前言
一些黑客毀壞別人的文件甚至整個硬盤,他們被稱為電腦狂人(crackers)或計算機破壞者(vandals)。另一些新手省去學習技術的麻煩,直接下載黑客工具侵入別人的計算機,這些人被稱為腳本小子(scriptkiddies)。而真正有着豐富經驗和編程技巧的黑客,則開發黑客程序發佈到網站或論壇(BBS)。還有一些人對黑客技術沒有絲毫興趣,他們把計算機僅僅當做竊取金錢、商品和服務的輔助工具。
儘管媒體神話了凱文·米特尼剋,但我並不是一個用心險惡的黑客,我衹是喜歡不斷地超越自己。
人之初
我的人生之路,也許在我很小的時候就註定了。三歲時,由於父親的離去,使我無憂無慮的生活發生變故。做招待的母親支撐着家庭。那時的我(一個由深受沒有工作規律之苦的母親養活着的獨生子),除了睡覺以外,大部位時間都沒人管,我就是我自己的保姆。
在聖費爾南多𠔌(SanFernanadoValley)的成長經歷給予我探索整個洛杉磯的機會,十二歲時,我發現了一個可以免費周遊洛杉磯的方法。我發現到坐公車時購買的換乘券,是由一種非常規的打孔機打出來的,公車司機用它來在換乘券上標記日期、時間和路綫。一位司機友好地回答了我精心準備的問題,於是我知道了在哪裏可以買到這種特殊的打孔機。換乘券用來改乘車次從而到達目的地,但是我想出的方法,可以讓我使用換乘券免費到達我想去的任何地方。
獲得空白換乘券很容易,如同去公園散步般簡單,因為公車終點站的廢物箱中總是充斥着公車司機換班時未用完的換乘券本子。用一疊空白換乘券加上打孔機,我可以製作出我自己的換乘券,並用它行遍全洛杉機公車能夠到達的任何地方。很快,我就差不多記住了整個公交係統的公車時刻表。(我對某種信息的記憶力總是讓人驚訝,這一個較早的例子。直到現在,我還能記住遠在童年時的電話號碼、口令以及其它一些看上去十分瑣碎的事情。)
另一個在小時候就顯露出來的個人興趣是對魔術的迷戀。一旦我知道了某個魔術的變法,我就會不斷的練習、練習,再練習,直到我完全掌握。從某種程度上說,正是由於魔術,纔讓我發現獲取秘密信息的樂趣。
從盜打電話到黑客
我首次接觸社會工程學的時候是在中學時期,那時我遇到了一位喜歡盜打電話的同學。“電話盜打”是一種利用電話公司雇員和電話係統來探測電話網絡的黑客行為。他嚮我展示了使用電話的高級竅門,比如從電話公司獲取任何一位客戶的資料,以及使用秘密測試號碼拔打免費長途電話。實際上這衹是對我們來說免費,因為我後來發現這根本就不是一個秘密測試號碼,那些話費事實上從某些倒黴公司的MCI(譯者註:美國著名通訊公司)帳戶上劃出了。
這就是我對社會工程學的入門,也可以說是我的啓蒙階段。我的朋友還有後來認識的另外一個盜打電話的人,他們在給電話公司打電話時讓我在旁邊聽,他們是如何讓電話公司相信他們所說的話。於是,我知道了許多電話公司的辦公地點,他們的業內用語,還有辦公程序。這種“訓練”並沒有花多長時間,不久我便可以完全自己來做這些事情,甚至比我的啓蒙老師們做的還要好。
我生命中下一個15年的生活已經註定。
在中學,我最為喜歡的惡作劇就是獲得對電話交換機未授權的訪問,然後改變某個電話盜打者的話費設置。當他從傢裏打電話時,他的電話就會告訴他需要投入一角硬幣,因為電話公司交換機的記錄被我更改,從而認為他拔打的是一個投幣電話。
我開始關註有關電話的任何事情,不衹是電子學、交換機和計算機,還有公司組織、業務手續和行業術語。不久之後,我就比任何一個電話公司的雇員都更加瞭解電話係統。我對社會工程學的運用也達到了嫻熟的階段,十七歲時,我就能與大多數電信公司的員工談論幾乎任何事情,無論是當面聊還是打電話。
實際上我較為公開化的黑客之路,始於中學。儘管在這裏我無法說清原委,但其實一句話也能表達了。在我黑客生涯的早期,一個驅使我的動力就是被黑客圈子的人所接受。在那時,黑客這個詞是指一個花費大量的時間調置軟硬件的人,或是開發更有效的程序,或是繞過不必要的步驟來更快的完成工作。這個詞如今已經是一個帶有貶義的“惡意犯法者”的意思了,但在本書中,我仍然按原來對它更為善意的理解使用這個詞彙。
中學之後,我在洛杉磯計算機學習中心攻讀計算機。沒幾個月的時間,學校的計算機管理人員就意識到我發現了操作係統的漏洞,並取得了管理員權限,但是在學校的教學人員中,最好的計算機專傢也無法弄清我是如何這樣做的。這也許是最早雇傭黑客的例子之一吧,他們給了我一個無法拒絶的提議:要麽做出一個榮譽學位的畢業設計來加強學校的計算機安全,要麽由於黑客行為而中止學業。當然,我選擇了前者,以本科優等成績榮譽學士畢業。
成為社會工程師
每天早晨,許多人從床上一爬起來,便開始對千篇一律的繁重工作犯愁。我卻很幸運,因為我喜歡我的工作。你簡直無法想像我作為一個秘密調查者而得到的挑戰、奬賞和快樂。我的天份在稱為社會工程學(使人們做在通常情況下不會為陌生人做的事情)的表演藝術中得到磨練和回報。
對我來說,成為社會工程學的行傢裏手並不睏難。我父親傢一連好幾代都從事銷售領域,因此傢裏人都有着說服和影響別人的傢族特徵。當把這種特徵與騙人的愛好結合起來時,這就是一個社會工程師的基本輪廓了。可以說行騙藝術的分類有兩種,一種是通過詐騙、欺騙來獲得錢財,這就是通常的騙子。另一種則通過蒙敝、影響、勸導來達到獲取信息的目的,這就是社會工程師。從我使用詭計免費乘車的時候(我那時還小,並沒有認識到這樣做有什麽不對),就逐漸意識到我具有一種以前沒有料想到的挖掘秘密的天份。通過使用詭計、瞭解術語和培養良好的操縱技巧,更為加強了這種天份。一個用來發展我的專業技藝(如果這可以稱為一個專業的話)的方法就是看我是否能與電話另一端的人攀談,並獲得相關信息,即便這些信息對我毫無用處,這樣做衹是為了證明我的專業技巧。同樣,我還用此種方法,練習奇巧的計謀、托辭,不久我發現我可以取得我想關註的任何信息。正如我在數年後的國會聽證會上,在利伯曼(Lieberman)和湯姆森(Tompson)參議員面前所做的證詞中描述的那樣:
“我未經授權進入了世界上最大的幾傢公司的計算機係統,並成功滲透了一些防範最好的電腦係統。我使用技術和非技術手段來取得各種操作係統和通訊設備的源代碼,以研究它們的漏洞和工作機理。所有的這些行為都是為了滿足自己的好奇心。看看自己能做什麽,並發現其中的秘密,比如操作係統、移動電話以及任何能引起我好奇心的東西。”
最後的想法
自從被捕以後,我已經承認了自己這些行為的非法,侵犯了他人的秘密。我的錯誤行為是由於好奇心引起的,我抑製不住的想知道電話網絡是如何運轉的,以及瞭解計算機安全的每個細節。我從一個喜歡魔術戲法的孩子成為一個最具惡名的、被政府和企業害怕的黑客。當我反省過去的這30年時,我承認自己做出了極其拙劣的選擇,被好奇心驅使,被學習技術的欲望和智力挑戰的虛榮所駕馭。
但我現在已經轉變,我正在運用我的才能和信息安全、社會工程學的許多有關知識來幫助政府、企業、個人來檢測、防範和應對信息安全的威脅。本書可以把我的經驗較好地介紹給他人,以避免那些懷有惡意的信息盜賊可能帶來的危害。我相信,你將會從本書中得到樂趣、教育和啓發。
第一章 安全軟肋
某公司也許購置了能用錢買到的最好的安全技術,員工們也訓練有素,每晚回傢前把所有的秘密都鎖起來,並從業內最好的保安公司雇用了保安,但這傢公司仍然易受攻擊。一些人可能遵從了專傢所有最好的安全建議,安裝了各種受推薦的安全産品,並十分謹慎的處理係統配置以及應用安全補丁,但他們仍然很不安全。
人為因素
在國會聽證會前的一次證言中,我解釋到我經常可以從企業獲得密碼口令或其他類似的敏感信息,衹需假扮某人直接開口要就是了。人們對於絶對安全的渴望常常導致他們滿足於虛假的安全感之中。想像一位負責任的可愛的屋主,他有一套麥迪科(譯者註:Medico,知名品牌、價格昂貴)防撬鎖裝在屋子的大門上,以保護他的妻子、孩子和他的傢。他覺得很心安,因為他把家庭保護的很好。但對於破窗而入和解開車庫大門密碼的闖入者呢?再安裝一套強壯的安全係統麽?雖然有用,但還是不夠安全。無論防盜鎖是昂貴還是便宜,屋主的安全仍然難以保障。為什麽?因為人為因素纔是安全的軟肋。
安全,通常情況下僅僅是個幻想,由其是輕信、好奇和無知存在的時候。二十世紀最受尊敬的科學家愛因斯坦這樣說道:“衹有兩種事物是無窮盡的――宇宙和人類的愚蠢。但對於前者,我不敢確定。”最終,社會工程學的攻擊,成功於人們的愚蠢或更為普遍的對信息安全實踐上的無知。
與這位屋主一樣,有許多信息技術(IT)從業者都有着類似的錯誤觀念。他們認為自己的公司固若金湯,因為其配置了精良的安全設備――防火墻、入侵檢測,或是更為保險的身份認證係統,如時間令牌和生物識別卡。任何認為僅靠這些安全設備即可保證安全的人都會滿足於虛假的安全感之中,這就是一個生活在幻想世界中的例子,他們遲早會不可避免的遭遇安全事故。
正如著名的安全顧問布魯斯·施尼爾(BruceSchneier)所說:“安全不是一件産品,它是一個過程。”近一步說,安全不是技術問題,它是人和管理的問題。由於開發商不斷地創造出更好的安全科技産品,攻擊者利用技術上的漏洞變得越來越睏難。於是,越來越多的人轉嚮利用人為因素的手段來進行攻擊。穿越人這道防火墻十分容易,衹需打一個電話的成本和冒最小的風險。
一個欺騙的經典案例
企業資産安全最大的威脅是什麽?很簡單,社會工程師。一個無所顧忌的魔術師,用他的左手吸引你的註意,右手竊取你的秘密。他通常十分友善,很會說話,並會讓人感到遇上他是件榮幸的事情。我們來看一個社會工程學的例子:
許多人都已記不起一個叫斯坦利·馬剋·瑞夫金(StanleyMarkRifkin)的年輕人,和他在洛杉磯的美國保險太平洋銀行(SecurityPacificNationalBank)的冒險小故事了。他的劣跡很多,瑞夫金(同我一樣)從未把自己的事情告訴過別人,因此下面的敘述基於公開的報道。
獲得密碼
1978的一天,瑞夫金無意中來到了美國保險太平洋銀行的授權職員準入的電匯交易室,這裏每天的轉款額達到幾十億美元。瑞夫金當時工作的那傢公司恰巧負責開發電匯交易室的數據備份係統,這給了他瞭解轉賬程序的機會,包括銀行職員拔出賬款的步驟。他瞭解到被授權進行電匯的交易員每天早晨都會收到一個嚴密保護的密碼,用來進行電話轉帳交易。
電匯室裏的交易員為了記住每天的密碼,圖省事把密碼記到一張紙片上,並把它貼到很容易看得見的地方。11月的一天,瑞夫金有了一個特殊的理由出入電匯室。到達電匯室後,他做了一些操作過程的記錄,裝做在確定備份係統的正常工作。藉此機會偷看紙片上的密碼,並用腦子記了下來,幾分鐘後走出電匯室。瑞夫金後來回憶道:“感覺就像中了大奬”。
轉款入戶
瑞夫金約在下午3點離開電匯室,徑直走到大廈前廳的付費電話旁,塞入一枚硬幣,打給電匯室。此時,他改變身份,裝扮成一名銀行職員――工作於國際部的麥剋·漢森(MikeHansen)。那次對話大概是這樣的:
“喂,我是國際部的麥剋·漢森。”他對接聽電話的小姐說,小姐按正常工作程序讓他報上辦公電話。“286。”他已有所準備。小姐接着說:“好的,密碼是多少?”瑞夫金曾回憶到他那時的“興奮異常”。“4789”他盡量平靜地說出密碼。接着他讓對方從紐約歐文信托公司(IrvingTrustCompany)貸一千零二十萬美元到瑞士蘇黎士某銀行(WozchodHandelsBank),他已經建立好的賬戶上。對方說:“好的,我知道了,現在請告訴我轉賬號。”
瑞夫金嚇出一身冷汗,這個問題事先沒有考慮到,他的騙錢方案出現了紕漏。但他盡量保持自己的角色,十分沉穩,並立刻回答對方:“我看一下,馬上給你打過來。”這次,他裝扮成電匯室的工作人員,打給銀行的另一個部門,拿到帳號後打回電話。對方收到後說:“謝謝。”(在這種情況下說“謝謝”,真是莫大的諷刺。)
成功結束
幾天後,瑞夫金乘飛機來到瑞士提取了現金,他拿出八百萬通過俄羅斯一傢代理處購置了一些鑽石,然後把鑽石封在腰帶裏通過了海關,飛回美國。瑞夫金成功的實施了歷史上最大的銀行劫案,他沒有使用武器,甚至勿需計算機的協助。奇怪的是,這一事件以“最大的計算機詐騙案”為名,收錄在吉尼斯世界紀錄中。斯坦利·瑞夫金用的就是欺騙的藝術,這種技巧和能力我們現在把它稱為——社會工程學。
威脅的天然性
瑞夫金的故事確切的證明了我們的安全感是多麽不可靠。這樣的事件(也許到不了一千萬美元,但終歸有所損失)每天都在發生,你的資金可能正在流失,新産品方案正在被竊取,而你卻一無所知。即使你的公司還沒有這樣的事情出現,那也會終將出現。但它何時出現呢?
