人也可能是目标。“能帮个忙么?把这个放到公司内部的邮袋。”收发室的人可不知道它是一张带有特殊程序的针对首席执行官秘书的软盘。这样,攻击者本人就拥有了首席执行官的邮件拷贝。不会吧?这事情真得会在企业中发生么?答案是,绝对可能。
一美分的手机
许多人都在寻找好的机会,不达目的不罢休。社会工程师不然,他们找到办法使机会变得更好。比如,某公司进行一项诱人的市场优惠活动,社会工程师就会想办法扩大他的利益。
不久以前,一家全国xìng的无线通讯公司发起了一个大规模的促销活动,只要你登记接受一种资费方式,便可以得到一部全新的手机,只收一美分。对于一个精明的消费者来说,在登记一种资费方式之前,有好多问题要问清楚。通讯服务是模拟还是数字的,或是两者结合?每个月的免费通话时间是多少?是否包含漫游费…… 等等,等等,尤其重要的是资费合同时限——你承诺的资费方式是多长时间,几个月还是几年?
想像一个这样的情景,一位费城(Philadelphia)的社会工程师被通讯公司提供的一款十分便宜的手机所打动,但他讨厌与其捆绑的资费方式。没什么大不了的,他也许使用下面的方法来解决此事……
第一个电话:泰德(Ted)
他首先打给位于西吉拉德(West Girard)的一家电器连锁店。
“电子商城,我是泰德。”
“嗨,泰德,我叫亚当。是这样,我在前几天晚上,跟你们的一个男销售员谈到一个手机,我说一旦决定了就给他打电话。可我忘了他的名字,你们值夜班的人是谁?”
“不只一位,是威廉么?”
“不知道,也许是吧。他长什么样?”
“高个子,瘦瘦的。”
“我想是他吧,他姓什么来着?”
“哈德利。哈-德-利(H--A--D--L--E-- Y.)”
“是的,是他。他什么时候上班?”
“我不知道他这星期的排班,但上夜班的人5点到。”
“好的,那我试试晚上找他。谢谢,泰德。”
第二个电话:凯蒂(Katie)
第二个电话打给位于北广街(North Broad Street)的连锁店。
“嗨,电器商城。我是凯蒂,需要帮忙么?”
“凯蒂,嗨!我是威廉?哈德利,西吉拉德店的。今天过得怎么样?”
“有点儿忙,什么事?”
“我有一位顾客想购买那个一美分的手机,你知道这个手机的资费捆绑吧?”
“是的,上星期我售出了一些。”
“你那儿还有这种资费捆绑的手机么?”
“还有一堆呢。”
“很好。我刚售出了一个这种手机的资费,顾客通过了信用记录(译者注:美国通讯公司会查询手机用户过去的使用记录,以确定用户是否具备享受某一资费方式的资格),我们也签了资费合同。我查了一下该死的存货记录,却没有这种手机了。这让我很难做,你能帮个忙么?我让他到你们店去买一美分的手机,你卖给他后开张发票。他买到手机后会给我打电话,然后我再告诉他怎么用。”
“好的,当然可以。让他来吧。”
“太好了,他叫泰德,泰德?岩西(Ted Yancy)。”
一个自称泰德?岩西的人来到北广街连锁店,凯蒂开了一张发票,把一美分的手机卖给他,完全依照她的“同事”jiāo待给她的事情,从而彻底地掉入骗局。付钱时,这个顾客的钱包里一枚硬币也没有,于是他到收款台的零钱碟中拿了一枚,jiāo给她完成登记。他甚至一分钱都没有花就得到了那部手机。
过程分析
人们会很自然地相信熟悉公司内部的业务流程和专业用语,并声称自己是公司同事的人。这个故事中的社会工程师就是利用了这一点,通过了解促销活动的细节,扮做公司的职员,并要求另一个分店人员的帮助。这种事情在各零售店之间以及一个公司的各部门之间经常发生,这是因为人们没有机会接触,天天与从未见过面的同事打jiāo道。
入侵FBI
人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目,节目制作者在网上做了一次搜索,发现了一份访问国家犯罪信息中心(NCIC)的cāo作说明拷贝。不久他发现,真正的NCICcāo作说明原件就在网上,这是一份相当敏感的文档,它记录着从FBI的国家犯罪记录数据库中提取信息的所有cāo作说明。对于执法部门,这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的cāo作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息,手册里包含了数据库中用来标明各种信息的代码,从各种各样的纹身到各式各样的轮船外壳,再到失窃纸币和债券的面额。
任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则,然后依据手册上的步骤指导,再加一点胆量,人人都可以从数据库中提取信息,而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。
