给企业外人员的情况。像员工号码这样的信息,它本身不能用做任何形式的验证,内部员工不仅要验证查询信息者的身份,还要确定对方是否具有相关信息的知情权。
在进行安全培训时,试一下这个方法:无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。然后,在做好心人之前,先遵循公司对非公共信息的验证和使用政策。这种工作方式也许违背了我们乐于助人的天性,但多一点有益的怀疑也许是必要的,以免成为社会工程师的下一个受骗者。
正如本章故事中所叙述的,看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。
对大多数人来说,社会工程师的真正威胁在哪里?又该如何保持警惕?
如果社会工程师的目标是“最有价值奖”——比如,企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安,对么?
但在现实中,坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件,这些信息和文件看起来十分平常,也不重要,公司里的人大都不明白为什么这些东西会被限制和保护。
信息的隐藏价值
社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上可信外衣的至关重要的因素。
在这一章里,我将通过让读者“亲身”经历攻击过程,来展示社会工程师的攻击手段。有时从受害人的角度来表现情节,让读者以当事人的身份估计自己(或是你的同事和员工)可能会做出的反应。而更多的时候,让读者从社会工程师的角度来经历攻击过程。
第一个故事着眼于金融行业的一个漏洞。
信誉支票(CREDITCHEX)
曾经有一段很长的时期,英国的银行系统十分闭塞,大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户,除非他带有某位正式银行客户的推荐信。
当然,这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了,任何人都可以走进银行轻松的建立一个日常账户,是这样么?
并非如此。事实上可以理解,银行很难为一个才开过空头支票的人建立账户,这很自然,同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。
与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构称之为“信誉支票”。它为客户提优质的服务,但同许多公司一样,它也会“无心”的为“有心”的社会工程师们提供便利的服务。
第一个电话:吉姆·安德鲁斯(Kim
Andrews)
“国家银行,我是吉姆,您是想要开一个帐户么?”
“嗨,吉姆,我想请教个问题。你们与信誉支票打交道么?”
“是的。”
“你们给信誉支票打电话时,怎么称呼你们提供的号码?是叫‘交易号’(Merchant
ID)么?”短暂的沉默,基姆在衡量这个问题,对方是什么意图,她是否应该回答。打电话的人不容对方思考接着问:“是这样,吉姆,我在写一本涉及私人调查的书。”
“是的。”她有了回答的信心,因为她还是愿意帮助一个作家的。
“就叫“交易号”,对么?”
“啊,嗯。”
“好的,很好。我是想确认我的书中使用了正确的专业用语,谢谢你的帮忙,再见,吉姆。”
第二个电话:克瑞丝·塔伯特(Chris
Talbert)
“国家银行,开户处,我是克瑞丝。”
“嗨,克瑞丝,我是阿莱克斯。”打电话的人说,“我是‘信誉支票’的客服代表,我们在做一项改善服务质量的调查。能耽误您几分钟么?”克瑞丝表示愿意,打电话的人继续:“好的。你们部门营业时间是多少?”她给予回答,并接着回答下面的一系列问题。
“你们部门有多少人使用我们的服务?”
“大约多长时间给我们打一次咨询电话?”
“您用的是我们哪一个800免费电话号码?”
“我们的客服代表服务态度好么?”
“我们对业务的响应时间如何?”
“您在银行工作多长时间了?”
“您通常使用的交易号是多少?”
“您是否发现过我们提供过的信息不准确?”
“如果您对我们的服务有所建议,建议是什么呢?”最后:
“如果我们把定期调查表寄到你们部门,您会填写么?”
她表示同意,然后彼此简单对了几句话,电话挂掉,克瑞丝继续她的工作。
第三个电话:亨利·麦克金赛(Henry
McKinsey)
“信誉支票,我是亨利·麦克金赛,需要帮忙么?”
打电话的人表明自己是国家银行的职员,并报出正确的交易号,以及他想查询的人的名字和社会保险号。亨利要求出生日期,他也报上。不一会儿,亨利看着自己的计算机屏幕读道:“韦尔斯·法果在1998年报过一次NSF”——客户账款不足(Non
Sufficient Funds),支票已开出,账户里却没有足够钱支付的银行常用专业用语。
“自那之后,还有资金往来么?”
“没有了。”
“有没有申请其他账户?”