日益增長的安全事件
美國計算機安全協會在2001年計算機犯罪調查報告中聲稱,在接受調查的組織機構中,有85%的組織在過去的12個月中發現了計算機安全事件。這是一個驚人的數字,衹有15%的機構在過去的一年中沒有發現安全事件。另一個數字同樣驚人,有64%的機構由於計算機的問題而導致財務損失,超過一年中遭受財務損失企業的二分之一強。
我的經驗告訴我這個數字有些誇大,並對這項調查的研究結果表示懷疑。但這並不是說安全事件的危害面不大,相反,它很大。那些未把安全事件考慮在內的人,遲早會出問題。大多數公司配置的安全産品主是應付業餘入侵者的,比如被稱為“腳本小子”的年輕人。實際上,這些利用別人的軟件,並憧憬着成為真正黑客的人,大多數情況下衹能引起一些麻煩。真正的損失和威脅,來自於經驗豐富、目標清晰,受商業利益驅動的攻擊者。這些人一次衹盯準一個目標,而不像業餘入侵者試圖進入盡可能多的係統。業餘黑客看重數量,而職業黑客在乎的是信息的質量和價值。
認證設備(身份認證)、訪問控製(對文件和係統資源的控製管理)和入侵檢測係統(計算機化的防盜器)等技術,對公司的安全防護是十分必要的。然而,現在的公司在佈置保護企業免受攻擊的安全對策方面的投入比其花在咖啡上的錢還要少。
正如同罪惡的心無法抵製誘惑,黑客們一心要找出功能強大的安全係統的弱點。在許多時候,他們把這種心思放在了人的身上。
欺騙的使用
許多人都說,關掉了的計算機纔是安全的計算機,但這是錯誤的,找個藉口讓人去辦公室打開它就是了。你的對手不僅僅有一種方法可以從你那裏得到他想要的信息,這衹是時間的問題。耐心、個性和堅持,這正是欺騙的藝術的切入點。
要擊敗安全措施,一個攻擊者、入侵者,或是社會工程師,必須找到一個方法,從可信用戶那裏騙取信息,或是不露痕跡的獲得訪問權。當可信用戶被欺騙、影響,並被操縱而吐露出敏感信息時,或是做出了不當的舉動,從而讓攻擊者有漏洞可鑽時,什麽樣的安全技術也無法保護住你的業務了。正如同密碼專傢有時通過尋找漏洞來繞過加密技術解出密文一樣,社會工程師通過欺騙你的雇員來繞過安全技術。
信任的弊端
大多數情況下,成功的社會工程師都有着很強的人際交往能力。他們有魅力、講禮貌、討人喜歡,並具有快速建立起可親、可信感的特點。一個經驗豐富的社會工程師,使用他自已的戰略、戰術,幾乎能夠接近任何他感興趣的信息。精幹的技術專傢辛辛苦苦地設計出安全解决方案來最小化使用計算機的風險,然而卻沒有解决最大的漏洞――人為因素。儘管我們很聰明,但對我們人類——你、我、他的安全最嚴重的威脅,來自於我們彼此之間。
我們的國民性格
我們對危險漠不關心,尤其在西方,美國則更甚。我們沒有受到要對別人保有懷疑態度的訓練,我們接受的是“愛汝之鄰”(譯者註:此句引自《聖經》)的教育,人與人之間要相互信任和忠實,試想一下小區的保安機構讓人們鎖上傢門和車門是多麽的睏難。這種情形是很明顯的,卻似乎被許多寧願活在理想世界裏的人忽略,直至受到傷害。
我們知道,並不是所有的人都誠實善良、友愛可親,可我們在生活中卻經常把他人想像成這樣。這種可愛的無知一直都是美國人的生活方式,放棄這種習慣十分不易。做為美國人,自由和最適宜居住的地方就是鎖和鑰匙最沒必要的地方,這種理念已經深入人心。大多數人持有不會被欺騙的想法是覺得被騙的可能性很低,而攻擊者利用這種心理,編出不會引起懷疑的聽上去十分合理的理由,充分的利用了受騙者的信任。
機構的無知
無知是我們國民性格的一部分,這可以在回溯計算機首次遠程聯接時輕易的看出。APPANet(美國國防部高級研究項目署網絡),互聯網的前身,用來在政府、科研和教育機構之間共享信息,其目標是信息共享和科技進步,許多教育機構因此建立了幾乎沒有任何安全措施的早期計算機係統。一個著名的軟件開發自由主義者,理查德·斯托曼,甚至拒絶為他的賬號設置口令。但隨着互聯網電子商務的興起,由於互聯網脆弱的安全措施導致的危害性發生了極大的變化。
使用再多的安全技術也不能解决人為的安全因素,拿今天的機場為例,安全已經成為首要措施,然而我們仍然被媒體的報道所警告,還是有人可以避開安全措施、攜帶潛在性武器通過檢測。在一個機場時刻處於警戒狀態下的時期,這種事情又是怎麽發生的呢?是那些金屬儀器失效了麽?不,問題不在機器,問題在於人,機器是由人操縱的。機場的官員雖然可以布署國民警衛隊並安裝檢測器和面部識別係統,但如何培訓一綫保衛人員正確地檢查旅客則更為重要。全世界的政府、商業、教育機構都有同樣的問題,雖然各個地方的職業安全人員不敢懈怠,但信息仍然易受攻擊,並被具備社會工程學技巧的攻擊者視為可摘之果,除非安全鏈中最薄弱的環節——人為因素,被加固強化。
現在,我們比任何時候都需要停止幻想,同時對攻擊計算機係統和網絡機密性、完整性以及實用性的技術加深認識。我們已經認識到主動防禦的必要,是接受和學習安全防護的時候了。
對你的隱私、思想和公司信息係統的非法入侵似乎很遙遠,直到它真的發生。為了避免付出昂貴的代價,我們所有的人都需加深認識、富有經驗、保持警醒,並主動防衛我們的信息資産、個人信息,以及國傢的關健基礎設施。現在,我們必須實行嚴謹、周密的設防。
欺騙與恐怖分子
當然,欺騙並不是社會工程師的專用工具。暴戾的恐怖主義製造了聳人聽聞的新聞事件,我們前所未有地意識到我們居住的世界充滿了危險。文明,終歸衹是一層脆弱的薄板。2001年,發生在紐約的911事件把悲傷和恐懼植入每一個人的心中,不衹是美國人,還有世界上所有善良的人們。我們已經開始警覺,因為這個世界上還分佈着受到良好訓練的極端恐怖分子,伺機再次發動對我們的攻擊。
政府最近的強化努力已經提升了大衆的安全意識,我們需要保持警醒,警惕各種形式的恐怖主義。我們需要瞭解恐怖分子是如何偽造各種身份,假扮學生、鄰居而混入人群的,他們掩飾住自己真實的思想以密謀恐怖行動,而他們使用的就是類似於本書中介紹的欺騙手法。
然而,就我所認為,恐怖分子目前尚未利用社會工程學的手法滲透到水處理廠、發電廠,或其它關係國計民生的基礎設施中,但可能性依然存在,這畢竟太容易做到了。我希望安全意識和相應的安全策略將會得到正確的應用並得到企業上層管理的加強,因為這本書恰逢其時。
關於此書
企業安全是一個平衡問題,安全性太差公司易受攻擊,但過多的強調安全又會妨礙業務管理和公司的發展,其難點在於達到生産效率和安全之間的平衡。
其它關於企業信息安全的書都把重點放在硬、軟件技術上,而忽略了最重要的安全威脅——對人的欺騙。與之相反,此書的目的,就是要幫助大傢理解自己、同事,和公司其他人員是如何被操縱的,並幫助大傢建立屏障,謹防成為受害者。本書的重點放在入侵者用來盜取信息的非技術手段上,它能夠對看似安全的信息完整性産生威脅,甚至破壞公司的工作成果。
我的任務由於一個簡單的事實而更加睏難——每個讀者都一直被社會工程學高級專傢——他們的父母所控製着,他們有辦法(比如:“這是為了你好”)讓你去做他們認為最應該做的事。父母們就是使用類似社會工程學的方法,巧妙的編出看似有理的故事、理由以及藉口,來達到他們的目的。是的,我們都被我們的父母所引導——那些樂善好施的(偶爾也不完全如此)社會工程師們。
由於這種生長環境,導致我們軟弱而容易被操縱。可總是對他人懷有戒心,擔心上當受騙,會活得很纍。在理想的世界裏我們應對他人給予絶對信任,每個人都是誠實和值得信賴的。但我們並沒有生活在理想世界中,我們必須鍛煉我們的防欺詐能力以對付我們的敵人。
這本書的主要內容——第二和第三部分,講述社會工程師如何實施欺騙的故事。在這兩部分中,大傢將會看到如下內容:
·電話盜打者早就發現的,一個從電話公司弄到未刊登電話號碼的方法;
·幾個不同的社會工程學方法,甚至可以讓有所警覺和懷疑的職員吐露出自己的用戶名和口令;
·信息中心的管理人員如何被控製以配合攻擊者竊取企業最機密的産品信息;
·隱私調查者是如何弄到你的企業、你本人的隱密信息的,我可以保證,這會讓你脊背發涼。
你也許會認為這兩部分中講述的故事實際上不可能發生,沒有人能夠使用書中的謊言、卑鄙的方法和計劃真正的達到目的。事實上,在每個案例中,這些故事都是可以成為現實而且已經成為現實的,這些事情每天都在世界的某個地方發生,甚至在你閱讀此書的時候都有可能。本書中的內容不僅對你的商務信息保護上有所啓迪,還可以讓你親自阻撓社會工程師的攻擊以保護你的私有信息。
在本書的第四部分,我轉變了方向。在這裏我想幫助大傢建立企業必要的安全策略和安全意識培訓,以期將員工被社會工程師利用的可能性降到最低。瞭解社會工程師的策略、方法和技巧,在不會降低公司的生産效率的同時,幫助你佈置合理的控製策略來保護企業的信息資産。
簡而言之,我寫此書的目的就是要提升大傢的安全意識,以應對來自社會工程師的嚴重威脅,並幫助你的公司和公司員工盡可能的不被利用。或者我應該這樣說,不再被利用。
一些黑客毀壞別人的文件甚至整個硬盤,他們被稱為電腦狂人(crackers)或計算機破壞者(vandals)。另一些新手省去學習技術的麻煩,直接下載黑客工具侵入別人的計算機,這些人被稱為腳本小子(scriptkiddies)。而真正有着豐富經驗和編程技巧的黑客,則開發黑客程序發佈到網站或論壇(BBS)。還有一些人對黑客技術沒有絲毫興趣,他們把計算機僅僅當做竊取金錢、商品和服務的輔助工具。
儘管媒體神話了凱文·米特尼剋,但我並不是一個用心險惡的黑客,我衹是喜歡不斷地超越自己。
人之初
我的人生之路,也許在我很小的時候就註定了。三歲時,由於父親的離去,使我無憂無慮的生活發生變故。做招待的母親支撐着家庭。那時的我(一個由深受沒有工作規律之苦的母親養活着的獨生子),除了睡覺以外,大部位時間都沒人管,我就是我自己的保姆。
在聖費爾南多𠔌(SanFernanadoValley)的成長經歷給予我探索整個洛杉磯的機會,十二歲時,我發現了一個可以免費周遊洛杉磯的方法。我發現到坐公車時購買的換乘券,是由一種非常規的打孔機打出來的,公車司機用它來在換乘券上標記日期、時間和路綫。一位司機友好地回答了我精心準備的問題,於是我知道了在哪裏可以買到這種特殊的打孔機。換乘券用來改乘車次從而到達目的地,但是我想出的方法,可以讓我使用換乘券免費到達我想去的任何地方。
獲得空白換乘券很容易,如同去公園散步般簡單,因為公車終點站的廢物箱中總是充斥着公車司機換班時未用完的換乘券本子。用一疊空白換乘券加上打孔機,我可以製作出我自己的換乘券,並用它行遍全洛杉機公車能夠到達的任何地方。很快,我就差不多記住了整個公交係統的公車時刻表。(我對某種信息的記憶力總是讓人驚訝,這一個較早的例子。直到現在,我還能記住遠在童年時的電話號碼、口令以及其它一些看上去十分瑣碎的事情。)
