了解IT技術
老九你最好的選擇

欺騙的藝術-第四章 建立信任

這些故事可能會導致你認為我把業務中接觸到的每一個人都看成十足的傻瓜,都很樂意地、甚至是渴望著把他或她所擁有的每一個秘密泄露出去。社會工程師知道,這是不可能的。為什么社會工程的攻擊容易得手呢?這不是因為人們的愚蠢或是缺乏常識,而是因為,我們人類很容易被操縱而把信任用錯了地方,因此被欺騙。社會工程師早已料到會受到阻力和懷疑,他隨時準備著把人們對他的懷疑扭轉。一個優秀的社會工程師策劃攻擊時如同下象棋,預先想到對方可能會提出什么樣的問題,從而把合適的答案準備好。他的一個很常用的技巧就是給受騙者建立信任感,一個騙子如何才能獲得你的信任呢?相信我,他能夠。

信任:欺騙的關健

社會工程師越把情況營造得像普通的業務聯系,就越能減少懷疑。當人們沒有疑心時,得到他們的信任就很容易了。一旦取得你的信任,如同吊橋放下,城門打開,他就可以入內隨心所欲地取得他所需的信息。

注:你也許注意到我在提及社會工程師、電話盜打者和設計騙局的人時,大多數情況下用的是“他”。這不是偏見,這只是反應了一個事實——從事這些領域的人大都是男性。但盡管女社會工程師很少,可這個數字正在增長。不要僅僅因為聽到了一位女性的聲音而放松了你的警覺,女社會工程師還是有的。事實上,女社會工程師有著獨特的優勢,利用她們的女性特征來得到對方的配合。本書以后的內容中將會出現少量的女性社會工程師。

第一個電話:安德瑞亞·洛偑茲(Andrea Lopez)

安德瑞亞·洛偑茲在她工作的音像店接到了一個電話,她立刻微笑起來(當一位客戶特意打來電話對服務表示滿意時,總會讓人高興)。打電話的人說,在他們店里得到了非常好的服務,他想給寫封信告訴他們的經理。他詢問經理的名字和通信地址,她告訴他名字是湯米·艾里森(Tommy Allison),并把通信地址也給了他。就在要掛電話時,他又有了一個想法,他說:“我還想寫給你們公司總部,那兒的電話是多少?”她也告訴了他。他道了謝謝,并說了些她的服務十分讓人滿意之類的話,然后再見了。“像這樣的電話,”她想,“總能讓上班的時間過的快些,如果多有些這樣的人就好了。”

第二個電話:吉妮

“歡迎致電音像工作室,我是吉妮,需要幫忙么?”

“嗨,吉妮,”打電話者熱情的打招呼,聽起來就像每個星期都給吉妮通話似的。“我是湯米·艾里森”,863店森林公園的經理。我這兒有一位客戶,想租《洛奇5》,可我們這兒已經沒有拷貝了,你能查一下你們那兒有么?”

過了一會兒,她回答:“是的,我們還有三個拷貝。”

“好的,我問一下客戶是否愿意過去,謝謝你。如果有任何需要,請致電湯米,我很樂意為你效勞。”

接下來的幾個星期,吉妮又接到過三、四次湯米尋求幫助的電話,這些要求似乎都很正常,他總是十分友善,沒有故意接近她的意思。同時,稍稍有些嘮叨。如“你聽說橡樹園的大火了么?一連串的街道都封掉了,”類似的話。對于日常工作來說,這些電話可以讓人得到片刻的休息,吉妮總是樂意接到他的電話。

  一天,湯米打來電話,聽上去有些焦慮,他說:“你們的計算機出過問題么?”

“沒有,”吉妮回答。“怎么了?”

“有個人開車把電線桿撞了,電話公司的修理人員說城市的一部分地區沒辦法打電話和上網,直到他們修好。”

“哦,不會吧。那個人受傷了么?”