FBI几乎肯定不知道如此敏感的资料暴露在网上,我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的,另一份是由得克萨斯州的执法机构传到网上。为什么?这都是因为,也许某人觉得这些信息可能没什么价值,放到网上也不会有什么害处。也许有人为了内部人员使用上的方便,而它放到内网上,却从未想到会被在网上使用搜索引擎(如Google)的人找到,包括仅仅是好奇的人、还有想当警察的人、黑客,以及有组织的犯罪团伙。
接入系统
利用这样的信息来欺骗有政府或企业背景的人,使用的准则是相同的:由于社会工程师知道如何访问特定的数据库或应用程序,或是知道公司的服务器名称等类似的事情,他因此具备可信xìng,这种可信导致信任。一旦社会工程师拥有了这样的代码,获得所需信息就十分简单。在这个例子中,他首先给当地的州警察局电讯室打电话,针对手册上的一个代码,提出问题。比如,犯罪代码。他可能这样说,“我在NCIC做犯罪记录查询时,碰到‘系统发生问题’的错误提示。你做记录查询时碰到过这种情况么?能帮我试一下么?”或者他会说正在查询WPF(警方用语,被通辑人的档案)。电话另一端,电讯室的工作人员就会意识到对方熟悉查询 NCIC数据库的cāo作程序和命令,除了受过训练的人,谁会知道这些cāo作程序呢?
工作人员确定她的系统运行正常后,谈话可能像这样进行:
“我可以帮点儿忙。你要查什么?”
“我要查瑞尔顿?马丁的犯罪记录,出生日期66年10月18日。”
“索什(SOSH,执行部门的人有时把社会保险号简称为索什)是多少?”
“700-14-7435。”
找到名单后,她可能这样说:“他的犯罪记录代码是2602。”
现在,攻击者只需到NCIC的网站上查一下这个号码的含义了——这个人有一桩诈骗的犯罪记录。
过程分析
一个出色的社会工程师一刻也不会停止思考闯入NCIC数据库的办法,往当地警察局打上一个电话,花言巧语一番让对方认为自己是内部人员,这就足以能够得到他所需的信息。下一次,他只需使用相同的借口往另一个警察局打电话就是了。为什么获得信息如此容易?
专业术语
索什:执法部门对社会保险号的简称。
你可能觉得奇怪,往州、县警察局,或是高速公路巡警处打电话不危险么?攻击者岂不是冒着很大的风险?
答案是“不”。由于某种原因,执法部门的人(比如军事部门),自从步入这个圈子的那一天起,就牢牢地记住对等级的尊重。社会工程师只要装扮成一名中士或中尉(比对方级别要高),对方就会被那句根深蒂固的训诫所支配——不要向职位、权力比你高的人提问。换句话来说,级别,享有特权,尤其是级别低的人不能对级别高的人提出置疑的特权。不要认为只有执法部门和军事部门才会看重级别的高低,社会工程师经常把企业中的等级特权做为他们对业务信息的攻击武器,一如本书中的故事中所做的示范。
预防措施
你的机构能采取哪些措施以降低社会工程师利用雇员相信他人的习惯来实施攻击的可能?下面提供一些建议:
保护你的客户
在当今的电子时代,许多销售公司都会把客户的信用卡信息存档。这是由于,在客户去商店或网站购物时,它省去了客户每次都要填写信用卡信息的麻烦。然而,这种习惯应该去除。如果你必须将信用卡号存档,则应采取加密或访问控制等相应的安全措施,工作人员需要培训以认清类似于本章中描述的社会工程师的诡计。只是通过电话但从未见过面的同事,可能不是她或他声称的那个人,他也许没有访问客户信息的知情权,因为,他可能根本就不在这个公司工作。
米特尼克信箱
人人都应了解社会工程师的惯用手段:尽可能的收集目标的所有信息,并利用这些信息获取信任,让对方认为自已是内部人员,然后便深入腹地。
有节制的给予信任
并不是只有那些有权访问到敏感信息的人,软件工程师、发展研究部门的人等等,需要得到防入侵的安全培训,几乎公司里的所有人员都需要安全培训以保护企业,防范商业间谍和信息窃贼。实施这项基础工作首先要在企业范围内做一项信息资产的调查,单独地审视每一项关键、敏感,或是有价值的信息资产,并提出问题,攻击者可能会使用什么样的社会工程手段来危及这些资产的安全。围绕这些问题,为有权访问信息资产的人制定出恰当的培训方案。任何没有见过面的人找你询问某些信息和资料,或是让你cāo作一下你的计算机时,每一个员工都应该问自己:如果我把这些信息透露给最坏的敌人,我或我的公司会因此而受到伤害么?我的确完全知道对方要求我做的计算机cāo作存在的潜在影响么?
