了解IT技術
老九你最好的選擇

欺騙的藝術-第二章 無害信息的價值

對大多數人來說,社會工程師的真正威脅在哪里?又該如何保持警惕?

如果社會工程師的目標是“最有價值獎”——比如,企業智力資產的核心組成。那么也許需要的是更堅固的保險庫和全副武裝的保安,對么?

但在現實中,壞人滲透企業安全的第一步就是獲得某些似乎無利害關系的信息和文件,這些信息和文件看起來十分平常,也不重要,公司里的人大都不明白為什么這些東西會被限制和保護。

信息的隱藏價值

社會工程師十分重視企業中許多表面上看去無利害關系的信息,因為這些信息是他能否披上可信外衣的至關重要的因素。

在這一章里,我將通過讓讀者“親身”經歷攻擊過程,來展示社會工程師的攻擊手段。有時從受害人的角度來表現情節,讓讀者以當事人的身份估計自己(或是你的同事和員工)可能會做出的反應。而更多的時候,讓讀者從社會工程師的角度來經歷攻擊過程。

第一個故事著眼于金融行業的一個漏洞。

信譽支票(CREDITCHEX)

曾經有一段很長的時期,英國的銀行系統十分閉塞,大街上一位誠實普通的市民并不能隨便走進銀行而直接申請一個銀行帳戶。銀行不會把他當做客戶,除非他帶有某位正式銀行客戶的推薦信。

當然,這與如今的表面上人人平等的銀行機構大不一樣。如今辦理銀行業務沒什么地方比友善、平等的美國更方便了,任何人都可以走進銀行輕松的建立一個日常賬戶,是這樣么?

并非如此。事實上可以理解,銀行很難為一個才開過空頭支票的人建立賬戶,這很自然,同樣還有那些有著搶劫銀行和挪用賬款記錄的人。這就是一個銀行對其潛在客戶瞬間做出好壞判斷的實際例子。

與銀行有著重要業務聯系的公司中,有一種機構專門為銀行提供這類信息,我們把這種機構稱之為“信譽支票”。它為客戶提優質的服務,但同許多公司一樣,它也會“無心”的為“有心”的社會工程師們提供便利的服務。

第一個電話:吉姆·安德魯斯(Kim Andrews)

“國家銀行,我是吉姆,您是想要開一個帳戶么?”

“嗨,吉姆,我想請教個問題。你們與信譽支票打交道么?”

“是的。”

“你們給信譽支票打電話時,怎么稱呼你們提供的號碼?是叫‘交易號’(Merchant ID)么?”短暫的沉默,基姆在衡量這個問題,對方是什么意圖,她是否應該回答。打電話的人不容對方思考接著問:“是這樣,吉姆,我在寫一本涉及私人調查的書。”

“是的。”她有了回答的信心,因為她還是愿意幫助一個作家的。

“就叫“交易號”,對么?”

“啊,嗯。”

“好的,很好。我是想確認我的書中使用了正確的專業用語,謝謝你的幫忙,再見,吉姆。”

第二個電話:克瑞絲·塔伯特(Chris Talbert)

“國家銀行,開戶處,我是克瑞絲。”

“嗨,克瑞絲,我是阿萊克斯。”打電話的人說,“我是‘信譽支票’的客服代表,我們在做一項改善服務質量的調查。能耽誤您幾分鐘么?”克瑞絲表示愿意,打電話的人繼續:“好的。你們部門營業時間是多少?”她給予回答,并接著回答下面的一系列問題。

“你們部門有多少人使用我們的服務?”

“大約多長時間給我們打一次咨詢電話?”

“您用的是我們哪一個800免費電話號碼?”

“我們的客服代表服務態度好么?”

“我們對業務的響應時間如何?”

“您在銀行工作多長時間了?”

“您通常使用的交易號是多少?”

“您是否發現過我們提供過的信息不準確?”

“如果您對我們的服務有所建議,建議是什么呢?”最后:

“如果我們把定期調查表寄到你們部門,您會填寫么?”

她表示同意,然后彼此簡單對了幾句話,電話掛掉,克瑞絲繼續她的工作。

第三個電話:亨利·麥克金賽(Henry McKinsey)

“信譽支票,我是亨利·麥克金賽,需要幫忙么?”

