1、第二部 攻击者的手段 第二章 无害信息的价值对大多数人来说,社会工程师的真正威胁在哪里?又该如何保持警惕?如果社会工程师的目标是“最有价值奖”比如,企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安,对么?但在现实中,坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件,这些信息和文件看起来十分平常,也不重要,公司里的人大都不明白为什么这些东西会被限制和保护。信息的隐藏价值社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上可信外衣的至关重要的因素。在这一章里,我将通过让读者“亲身”经历攻击过程,来展示社会工程师的攻击手段。有时从受害人
2、的角度来表现情节,让读者以当事人的身份估计自己(或是你的同事和员工)可能会做出的反应。而更多的时候,让读者从社会工程师的角度来经历攻击过程。第一个故事着眼于金融行业的一个漏洞。信誉支票(CREDITCHEX)曾经有一段很长的时期,英国的银行系统十分闭塞,大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户,除非他带有某位正式银行客户的推荐信。当然,这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了,任何人都可以走进银行轻松的建立一个日常账户,是这样么?并非如此。事实上可以理解,银行很难为一个才开过空头支票的人建立账
3、户,这很自然,同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构称之为“信誉支票” 。它为客户提优质的服务,但同许多公司一样,它也会“无心”的为“有心”的社会工程师们提供便利的服务。第一个电话:吉姆安德鲁斯(Kim Andrews)“国家银行,我是吉姆,您是想要开一个帐户么?”“嗨,吉姆,我想请教个问题。你们与信誉支票打交道么?”“是的。 ”“你们给信誉支票打电话时,怎么称呼你们提供的号码?是叫交易号(Merchant ID)么?”短暂的沉默,基姆在衡量这个问题,对方
4、是什么意图,她是否应该回答。打电话的人不容对方思考接着问:“是这样,吉姆,我在写一本涉及私人调查的书。 ”“是的。 ”她有了回答的信心,因为她还是愿意帮助一个作家的。“就叫“交易号” ,对么?”“啊,嗯。 ”“好的,很好。我是想确认我的书中使用了正确的专业用语,谢谢你的帮忙,再见,吉姆。 ”第二个电话:克瑞丝塔伯特(Chris Talbert)“国家银行,开户处,我是克瑞丝。 ”“嗨,克瑞丝,我是阿莱克斯。 ”打电话的人说, “我是信誉支票的客服代表,我们在做一项改善服务质量的调查。能耽误您几分钟么?”克瑞丝表示愿意,打电话的人继续:“好的。你们部门营业时间是多少?”她给予回答,并接着回答下面
5、的一系列问题。“你们部门有多少人使用我们的服务?”“大约多长时间给我们打一次咨询电话?”“您用的是我们哪一个 800 免费电话号码?”“我们的客服代表服务态度好么?”“我们对业务的响应时间如何?”“您在银行工作多长时间了?”“您通常使用的交易号是多少?”“您是否发现过我们提供过的信息不准确?”“如果您对我们的服务有所建议,建议是什么呢?”最后:“如果我们把定期调查表寄到你们部门,您会填写么?”她表示同意,然后彼此简单对了几句话,电话挂掉,克瑞丝继续她的工作。第三个电话:亨利麦克金赛(Henry McKinsey) “信誉支票,我是亨利麦克金赛,需要帮忙么?”打电话的人表明自己是国家银行的职员,