“他們把他送到救護車上了。別管這些了,我需要你幫個忙。我這兒有一個你們的客戶,想租《教父2》,但他沒帶租片卡,你能幫我確認一下他的信息嗎?”

“是的,當然。”

湯米說出客戶的名字和地址,吉妮在計算機中找到,然后告訴湯米客戶的賬號。

“有過期未還和欠款記錄么?”湯米問。

“沒有。”

“好的,很好。我手工給他登記一下賬戶,計算機故障恢復之后再錄入數據庫。而且,客戶還想用在你們店使用的維薩卡(Visa)付賬,但他也沒帶。他的卡號和有效期是多少?”

吉妮都告訴了他。湯米最后說:“嗨,謝謝幫忙,回聊!”

  道伊爾·羅尼甘(Doyle Lonnegan)的故事

  羅尼甘可不是一個普通的年輕人,他過去是一個收藏家,欠了不少賭債,如果不是這些賭債弄得他焦頭爛額的話,他還會偶爾繼續他的愛好。在這個故事里,他僅僅往一家音像店打了幾個電話,就得了一筆現金。這聽起相當不錯,因為他的“客戶”沒有人知道如何設計這個騙局,他們需要像羅尼甘這類人的知識和才能。

  每個人都知道,當他們在牌桌上運氣差或是犯錯誤而輸錢時,是不會用支票來代替賭資的。可為什么我的這些朋友們還要跟一個沒帶鈔票的騙子賭錢呢?不要問了,也許他們的智商有點兒問題,但他們是我的朋友,我又能怎么辦?

  這個家伙沒帶錢,于是他們收了他的支票。讓你說,他們應該開車把他帶到自動柜員機那兒去吧?本應這樣做的。但他們沒有,他們收了一張支票,3230美元。不用想,這是張空頭支票。還有什么其它可能呢?于是,他們給我打電話,問我能幫忙么?我不再用門去擠別人的手指了(譯者注:指暴力手段),而且,現在有更好的辦法。我告訴他們,我要30%的傭金,看我的本事吧。他們給了我他的名字和地址,我用計算機找到離他最近的音像店。我并不著急,先后打了四個電話來討好音像店的經理,然后,我就得到了那個騙子的維薩卡號。我有一個朋友開了一間半裸吧(譯者注:裸露半身的脫衣舞酒吧),用了50美元,把那個騙子所欠的賭資當做酒吧消費從他的維薩卡上劃出,讓他給老婆解釋去吧。你認為他會找信息卡公司說他沒有花這筆錢嗎?好好想想。他知道我們知道他是誰,而且如果我們可以拿到他的維薩卡號,他會認為我們還可以做更多的事情,因此,這件事沒什么可擔心的。

  過程分析

  湯米打給吉妮的第一個電話僅僅是為了建立信任,當真正的攻擊開始時,她已經放松了警惕并認同湯米所聲稱的身份——另一家連鎖店的經理。有什么理由不接受他呢?她已經認識了他。當然,僅僅是通過電話聯系,可他們已經建立了工作上的友誼,那是信任的基礎。一旦她認為他是可以相信的人——同一家公司的一位經理,信任感就已經建立,剩下的事就順其自然了。

  米特尼克信箱

  建立信任的欺騙技術是社會工程學最有效的策略之一,你務必要考慮你是否真正認識與你談話的人。在一些不常見的情形下,對方很可能不是他自己聲稱的那個人。因此,我們必須學會觀察、思考和提問。