“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会(Third
United Credit Union of Chicago),”他断断续续地读出第二个地方,斯卡奈塔第共同投资(Schenectady
Mutual Investments),他不得不逐字母的将名称拼出。“纽约州。”他最后补充道。
工作中的私人侦探
所有的这三个电话都是同一个人打的,一个私人侦探,我们且称他为奥斯卡·格瑞斯(Oscar
Grace)吧。格瑞斯有了一位新客户,他的首批客户其中之一。几个月前还是名警察的格瑞斯发现他的新工作有些做起来易如反掌,有些则对他的智力和创造性是个挑战,这件案子无疑很具有挑战性。
小说中的冷面神探――塞姆·斯贝兹(Sam
Spades)和菲利浦·马洛斯(Philip Marlowes),在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣(译者注:塞姆和菲利浦都是著名小说和电影中的人物),现实中的私人侦探也做同样的事情。他们为相互敌对的伴侣之间打探消息,也许没小说中写得那么夸张,但重要性却一点不差。他们的方法主要是依靠社会工程学的技巧,而不是坐在车子里与守夜的困倦做斗争。
格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天,她走进他的办公室,在唯一的一把未堆着文件的皮椅上坐下来,把她的古琦(译者注:Gucci,意大利名牌)手包放到桌子上,商标冲着他的脸。这位女士告诉格瑞斯,她想跟他的丈夫离婚,但“有一点小麻烦。”
他的丈夫比她早了一步,已经从两人的储蓄帐户中把存款提了出来,并从代理公司(译者注:专门从事为客户买卖股票和债券的公司)的账户中提走了更大的款项。她想知道他们的钱到哪里去了,她的离婚律师对此无能为力。格瑞斯猜想她的律师是那种身居住宅区高楼大厦的法律顾问,才不会为这种“钱到哪里去了”的烂事自找麻烦。
格瑞斯有办法么?
他向她保证这是小事一桩,接着报出价格,列出费用,并收了一张支票做为第一笔佣金。接下来,他要面对此事了。如果你以前从未处理过这样的事情,并根本不知道如何跟踪一笔资金的来龙去脉,你该从何做起呢?一步一步地往前挪?好吧,我们来讲格瑞斯的故事。
我知道信誉支票以及银行与其的联系,我的前妻曾在银行工作。但我并不知道那些专业术语和业务过程,而向我前妻打听则是浪费时间。
第一步:了解专业术语,设计出获取信息时所需要的对话,以便听起来不会露出马脚。我给银行打电话时,第一位年轻的小姐,吉姆,在我询问他们如何向信誉支票确定自己身份时就有所迟疑,她犹豫着,不知道是否应该告诉我。我被难住了么?才不。事实上,她的犹豫给了我一个重要的线索,提醒我必须给她提供一个可信的理由。当我骗她说为写一本书而做的调查时,便打消了她的怀疑。声称自己是一位作家或电影剧本作者,可以让人放松警惕。
她知道一些有用的信息,比如信誉支票如何确定打电话人的身份,你可以查询哪些信息,最重要的——吉姆所在银行的交易号。我已准备好提出这些问题,但她的犹豫造成了麻烦。吉姆相信了写书的故事,可她已经有所疑心。如果她更配合些,我就会多问些操作细节了。
专业术语
马克(MARK):受骗者
激警(BURN THE SOURCE):攻击者如果让对方看出来攻击的意图称为激警。一旦对方有所警觉并通知其他人员,以后再想套出类似的信息就十分困难了。
你必须依靠自己的感觉,仔细的倾听马克的说话内容和说话方式。这位小姐看起来就十分聪明,如果我提出很多的敏感问题,她一定会敲响警钟的。即使她不知道我是谁,我用哪个号码打过来,也不要让任何人注意到有人在打探消息而有所警觉。这是因为我们不想激警,有可能还需要给这个地方打电话的。
我总是留意那些能够帮助我了解一个人配合程度的微小迹象,其态度各异,从“你听起来真是一个好人,我相信你所说的每一句话”到“打电话给警察,通知国民警卫队,这小子要倒霉了。”
我发现了吉姆的警觉,于是我打电话给另一个人——克瑞丝。在我的第二个电话中,调查表的把戏很能迷惑人。我把重要的问题插进可以建立信任感的无关紧要的问题中,在信誉支票的交易号问题之前,我通过问她在这家银行工作多久了这样一个私人问题,做了一个最后的小测试。
私人问题就像一颗地雷,有些人会毫不注意的踩上去,有些人则知道它会爆炸,赶紧躲开。因此,如果我问及一个私人问题,她在回答的语气上没有变化,这就意味着她很可能没有对提问产生怀疑,我可以在她没有疑心的问题之下安全地提出关健问题。
一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。如果对方稍后想起你提过的问题,很可能是你最后提出的问题,其它的通常会忘记。
这样,我从克瑞丝那里得到了他们的交易号和他们查询时所用的电话号码,如果当时我再多问些信誉支票的事,我会更高兴的。但没有进一步冒险,也许更好。
如同有了一张空白支票,无论什么时候我都可以从信誉支票那里获得我需要的信息,甚至不用付费。从前面的情况看出,信誉支票的客服代表十分愿意为我提供信息,于是我知道了我客户的丈夫最近在两个地方申请建立账户。那他将要离婚的妻子寻找的那笔资产在哪里呢?无论在哪家银行,信誉支票都会将其列出吧?