另一個在小時候就顯露出來的個人興趣是對魔術的迷戀。一旦我知道了某個魔術的變法,我就會不斷的練習、練習,再練習,直到我完全掌握。從某種程度上說,正是由於魔術,纔讓我發現獲取秘密信息的樂趣。
從盜打電話到黑客
我首次接觸社會工程學的時候是在中學時期,那時我遇到了一位喜歡盜打電話的同學。“電話盜打”是一種利用電話公司雇員和電話係統來探測電話網絡的黑客行為。他嚮我展示了使用電話的高級竅門,比如從電話公司獲取任何一位客戶的資料,以及使用秘密測試號碼拔打免費長途電話。實際上這衹是對我們來說免費,因為我後來發現這根本就不是一個秘密測試號碼,那些話費事實上從某些倒黴公司的MCI(譯者註:美國著名通訊公司)帳戶上劃出了。
這就是我對社會工程學的入門,也可以說是我的啓蒙階段。我的朋友還有後來認識的另外一個盜打電話的人,他們在給電話公司打電話時讓我在旁邊聽,他們是如何讓電話公司相信他們所說的話。於是,我知道了許多電話公司的辦公地點,他們的業內用語,還有辦公程序。這種“訓練”並沒有花多長時間,不久我便可以完全自己來做這些事情,甚至比我的啓蒙老師們做的還要好。
我生命中下一個15年的生活已經註定。
在中學,我最為喜歡的惡作劇就是獲得對電話交換機未授權的訪問,然後改變某個電話盜打者的話費設置。當他從傢裏打電話時,他的電話就會告訴他需要投入一角硬幣,因為電話公司交換機的記錄被我更改,從而認為他拔打的是一個投幣電話。
我開始關註有關電話的任何事情,不衹是電子學、交換機和計算機,還有公司組織、業務手續和行業術語。不久之後,我就比任何一個電話公司的雇員都更加瞭解電話係統。我對社會工程學的運用也達到了嫻熟的階段,十七歲時,我就能與大多數電信公司的員工談論幾乎任何事情,無論是當面聊還是打電話。
實際上我較為公開化的黑客之路,始於中學。儘管在這裏我無法說清原委,但其實一句話也能表達了。在我黑客生涯的早期,一個驅使我的動力就是被黑客圈子的人所接受。在那時,黑客這個詞是指一個花費大量的時間調置軟硬件的人,或是開發更有效的程序,或是繞過不必要的步驟來更快的完成工作。這個詞如今已經是一個帶有貶義的“惡意犯法者”的意思了,但在本書中,我仍然按原來對它更為善意的理解使用這個詞彙。
中學之後,我在洛杉磯計算機學習中心攻讀計算機。沒幾個月的時間,學校的計算機管理人員就意識到我發現了操作係統的漏洞,並取得了管理員權限,但是在學校的教學人員中,最好的計算機專傢也無法弄清我是如何這樣做的。這也許是最早雇傭黑客的例子之一吧,他們給了我一個無法拒絶的提議:要麽做出一個榮譽學位的畢業設計來加強學校的計算機安全,要麽由於黑客行為而中止學業。當然,我選擇了前者,以本科優等成績榮譽學士畢業。
成為社會工程師
每天早晨,許多人從床上一爬起來,便開始對千篇一律的繁重工作犯愁。我卻很幸運,因為我喜歡我的工作。你簡直無法想像我作為一個秘密調查者而得到的挑戰、奬賞和快樂。我的天份在稱為社會工程學(使人們做在通常情況下不會為陌生人做的事情)的表演藝術中得到磨練和回報。
對我來說,成為社會工程學的行傢裏手並不睏難。我父親傢一連好幾代都從事銷售領域,因此傢裏人都有着說服和影響別人的傢族特徵。當把這種特徵與騙人的愛好結合起來時,這就是一個社會工程師的基本輪廓了。可以說行騙藝術的分類有兩種,一種是通過詐騙、欺騙來獲得錢財,這就是通常的騙子。另一種則通過蒙敝、影響、勸導來達到獲取信息的目的,這就是社會工程師。從我使用詭計免費乘車的時候(我那時還小,並沒有認識到這樣做有什麽不對),就逐漸意識到我具有一種以前沒有料想到的挖掘秘密的天份。通過使用詭計、瞭解術語和培養良好的操縱技巧,更為加強了這種天份。一個用來發展我的專業技藝(如果這可以稱為一個專業的話)的方法就是看我是否能與電話另一端的人攀談,並獲得相關信息,即便這些信息對我毫無用處,這樣做衹是為了證明我的專業技巧。同樣,我還用此種方法,練習奇巧的計謀、托辭,不久我發現我可以取得我想關註的任何信息。正如我在數年後的國會聽證會上,在利伯曼(Lieberman)和湯姆森(Tompson)參議員面前所做的證詞中描述的那樣:
“我未經授權進入了世界上最大的幾傢公司的計算機係統,並成功滲透了一些防範最好的電腦係統。我使用技術和非技術手段來取得各種操作係統和通訊設備的源代碼,以研究它們的漏洞和工作機理。所有的這些行為都是為了滿足自己的好奇心。看看自己能做什麽,並發現其中的秘密,比如操作係統、移動電話以及任何能引起我好奇心的東西。”
最後的想法
自從被捕以後,我已經承認了自己這些行為的非法,侵犯了他人的秘密。我的錯誤行為是由於好奇心引起的,我抑製不住的想知道電話網絡是如何運轉的,以及瞭解計算機安全的每個細節。我從一個喜歡魔術戲法的孩子成為一個最具惡名的、被政府和企業害怕的黑客。當我反省過去的這30年時,我承認自己做出了極其拙劣的選擇,被好奇心驅使,被學習技術的欲望和智力挑戰的虛榮所駕馭。
但我現在已經轉變,我正在運用我的才能和信息安全、社會工程學的許多有關知識來幫助政府、企業、個人來檢測、防範和應對信息安全的威脅。本書可以把我的經驗較好地介紹給他人,以避免那些懷有惡意的信息盜賊可能帶來的危害。我相信,你將會從本書中得到樂趣、教育和啓發。
第一章 安全軟肋
某公司也許購置了能用錢買到的最好的安全技術,員工們也訓練有素,每晚回傢前把所有的秘密都鎖起來,並從業內最好的保安公司雇用了保安,但這傢公司仍然易受攻擊。一些人可能遵從了專傢所有最好的安全建議,安裝了各種受推薦的安全産品,並十分謹慎的處理係統配置以及應用安全補丁,但他們仍然很不安全。
人為因素
在國會聽證會前的一次證言中,我解釋到我經常可以從企業獲得密碼口令或其他類似的敏感信息,衹需假扮某人直接開口要就是了。人們對於絶對安全的渴望常常導致他們滿足於虛假的安全感之中。想像一位負責任的可愛的屋主,他有一套麥迪科(譯者註:Medico,知名品牌、價格昂貴)防撬鎖裝在屋子的大門上,以保護他的妻子、孩子和他的傢。他覺得很心安,因為他把家庭保護的很好。但對於破窗而入和解開車庫大門密碼的闖入者呢?再安裝一套強壯的安全係統麽?雖然有用,但還是不夠安全。無論防盜鎖是昂貴還是便宜,屋主的安全仍然難以保障。為什麽?因為人為因素纔是安全的軟肋。
安全,通常情況下僅僅是個幻想,由其是輕信、好奇和無知存在的時候。二十世紀最受尊敬的科學家愛因斯坦這樣說道:“衹有兩種事物是無窮盡的――宇宙和人類的愚蠢。但對於前者,我不敢確定。”最終,社會工程學的攻擊,成功於人們的愚蠢或更為普遍的對信息安全實踐上的無知。
與這位屋主一樣,有許多信息技術(IT)從業者都有着類似的錯誤觀念。他們認為自己的公司固若金湯,因為其配置了精良的安全設備――防火墻、入侵檢測,或是更為保險的身份認證係統,如時間令牌和生物識別卡。任何認為僅靠這些安全設備即可保證安全的人都會滿足於虛假的安全感之中,這就是一個生活在幻想世界中的例子,他們遲早會不可避免的遭遇安全事故。
正如著名的安全顧問布魯斯·施尼爾(BruceSchneier)所說:“安全不是一件産品,它是一個過程。”近一步說,安全不是技術問題,它是人和管理的問題。由於開發商不斷地創造出更好的安全科技産品,攻擊者利用技術上的漏洞變得越來越睏難。於是,越來越多的人轉嚮利用人為因素的手段來進行攻擊。穿越人這道防火墻十分容易,衹需打一個電話的成本和冒最小的風險。
一個欺騙的經典案例
企業資産安全最大的威脅是什麽?很簡單,社會工程師。一個無所顧忌的魔術師,用他的左手吸引你的註意,右手竊取你的秘密。他通常十分友善,很會說話,並會讓人感到遇上他是件榮幸的事情。我們來看一個社會工程學的例子:
許多人都已記不起一個叫斯坦利·馬剋·瑞夫金(StanleyMarkRifkin)的年輕人,和他在洛杉磯的美國保險太平洋銀行(SecurityPacificNationalBank)的冒險小故事了。他的劣跡很多,瑞夫金(同我一樣)從未把自己的事情告訴過別人,因此下面的敘述基於公開的報道。
獲得密碼
1978的一天,瑞夫金無意中來到了美國保險太平洋銀行的授權職員準入的電匯交易室,這裏每天的轉款額達到幾十億美元。瑞夫金當時工作的那傢公司恰巧負責開發電匯交易室的數據備份係統,這給了他瞭解轉賬程序的機會,包括銀行職員拔出賬款的步驟。他瞭解到被授權進行電匯的交易員每天早晨都會收到一個嚴密保護的密碼,用來進行電話轉帳交易。
電匯室裏的交易員為了記住每天的密碼,圖省事把密碼記到一張紙片上,並把它貼到很容易看得見的地方。11月的一天,瑞夫金有了一個特殊的理由出入電匯室。到達電匯室後,他做了一些操作過程的記錄,裝做在確定備份係統的正常工作。藉此機會偷看紙片上的密碼,並用腦子記了下來,幾分鐘後走出電匯室。瑞夫金後來回憶道:“感覺就像中了大奬”。
轉款入戶
瑞夫金約在下午3點離開電匯室,徑直走到大廈前廳的付費電話旁,塞入一枚硬幣,打給電匯室。此時,他改變身份,裝扮成一名銀行職員――工作於國際部的麥剋·漢森(MikeHansen)。那次對話大概是這樣的:
“喂,我是國際部的麥剋·漢森。”他對接聽電話的小姐說,小姐按正常工作程序讓他報上辦公電話。“286。”他已有所準備。小姐接着說:“好的,密碼是多少?”瑞夫金曾回憶到他那時的“興奮異常”。“4789”他盡量平靜地說出密碼。接着他讓對方從紐約歐文信托公司(IrvingTrustCompany)貸一千零二十萬美元到瑞士蘇黎士某銀行(WozchodHandelsBank),他已經建立好的賬戶上。對方說:“好的,我知道了,現在請告訴我轉賬號。”
瑞夫金嚇出一身冷汗,這個問題事先沒有考慮到,他的騙錢方案出現了紕漏。但他盡量保持自己的角色,十分沉穩,並立刻回答對方:“我看一下,馬上給你打過來。”這次,他裝扮成電匯室的工作人員,打給銀行的另一個部門,拿到帳號後打回電話。對方收到後說:“謝謝。”(在這種情況下說“謝謝”,真是莫大的諷刺。)
成功結束
幾天後,瑞夫金乘飛機來到瑞士提取了現金,他拿出八百萬通過俄羅斯一傢代理處購置了一些鑽石,然後把鑽石封在腰帶裏通過了海關,飛回美國。瑞夫金成功的實施了歷史上最大的銀行劫案,他沒有使用武器,甚至勿需計算機的協助。奇怪的是,這一事件以“最大的計算機詐騙案”為名,收錄在吉尼斯世界紀錄中。斯坦利·瑞夫金用的就是欺騙的藝術,這種技巧和能力我們現在把它稱為——社會工程學。
威脅的天然性
瑞夫金的故事確切的證明了我們的安全感是多麽不可靠。這樣的事件(也許到不了一千萬美元,但終歸有所損失)每天都在發生,你的資金可能正在流失,新産品方案正在被竊取,而你卻一無所知。即使你的公司還沒有這樣的事情出現,那也會終將出現。但它何時出現呢?