6、并报出正确的交易号,以及他想查询的人的名字和社会保险号。亨利要求出生日期,他也报上。不一会儿,亨利看着自己的计算机屏幕读道:“韦尔斯法果在 1998 年报过一次 NSF”客户账款不足(Non Sufficient Funds) ,支票已开出,账户里却没有足够钱支付的银行常用专业用语。“自那之后,还有资金往来么?”“没有了。 ”“有没有申请其他账户?”“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会(Third United Credit Union of Chicago) , ”他断断续续地读出第二个地方,斯卡奈塔第共同投资(Schenectady Mutual Investm
7、ents) ,他不得不逐字母的将名称拼出。 “纽约州。 ”他最后补充道。工作中的私人侦探所有的这三个电话都是同一个人打的,一个私人侦探,我们且称他为奥斯卡格瑞斯(Oscar Grace)吧。格瑞斯有了一位新客户,他的首批客户其中之一。几个月前还是名警察的格瑞斯发现他的新工作有些做起来易如反掌,有些则对他的智力和创造性是个挑战,这件案子无疑很具有挑战性。小说中的冷面神探塞姆斯贝兹(Sam Spades)和菲利浦马洛斯(Philip Marlowes) ,在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣(译者注:塞姆和菲利浦都是著名小说和电影中的人物) ,现实中的私人侦探也做同样的事情。他们为相互敌对的
8、伴侣之间打探消息,也许没小说中写得那么夸张,但重要性却一点不差。他们的方法主要是依靠社会工程学的技巧,而不是坐在车子里与守夜的困倦做斗争。格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天,她走进他的办公室,在唯一的一把未堆着文件的皮椅上坐下来,把她的古琦(译者注:Gucci ,意大利名牌)手包放到桌子上,商标冲着他的脸。这位女士告诉格瑞斯,她想跟他的丈夫离婚,但“有一点小麻烦。 ”他的丈夫比她早了一步,已经从两人的储蓄帐户中把存款提了出来,并从代理公司(译者注:专门从事为客户买卖股票和债券的公司)的账户中提走了更大的款项。她想知道他们的钱到哪里去了,她的离婚律师对此无能为力。格瑞斯猜想
9、她的律师是那种身居住宅区高楼大厦的法律顾问,才不会为这种“钱到哪里去了”的烂事自找麻烦。格瑞斯有办法么?他向她保证这是小事一桩,接着报出价格,列出费用,并收了一张支票做为第一笔佣金。接下来,他要面对此事了。如果你以前从未处理过这样的事情,并根本不知道如何跟踪一笔资金的来龙去脉,你该从何做起呢?一步一步地往前挪?好吧,我们来讲格瑞斯的故事。我知道信誉支票以及银行与其的联系,我的前妻曾在银行工作。但我并不知道那些专业术语和业务过程,而向我前妻打听则是浪费时间。第一步:了解专业术语,设计出获取信息时所需要的对话,以便听起来不会露出马脚。我给银行打电话时,第一位年轻的小姐,吉姆,在我询问他们如何向信誉
10、支票确定自己身份时就有所迟疑,她犹豫着,不知道是否应该告诉我。我被难住了么?才不。事实上,她的犹豫给了我一个重要的线索,提醒我必须给她提供一个可信的理由。当我骗她说为写一本书而做的调查时,便打消了她的怀疑。声称自己是一位作家或电影剧本作者,可以让人放松警惕。她知道一些有用的信息,比如信誉支票如何确定打电话人的身份,你可以查询哪些信息,最重要的吉姆所在银行的交易号。我已准备好提出这些问题,但她的犹豫造成了麻烦。吉姆相信了写书的故事,可她已经有所疑心。如果她更配合些,我就会多问些操作细节了。专业术语 马克(MARK ):受骗者激警(BURN THE SOURCE):攻击者如果让对方看出来攻击的意图
11、称为激警。一旦对方有所警觉并通知其他人员,以后再想套出类似的信息就十分困难了。你必须依靠自己的感觉,仔细的倾听马克的说话内容和说话方式。这位小姐看起来就十分聪明,如果我提出很多的敏感问题,她一定会敲响警钟的。即使她不知道我是谁,我用哪个号码打过来,也不要让任何人注意到有人在打探消息而有所警觉。这是因为我们不想激警,有可能还需要给这个地方打电话的。我总是留意那些能够帮助我了解一个人配合程度的微小迹象,其态度各异,从“你听起来真是一个好人,我相信你所说的每一句话”到“打电话给警察,通知国民警卫队,这小子要倒霉了。 ”我发现了吉姆的警觉,于是我打电话给另一个人克瑞丝。在我的第二个电话中,调查表的把戏