过程分析
整个过程都基于社会工程师的基本策略之一,获得公司职员认为无关紧要的信息(实际上它是有用的)。第一个银行职员肯定了打电话给信誉支票时确认身份的术语,第二个职员提供了电话号码和最至关重要的信息――交易号。透露这些信息对于她们来说似乎是无所谓的,毕竟她们认为与之交谈的是信誉支票的工作人员,把号码说出来又有什么不对呢?
前两个电话为第三个电话打下基础,格瑞斯已经具备给信誉支票打电话需要知道的一切信息,于是冒充信誉支票的客户——国家银行,轻松地查询信息。
格瑞斯窃取信息的技巧丝毫不逊于一个高超的骗子诈骗钱财时所用的手段,在了解人方面格瑞斯久经磨练。他懂得把关健信息藏在无关紧要的信息中,也知道在套出交易号之前用私人问题来测试对方的配合程度。
第一个银行职员在确认信誉支票专业术语上的错误几乎是最难防范的,这种专业用语在银行业几乎人人都知道,因此显得无关紧要――无害信息最普遍的表现形式。但第二个职员,克瑞丝,不应该在确定打电话人的身份真实与否之前,就非常乐意的回答问题。她至少应该询问对方的名字和电话号码并拔回,这样如果日后发生问题,她还有一个打电话人所使用电话号码的记录。在这个案例中,拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成很大的困难。
米特尼克信箱
这个案例中的交易号相当于一个密码,如果银行工作人员将其与自动取款机的个人识别码(PIN)一样看待,便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢?
用以前记录的银行电话号码给信誉支票回拔一个电话(不要用对方提供的号码),以验证对方是否在那儿工作,信誉支票是否正在做一项客户调查,这样的电话还是有必要打的。现代社会人们的工作时间都很紧张,而且这样的确认电话会占用不少时间,考虑到现实中的实用性,建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。
工程师的圈套
很多人都知道,猎头公司使用社会工程学来扩大业务范围,这里有一个例子:
在90年代末,某个不怎么道德的职业介绍所签了一家新客户,一家正在寻找有通讯行业工作经验的电气工程师的公司。负责这个项目的经理是一位女士,有着有磁性的嗓音,和充满诱惑力的言谈举止,这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电话服务提供商进行一次偷袭,以期找到一些可能会投奔到竞争对手那里的工程师。她当然不能直接给接线员打电话说:“我要找五年经验的工程师”,那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息,电话公司人人都可以告诉别人的信息,巧妙的发动了这次袭击。
第一个电话:接线员
攻击者使用迪迪·桑德斯这个名字给移动电话服务商的总机打了一个电话,对话情形大致如下:
接线员:下午好,我是玛丽,您有什么事情?
迪迪:请帮我接运输部好么?
接:我不一定能找到这个号码,我查一下目录,您是哪位?
迪:我是迪迪。
接:您在公司大楼里还是在……?
迪:不,我在外面。
接:你是迪迪……?
迪:迪迪·桑德斯,我以前知道运输部的分机号,但我现在忘了。
接:稍等。
为了减少怀疑,在这里迪迪设计了一次谈话,让对方认为她是内部人员,熟悉公司的情况。
接:您在哪里办公?主街商厦(Main
Place)还是望湖大厦(Lakeview)?
迪:主街。(停顿一下)接:电话是805-555-6469。
有可能给运输部打电话后也得不到所需的信息,迪迪又要了资产部的电话,作为备用。接线员帮迪迪接到运输部,但线路正忙。于是,迪迪又问第三个电话,位于得克萨斯州首府奥斯丁的收款部号码。接线员让她等一会儿,并放下电话。接线员有所警觉了么?她在向保卫部门报告她接到一个可疑电话么?才不,迪迪一点都不担心。接线员只是有些不耐烦了,但这是她再平常不过的日常工作了。一分钟后,接线员拿起电话,查到收款部的号码,给迪迪接通。
第二个电话:派基(Peggy)
对话大致如下:
派基:收款部,我是派基。
迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。
派:嗨,迪迪。
迪:你好吗?