日益增長的安全事件
美國計算機安全協會在2001年計算機犯罪調查報告中聲稱,在接受調查的組織機構中,有85%的組織在過去的12個月中發現了計算機安全事件。這是一個驚人的數字,衹有15%的機構在過去的一年中沒有發現安全事件。另一個數字同樣驚人,有64%的機構由於計算機的問題而導致財務損失,超過一年中遭受財務損失企業的二分之一強。
我的經驗告訴我這個數字有些誇大,並對這項調查的研究結果表示懷疑。但這並不是說安全事件的危害面不大,相反,它很大。那些未把安全事件考慮在內的人,遲早會出問題。大多數公司配置的安全産品主是應付業餘入侵者的,比如被稱為“腳本小子”的年輕人。實際上,這些利用別人的軟件,並憧憬着成為真正黑客的人,大多數情況下衹能引起一些麻煩。真正的損失和威脅,來自於經驗豐富、目標清晰,受商業利益驅動的攻擊者。這些人一次衹盯準一個目標,而不像業餘入侵者試圖進入盡可能多的係統。業餘黑客看重數量,而職業黑客在乎的是信息的質量和價值。
認證設備(身份認證)、訪問控製(對文件和係統資源的控製管理)和入侵檢測係統(計算機化的防盜器)等技術,對公司的安全防護是十分必要的。然而,現在的公司在佈置保護企業免受攻擊的安全對策方面的投入比其花在咖啡上的錢還要少。
正如同罪惡的心無法抵製誘惑,黑客們一心要找出功能強大的安全係統的弱點。在許多時候,他們把這種心思放在了人的身上。
欺騙的使用
許多人都說,關掉了的計算機纔是安全的計算機,但這是錯誤的,找個藉口讓人去辦公室打開它就是了。你的對手不僅僅有一種方法可以從你那裏得到他想要的信息,這衹是時間的問題。耐心、個性和堅持,這正是欺騙的藝術的切入點。
要擊敗安全措施,一個攻擊者、入侵者,或是社會工程師,必須找到一個方法,從可信用戶那裏騙取信息,或是不露痕跡的獲得訪問權。當可信用戶被欺騙、影響,並被操縱而吐露出敏感信息時,或是做出了不當的舉動,從而讓攻擊者有漏洞可鑽時,什麽樣的安全技術也無法保護住你的業務了。正如同密碼專傢有時通過尋找漏洞來繞過加密技術解出密文一樣,社會工程師通過欺騙你的雇員來繞過安全技術。
信任的弊端
大多數情況下,成功的社會工程師都有着很強的人際交往能力。他們有魅力、講禮貌、討人喜歡,並具有快速建立起可親、可信感的特點。一個經驗豐富的社會工程師,使用他自已的戰略、戰術,幾乎能夠接近任何他感興趣的信息。精幹的技術專傢辛辛苦苦地設計出安全解决方案來最小化使用計算機的風險,然而卻沒有解决最大的漏洞――人為因素。儘管我們很聰明,但對我們人類——你、我、他的安全最嚴重的威脅,來自於我們彼此之間。
我們的國民性格
我們對危險漠不關心,尤其在西方,美國則更甚。我們沒有受到要對別人保有懷疑態度的訓練,我們接受的是“愛汝之鄰”(譯者註:此句引自《聖經》)的教育,人與人之間要相互信任和忠實,試想一下小區的保安機構讓人們鎖上傢門和車門是多麽的睏難。這種情形是很明顯的,卻似乎被許多寧願活在理想世界裏的人忽略,直至受到傷害。
我們知道,並不是所有的人都誠實善良、友愛可親,可我們在生活中卻經常把他人想像成這樣。這種可愛的無知一直都是美國人的生活方式,放棄這種習慣十分不易。做為美國人,自由和最適宜居住的地方就是鎖和鑰匙最沒必要的地方,這種理念已經深入人心。大多數人持有不會被欺騙的想法是覺得被騙的可能性很低,而攻擊者利用這種心理,編出不會引起懷疑的聽上去十分合理的理由,充分的利用了受騙者的信任。
機構的無知
無知是我們國民性格的一部分,這可以在回溯計算機首次遠程聯接時輕易的看出。APPANet(美國國防部高級研究項目署網絡),互聯網的前身,用來在政府、科研和教育機構之間共享信息,其目標是信息共享和科技進步,許多教育機構因此建立了幾乎沒有任何安全措施的早期計算機係統。一個著名的軟件開發自由主義者,理查德·斯托曼,甚至拒絶為他的賬號設置口令。但隨着互聯網電子商務的興起,由於互聯網脆弱的安全措施導致的危害性發生了極大的變化。
使用再多的安全技術也不能解决人為的安全因素,拿今天的機場為例,安全已經成為首要措施,然而我們仍然被媒體的報道所警告,還是有人可以避開安全措施、攜帶潛在性武器通過檢測。在一個機場時刻處於警戒狀態下的時期,這種事情又是怎麽發生的呢?是那些金屬儀器失效了麽?不,問題不在機器,問題在於人,機器是由人操縱的。機場的官員雖然可以布署國民警衛隊並安裝檢測器和面部識別係統,但如何培訓一綫保衛人員正確地檢查旅客則更為重要。全世界的政府、商業、教育機構都有同樣的問題,雖然各個地方的職業安全人員不敢懈怠,但信息仍然易受攻擊,並被具備社會工程學技巧的攻擊者視為可摘之果,除非安全鏈中最薄弱的環節——人為因素,被加固強化。
現在,我們比任何時候都需要停止幻想,同時對攻擊計算機係統和網絡機密性、完整性以及實用性的技術加深認識。我們已經認識到主動防禦的必要,是接受和學習安全防護的時候了。
對你的隱私、思想和公司信息係統的非法入侵似乎很遙遠,直到它真的發生。為了避免付出昂貴的代價,我們所有的人都需加深認識、富有經驗、保持警醒,並主動防衛我們的信息資産、個人信息,以及國傢的關健基礎設施。現在,我們必須實行嚴謹、周密的設防。
欺騙與恐怖分子
當然,欺騙並不是社會工程師的專用工具。暴戾的恐怖主義製造了聳人聽聞的新聞事件,我們前所未有地意識到我們居住的世界充滿了危險。文明,終歸衹是一層脆弱的薄板。2001年,發生在紐約的911事件把悲傷和恐懼植入每一個人的心中,不衹是美國人,還有世界上所有善良的人們。我們已經開始警覺,因為這個世界上還分佈着受到良好訓練的極端恐怖分子,伺機再次發動對我們的攻擊。
政府最近的強化努力已經提升了大衆的安全意識,我們需要保持警醒,警惕各種形式的恐怖主義。我們需要瞭解恐怖分子是如何偽造各種身份,假扮學生、鄰居而混入人群的,他們掩飾住自己真實的思想以密謀恐怖行動,而他們使用的就是類似於本書中介紹的欺騙手法。
然而,就我所認為,恐怖分子目前尚未利用社會工程學的手法滲透到水處理廠、發電廠,或其它關係國計民生的基礎設施中,但可能性依然存在,這畢竟太容易做到了。我希望安全意識和相應的安全策略將會得到正確的應用並得到企業上層管理的加強,因為這本書恰逢其時。
關於此書
企業安全是一個平衡問題,安全性太差公司易受攻擊,但過多的強調安全又會妨礙業務管理和公司的發展,其難點在於達到生産效率和安全之間的平衡。
其它關於企業信息安全的書都把重點放在硬、軟件技術上,而忽略了最重要的安全威脅——對人的欺騙。與之相反,此書的目的,就是要幫助大傢理解自己、同事,和公司其他人員是如何被操縱的,並幫助大傢建立屏障,謹防成為受害者。本書的重點放在入侵者用來盜取信息的非技術手段上,它能夠對看似安全的信息完整性産生威脅,甚至破壞公司的工作成果。
我的任務由於一個簡單的事實而更加睏難——每個讀者都一直被社會工程學高級專傢——他們的父母所控製着,他們有辦法(比如:“這是為了你好”)讓你去做他們認為最應該做的事。父母們就是使用類似社會工程學的方法,巧妙的編出看似有理的故事、理由以及藉口,來達到他們的目的。是的,我們都被我們的父母所引導——那些樂善好施的(偶爾也不完全如此)社會工程師們。
由於這種生長環境,導致我們軟弱而容易被操縱。可總是對他人懷有戒心,擔心上當受騙,會活得很纍。在理想的世界裏我們應對他人給予絶對信任,每個人都是誠實和值得信賴的。但我們並沒有生活在理想世界中,我們必須鍛煉我們的防欺詐能力以對付我們的敵人。
這本書的主要內容——第二和第三部分,講述社會工程師如何實施欺騙的故事。在這兩部分中,大傢將會看到如下內容:
·電話盜打者早就發現的,一個從電話公司弄到未刊登電話號碼的方法;
·幾個不同的社會工程學方法,甚至可以讓有所警覺和懷疑的職員吐露出自己的用戶名和口令;
·信息中心的管理人員如何被控製以配合攻擊者竊取企業最機密的産品信息;
·隱私調查者是如何弄到你的企業、你本人的隱密信息的,我可以保證,這會讓你脊背發涼。
你也許會認為這兩部分中講述的故事實際上不可能發生,沒有人能夠使用書中的謊言、卑鄙的方法和計劃真正的達到目的。事實上,在每個案例中,這些故事都是可以成為現實而且已經成為現實的,這些事情每天都在世界的某個地方發生,甚至在你閱讀此書的時候都有可能。本書中的內容不僅對你的商務信息保護上有所啓迪,還可以讓你親自阻撓社會工程師的攻擊以保護你的私有信息。
在本書的第四部分,我轉變了方向。在這裏我想幫助大傢建立企業必要的安全策略和安全意識培訓,以期將員工被社會工程師利用的可能性降到最低。瞭解社會工程師的策略、方法和技巧,在不會降低公司的生産效率的同時,幫助你佈置合理的控製策略來保護企業的信息資産。
簡而言之,我寫此書的目的就是要提升大傢的安全意識,以應對來自社會工程師的嚴重威脅,並幫助你的公司和公司員工盡可能的不被利用。或者我應該這樣說,不再被利用。
第二章 無害信息的價值
對大多數人來說,社會工程師的真正威脅在哪裏?又該如何保持警惕?
如果社會工程師的目標是“最有價值奬”——比如,企業智力資産的核心組成。那麽也許需要的是更堅固的保險庫和全副武裝的保安,對麽?