主題變奏:攫取信用卡

  建立信任感,不一定非得給受騙者打上一系列的電話,如上文中講述的案例。我想起一個親身經歷的故事,它建立信任感只用了5分鐘。

  驚奇吧,爸爸

  有一次,我與漢瑞(Henry)和他父親坐在一家餐館。談話中,漢瑞責怪他父親把信用卡號像電話號碼一樣隨便泄露給別人。
  “當然,買東西時必須使用信用卡號,”漢瑞說。“但是把你的卡號告訴一家商店,并讓他們記錄下來,那是非常不明智的。”
  “我只在音像工作室這么做過,”康克林(Conklin)先生說,“但我每個月都會查看我的維薩卡記錄,如果他們多收費用,我會知道的。”
  “當然,”漢瑞說。“但他們一旦知道了你的卡號,別人就很容易弄到了。”
  “你是指不懷好意的店員么?”
  “不,我是指任何人,不僅僅是店員。”
  “你在信口開河,”康克林先生說。
  “我可以現在就打電話,讓他們告訴我你的維薩卡號,”漢瑞立刻大聲回應道。
  “不,這不可能,”他父親說。
  “我可以在五分鐘之內搞定這件事,就在你的面前,連桌子我都不會離開。”
  康克林先生看起來有些緊張,他自己感覺到了這種緊張,但并不想讓別人知道。“你根本就不知道你在說什么,”他急促地說,并掏出錢包拿出50美元甩到桌子上,“如果你能做到你說的話,這是你的了。”

  “我不想要你的錢,爸爸。”漢瑞拿出手機,詢問他父親是哪一個音像店分店,然后打電話給查號臺找到分店的電話號碼以及謝爾曼橡樹園(Sherman Oaks)分店的電話號碼。接著,他打電話給謝爾曼·奧克分店,幾乎用了跟上一個故事完全一樣的方法,很快得到了經理的名字和分店的店號(譯者注:如上文中提到的863分店)。然后,他打電話給登記著他父親賬戶的分店,利用剛剛得到的名字和分店店號來假扮分店經理。接著使用相同的手法:“你們的計算機沒出問題吧?我們這兒的計算機時好時壞。”聽到了她的回答后他接著說,“嗯,是這樣,我這兒有一位你們的客戶想租一部片子,可我們的計算機現在壞掉了,我需要你幫忙查一下客戶的賬號以確定他就是你們店的客戶。”
  漢瑞給出他父親的名字,使用了一個稍有不同的方法,他請求對方把賬戶信息讀出來:地址、電話,開戶日期,然后說:“嗨,是這樣,我這兒有一大堆等著的客戶,他的信用卡和有效期是多少?”漢瑞一支手在耳邊拿著手機,另一支手在餐巾紙上寫。打完電話,他把餐巾紙推到瞪著眼睛、張著嘴巴的父親面前,可憐的父親看上去完全震驚了,似乎他的信任系統已被完全顛覆。

  過程分析

  當某個不認識的人詢問你某事時,想想自己是什么態度。如果一個衣衫襤褸的陌生人來到你門前,很可能你不會讓他進去。如果是一位衣著得體、皮鞋明亮、發型完美,舉止優雅并面帶微笑的陌生人,你可能就會放松警覺。也許他就是現實生活中的占森(譯者注:電影《十三號星期五》中的殺人狂)呢?但你仍然愿意相信他,只要他看起來正當,手里也沒有握著餐刀。

  米特尼克信箱

  人們習慣的認為自己在任何特定的事務中不大可能走進騙局,否則至少也得有理由相信這是個騙局。大多數情況下,我們權衡風險,然后假定別人沒有惡意。這就是有教養人的一般行為,至少那些沒有被操縱、利用或被騙過一大筆錢的有教養的人這樣認為。在兒時,我們的父母告誡我們不要相信陌生人,也許在當今的工作環境下,我們所有的人都就應謹記這個陳舊的規則。 

  工作中,人們總是會有各種各樣的請求。你有這個人的電子郵件地址么?最新的客戶名單在哪兒?誰是這個項目本部分的分包商?請發給我最新的計劃更新。我需要新版本的源代碼。有時,做出這些請求的人你并不直接認識,或是公司其他部門的人,或是他們自己說是其他部門的人。但如果他們提供的信息是正確的,并且看來熟悉公司內情(“瑪麗安說……”、“這里是K16服務器”、“……新產計劃第26次修訂版”),我們便把信任圈擴大他們身上,輕率的滿足了他們的請求。