派:还好。
迪迪接着使用企业内部的习惯用语来描述成本核算代码——给一个特定的机构或工作组分配费用的代码(译者注:常在报销费用时填写)。
迪:很好。我有个问题问你。我如何才能找到某个部门的成本中心(cost
center)?
派:你必须联系到那个部门的预算师。
迪:你知道谁是橡木城总部的预算师么?我在填表,但我不知道该填哪个成本中心?
派:我只知道要找成本中心的代码时,打电话给预算师。
迪:你们部门在德克萨斯有成本中心么?
派:我们有自己的成本中心,但我们没有完整的成本中心列表。
迪:成本中心的代码是多少位?比如,你们的成本中心?
派:嗯,这样,你是9WC还是SAT?
迪迪并不知道这是指哪个部门或工作组,但这并不重要,她回答道:
迪:9WC。
派:那一般是四位数字。你说你在哪里?
迪:橡木城总部。
派:哦,这里有橡木城的代码。 1A5N,N是Nancy的N。
仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。
第三个电话:有用的错误号码
迪迪的下一步是把成本中心的代码当做筹码来开发更大的价值。她先给资产部打电话,假装是故意拔错的电话。以“不好意思,但……”做为话头,她声称自己丢失了公司的通讯录,看看对方可不可以帮她弄一个新的。对方说公司已将通讯录放在内部网站上,打印出来的已经过期了。迪迪说她还是想要一份复印件,对方让她打刊印部的电话,并主动查到刊印部的电话(也许是想让这位声音性感的女士多在电话上呆一会儿吧)然后告诉了她。
第四个电话:刊印部的巴特
在刊印部,她与一个叫巴特的人谈上了话。迪迪说她是橡木城的,他们新来了一位顾问,需要一份公司的通讯录。她告诉巴特,对于这位顾问来说,一份复印件会让工作更顺利些,即便有些过期。巴特告诉她需要填一份申请单然后再寄给他。迪迪说她手头没有申请单,而且事情很急,她甜言蜜语地问巴特是否能发个善心帮她填这个单子?他有些过分热心地同意了,接着迪迪报出单子上的各项内容。在报出虚构的签单人地址时,她慢慢地说出了一个被社会工程师称为“秘密通信地”的号码,在这里是一个邮箱号,商用的,她的公司为类似这种情况而租用的邮箱。这时,早先的准备工作派上了用场。邮递这份目录会产生费用,迪迪给出了橡木城成本中心的成本核算代码:“1A5N,N是Nancy的N。”
几天后,企业通讯录寄到,迪迪发现比她期望的还要好。上面不仅有名字和电话号码,还有人员之间的工作关系,整个企业的组织结构。
这位有着磁性嗓音的女士可以通过拔打人员电话开始她的猎头行动了。她使用社会工程师久经磨练的谈话技巧,骗取了开始行动所需的信息,她现在已经准备好收获了。
专业术语
秘密通信地(Mail
Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租用的,用来接收受骗者发来的文件和包裹。
米特尼克信箱
犹如拼图游戏,每条信息本身并没有什么联系。然而,当把它们放在一起时,一个清晰的画面便出现了。在这个案例中,社会工程师看到的画面就是那家公司的整个内部结构。
过程分析
在这次社会工程学的攻击中,迪迪以获得目标企业的三个部门电话为开始。这很容易,因为她询问的电话号码并不是秘密,尤其是对于内部工作人员。一个社会工程师要听起来像一个内部人员,此例中的迪迪就很善此道。一个电话号码帮她弄到成本中心的核算代码,而后者用来获取公司职员的通讯录。她使用的主要工具是:友善的语气、企业专业用语,以及对那个最后的上当者抛一个口头上的媚眼。还有一件无法轻易得到的必不可少的工具——社会工程师的操纵能力,它来自于广泛的实践,和老一辈骗子们口头传下来的经验。
更多的“无价值”信息
除了成本核算代码和内部分机电话,还有哪些看似无用但对你的敌人来说非常有价值的信息?
皮特·艾伯尔(Peter Abel)的电话
“嗨,”电话的另一端说:“我是帕克斯特(Parkhurst)旅行社的汤姆,您去往旧金山的机票已订好,您要寄过去还是您来拿?”
“旧金山?”皮特说:“我没打算去旧金山。”
“您是皮特·艾伯尔么?”