但在現實中,壞人滲透企業安全的第一步就是獲得某些似乎無利害關係的信息和文件,這些信息和文件看起來十分平常,也不重要,公司裏的人大都不明白為什麽這些東西會被限製和保護。
信息的隱藏價值
社會工程師十分重視企業中許多表面上看去無利害關係的信息,因為這些信息是他能否披上可信外衣的至關重要的因素。
在這一章裏,我將通過讓讀者“親身”經歷攻擊過程,來展示社會工程師的攻擊手段。有時從受害人的角度來表現情節,讓讀者以當事人的身份估計自己(或是你的同事和員工)可能會做出的反應。而更多的時候,讓讀者從社會工程師的角度來經歷攻擊過程。
第一個故事着眼於金融行業的一個漏洞。
信譽支票(CREDITCHEX)
曾經有一段很長的時期,英國的銀行係統十分閉塞,大街上一位誠實普通的市民並不能隨便走進銀行而直接申請一個銀行帳戶。銀行不會把他當做客戶,除非他帶有某位正式銀行客戶的推薦信。
當然,這與如今的表面上人人平等的銀行機構大不一樣。如今辦理銀行業務沒什麽地方比友善、平等的美國更方便了,任何人都可以走進銀行輕鬆的建立一個日常賬戶,是這樣麽?
並非如此。事實上可以理解,銀行很難為一個纔開過空頭支票的人建立賬戶,這很自然,同樣還有那些有着搶劫銀行和挪用賬款記錄的人。這就是一個銀行對其潛在客戶瞬間做出好壞判斷的實際例子。
與銀行有着重要業務聯繫的公司中,有一種機構專門為銀行提供這類信息,我們把這種機構稱之為“信譽支票”。它為客戶提優質的服務,但同許多公司一樣,它也會“無心”的為“有心”的社會工程師們提供便利的服務。
第一個電話:吉姆·安德魯斯(Kim
Andrews)
“國傢銀行,我是吉姆,您是想要開一個帳戶麽?”
“嗨,吉姆,我想請教個問題。你們與信譽支票打交道麽?”
“是的。”
“你們給信譽支票打電話時,怎麽稱呼你們提供的號碼?是叫‘交易號’(Merchant
ID)麽?”短暫的沉默,基姆在衡量這個問題,對方是什麽意圖,她是否應該回答。打電話的人不容對方思考接着問:“是這樣,吉姆,我在寫一本涉及私人調查的書。”
“是的。”她有了回答的信心,因為她還是願意幫助一個作傢的。
“就叫“交易號”,對麽?”
“啊,嗯。”
“好的,很好。我是想確認我的書中使用了正確的專業用語,謝謝你的幫忙,再見,吉姆。”
第二個電話:剋瑞絲·塔伯特(Chris
Talbert)
“國傢銀行,開戶處,我是剋瑞絲。”
“嗨,剋瑞絲,我是阿萊剋斯。”打電話的人說,“我是‘信譽支票’的客服代表,我們在做一項改善服務質量的調查。能耽誤您幾分鐘麽?”剋瑞絲表示願意,打電話的人繼續:“好的。你們部門營業時間是多少?”她給予回答,並接着回答下面的一係列問題。
“你們部門有多少人使用我們的服務?”
“大約多長時間給我們打一次咨詢電話?”
“您用的是我們哪一個800免費電話號碼?”
“我們的客服代表服務態度好麽?”
“我們對業務的響應時間如何?”
“您在銀行工作多長時間了?”
“您通常使用的交易號是多少?”
“您是否發現過我們提供過的信息不準確?”
“如果您對我們的服務有所建議,建議是什麽呢?”最後:
“如果我們把定期調查表寄到你們部門,您會填寫麽?”
她表示同意,然後彼此簡單對了幾句話,電話挂掉,剋瑞絲繼續她的工作。
第三個電話:亨利·麥剋金賽(Henry
McKinsey)
“信譽支票,我是亨利·麥剋金賽,需要幫忙麽?”
打電話的人表明自己是國傢銀行的職員,並報出正確的交易號,以及他想查詢的人的名字和社會保險號。亨利要求出生日期,他也報上。不一會兒,亨利看着自己的計算機屏幕讀道:“韋爾斯·法果在1998年報過一次NSF”——客戶賬款不足(Non
Sufficient Funds),支票已開出,賬戶裏卻沒有足夠錢支付的銀行常用專業用語。
“自那之後,還有資金往來麽?”
“沒有了。”
“有沒有申請其他賬戶?”
“我看一下。有的,兩次,都在上個月。一次是在芝加哥第三聯合信用會(Third
United Credit Union of Chicago),”他斷斷續續地讀出第二個地方,斯卡奈塔第共同投資(Schenectady
Mutual Investments),他不得不逐字母的將名稱拼出。“紐約州。”他最後補充道。
工作中的私人偵探
所有的這三個電話都是同一個人打的,一個私人偵探,我們且稱他為奧斯卡·格瑞斯(Oscar
Grace)吧。格瑞斯有了一位新客戶,他的首批客戶其中之一。幾個月前還是名警察的格瑞斯發現他的新工作有些做起來易如反掌,有些則對他的智力和創造性是個挑戰,這件案子無疑很具有挑戰性。
小說中的冷面神探――塞姆·斯貝茲(Sam
Spades)和菲利浦·馬洛斯(Philip Marlowes),在漫長的夜晚久候在汽車裏誘捕一位騙人的伴侶(譯者註:塞姆和菲利浦都是著名小說和電影中的人物),現實中的私人偵探也做同樣的事情。他們為相互敵對的伴侶之間打探消息,也許沒小說中寫得那麽誇張,但重要性卻一點不差。他們的方法主要是依靠社會工程學的技巧,而不是坐在車子裏與守夜的睏倦做鬥爭。
格瑞斯的新客戶是一位看起來從不缺少衣服和珠寶的女士。一天,她走進他的辦公室,在唯一的一把未堆着文件的皮椅上坐下來,把她的古琦(譯者註:Gucci,意大利名牌)手包放到桌子上,商標衝着他的臉。這位女士告訴格瑞斯,她想跟他的丈夫離婚,但“有一點小麻煩。”
他的丈夫比她早了一步,已經從兩人的儲蓄帳戶中把存款提了出來,並從代理公司(譯者註:專門從事為客戶買賣股票和債券的公司)的賬戶中提走了更大的款項。她想知道他們的錢到哪裏去了,她的離婚律師對此無能為力。格瑞斯猜想她的律師是那種身居住宅區高樓大廈的法律顧問,纔不會為這種“錢到哪裏去了”的爛事自找麻煩。
格瑞斯有辦法麽?
他嚮她保證這是小事一樁,接着報出價格,列出費用,並收了一張支票做為第一筆佣金。接下來,他要面對此事了。如果你以前從未處理過這樣的事情,並根本不知道如何跟蹤一筆資金的來竜去脈,你該從何做起呢?一步一步地往前挪?好吧,我們來講格瑞斯的故事。
我知道信譽支票以及銀行與其的聯繫,我的前妻曾在銀行工作。但我並不知道那些專業術語和業務過程,而嚮我前妻打聽則是浪費時間。
第一步:瞭解專業術語,設計出獲取信息時所需要的對話,以便聽起來不會露出馬腳。我給銀行打電話時,第一位年輕的小姐,吉姆,在我詢問他們如何嚮信譽支票確定自己身份時就有所遲疑,她猶豫着,不知道是否應該告訴我。我被難住了麽?纔不。事實上,她的猶豫給了我一個重要的綫索,提醒我必須給她提供一個可信的理由。當我騙她說為寫一本書而做的調查時,便打消了她的懷疑。聲稱自己是一位作傢或電影劇本作者,可以讓人放鬆警惕。
她知道一些有用的信息,比如信譽支票如何確定打電話人的身份,你可以查詢哪些信息,最重要的——吉姆所在銀行的交易號。我已準備好提出這些問題,但她的猶豫造成了麻煩。吉姆相信了寫書的故事,可她已經有所疑心。如果她更配合些,我就會多問些操作細節了。
專業術語
馬剋(MARK):受騙者
激警(BURN THE SOURCE):攻擊者如果讓對方看出來攻擊的意圖稱為激警。一旦對方有所警覺並通知其他人員,以後再想套出類似的信息就十分睏難了。
你必須依靠自己的感覺,仔細的傾聽馬剋的說話內容和說話方式。這位小姐看起來就十分聰明,如果我提出很多的敏感問題,她一定會敲響警鐘的。即使她不知道我是誰,我用哪個號碼打過來,也不要讓任何人註意到有人在打探消息而有所警覺。這是因為我們不想激警,有可能還需要給這個地方打電話的。
我總是留意那些能夠幫助我瞭解一個人配合程度的微小跡象,其態度各異,從“你聽起來真是一個好人,我相信你所說的每一句話”到“打電話給警察,通知國民警衛隊,這小子要倒黴了。”
我發現了吉姆的警覺,於是我打電話給另一個人——剋瑞絲。在我的第二個電話中,調查表的把戲很能迷惑人。我把重要的問題插進可以建立信任感的無關緊要的問題中,在信譽支票的交易號問題之前,我通過問她在這傢銀行工作多久了這樣一個私人問題,做了一個最後的小測試。
私人問題就像一顆地雷,有些人會毫不註意的踩上去,有些人則知道它會爆炸,趕緊躲開。因此,如果我問及一個私人問題,她在回答的語氣上沒有變化,這就意味着她很可能沒有對提問産生懷疑,我可以在她沒有疑心的問題之下安全地提出關健問題。
一個好的私人偵探還知道,千萬不要在得到關鍵信息後馬上結束談話。多問兩三個問題,小聊一會兒,然後再說拜拜。如果對方稍後想起你提過的問題,很可能是你最後提出的問題,其它的通常會忘記。
這樣,我從剋瑞絲那裏得到了他們的交易號和他們查詢時所用的電話號碼,如果當時我再多問些信譽支票的事,我會更高興的。但沒有進一步冒險,也許更好。
如同有了一張空白支票,無論什麽時候我都可以從信譽支票那裏獲得我需要的信息,甚至不用付費。從前面的情況看出,信譽支票的客服代表十分願意為我提供信息,於是我知道了我客戶的丈夫最近在兩個地方申請建立賬戶。那他將要離婚的妻子尋找的那筆資産在哪裏呢?無論在哪傢銀行,信譽支票都會將其列出吧?
過程分析
整個過程都基於社會工程師的基本策略之一,獲得公司職員認為無關緊要的信息(實際上它是有用的)。第一個銀行職員肯定了打電話給信譽支票時確認身份的術語,第二個職員提供了電話號碼和最至關重要的信息――交易號。透露這些信息對於她們來說似乎是無所謂的,畢竟她們認為與之交談的是信譽支票的工作人員,把號碼說出來又有什麽不對呢?
前兩個電話為第三個電話打下基礎,格瑞斯已經具備給信譽支票打電話需要知道的一切信息,於是冒充信譽支票的客戶——國傢銀行,輕鬆地查詢信息。
格瑞斯竊取信息的技巧絲毫不遜於一個高超的騙子詐騙錢財時所用的手段,在瞭解人方面格瑞斯久經磨練。他懂得把關健信息藏在無關緊要的信息中,也知道在套出交易號之前用私人問題來測試對方的配合程度。
第一個銀行職員在確認信譽支票專業術語上的錯誤幾乎是最難防範的,這種專業用語在銀行業幾乎人人都知道,因此顯得無關緊要――無害信息最普遍的表現形式。但第二個職員,剋瑞絲,不應該在確定打電話人的身份真實與否之前,就非常樂意的回答問題。她至少應該詢問對方的名字和電話號碼並拔回,這樣如果日後發生問題,她還有一個打電話人所使用電話號碼的記錄。在這個案例中,拔回這樣的一個電話還會給攻擊者假扮信譽支票服務人員造成很大的睏難。
米特尼剋信箱
這個案例中的交易號相當於一個密碼,如果銀行工作人員將其與自動取款機的個人識別碼(PIN)一樣看待,便會對它的敏感性給予重視。你所在的機構中有沒有大傢沒有給予重視的編碼和數字呢?