  當然,我們也許會有些困惑的問自己:“為什么這個達拉斯(Dallas)分廠的人想知道新的產品計劃?”或是“說出服務器的名稱會有害處么?”等等這類問題,如果答案看上去合情合理,對方的言行也比較可靠,我們便會放松警惕,恢復相信同事的習慣,并滿足(有理由的)對方的請求。

  絕不要認為攻擊者只會把目標鎖定到使用計算機的人身上,收發室的人也可能是目標。“能幫個忙么?把這個放到公司內部的郵袋。”收發室的人可不知道它是一張帶有特殊程序的針對首席執行官秘書的軟盤。這樣,攻擊者本人就擁有了首席執行官的郵件拷貝。不會吧?這事情真得會在企業中發生么?答案是,絕對可能。

一美分的手機

  許多人都在尋找好的機會,不達目的不罷休。社會工程師不然,他們找到辦法使機會變得更好。比如,某公司進行一項誘人的市場優惠活動,社會工程師就會想辦法擴大他的利益。

  不久以前,一家全國性的無線通訊公司發起了一個大規模的促銷活動,只要你登記接受一種資費方式,便可以得到一部全新的手機,只收一美分。對于一個精明的消費者來說,在登記一種資費方式之前,有好多問題要問清楚。通訊服務是模擬還是數字的,或是兩者結合?每個月的免費通話時間是多少?是否包含漫游費……等等,等等,尤其重要的是資費合同時限——你承諾的資費方式是多長時間,幾個月還是幾年?

  想像一個這樣的情景,一位費城(Philadelphia)的社會工程師被通訊公司提供的一款十分便宜的手機所打動,但他討厭與其捆綁的資費方式。沒什么大不了的,他也許使用下面的方法來解決此事……

  第一個電話:泰德(Ted)

  他首先打給位于西吉拉德(West Girard)的一家電器連鎖店。


  “電子商城,我是泰德。”
  “嗨,泰德,我叫亞當。是這樣,我在前幾天晚上,跟你們的一個男銷售員談到一個手機,我說一旦決定了就給他打電話。可我忘了他的名字,你們值夜班的人是誰?”
  “不只一位,是威廉么?”
  “不知道,也許是吧。他長什么樣?”
  “高個子,瘦瘦的。”
  “我想是他吧,他姓什么來著?”
  “哈德利。哈-德-利(H–A–D–L–E– Y.)”
  “是的,是他。他什么時候上班?”
  “我不知道他這星期的排班,但上夜班的人5點到。”
  “好的,那我試試晚上找他。謝謝,泰德。”

  第二個電話:凱蒂(Katie)

  第二個電話打給位于北廣街(North Broad Street)的連鎖店。

  “嗨,電器商城。我是凱蒂,需要幫忙么?”
  “凱蒂,嗨!我是威廉·哈德利,西吉拉德店的。今天過得怎么樣?”
  “有點兒忙,什么事?”
  “我有一位顧客想購買那個一美分的手機,你知道這個手機的資費捆綁吧?”
  “是的,上星期我售出了一些。”
  “你那兒還有這種資費捆綁的手機么?”
  “還有一堆呢。”
  “很好。我剛售出了一個這種手機的資費,顧客通過了信用記錄(譯者注:美國通訊公司會查詢手機用戶過去的使用記錄,以確定用戶是否具備享受某一資費方式的資格),我們也簽了資費合同。我查了一下該死的存貨記錄,卻沒有這種手機了。這讓我很難做,你能幫個忙么?我讓他到你們店去買一美分的手機,你賣給他后開張發票。他買到手機后會給我打電話,然后我再告訴他怎么用。”
  “好的,當然可以。讓他來吧。”
  “太好了,他叫泰德,泰德·巖西(Ted Yancy)。”