“是的,但我没有任何旅行的安排。”
“嗯,”对方友好的笑笑,“您确定您不想去旧金山么?”
“如果你认为你能跟我老板谈谈此事的话……”皮特对这次友好的谈话开起玩笑。
“这听起来有些乱,”对方说:“我们的系统依照员工号码登记旅行安排,也许有人把号码弄错了,你的员工号码是多少?”
皮特欣然报出他的号码。为什么?因为这如同他平时所填的公司里很多人都会看到的人员登记表,人事部、工资名单,很明显,还有外面的旅行社。没人把员工号码当做秘密。这会有什么影响吗?
这很难说清。两到三个信息也许就可以让社会工程师装扮成他人扮演一场好戏了。弄到一个工作人员的名字和他的电话号码,也许为了保险起见,再找到他上司的名字和电话号码。即使一个不怎么出色的社会工程师也会尽可能的搜集所需要的信息,以使他给下一个目标打电话时听起来可信。
如果昨天有人给你打过电话,声称他是公司另一个部门的职员,并给出一个含糊的理由来询问你的员工号码,你很轻易的就告诉他了么?
还有,你的社会保险号呢?(译者注:美国、加拿大居民的身份代码,类似于中国的身份证号。)
米特尼克信箱
这个故事的寓意在于,不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
预防措施
公司有责任让员工意识到对非公共信息的管理不善会带来严重的后果。一个深思熟虑地信息安全策略,再加上正确的教育和培训,将会极大的提升员工正确处理企业内部信息的意识。资料数据的分类策略也将帮助你实施对信息使用的正确控制,如果没有分类策略,所有的内部信息都应被视为保密,除非另做指定。
采取以下步骤来防止公司看似无害信息的泄漏:
信息安全部门应操办意识培训来讲解社会工程师所使用的手段。其中一个方法,正如上文所提到的,就是获得看似不敏感的信息,然后把它当做筹码来取得短暂的信任。每一个员工都应该意识到,当一个知道公司办事程序、专业用语和内部标识的人打来电话时,并不意味着他或她就可以知道所查询的信息。对方可能是公司以前的员工或是知道公司内部一般情况的合同工(译者注:某些大公司将员工分为regular和contractor,前者类似事业单位的固定工,后者类似合同工)。因此,每个企业都有责任制定适当的验证方法,在员工与他们不认识的人通电话或当面交谈时使用。
负责制订资料分类政策的人应该仔细检查信息的分类,注意那些正式员工可以访问到的看似无害却可能会导致敏感信息泄漏的信息。尽管你从未把现金卡(ATM)的密码告诉过别人,但你曾把开发公司软件产品的服务器告诉过别人么?这个信息可不可以让一个人装扮成企业员工合法地访问企业网络呢?
有时仅仅知道内部的专用术语,就可以让社会工程师显得知道很多并可以信赖,攻击者常常利用这个普遍的错误观念来操纵受骗者。比如,交易码是银行开户处用工作人员每天都使用的认证标识,这个标识的意义与密码一模一样。如果每一个工作人员都认识到它的意义——唯一用来确认查询人身份,他们也许会更加谨慎的对待它。
米特尼克信箱
正如人所说——即使一个真正的妄想狂也可能有敌人,我们也必须假定每个企业都有它的敌人——以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字,应尽早地布置深思熟虑的安全操作方案和策略,这样才能对企业进行正确的控制以加强防范。
没有公司或只有很少的公司,会将首席执行官或董事长的直拨电话告诉别人。尽管大多数公司并不在意在内部公开电话号码,尤其对于似乎是内部员工的人,实施这样一个政策还是必要的:禁止对外公开内部职员、合同工、顾问和临时雇员的电话号码。
部门或工作组的财务制度,还有企业通讯录(无论是复印件还是资料文件或是内网上的电子版),都是社会工程师常见的目标。每个企业对这类信息都要有一个成文的使用政策,并让所有的员工都知道。保安人员则应保留一份备查日志,用以记录敏感信息透露给企业外人员的情况。像员工号码这样的信息,它本身不能用做任何形式的验证,内部员工不仅要验证查询信息者的身份,还要确定对方是否具有相关信息的知情权。
在进行安全培训时,试一下这个方法:无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。然后,在做好心人之前,先遵循公司对非公共信息的验证和使用政策。这种工作方式也许违背了我们乐于助人的天性,但多一点有益的怀疑也许是必要的,以免成为社会工程师的下一个受骗者。
正如本章故事中所叙述的,看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。