用以前記錄的銀行電話號碼給信譽支票回拔一個電話(不要用對方提供的號碼),以驗證對方是否在那兒工作,信譽支票是否正在做一項客戶調查,這樣的電話還是有必要打的。現代社會人們的工作時間都很緊張,而且這樣的確認電話會占用不少時間,考慮到現實中的實用性,建議工作人員在對對方的目的性有所懷疑時打回一個確認電話。
工程師的圈套
很多人都知道,獵頭公司使用社會工程學來擴大業務範圍,這裏有一個例子:
在90年代末,某個不怎麽道德的職業介紹所簽了一傢新客戶,一傢正在尋找有通訊行業工作經驗的電氣工程師的公司。負責這個項目的經理是一位女士,有着有磁性的嗓音,和充滿誘惑力的言談舉止,這使得她在電話裏很容易獲取別人的好感和信任。這位女士準備對移動電話服務提供商進行一次偷襲,以期找到一些可能會投奔到競爭對手那裏的工程師。她當然不能直接給接綫員打電話說:“我要找五年經驗的工程師”,那樣她的動機會立刻暴露的。她通過詢問看上去無關緊要的信息,電話公司人人都可以告訴別人的信息,巧妙的發動了這次襲擊。
第一個電話:接綫員
攻擊者使用迪迪·桑德斯這個名字給移動電話服務商的總機打了一個電話,對話情形大致如下:
接綫員:下午好,我是瑪麗,您有什麽事情?
迪迪:請幫我接運輸部好麽?
接:我不一定能找到這個號碼,我查一下目錄,您是哪位?
迪:我是迪迪。
接:您在公司大樓裏還是在……?
迪:不,我在外面。
接:你是迪迪……?
迪:迪迪·桑德斯,我以前知道運輸部的分機號,但我現在忘了。
接:稍等。
為了減少懷疑,在這裏迪迪設計了一次談話,讓對方認為她是內部人員,熟悉公司的情況。
接:您在哪裏辦公?主街商廈(Main
Place)還是望湖大廈(Lakeview)?
迪:主街。(停頓一下)接:電話是805-555-6469。
有可能給運輸部打電話後也得不到所需的信息,迪迪又要了資産部的電話,作為備用。接綫員幫迪迪接到運輸部,但綫路正忙。於是,迪迪又問第三個電話,位於得剋薩斯州首府奧斯丁的收款部號碼。接綫員讓她等一會兒,並放下電話。接綫員有所警覺了麽?她在嚮保衛部門報告她接到一個可疑電話麽?纔不,迪迪一點都不擔心。接綫員衹是有些不耐煩了,但這是她再平常不過的日常工作了。一分鐘後,接綫員拿起電話,查到收款部的號碼,給迪迪接通。
第二個電話:派基(Peggy)
對話大致如下:
派基:收款部,我是派基。
迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。
派:嗨,迪迪。
迪:你好嗎?
派:還好。
迪迪接着使用企業內部的習慣用語來描述成本核算代碼——給一個特定的機構或工作組分配費用的代碼(譯者註:常在報銷費用時填寫)。
迪:很好。我有個問題問你。我如何才能找到某個部門的成本中心(cost
center)?
派:你必須聯繫到那個部門的預算師。
迪:你知道誰是橡木城總部的預算師麽?我在填表,但我不知道該填哪個成本中心?
派:我衹知道要找成本中心的代碼時,打電話給預算師。
迪:你們部門在德剋薩斯有成本中心麽?
派:我們有自己的成本中心,但我們沒有完整的成本中心列表。
迪:成本中心的代碼是多少位?比如,你們的成本中心?
派:嗯,這樣,你是9WC還是SAT?
迪迪並不知道這是指哪個部門或工作組,但這並不重要,她回答道:
迪:9WC。
派:那一般是四位數字。你說你在哪裏?
迪:橡木城總部。
派:哦,這裏有橡木城的代碼。 1A5N,N是Nancy的N。
僅僅與願意幫忙的人打交道到足夠時間,迪迪便得到了她需要的代碼,這個代碼就是所謂的被人認為是無需保護的信息,因為它對企業外面的人來講,似乎沒有任何價值。
第三個電話:有用的錯誤號碼
迪迪的下一步是把成本中心的代碼當做籌碼來開發更大的價值。她先給資産部打電話,假裝是故意拔錯的電話。以“不好意思,但……”做為話頭,她聲稱自己丟失了公司的通訊錄,看看對方可不可以幫她弄一個新的。對方說公司已將通訊錄放在內部網站上,打印出來的已經過期了。迪迪說她還是想要一份復印件,對方讓她打刊印部的電話,並主動查到刊印部的電話(也許是想讓這位聲音性感的女士多在電話上呆一會兒吧)然後告訴了她。
第四個電話:刊印部的巴特
在刊印部,她與一個叫巴特的人談上了話。迪迪說她是橡木城的,他們新來了一位顧問,需要一份公司的通訊錄。她告訴巴特,對於這位顧問來說,一份復印件會讓工作更順利些,即便有些過期。巴特告訴她需要填一份申請單然後再寄給他。迪迪說她手頭沒有申請單,而且事情很急,她甜言蜜語地問巴特是否能發個善心幫她填這個單子?他有些過分熱心地同意了,接着迪迪報出單子上的各項內容。在報出虛構的簽單人地址時,她慢慢地說出了一個被社會工程師稱為“秘密通信地”的號碼,在這裏是一個郵箱號,商用的,她的公司為類似這種情況而租用的郵箱。這時,早先的準備工作派上了用場。郵遞這份目錄會産生費用,迪迪給出了橡木城成本中心的成本核算代碼:“1A5N,N是Nancy的N。”
幾天後,企業通訊錄寄到,迪迪發現比她期望的還要好。上面不僅有名字和電話號碼,還有人員之間的工作關係,整個企業的組織結構。
這位有着磁性嗓音的女士可以通過拔打人員電話開始她的獵頭行動了。她使用社會工程師久經磨練的談話技巧,騙取了開始行動所需的信息,她現在已經準備好收穫了。
專業術語
秘密通信地(Mail
Drop):社會工程師把租來的郵箱稱為秘密通信地,通常是用假名字租用的,用來接收受騙者發來的文件和包裹。
米特尼剋信箱
猶如拼圖遊戲,每條信息本身並沒有什麽聯繫。然而,當把它們放在一起時,一個清晰的畫面便出現了。在這個案例中,社會工程師看到的畫面就是那傢公司的整個內部結構。
過程分析
在這次社會工程學的攻擊中,迪迪以獲得目標企業的三個部門電話為開始。這很容易,因為她詢問的電話號碼並不是秘密,尤其是對於內部工作人員。一個社會工程師要聽起來像一個內部人員,此例中的迪迪就很善此道。一個電話號碼幫她弄到成本中心的核算代碼,而後者用來獲取公司職員的通訊錄。她使用的主要工具是:友善的語氣、企業專業用語,以及對那個最後的上當者拋一個口頭上的媚眼。還有一件無法輕易得到的必不可少的工具——社會工程師的操縱能力,它來自於廣泛的實踐,和老一輩騙子們口頭傳下來的經驗。
更多的“無價值”信息
除了成本核算代碼和內部分機電話,還有哪些看似無用但對你的敵人來說非常有價值的信息?
皮特·艾伯爾(Peter Abel)的電話
“嗨,”電話的另一端說:“我是帕剋斯特(Parkhurst)旅行社的湯姆,您去往舊金山的機票已訂好,您要寄過去還是您來拿?”
“舊金山?”皮特說:“我沒打算去舊金山。”
“您是皮特·艾伯爾麽?”
“是的,但我沒有任何旅行的安排。”
“嗯,”對方友好的笑笑,“您確定您不想去舊金山麽?”
“如果你認為你能跟我老闆談談此事的話……”皮特對這次友好的談話開起玩笑。
“這聽起來有些亂,”對方說:“我們的係統依照員工號碼登記旅行安排,也許有人把號碼弄錯了,你的員工號碼是多少?”
皮特欣然報出他的號碼。為什麽?因為這如同他平時所填的公司裏很多人都會看到的人員登記表,人事部、工資名單,很明顯,還有外面的旅行社。沒人把員工號碼當做秘密。這會有什麽影響嗎?
這很難說清。兩到三個信息也許就可以讓社會工程師裝扮成他人扮演一場好戲了。弄到一個工作人員的名字和他的電話號碼,也許為了保險起見,再找到他上司的名字和電話號碼。即使一個不怎麽出色的社會工程師也會盡可能的搜集所需要的信息,以使他給下一個目標打電話時聽起來可信。
如果昨天有人給你打過電話,聲稱他是公司另一個部門的職員,並給出一個含糊的理由來詢問你的員工號碼,你很輕易的就告訴他了麽?
還有,你的社會保險號呢?(譯者註:美國、加拿大居民的身份代碼,類似於中國的身份證號。)
米特尼剋信箱
這個故事的寓意在於,不要把任何個人和公司內部信息或是識別標識告訴他人,除非你聽出她或他的聲音是熟人,並確認對方有這些信息的知情權。
預防措施
公司有責任讓員工意識到對非公共信息的管理不善會帶來嚴重的後果。一個深思熟慮地信息安全策略,再加上正確的教育和培訓,將會極大的提升員工正確處理企業內部信息的意識。資料數據的分類策略也將幫助你實施對信息使用的正確控製,如果沒有分類策略,所有的內部信息都應被視為保密,除非另做指定。
采取以下步驟來防止公司看似無害信息的泄漏:
信息安全部門應操辦意識培訓來講解社會工程師所使用的手段。其中一個方法,正如上文所提到的,就是獲得看似不敏感的信息,然後把它當做籌碼來取得短暫的信任。每一個員工都應該意識到,當一個知道公司辦事程序、專業用語和內部標識的人打來電話時,並不意味着他或她就可以知道所查詢的信息。對方可能是公司以前的員工或是知道公司內部一般情況的合同工(譯者註:某些大公司將員工分為regular和contractor,前者類似事業單位的固定工,後者類似合同工)。因此,每個企業都有責任製定適當的驗證方法,在員工與他們不認識的人通電話或當面交談時使用。
負責製訂資料分類政策的人應該仔細檢查信息的分類,註意那些正式員工可以訪問到的看似無害卻可能會導致敏感信息泄漏的信息。儘管你從未把現金卡(ATM)的密碼告訴過別人,但你曾把開發公司軟件産品的服務器告訴過別人麽?這個信息可不可以讓一個人裝扮成企業員工合法地訪問企業網絡呢?
有時僅僅知道內部的專用術語,就可以讓社會工程師顯得知道很多並可以信賴,攻擊者常常利用這個普遍的錯誤觀念來操縱受騙者。比如,交易碼是銀行開戶處用工作人員每天都使用的認證標識,這個標識的意義與密碼一模一樣。如果每一個工作人員都認識到它的意義——唯一用來確認查詢人身份,他們也許會更加謹慎的對待它。
米特尼剋信箱
正如人所說——即使一個真正的妄想狂也可能有敵人,我們也必須假定每個企業都有它的敵人——以網絡設施為目標危及商業秘密的攻擊者。不要衹把計算機犯罪視作一個統計數字,應盡早地佈置深思熟慮的安全操作方案和策略,這樣才能對企業進行正確的控製以加強防範。
沒有公司或衹有很少的公司,會將首席執行官或董事長的直撥電話告訴別人。儘管大多數公司並不在意在內部公開電話號碼,尤其對於似乎是內部員工的人,實施這樣一個政策還是必要的:禁止對外公開內部職員、合同工、顧問和臨時雇員的電話號碼。
部門或工作組的財務制度,還有企業通訊錄(無論是復印件還是資料文件或是內網上的電子版),都是社會工程師常見的目標。每個企業對這類信息都要有一個成文的使用政策,並讓所有的員工都知道。保安人員則應保留一份備查日志,用以記錄敏感信息透露給企業外人員的情況。像員工號碼這樣的信息,它本身不能用做任何形式的驗證,內部員工不僅要驗證查詢信息者的身份,還要確定對方是否具有相關信息的知情權。
在進行安全培訓時,試一下這個方法:無論什麽時候在接受一個陌生人詢問時,首先要禮貌的拒絶,直到確認對方身份。然後,在做好心人之前,先遵循公司對非公共信息的驗證和使用政策。這種工作方式也許違背了我們樂於助人的天性,但多一點有益的懷疑也許是必要的,以免成為社會工程師的下一個受騙者。
正如本章故事中所敘述的,看似無害的信息也許會成為打開企業最有價值的秘密信息的鑰匙。
對大多數人來說,社會工程師的真正威脅在哪裏?又該如何保持警惕?