打電話的人表明自己是國家銀行的職員,并報出正確的交易號,以及他想查詢的人的名字和社會保險號。亨利要求出生日期,他也報上。不一會兒,亨利看著自己的計算機屏幕讀道:“韋爾斯·法果在1998年報過一次NSF”——客戶賬款不足(Non Sufficient Funds),支票已開出,賬戶里卻沒有足夠錢支付的銀行常用專業用語。

“自那之后,還有資金往來么?”

“沒有了。”

“有沒有申請其他賬戶?”

“我看一下。有的,兩次,都在上個月。一次是在芝加哥第三聯合信用會(Third United Credit Union of Chicago),”他斷斷續續地讀出第二個地方,斯卡奈塔第共同投資(Schenectady Mutual Investments),他不得不逐字母的將名稱拼出。“紐約州。”他最后補充道。

工作中的私人偵探

所有的這三個電話都是同一個人打的,一個私人偵探,我們且稱他為奧斯卡·格瑞斯(Oscar Grace)吧。格瑞斯有了一位新客戶,他的首批客戶其中之一。幾個月前還是名警察的格瑞斯發現他的新工作有些做起來易如反掌,有些則對他的智力和創造性是個挑戰,這件案子無疑很具有挑戰性。

小說中的冷面神探――塞姆·斯貝茲(Sam Spades)和菲利浦·馬洛斯(Philip Marlowes),在漫長的夜晚久候在汽車里誘捕一位騙人的伴侶(譯者注:塞姆和菲利浦都是著名小說和電影中的人物),現實中的私人偵探也做同樣的事情。他們為相互敵對的伴侶之間打探消息,也許沒小說中寫得那么夸張,但重要性卻一點不差。他們的方法主要是依靠社會工程學的技巧,而不是坐在車子里與守夜的困倦做斗爭。

  格瑞斯的新客戶是一位看起來從不缺少衣服和珠寶的女士。一天,她走進他的辦公室,在唯一的一把未堆著文件的皮椅上坐下來,把她的古琦(譯者注:Gucci,意大利名牌)手包放到桌子上,商標沖著他的臉。這位女士告訴格瑞斯,她想跟他的丈夫離婚,但“有一點小麻煩。”

  他的丈夫比她早了一步,已經從兩人的儲蓄帳戶中把存款提了出來,并從代理公司(譯者注:專門從事為客戶買賣股票和債券的公司)的賬戶中提走了更大的款項。她想知道他們的錢到哪里去了,她的離婚律師對此無能為力。格瑞斯猜想她的律師是那種身居住宅區高樓大廈的法律顧問,才不會為這種“錢到哪里去了”的爛事自找麻煩。

格瑞斯有辦法么?

他向她保證這是小事一樁,接著報出價格,列出費用,并收了一張支票做為第一筆傭金。接下來,他要面對此事了。如果你以前從未處理過這樣的事情,并根本不知道如何跟蹤一筆資金的來龍去脈,你該從何做起呢?一步一步地往前挪?好吧,我們來講格瑞斯的故事。

我知道信譽支票以及銀行與其的聯系,我的前妻曾在銀行工作。但我并不知道那些專業術語和業務過程,而向我前妻打聽則是浪費時間。

第一步:了解專業術語,設計出獲取信息時所需要的對話,以便聽起來不會露出馬腳。我給銀行打電話時,第一位年輕的小姐,吉姆,在我詢問他們如何向信譽支票確定自己身份時就有所遲疑,她猶豫著,不知道是否應該告訴我。我被難住了么?才不。事實上,她的猶豫給了我一個重要的線索,提醒我必須給她提供一個可信的理由。當我騙她說為寫一本書而做的調查時,便打消了她的懷疑。聲稱自己是一位作家或電影劇本作者,可以讓人放松警惕。

  她知道一些有用的信息,比如信譽支票如何確定打電話人的身份,你可以查詢哪些信息,最重要的——吉姆所在銀行的交易號。我已準備好提出這些問題,但她的猶豫造成了麻煩。吉姆相信了寫書的故事,可她已經有所疑心。如果她更配合些,我就會多問些操作細節了。