12、很能迷惑人。我把重要的问题插进可以建立信任感的无关紧要的问题中,在信誉支票的交易号问题之前,我通过问她在这家银行工作多久了这样一个私人问题,做了一个最后的小测试。私人问题就像一颗地雷,有些人会毫不注意的踩上去,有些人则知道它会爆炸,赶紧躲开。因此,如果我问及一个私人问题,她在回答的语气上没有变化,这就意味着她很可能没有对提问产生怀疑,我可以在她没有疑心的问题之下安全地提出关健问题。一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小聊一会儿,然后再说拜拜。如果对方稍后想起你提过的问题,很可能是你最后提出的问题,其它的通常会忘记。这样,我从克瑞丝那里得到了他们的交易号
13、和他们查询时所用的电话号码,如果当时我再多问些信誉支票的事,我会更高兴的。但没有进一步冒险,也许更好。如同有了一张空白支票,无论什么时候我都可以从信誉支票那里获得我需要的信息,甚至不用付费。从前面的情况看出,信誉支票的客服代表十分愿意为我提供信息,于是我知道了我客户的丈夫最近在两个地方申请建立账户。那他将要离婚的妻子寻找的那笔资产在哪里呢?无论在哪家银行,信誉支票都会将其列出吧?过程分析整个过程都基于社会工程师的基本策略之一,获得公司职员认为无关紧要的信息(实际上它是有用的) 。第一个银行职员肯定了打电话给信誉支票时确认身份的术语,第二个职员提供了电话号码和最至关重要的信息交易号。透露这些信息
14、对于她们来说似乎是无所谓的,毕竟她们认为与之交谈的是信誉支票的工作人员,把号码说出来又有什么不对呢?前两个电话为第三个电话打下基础,格瑞斯已经具备给信誉支票打电话需要知道的一切信息,于是冒充信誉支票的客户国家银行,轻松地查询信息。格瑞斯窃取信息的技巧丝毫不逊于一个高超的骗子诈骗钱财时所用的手段,在了解人方面格瑞斯久经磨练。他懂得把关健信息藏在无关紧要的信息中,也知道在套出交易号之前用私人问题来测试对方的配合程度。第一个银行职员在确认信誉支票专业术语上的错误几乎是最难防范的,这种专业用语在银行业几乎人人都知道,因此显得无关紧要无害信息最普遍的表现形式。但第二个职员,克瑞丝,不应该在确定打电话人的
15、身份真实与否之前,就非常乐意的回答问题。她至少应该询问对方的名字和电话号码并拔回,这样如果日后发生问题,她还有一个打电话人所使用电话号码的记录。在这个案例中,拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成很大的困难。米特尼克信箱这个案例中的交易号相当于一个密码,如果银行工作人员将其与自动取款机的个人识别码(PIN )一样看待,便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢?用以前记录的银行电话号码给信誉支票回拔一个电话(不要用对方提供的号码) ,以验证对方是否在那儿工作,信誉支票是否正在做一项客户调查,这样的电话还是有必要打的。现代社会人们的工作时间都很紧
16、张,而且这样的确认电话会占用不少时间,考虑到现实中的实用性,建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。工程师的圈套 很多人都知道,猎头公司使用社会工程学来扩大业务范围,这里有一个例子:在 90 年代末,某个不怎么道德的职业介绍所签了一家新客户,一家正在寻找有通讯行业工作经验的电气工程师的公司。负责这个项目的经理是一位女士,有着有磁性的嗓音,和充满诱惑力的言谈举止,这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电话服务提供商进行一次偷袭,以期找到一些可能会投奔到竞争对手那里的工程师。她当然不能直接给接线员打电话说:“我要找五年经验的工程师” ,那样她的动机会立刻暴露