如果社會工程師的目標是“最有價值奬”——比如,企業智力資産的核心組成。那麽也許需要的是更堅固的保險庫和全副武裝的保安,對麽?
但在現實中,壞人滲透企業安全的第一步就是獲得某些似乎無利害關係的信息和文件,這些信息和文件看起來十分平常,也不重要,公司裏的人大都不明白為什麽這些東西會被限製和保護。
信息的隱藏價值
社會工程師十分重視企業中許多表面上看去無利害關係的信息,因為這些信息是他能否披上可信外衣的至關重要的因素。
在這一章裏,我將通過讓讀者“親身”經歷攻擊過程,來展示社會工程師的攻擊手段。有時從受害人的角度來表現情節,讓讀者以當事人的身份估計自己(或是你的同事和員工)可能會做出的反應。而更多的時候,讓讀者從社會工程師的角度來經歷攻擊過程。
第一個故事着眼於金融行業的一個漏洞。
信譽支票(CREDITCHEX)
曾經有一段很長的時期,英國的銀行係統十分閉塞,大街上一位誠實普通的市民並不能隨便走進銀行而直接申請一個銀行帳戶。銀行不會把他當做客戶,除非他帶有某位正式銀行客戶的推薦信。
當然,這與如今的表面上人人平等的銀行機構大不一樣。如今辦理銀行業務沒什麽地方比友善、平等的美國更方便了,任何人都可以走進銀行輕鬆的建立一個日常賬戶,是這樣麽?
並非如此。事實上可以理解,銀行很難為一個纔開過空頭支票的人建立賬戶,這很自然,同樣還有那些有着搶劫銀行和挪用賬款記錄的人。這就是一個銀行對其潛在客戶瞬間做出好壞判斷的實際例子。
與銀行有着重要業務聯繫的公司中,有一種機構專門為銀行提供這類信息,我們把這種機構稱之為“信譽支票”。它為客戶提優質的服務,但同許多公司一樣,它也會“無心”的為“有心”的社會工程師們提供便利的服務。
第一個電話:吉姆·安德魯斯(Kim
Andrews)
“國傢銀行,我是吉姆,您是想要開一個帳戶麽?”
“嗨,吉姆,我想請教個問題。你們與信譽支票打交道麽?”
“是的。”
“你們給信譽支票打電話時,怎麽稱呼你們提供的號碼?是叫‘交易號’(Merchant
ID)麽?”短暫的沉默,基姆在衡量這個問題,對方是什麽意圖,她是否應該回答。打電話的人不容對方思考接着問:“是這樣,吉姆,我在寫一本涉及私人調查的書。”
“是的。”她有了回答的信心,因為她還是願意幫助一個作傢的。
“就叫“交易號”,對麽?”
“啊,嗯。”
“好的,很好。我是想確認我的書中使用了正確的專業用語,謝謝你的幫忙,再見,吉姆。”
第二個電話:剋瑞絲·塔伯特(Chris
Talbert)
“國傢銀行,開戶處,我是剋瑞絲。”
“嗨,剋瑞絲,我是阿萊剋斯。”打電話的人說,“我是‘信譽支票’的客服代表,我們在做一項改善服務質量的調查。能耽誤您幾分鐘麽?”剋瑞絲表示願意,打電話的人繼續:“好的。你們部門營業時間是多少?”她給予回答,並接着回答下面的一係列問題。
“你們部門有多少人使用我們的服務?”
“大約多長時間給我們打一次咨詢電話?”
“您用的是我們哪一個800免費電話號碼?”
“我們的客服代表服務態度好麽?”
“我們對業務的響應時間如何?”
“您在銀行工作多長時間了?”
“您通常使用的交易號是多少?”
“您是否發現過我們提供過的信息不準確?”
“如果您對我們的服務有所建議,建議是什麽呢?”最後:
“如果我們把定期調查表寄到你們部門,您會填寫麽?”
她表示同意,然後彼此簡單對了幾句話,電話挂掉,剋瑞絲繼續她的工作。
第三個電話:亨利·麥剋金賽(Henry
McKinsey)
“信譽支票,我是亨利·麥剋金賽,需要幫忙麽?”
打電話的人表明自己是國傢銀行的職員,並報出正確的交易號,以及他想查詢的人的名字和社會保險號。亨利要求出生日期,他也報上。不一會兒,亨利看着自己的計算機屏幕讀道:“韋爾斯·法果在1998年報過一次NSF”——客戶賬款不足(Non
Sufficient Funds),支票已開出,賬戶裏卻沒有足夠錢支付的銀行常用專業用語。
“自那之後,還有資金往來麽?”
“沒有了。”
“有沒有申請其他賬戶?”
“我看一下。有的,兩次,都在上個月。一次是在芝加哥第三聯合信用會(Third
United Credit Union of Chicago),”他斷斷續續地讀出第二個地方,斯卡奈塔第共同投資(Schenectady
Mutual Investments),他不得不逐字母的將名稱拼出。“紐約州。”他最後補充道。
工作中的私人偵探
所有的這三個電話都是同一個人打的,一個私人偵探,我們且稱他為奧斯卡·格瑞斯(Oscar
Grace)吧。格瑞斯有了一位新客戶,他的首批客戶其中之一。幾個月前還是名警察的格瑞斯發現他的新工作有些做起來易如反掌,有些則對他的智力和創造性是個挑戰,這件案子無疑很具有挑戰性。
小說中的冷面神探――塞姆·斯貝茲(Sam
Spades)和菲利浦·馬洛斯(Philip Marlowes),在漫長的夜晚久候在汽車裏誘捕一位騙人的伴侶(譯者註:塞姆和菲利浦都是著名小說和電影中的人物),現實中的私人偵探也做同樣的事情。他們為相互敵對的伴侶之間打探消息,也許沒小說中寫得那麽誇張,但重要性卻一點不差。他們的方法主要是依靠社會工程學的技巧,而不是坐在車子裏與守夜的睏倦做鬥爭。
格瑞斯的新客戶是一位看起來從不缺少衣服和珠寶的女士。一天,她走進他的辦公室,在唯一的一把未堆着文件的皮椅上坐下來,把她的古琦(譯者註:Gucci,意大利名牌)手包放到桌子上,商標衝着他的臉。這位女士告訴格瑞斯,她想跟他的丈夫離婚,但“有一點小麻煩。”
他的丈夫比她早了一步,已經從兩人的儲蓄帳戶中把存款提了出來,並從代理公司(譯者註:專門從事為客戶買賣股票和債券的公司)的賬戶中提走了更大的款項。她想知道他們的錢到哪裏去了,她的離婚律師對此無能為力。格瑞斯猜想她的律師是那種身居住宅區高樓大廈的法律顧問,纔不會為這種“錢到哪裏去了”的爛事自找麻煩。
格瑞斯有辦法麽?
他嚮她保證這是小事一樁,接着報出價格,列出費用,並收了一張支票做為第一筆佣金。接下來,他要面對此事了。如果你以前從未處理過這樣的事情,並根本不知道如何跟蹤一筆資金的來竜去脈,你該從何做起呢?一步一步地往前挪?好吧,我們來講格瑞斯的故事。
我知道信譽支票以及銀行與其的聯繫,我的前妻曾在銀行工作。但我並不知道那些專業術語和業務過程,而嚮我前妻打聽則是浪費時間。
第一步:瞭解專業術語,設計出獲取信息時所需要的對話,以便聽起來不會露出馬腳。我給銀行打電話時,第一位年輕的小姐,吉姆,在我詢問他們如何嚮信譽支票確定自己身份時就有所遲疑,她猶豫着,不知道是否應該告訴我。我被難住了麽?纔不。事實上,她的猶豫給了我一個重要的綫索,提醒我必須給她提供一個可信的理由。當我騙她說為寫一本書而做的調查時,便打消了她的懷疑。聲稱自己是一位作傢或電影劇本作者,可以讓人放鬆警惕。
她知道一些有用的信息,比如信譽支票如何確定打電話人的身份,你可以查詢哪些信息,最重要的——吉姆所在銀行的交易號。我已準備好提出這些問題,但她的猶豫造成了麻煩。吉姆相信了寫書的故事,可她已經有所疑心。如果她更配合些,我就會多問些操作細節了。
專業術語
馬剋(MARK):受騙者
激警(BURN THE SOURCE):攻擊者如果讓對方看出來攻擊的意圖稱為激警。一旦對方有所警覺並通知其他人員,以後再想套出類似的信息就十分睏難了。
你必須依靠自己的感覺,仔細的傾聽馬剋的說話內容和說話方式。這位小姐看起來就十分聰明,如果我提出很多的敏感問題,她一定會敲響警鐘的。即使她不知道我是誰,我用哪個號碼打過來,也不要讓任何人註意到有人在打探消息而有所警覺。這是因為我們不想激警,有可能還需要給這個地方打電話的。
我總是留意那些能夠幫助我瞭解一個人配合程度的微小跡象,其態度各異,從“你聽起來真是一個好人,我相信你所說的每一句話”到“打電話給警察,通知國民警衛隊,這小子要倒黴了。”
我發現了吉姆的警覺,於是我打電話給另一個人——剋瑞絲。在我的第二個電話中,調查表的把戲很能迷惑人。我把重要的問題插進可以建立信任感的無關緊要的問題中,在信譽支票的交易號問題之前,我通過問她在這傢銀行工作多久了這樣一個私人問題,做了一個最後的小測試。
私人問題就像一顆地雷,有些人會毫不註意的踩上去,有些人則知道它會爆炸,趕緊躲開。因此,如果我問及一個私人問題,她在回答的語氣上沒有變化,這就意味着她很可能沒有對提問産生懷疑,我可以在她沒有疑心的問題之下安全地提出關健問題。
一個好的私人偵探還知道,千萬不要在得到關鍵信息後馬上結束談話。多問兩三個問題,小聊一會兒,然後再說拜拜。如果對方稍後想起你提過的問題,很可能是你最後提出的問題,其它的通常會忘記。
這樣,我從剋瑞絲那裏得到了他們的交易號和他們查詢時所用的電話號碼,如果當時我再多問些信譽支票的事,我會更高興的。但沒有進一步冒險,也許更好。
如同有了一張空白支票,無論什麽時候我都可以從信譽支票那裏獲得我需要的信息,甚至不用付費。從前面的情況看出,信譽支票的客服代表十分願意為我提供信息,於是我知道了我客戶的丈夫最近在兩個地方申請建立賬戶。那他將要離婚的妻子尋找的那筆資産在哪裏呢?無論在哪傢銀行,信譽支票都會將其列出吧?
過程分析
整個過程都基於社會工程師的基本策略之一,獲得公司職員認為無關緊要的信息(實際上它是有用的)。第一個銀行職員肯定了打電話給信譽支票時確認身份的術語,第二個職員提供了電話號碼和最至關重要的信息――交易號。透露這些信息對於她們來說似乎是無所謂的,畢竟她們認為與之交談的是信譽支票的工作人員,把號碼說出來又有什麽不對呢?
前兩個電話為第三個電話打下基礎,格瑞斯已經具備給信譽支票打電話需要知道的一切信息,於是冒充信譽支票的客戶——國傢銀行,輕鬆地查詢信息。
格瑞斯竊取信息的技巧絲毫不遜於一個高超的騙子詐騙錢財時所用的手段,在瞭解人方面格瑞斯久經磨練。他懂得把關健信息藏在無關緊要的信息中,也知道在套出交易號之前用私人問題來測試對方的配合程度。
第一個銀行職員在確認信譽支票專業術語上的錯誤幾乎是最難防範的,這種專業用語在銀行業幾乎人人都知道,因此顯得無關緊要――無害信息最普遍的表現形式。但第二個職員,剋瑞絲,不應該在確定打電話人的身份真實與否之前,就非常樂意的回答問題。她至少應該詢問對方的名字和電話號碼並拔回,這樣如果日後發生問題,她還有一個打電話人所使用電話號碼的記錄。在這個案例中,拔回這樣的一個電話還會給攻擊者假扮信譽支票服務人員造成很大的睏難。
米特尼剋信箱
這個案例中的交易號相當於一個密碼,如果銀行工作人員將其與自動取款機的個人識別碼(PIN)一樣看待,便會對它的敏感性給予重視。你所在的機構中有沒有大傢沒有給予重視的編碼和數字呢?