專業術語

馬克(MARK):受騙者

激警(BURN THE SOURCE):攻擊者如果讓對方看出來攻擊的意圖稱為激警。一旦對方有所警覺并通知其他人員,以后再想套出類似的信息就十分困難了。

你必須依靠自己的感覺,仔細的傾聽馬克的說話內容和說話方式。這位小姐看起來就十分聰明,如果我提出很多的敏感問題,她一定會敲響警鐘的。即使她不知道我是誰,我用哪個號碼打過來,也不要讓任何人注意到有人在打探消息而有所警覺。這是因為我們不想激警,有可能還需要給這個地方打電話的。

我總是留意那些能夠幫助我了解一個人配合程度的微小跡象,其態度各異,從“你聽起來真是一個好人,我相信你所說的每一句話”到“打電話給警察,通知國民警衛隊,這小子要倒霉了。”

我發現了吉姆的警覺,于是我打電話給另一個人——克瑞絲。在我的第二個電話中,調查表的把戲很能迷惑人。我把重要的問題插進可以建立信任感的無關緊要的問題中,在信譽支票的交易號問題之前,我通過問她在這家銀行工作多久了這樣一個私人問題,做了一個最后的小測試。

私人問題就像一顆地雷,有些人會毫不注意的踩上去,有些人則知道它會爆炸,趕緊躲開。因此,如果我問及一個私人問題,她在回答的語氣上沒有變化,這就意味著她很可能沒有對提問產生懷疑,我可以在她沒有疑心的問題之下安全地提出關健問題。

一個好的私人偵探還知道,千萬不要在得到關鍵信息后馬上結束談話。多問兩三個問題,小聊一會兒,然后再說拜拜。如果對方稍后想起你提過的問題,很可能是你最后提出的問題,其它的通常會忘記。

這樣,我從克瑞絲那里得到了他們的交易號和他們查詢時所用的電話號碼,如果當時我再多問些信譽支票的事,我會更高興的。但沒有進一步冒險,也許更好。

如同有了一張空白支票,無論什么時候我都可以從信譽支票那里獲得我需要的信息,甚至不用付費。從前面的情況看出,信譽支票的客服代表十分愿意為我提供信息,于是我知道了我客戶的丈夫最近在兩個地方申請建立賬戶。那他將要離婚的妻子尋找的那筆資產在哪里呢?無論在哪家銀行,信譽支票都會將其列出吧?

過程分析

整個過程都基于社會工程師的基本策略之一,獲得公司職員認為無關緊要的信息(實際上它是有用的)。第一個銀行職員肯定了打電話給信譽支票時確認身份的術語,第二個職員提供了電話號碼和最至關重要的信息――交易號。透露這些信息對于她們來說似乎是無所謂的,畢竟她們認為與之交談的是信譽支票的工作人員,把號碼說出來又有什么不對呢?

前兩個電話為第三個電話打下基礎,格瑞斯已經具備給信譽支票打電話需要知道的一切信息,于是冒充信譽支票的客戶——國家銀行,輕松地查詢信息。

格瑞斯竊取信息的技巧絲毫不遜于一個高超的騙子詐騙錢財時所用的手段,在了解人方面格瑞斯久經磨練。他懂得把關健信息藏在無關緊要的信息中,也知道在套出交易號之前用私人問題來測試對方的配合程度。

  第一個銀行職員在確認信譽支票專業術語上的錯誤幾乎是最難防范的,這種專業用語在銀行業幾乎人人都知道,因此顯得無關緊要――無害信息最普遍的表現形式。但第二個職員,克瑞絲,不應該在確定打電話人的身份真實與否之前,就非常樂意的回答問題。她至少應該詢問對方的名字和電話號碼并拔回,這樣如果日后發生問題,她還有一個打電話人所使用電話號碼的記錄。在這個案例中,拔回這樣的一個電話還會給攻擊者假扮信譽支票服務人員造成很大的困難。

米特尼克信箱

這個案例中的交易號相當于一個密碼,如果銀行工作人員將其與自動取款機的個人識別碼(PIN)一樣看待,便會對它的敏感性給予重視。你所在的機構中有沒有大家沒有給予重視的編碼和數字呢?