我们并不想怀疑我们遇到的每一个陌生人,在怀疑中渡过人生。然而,我们越容易相信他人,我们就越容易被欺骗,从而把公司的私有信息泄露给下一个社会工程师。
内部网上有什么?
企业的内网也许有些内容会对外开放,剩下的只开放给员工。那你的公司是否确保了敏感信息不被放到不该放的地方?你的机构对内网上的敏感信息是否被放到网站公众访问区的最后一次检查是在什么时候?如果你的公司使用了代理服务器来增加企业的网络安全xìng,最近有没有进行检查以确保这些服务器做到正确的配置?
实际上,有人检查过你的内网安全xìng么?
当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。社会工程师了解这一点,并懂得如何利用它。他还知道如何制造一个麻烦,然后帮你解决以获得你的感激,最后利用你的感激之情来获取信息或得到你的一些小关照,这将把你的公司或是你个人置于不利的地步,而你可能永远不知道你已经遭受损失。下面是一些社会工程师“帮忙”的典型方法。
网络故障
日期/时间:2月12日星期一,15:25
地点:斯达伯德(Starboard)造船厂办公室
第一个电话:汤姆?狄雷(Tom Delay)
“簿记处,汤姆?狄雷。”
“嗨,汤姆,我是服务中心的艾迪?马丁(Eddie Martin)。我们正在检修计算机网络,你们部门有人在线时遇到问题了么?”
“嗯,据我所知没有人。”
“你这儿也没什么麻烦吧?”
“没有,还算正常。”
“好的,很好。是这样,我们正在给可能发生网络问题的人打电话,如果你的网络连接中断请立即告诉我们,这很重要。”
“听起来可不妙,你觉得它可能出问题么?”
“我们希望不会,但一旦有情况,请打电话好么?”
“这你放心。”
“是这样,如果你们的网络连接掉线,很可能是你这儿的问题……”
“那可没准儿。”
“所以我们会检修你这里的网络,我把我的手机号留给你,如果有需要你可以直接找到我。”
“太好了,请说。”
“555 867 5309。”
“555 867 5309,好了,谢谢。你叫什么来着?”
“艾迪。听着,还有一件事。我需要检测一下你的计算机连接端口,看一下你的计算机哪里贴着一个大概写着“端口号”字样的标签?”
“稍等,没有,我看不到有这样的东西。”
“好吧,这样,你再看计算机的后面,能找到网线么?”
“是的。”
“顺着线找到它的chā头,看看它的chā口上是否有一个标签。”
“稍等一下,再等等,我必须蹲下离近些才能看清楚。好的,上面写着6杠47(6-47)。”
“很好,那就是我们记录的端口号,只是为了确认一下。”
第二个电话:技术支持
两天后,一个电话打到该厂的网络管理中心。
“嗨,我是鲍勃(Bob),我现在簿记处汤姆?狄雷的办公室。我们正在检修网线故障,请你封掉6-47的端口。”
技术支持人员回答说很快就封掉,并说可以恢复的时候再通知他们。
第三个电话:敌人的帮助
一个小时后,一位自称艾迪?马丁的人在Circuit City购物时,他的手机响了。他发现是造船厂的号码,便迅速地转到一个安静的角落接听手机。
“服务中心,艾迪。”
“哦,嗨,艾迪。有事找你,你在哪儿?”
“我么,嗯,我在机房,你是
笔趣阁读书免费小说阅读_www.biqugedu.com