用以前記錄的銀行電話號碼給信譽支票回拔一個電話(不要用對方提供的號碼),以驗證對方是否在那兒工作,信譽支票是否正在做一項客戶調查,這樣的電話還是有必要打的。現代社會人們的工作時間都很緊張,而且這樣的確認電話會占用不少時間,考慮到現實中的實用性,建議工作人員在對對方的目的性有所懷疑時打回一個確認電話。
工程師的圈套
很多人都知道,獵頭公司使用社會工程學來擴大業務範圍,這裏有一個例子:
在90年代末,某個不怎麽道德的職業介紹所簽了一傢新客戶,一傢正在尋找有通訊行業工作經驗的電氣工程師的公司。負責這個項目的經理是一位女士,有着有磁性的嗓音,和充滿誘惑力的言談舉止,這使得她在電話裏很容易獲取別人的好感和信任。這位女士準備對移動電話服務提供商進行一次偷襲,以期找到一些可能會投奔到競爭對手那裏的工程師。她當然不能直接給接綫員打電話說:“我要找五年經驗的工程師”,那樣她的動機會立刻暴露的。她通過詢問看上去無關緊要的信息,電話公司人人都可以告訴別人的信息,巧妙的發動了這次襲擊。
第一個電話:接綫員
攻擊者使用迪迪·桑德斯這個名字給移動電話服務商的總機打了一個電話,對話情形大致如下:
接綫員:下午好,我是瑪麗,您有什麽事情?
迪迪:請幫我接運輸部好麽?
接:我不一定能找到這個號碼,我查一下目錄,您是哪位?
迪:我是迪迪。
接:您在公司大樓裏還是在……?
迪:不,我在外面。
接:你是迪迪……?
迪:迪迪·桑德斯,我以前知道運輸部的分機號,但我現在忘了。
接:稍等。
為了減少懷疑,在這裏迪迪設計了一次談話,讓對方認為她是內部人員,熟悉公司的情況。
接:您在哪裏辦公?主街商廈(Main
Place)還是望湖大廈(Lakeview)?
迪:主街。(停頓一下)接:電話是805-555-6469。
有可能給運輸部打電話後也得不到所需的信息,迪迪又要了資産部的電話,作為備用。接綫員幫迪迪接到運輸部,但綫路正忙。於是,迪迪又問第三個電話,位於得剋薩斯州首府奧斯丁的收款部號碼。接綫員讓她等一會兒,並放下電話。接綫員有所警覺了麽?她在嚮保衛部門報告她接到一個可疑電話麽?纔不,迪迪一點都不擔心。接綫員衹是有些不耐煩了,但這是她再平常不過的日常工作了。一分鐘後,接綫員拿起電話,查到收款部的號碼,給迪迪接通。
第二個電話:派基(Peggy)
對話大致如下:
派基:收款部,我是派基。
迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。
派:嗨,迪迪。
迪:你好嗎?
派:還好。
迪迪接着使用企業內部的習慣用語來描述成本核算代碼——給一個特定的機構或工作組分配費用的代碼(譯者註:常在報銷費用時填寫)。
迪:很好。我有個問題問你。我如何才能找到某個部門的成本中心(cost
center)?
派:你必須聯繫到那個部門的預算師。
迪:你知道誰是橡木城總部的預算師麽?我在填表,但我不知道該填哪個成本中心?
派:我衹知道要找成本中心的代碼時,打電話給預算師。
迪:你們部門在德剋薩斯有成本中心麽?
派:我們有自己的成本中心,但我們沒有完整的成本中心列表。
迪:成本中心的代碼是多少位?比如,你們的成本中心?
派:嗯,這樣,你是9WC還是SAT?
迪迪並不知道這是指哪個部門或工作組,但這並不重要,她回答道:
迪:9WC。
派:那一般是四位數字。你說你在哪裏?
迪:橡木城總部。
派:哦,這裏有橡木城的代碼。 1A5N,N是Nancy的N。
僅僅與願意幫忙的人打交道到足夠時間,迪迪便得到了她需要的代碼,這個代碼就是所謂的被人認為是無需保護的信息,因為它對企業外面的人來講,似乎沒有任何價值。
第三個電話:有用的錯誤號碼
迪迪的下一步是把成本中心的代碼當做籌碼來開發更大的價值。她先給資産部打電話,假裝是故意拔錯的電話。以“不好意思,但……”做為話頭,她聲稱自己丟失了公司的通訊錄,看看對方可不可以幫她弄一個新的。對方說公司已將通訊錄放在內部網站上,打印出來的已經過期了。迪迪說她還是想要一份復印件,對方讓她打刊印部的電話,並主動查到刊印部的電話(也許是想讓這位聲音性感的女士多在電話上呆一會兒吧)然後告訴了她。
第四個電話:刊印部的巴特
在刊印部,她與一個叫巴特的人談上了話。迪迪說她是橡木城的,他們新來了一位顧問,需要一份公司的通訊錄。她告訴巴特,對於這位顧問來說,一份復印件會讓工作更順利些,即便有些過期。巴特告訴她需要填一份申請單然後再寄給他。迪迪說她手頭沒有申請單,而且事情很急,她甜言蜜語地問巴特是否能發個善心幫她填這個單子?他有些過分熱心地同意了,接着迪迪報出單子上的各項內容。在報出虛構的簽單人地址時,她慢慢地說出了一個被社會工程師稱為“秘密通信地”的號碼,在這裏是一個郵箱號,商用的,她的公司為類似這種情況而租用的郵箱。這時,早先的準備工作派上了用場。郵遞這份目錄會産生費用,迪迪給出了橡木城成本中心的成本核算代碼:“1A5N,N是Nancy的N。”
幾天後,企業通訊錄寄到,迪迪發現比她期望的還要好。上面不僅有名字和電話號碼,還有人員之間的工作關係,整個企業的組織結構。
這位有着磁性嗓音的女士可以通過拔打人員電話開始她的獵頭行動了。她使用社會工程師久經磨練的談話技巧,騙取了開始行動所需的信息,她現在已經準備好收穫了。
專業術語
秘密通信地(Mail
Drop):社會工程師把租來的郵箱稱為秘密通信地,通常是用假名字租用的,用來接收受騙者發來的文件和包裹。
米特尼剋信箱
猶如拼圖遊戲,每條信息本身並沒有什麽聯繫。然而,當把它們放在一起時,一個清晰的畫面便出現了。在這個案例中,社會工程師看到的畫面就是那傢公司的整個內部結構。
過程分析
在這次社會工程學的攻擊中,迪迪以獲得目標企業的三個部門電話為開始。這很容易,因為她詢問的電話號碼並不是秘密,尤其是對於內部工作人員。一個社會工程師要聽起來像一個內部人員,此例中的迪迪就很善此道。一個電話號碼幫她弄到成本中心的核算代碼,而後者用來獲取公司職員的通訊錄。她使用的主要工具是:友善的語氣、企業專業用語,以及對那個最後的上當者拋一個口頭上的媚眼。還有一件無法輕易得到的必不可少的工具——社會工程師的操縱能力,它來自於廣泛的實踐,和老一輩騙子們口頭傳下來的經驗。
更多的“無價值”信息
除了成本核算代碼和內部分機電話,還有哪些看似無用但對你的敵人來說非常有價值的信息?
皮特·艾伯爾(Peter Abel)的電話
“嗨,”電話的另一端說:“我是帕剋斯特(Parkhurst)旅行社的湯姆,您去往舊金山的機票已訂好,您要寄過去還是您來拿?”
“舊金山?”皮特說:“我沒打算去舊金山。”
“您是皮特·艾伯爾麽?”
“是的,但我沒有任何旅行的安排。”
“嗯,”對方友好的笑笑,“您確定您不想去舊金山麽?”
“如果你認為你能跟我老闆談談此事的話……”皮特對這次友好的談話開起玩笑。
“這聽起來有些亂,”對方說:“我們的係統依照員工號碼登記旅行安排,也許有人把號碼弄錯了,你的員工號碼是多少?”
皮特欣然報出他的號碼。為什麽?因為這如同他平時所填的公司裏很多人都會看到的人員登記表,人事部、工資名單,很明顯,還有外面的旅行社。沒人把員工號碼當做秘密。這會有什麽影響嗎?
這很難說清。兩到三個信息也許就可以讓社會工程師裝扮成他人扮演一場好戲了。弄到一個工作人員的名字和他的電話號碼,也許為了保險起見,再找到他上司的名字和電話號碼。即使一個不怎麽出色的社會工程師也會盡可能的搜集所需要的信息,以使他給下一個目標打電話時聽起來可信。
如果昨天有人給你打過電話,聲稱他是公司另一個部門的職員,並給出一個含糊的理由來詢問你的員工號碼,你很輕易的就告訴他了麽?
還有,你的社會保險號呢?(譯者註:美國、加拿大居民的身份代碼,類似於中國的身份證號。)
米特尼剋信箱
這個故事的寓意在於,不要把任何個人和公司內部信息或是識別標識告訴他人,除非你聽出她或他的聲音是熟人,並確認對方有這些信息的知情權。
預防措施
公司有責任讓員工意識到對非公共信息的管理不善會帶來嚴重的後果。一個深思熟慮地信息安全策略,再加上正確的教育和培訓,將會極大的提升員工正確處理企業內部信息的意識。資料數據的分類策略也將幫助你實施對信息使用的正確控製,如果沒有分類策略,所有的內部信息都應被視為保密,除非另做指定。
采取以下步驟來防止公司看似無害信息的泄漏:
信息安全部門應操辦意識培訓來講解社會工程師所使用的手段。其中一個方法,正如上文所提到的,就是獲得看似不敏感的信息,然後把它當做籌碼來取得短暫的信任。每一個員工都應該意識到,當一個知道公司辦事程序、專業用語和內部標識的人打來電話時,並不意味着他或她就可以知道所查詢的信息。對方可能是公司以前的員工或是知道公司內部一般情況的合同工(譯者註:某些大公司將員工分為regular和contractor,前者類似事業單位的固定工,後者類似合同工)。因此,每個企業都有責任製定適當的驗證方法,在員工與他們不認識的人通電話或當面交談時使用。
負責製訂資料分類政策的人應該仔細檢查信息的分類,註意那些正式員工可以訪問到的看似無害卻可能會導致敏感信息泄漏的信息。儘管你從未把現金卡(ATM)的密碼告訴過別人,但你曾把開發公司軟件産品的服務器告訴過別人麽?這個信息可不可以讓一個人裝扮成企業員工合法地訪問企業網絡呢?
有時僅僅知道內部的專用術語,就可以讓社會工程師顯得知道很多並可以信賴,攻擊者常常利用這個普遍的錯誤觀念來操縱受騙者。比如,交易碼是銀行開戶處用工作人員每天都使用的認證標識,這個標識的意義與密碼一模一樣。如果每一個工作人員都認識到它的意義——唯一用來確認查詢人身份,他們也許會更加謹慎的對待它。
米特尼剋信箱
正如人所說——即使一個真正的妄想狂也可能有敵人,我們也必須假定每個企業都有它的敵人——以網絡設施為目標危及商業秘密的攻擊者。不要衹把計算機犯罪視作一個統計數字,應盡早地佈置深思熟慮的安全操作方案和策略,這樣才能對企業進行正確的控製以加強防範。
沒有公司或衹有很少的公司,會將首席執行官或董事長的直撥電話告訴別人。儘管大多數公司並不在意在內部公開電話號碼,尤其對於似乎是內部員工的人,實施這樣一個政策還是必要的:禁止對外公開內部職員、合同工、顧問和臨時雇員的電話號碼。
部門或工作組的財務制度,還有企業通訊錄(無論是復印件還是資料文件或是內網上的電子版),都是社會工程師常見的目標。每個企業對這類信息都要有一個成文的使用政策,並讓所有的員工都知道。保安人員則應保留一份備查日志,用以記錄敏感信息透露給企業外人員的情況。像員工號碼這樣的信息,它本身不能用做任何形式的驗證,內部員工不僅要驗證查詢信息者的身份,還要確定對方是否具有相關信息的知情權。
在進行安全培訓時,試一下這個方法:無論什麽時候在接受一個陌生人詢問時,首先要禮貌的拒絶,直到確認對方身份。然後,在做好心人之前,先遵循公司對非公共信息的驗證和使用政策。這種工作方式也許違背了我們樂於助人的天性,但多一點有益的懷疑也許是必要的,以免成為社會工程師的下一個受騙者。
正如本章故事中所敘述的,看似無害的信息也許會成為打開企業最有價值的秘密信息的鑰匙。