用以前記錄的銀行電話號碼給信譽支票回拔一個電話(不要用對方提供的號碼),以驗證對方是否在那兒工作,信譽支票是否正在做一項客戶調查,這樣的電話還是有必要打的。現代社會人們的工作時間都很緊張,而且這樣的確認電話會占用不少時間,考慮到現實中的實用性,建議工作人員在對對方的目的性有所懷疑時打回一個確認電話。

工程師的圈套

很多人都知道,獵頭公司使用社會工程學來擴大業務范圍,這里有一個例子:

在90年代末,某個不怎么道德的職業介紹所簽了一家新客戶,一家正在尋找有通訊行業工作經驗的電氣工程師的公司。負責這個項目的經理是一位女士,有著有磁性的嗓音,和充滿誘惑力的言談舉止,這使得她在電話里很容易獲取別人的好感和信任。這位女士準備對移動電話服務提供商進行一次偷襲,以期找到一些可能會投奔到競爭對手那里的工程師。她當然不能直接給接線員打電話說:“我要找五年經驗的工程師”,那樣她的動機會立刻暴露的。她通過詢問看上去無關緊要的信息,電話公司人人都可以告訴別人的信息,巧妙的發動了這次襲擊。

第一個電話:接線員

攻擊者使用迪迪·桑德斯這個名字給移動電話服務商的總機打了一個電話,對話情形大致如下:

接線員:下午好,我是瑪麗,您有什么事情?

迪迪:請幫我接運輸部好么?

接:我不一定能找到這個號碼,我查一下目錄,您是哪位?

迪:我是迪迪。

接:您在公司大樓里還是在……?

迪:不,我在外面。

接:你是迪迪……?

迪:迪迪·桑德斯,我以前知道運輸部的分機號,但我現在忘了。

接:稍等。

為了減少懷疑,在這里迪迪設計了一次談話,讓對方認為她是內部人員,熟悉公司的情況。

接:您在哪里辦公?主街商廈(Main Place)還是望湖大廈(Lakeview)?

迪:主街。(停頓一下)接:電話是805-555-6469。

有可能給運輸部打電話后也得不到所需的信息,迪迪又要了資產部的電話,作為備用。接線員幫迪迪接到運輸部,但線路正忙。于是,迪迪又問第三個電話,位于得克薩斯州首府奧斯丁的收款部號碼。接線員讓她等一會兒,并放下電話。接線員有所警覺了么?她在向保衛部門報告她接到一個可疑電話么?才不,迪迪一點都不擔心。接線員只是有些不耐煩了,但這是她再平常不過的日常工作了。一分鐘后,接線員拿起電話,查到收款部的號碼,給迪迪接通。

第二個電話:派基(Peggy

對話大致如下:

派基:收款部,我是派基。

迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。

派:嗨,迪迪。

迪:你好嗎?

派:還好。

迪迪接著使用企業內部的習慣用語來描述成本核算代碼——給一個特定的機構或工作組分配費用的代碼(譯者注:常在報銷費用時填寫)。

迪:很好。我有個問題問你。我如何才能找到某個部門的成本中心(cost center)?

派:你必須聯系到那個部門的預算師。

迪:你知道誰是橡木城總部的預算師么?我在填表,但我不知道該填哪個成本中心?

派:我只知道要找成本中心的代碼時,打電話給預算師。

迪:你們部門在德克薩斯有成本中心么?

派:我們有自己的成本中心,但我們沒有完整的成本中心列表。

迪:成本中心的代碼是多少位?比如,你們的成本中心?

派:嗯,這樣,你是9WC還是SAT?

迪迪并不知道這是指哪個部門或工作組,但這并不重要,她回答道:

迪:9WC。

派:那一般是四位數字。你說你在哪里?

迪:橡木城總部。

派:哦,這里有橡木城的代碼。 1A5N,N是Nancy的N。

僅僅與愿意幫忙的人打交道到足夠時間,迪迪便得到了她需要的代碼,這個代碼就是所謂的被人認為是無需保護的信息,因為它對企業外面的人來講,似乎沒有任何價值。

第三個電話:有用的錯誤號碼

迪迪的下一步是把成本中心的代碼當做籌碼來開發更大的價值。她先給資產部打電話,假裝是故意拔錯的電話。以“不好意思,但……”做為話頭,她聲稱自己丟失了公司的通訊錄,看看對方可不可以幫她弄一個新的。對方說公司已將通訊錄放在內部網站上,打印出來的已經過期了。迪迪說她還是想要一份復印件,對方讓她打刊印部的電話,并主動查到刊印部的電話(也許是想讓這位聲音性感的女士多在電話上呆一會兒吧)然后告訴了她。