  一個自稱泰德·巖西的人來到北廣街連鎖店,凱蒂開了一張發票,把一美分的手機賣給他,完全依照她的“同事”交待給她的事情,從而徹底地掉入騙局。付錢時,這個顧客的錢包里一枚硬幣也沒有,于是他到收款臺的零錢碟中拿了一枚,交給她完成登記。他甚至一分錢都沒有花就得到了那部手機。

  過程分析

  人們會很自然地相信熟悉公司內部的業務流程和專業用語,并聲稱自己是公司同事的人。這個故事中的社會工程師就是利用了這一點,通過了解促銷活動的細節,扮做公司的職員,并要求另一個分店人員的幫助。這種事情在各零售店之間以及一個公司的各部門之間經常發生,這是因為人們沒有機會接觸,天天與從未見過面的同事打交道。

入侵FBI

  人們通常不住地去想他們的公司會在網站上提供什么資料。我在洛杉磯一個電臺做每周一次的脫口秀節目,節目制作者在網上做了一次搜索,發現了一份訪問國家犯罪信息中心(NCIC)的操作說明拷貝。不久他發現,真正的NCIC操作說明原件就在網上,這是一份相當敏感的文檔,它記錄著從FBI的國家犯罪記錄數據庫中提取信息的所有操作說明。對于執法部門,這份說明就是一本從國家數據庫中提取犯罪記錄和罪犯信息的格式和代碼的操作手冊。國家的所有執法部門都可以依據他們所屬的權限從同一個數據庫中查詢有助于辦案的信息,手冊里包含了數據庫中用來標明各種信息的代碼,從各種各樣的紋身到各式各樣的輪船外殼,再到失竊紙幣和債券的面額。

  任何人接觸到這本手冊的人都可以在上面找出從國家數據庫中查找信息的命令和語法規則,然后依據手冊上的步驟指導,再加一點膽量,人人都可以從數據庫中提取信息,而且手冊還提供使用數據庫系統的服務支持電話。也許你的公司也有這樣的包含著產品代碼或是查詢敏感信息的代碼手冊。
  FBI幾乎肯定不知道如此敏感的資料暴露在網上,我想如果他們知道此事一定會很惱火的。一份拷貝是由俄勒岡州政府部門放到網上的,另一份是由得克薩斯州的執法機構傳到網上。為什么?這都是因為,也許某人覺得這些信息可能沒什么價值,放到網上也不會有什么害處。也許有人為了內部人員使用上的方便,而它放到內網上,卻從未想到會被在網上使用搜索引擎(如Google)的人找到,包括僅僅是好奇的人、還有想當警察的人、黑客,以及有組織的犯罪團伙。

  接入系統

  利用這樣的信息來欺騙有政府或企業背景的人,使用的準則是相同的:由于社會工程師知道如何訪問特定的數據庫或應用程序,或是知道公司的服務器名稱等類似的事情,他因此具備可信性,這種可信導致信任。一旦社會工程師擁有了這樣的代碼,獲得所需信息就十分簡單。在這個例子中,他首先給當地的州警察局電訊室打電話,針對手冊上的一個代碼,提出問題。比如,犯罪代碼。他可能這樣說,“我在NCIC做犯罪記錄查詢時,碰到‘系統發生問題’的錯誤提示。你做記錄查詢時碰到過這種情況么?能幫我試一下么?”或者他會說正在查詢WPF(警方用語,被通輯人的檔案)。電話另一端,電訊室的工作人員就會意識到對方熟悉查詢NCIC數據庫的操作程序和命令,除了受過訓練的人,誰會知道這些操作程序呢?