17、的。她通过询问看上去无关紧要的信息,电话公司人人都可以告诉别人的信息,巧妙的发动了这次袭击。第一个电话:接线员攻击者使用迪迪桑德斯这个名字给移动电话服务商的总机打了一个电话,对话情形大致如下:接线员:下午好,我是玛丽,您有什么事情?迪迪:请帮我接运输部好么?接:我不一定能找到这个号码,我查一下目录,您是哪位?迪:我是迪迪。接:您在公司大楼里还是在?迪:不,我在外面。接:你是迪迪?迪:迪迪桑德斯,我以前知道运输部的分机号,但我现在忘了。接:稍等。为了减少怀疑,在这里迪迪设计了一次谈话,让对方认为她是内部人员,熟悉公司的情况。接:您在哪里办公?主街商厦(Main Place )还是望湖大厦( La
18、keview)?迪:主街。 (停顿一下)接:电话是 805-555-6469。有可能给运输部打电话后也得不到所需的信息,迪迪又要了资产部的电话,作为备用。接线员帮迪迪接到运输部,但线路正忙。于是,迪迪又问第三个电话,位于得克萨斯州首府奥斯丁的收款部号码。接线员让她等一会儿,并放下电话。接线员有所警觉了么?她在向保卫部门报告她接到一个可疑电话么?才不,迪迪一点都不担心。接线员只是有些不耐烦了,但这是她再平常不过的日常工作了。一分钟后,接线员拿起电话,查到收款部的号码,给迪迪接通。第二个电话:派基(Peggy)对话大致如下:派基:收款部,我是派基。迪迪:嗨,派基,我是橡木城(Thousand Oa
19、ks)的迪迪。派:嗨,迪迪。迪:你好吗?派:还好。迪迪接着使用企业内部的习惯用语来描述成本核算代码给一个特定的机构或工作组分配费用的代码(译者注:常在报销费用时填写) 。迪:很好。我有个问题问你。我如何才能找到某个部门的成本中心(cost center)?派:你必须联系到那个部门的预算师。迪:你知道谁是橡木城总部的预算师么?我在填表,但我不知道该填哪个成本中心?派:我只知道要找成本中心的代码时,打电话给预算师。迪:你们部门在德克萨斯有成本中心么?派:我们有自己的成本中心,但我们没有完整的成本中心列表。迪:成本中心的代码是多少位?比如,你们的成本中心?派:嗯,这样,你是 9WC 还是 SAT?迪
20、迪并不知道这是指哪个部门或工作组,但这并不重要,她回答道: 迪:9WC。派:那一般是四位数字。你说你在哪里?迪:橡木城总部。派:哦,这里有橡木城的代码。 1A5N,N 是 Nancy 的 N。仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。第三个电话:有用的错误号码迪迪的下一步是把成本中心的代码当做筹码来开发更大的价值。她先给资产部打电话,假装是故意拔错的电话。以“不好意思,但”做为话头,她声称自己丢失了公司的通讯录,看看对方可不可以帮她弄一个新的。对方说公司已将通讯录放在内部网站上,打印出来
21、的已经过期了。迪迪说她还是想要一份复印件,对方让她打刊印部的电话,并主动查到刊印部的电话(也许是想让这位声音性感的女士多在电话上呆一会儿吧)然后告诉了她。第四个电话:刊印部的巴特在刊印部,她与一个叫巴特的人谈上了话。迪迪说她是橡木城的,他们新来了一位顾问,需要一份公司的通讯录。她告诉巴特,对于这位顾问来说,一份复印件会让工作更顺利些,即便有些过期。巴特告诉她需要填一份申请单然后再寄给他。迪迪说她手头没有申请单,而且事情很急,她甜言蜜语地问巴特是否能发个善心帮她填这个单子?他有些过分热心地同意了,接着迪迪报出单子上的各项内容。在报出虚构的签单人地址时,她慢慢地说出了一个被社会工程师称为“秘密通信地”的号码,在这里是一个邮箱号,商用的,她的公司为类似这种情况而租用的邮箱。这时,早先的准备工作派上了用场。邮递这份目录会产生费用,迪迪给出了橡木城成本中心的成本核算代码:“1A5N ,N 是 Nancy 的 N。 ”几天后,企业通讯录寄到,迪迪发现比她期望的还要好。上面不仅有名字和电话号码,还有人员之间的工作关系,整个企业的组织结构。