第四個電話:刊印部的巴特

在刊印部,她與一個叫巴特的人談上了話。迪迪說她是橡木城的,他們新來了一位顧問,需要一份公司的通訊錄。她告訴巴特,對于這位顧問來說,一份復印件會讓工作更順利些,即便有些過期。巴特告訴她需要填一份申請單然后再寄給他。迪迪說她手頭沒有申請單,而且事情很急,她甜言蜜語地問巴特是否能發個善心幫她填這個單子?他有些過分熱心地同意了,接著迪迪報出單子上的各項內容。在報出虛構的簽單人地址時,她慢慢地說出了一個被社會工程師稱為“秘密通信地”的號碼,在這里是一個郵箱號,商用的,她的公司為類似這種情況而租用的郵箱。這時,早先的準備工作派上了用場。郵遞這份目錄會產生費用,迪迪給出了橡木城成本中心的成本核算代碼:“1A5N,N是Nancy的N。”

幾天后,企業通訊錄寄到,迪迪發現比她期望的還要好。上面不僅有名字和電話號碼,還有人員之間的工作關系,整個企業的組織結構。

這位有著磁性嗓音的女士可以通過拔打人員電話開始她的獵頭行動了。她使用社會工程師久經磨練的談話技巧,騙取了開始行動所需的信息,她現在已經準備好收獲了。

專業術語

秘密通信地(Mail Drop):社會工程師把租來的郵箱稱為秘密通信地,通常是用假名字租用的,用來接收受騙者發來的文件和包裹。

米特尼克信箱

猶如拼圖游戲,每條信息本身并沒有什么聯系。然而,當把它們放在一起時,一個清晰的畫面便出現了。在這個案例中,社會工程師看到的畫面就是那家公司的整個內部結構。

過程分析

在這次社會工程學的攻擊中,迪迪以獲得目標企業的三個部門電話為開始。這很容易,因為她詢問的電話號碼并不是秘密,尤其是對于內部工作人員。一個社會工程師要聽起來像一個內部人員,此例中的迪迪就很善此道。一個電話號碼幫她弄到成本中心的核算代碼,而后者用來獲取公司職員的通訊錄。她使用的主要工具是:友善的語氣、企業專業用語,以及對那個最后的上當者拋一個口頭上的媚眼。還有一件無法輕易得到的必不可少的工具——社會工程師的操縱能力,它來自于廣泛的實踐,和老一輩騙子們口頭傳下來的經驗。

更多的“無價值”信息

除了成本核算代碼和內部分機電話,還有哪些看似無用但對你的敵人來說非常有價值的信息?

皮特·艾伯爾(Peter Abel)的電話

“嗨,”電話的另一端說:“我是帕克斯特(Parkhurst)旅行社的湯姆,您去往舊金山的機票已訂好,您要寄過去還是您來拿?”

“舊金山?”皮特說:“我沒打算去舊金山。”

“您是皮特·艾伯爾么?”

“是的,但我沒有任何旅行的安排。”

“嗯,”對方友好的笑笑,“您確定您不想去舊金山么?”

“如果你認為你能跟我老板談談此事的話……”皮特對這次友好的談話開起玩笑。

“這聽起來有些亂,”對方說:“我們的系統依照員工號碼登記旅行安排,也許有人把號碼弄錯了,你的員工號碼是多少?”

皮特欣然報出他的號碼。為什么?因為這如同他平時所填的公司里很多人都會看到的人員登記表,人事部、工資名單,很明顯,還有外面的旅行社。沒人把員工號碼當做秘密。這會有什么影響嗎?

這很難說清。兩到三個信息也許就可以讓社會工程師裝扮成他人扮演一場好戲了。弄到一個工作人員的名字和他的電話號碼,也許為了保險起見,再找到他上司的名字和電話號碼。即使一個不怎么出色的社會工程師也會盡可能的搜集所需要的信息,以使他給下一個目標打電話時聽起來可信。

如果昨天有人給你打過電話,聲稱他是公司另一個部門的職員,并給出一個含糊的理由來詢問你的員工號碼,你很輕易的就告訴他了么?