  工作人員確定她的系統運行正常后,談話可能像這樣進行:

  “我可以幫點兒忙。你要查什么?”
  “我要查瑞爾頓·馬丁的犯罪記錄,出生日期66年10月18日。”
  “索什(SOSH,執行部門的人有時把社會保險號簡稱為索什)是多少?”
  “700-14-7435。”
  找到名單后,她可能這樣說:“他的犯罪記錄代碼是2602。”

  現在,攻擊者只需到NCIC的網站上查一下這個號碼的含義了——這個人有一樁詐騙的犯罪記錄。

  過程分析

  一個出色的社會工程師一刻也不會停止思考闖入NCIC數據庫的辦法,往當地警察局打上一個電話,花言巧語一番讓對方認為自己是內部人員,這就足以能夠得到他所需的信息。下一次,他只需使用相同的借口往另一個警察局打電話就是了。

你也許會吃驚,往警察局或是州政府打電話不危險嗎?那攻擊者不是冒了很大的風險?

答案是不……因為一個特殊的理由。執法人員像軍人一樣,從他們第一天到學院開始等級制度觀念就已經根深蒂固了。只要社會工程師偽裝成一個警官或助理官員——比和他談話的人等級更高——受騙者將被精心學習的課程支配,不要懷疑比你職位更高的人。等級,換句話說就是擁有特權,特權不會被等級低的人挑戰。

但是不要認為執法部門和軍事部門是社會工程師唯一可以利用等級制度的地方,社會工程師經常在商業攻擊中像使用武器一樣利用公司的職權或等級——就像這一章的許多故事所示范的那樣。

預防措施

保護你的消費者

在這個電子時代許多公司出售商品給消費者時將信用卡信息存檔。理由是:解決了消費者每次進入商店或Web站點購物時都要輸入信用卡信息的麻煩。然而,這種做法應該避免。

如果你必須將信用卡號存檔,使用復雜的編碼或者存取控制來進行安全防范必不可少。員工需要培訓識別像這一章中社會工程師的一些詭計。那些從沒親眼見過但在電話里成為朋友的同事可能并不像他或她聲稱的那樣。他也許并不“需要知道”客戶的敏感信息,因為他可能根本就不在這家公司工作。

米特尼克信箱

每個人都應該知道社會工程師的一貫手法:盡可能地搜集一些關于目標的信息,利用這些信息增加內部人員的信任。然后直取要害!

聰明的信任

不只是有明顯的敏感信息的人——軟件工程師,研究與開發(R&D)人員,等等——需要防范入侵者攻擊。你的公司的幾乎所有人都需要訓練保護企業防范商業間諜和信息竊賊。

一切的基礎應該從一個企業信息資產調查開始,分離地看待每一個敏感的,關鍵的或貴重的資產,并尋找攻擊者使用社會工程學策略可能危及這些資料安全的方法。對有權訪問這些信息的人進行的適當培訓應該有計劃地圍繞這些問題的答案。

當一個你不認識的人請求獲得一些信息或材料,或要求你在你的電腦上完成任何操作時,讓你的員工問他們自己一些問題。如果我把這些信息給了我最壞的敵人,它會被用來傷害我或我的公司嗎?我十分了解被要求輸入到我的電腦的這些命令的潛在影響嗎?

我們不想抱著對我們遇到的每一個陌生人的懷疑度過一生。但是我們的信任越多,下一個看上去十分友好的社會工程師就會來到我們的城市里,欺騙我們,獲得我們公司的所有信息。

什么屬于你的Intranet(企業內部互聯網)?

你的Intranet的一部分可能開放到了外部世界中,而另一部分則限制只有員工能使用。你的公司有沒有仔細地確認受保護的敏感信息沒有被放到訪客易接近的地方?當上次公司的一個人在Intranet上查看到任何敏感信息并不經意地提交到了Web站點的公共訪問空間的時候?

如果你的公司執行代理服務保護企業應對信息安全威脅,這些服務在最近的檢查中確認被適當的配置了嗎?

事實上,有人檢查過他們的Intranet安全性嗎?

贊(0) 打賞
未經允許不得轉載:老九IT技術網 » 欺騙的藝術-第四章 建立信任

評論 搶沙發

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址

老九為IT技術人提供最全面的IT資訊和交流互動

歡迎投稿廣告合作

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

微信掃一掃打賞

足彩计算器混合过关