還有,你的社會保險號呢?(譯者注:美國、加拿大居民的身份代碼,類似于中國的身份證號。)

米特尼克信箱

這個故事的寓意在于,不要把任何個人和公司內部信息或是識別標識告訴他人,除非你聽出她或他的聲音是熟人,并確認對方有這些信息的知情權。

預防措施

  公司有責任讓員工意識到對非公共信息的管理不善會帶來嚴重的后果。一個深思熟慮地信息安全策略,再加上正確的教育和培訓,將會極大的提升員工正確處理企業內部信息的意識。資料數據的分類策略也將幫助你實施對信息使用的正確控制,如果沒有分類策略,所有的內部信息都應被視為保密,除非另做指定。

采取以下步驟來防止公司看似無害信息的泄漏:

信息安全部門應操辦意識培訓來講解社會工程師所使用的手段。其中一個方法,正如上文所提到的,就是獲得看似不敏感的信息,然后把它當做籌碼來取得短暫的信任。每一個員工都應該意識到,當一個知道公司辦事程序、專業用語和內部標識的人打來電話時,并不意味著他或她就可以知道所查詢的信息。對方可能是公司以前的員工或是知道公司內部一般情況的合同工(譯者注:某些大公司將員工分為regular和contractor,前者類似事業單位的固定工,后者類似合同工)。因此,每個企業都有責任制定適當的驗證方法,在員工與他們不認識的人通電話或當面交談時使用。

負責制訂資料分類政策的人應該仔細檢查信息的分類,注意那些正式員工可以訪問到的看似無害卻可能會導致敏感信息泄漏的信息。盡管你從未把現金卡(ATM)的密碼告訴過別人,但你曾把開發公司軟件產品的服務器告訴過別人么?這個信息可不可以讓一個人裝扮成企業員工合法地訪問企業網絡呢?

有時僅僅知道內部的專用術語,就可以讓社會工程師顯得知道很多并可以信賴,攻擊者常常利用這個普遍的錯誤觀念來操縱受騙者。比如,交易碼是銀行開戶處用工作人員每天都使用的認證標識,這個標識的意義與密碼一模一樣。如果每一個工作人員都認識到它的意義——唯一用來確認查詢人身份,他們也許會更加謹慎的對待它。

米特尼克信箱

正如人所說——即使一個真正的妄想狂也可能有敵人,我們也必須假定每個企業都有它的敵人——以網絡設施為目標危及商業秘密的攻擊者。不要只把計算機犯罪視作一個統計數字,應盡早地布置深思熟慮的安全操作方案和策略,這樣才能對企業進行正確的控制以加強防范。

沒有公司或只有很少的公司,會將首席執行官或董事長的直撥電話告訴別人。盡管大多數公司并不在意在內部公開電話號碼,尤其對于似乎是內部員工的人,實施這樣一個政策還是必要的:禁止對外公開內部職員、合同工、顧問和臨時雇員的電話號碼。

  部門或工作組的財務制度,還有企業通訊錄(無論是復印件還是資料文件或是內網上的電子版),都是社會工程師常見的目標。每個企業對這類信息都要有一個成文的使用政策,并讓所有的員工都知道。保安人員則應保留一份備查日志,用以記錄敏感信息透露給企業外人員的情況。像員工號碼這樣的信息,它本身不能用做任何形式的驗證,內部員工不僅要驗證查詢信息者的身份,還要確定對方是否具有相關信息的知情權。

在進行安全培訓時,試一下這個方法:無論什么時候在接受一個陌生人詢問時,首先要禮貌的拒絕,直到確認對方身份。然后,在做好心人之前,先遵循公司對非公共信息的驗證和使用政策。這種工作方式也許違背了我們樂于助人的天性,但多一點有益的懷疑也許是必要的,以免成為社會工程師的下一個受騙者。

正如本章故事中所敘述的,看似無害的信息也許會成為打開企業最有價值的秘密信息的鑰匙。

贊(1) 打賞
未經允許不得轉載:老九IT技術網 » 欺騙的藝術-第二章 無害信息的價值

評論 1

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址

老九為IT技術人提供最全面的IT資訊和交流互動

歡迎投稿廣告合作

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

微信掃一掃打賞

足彩计算器混合过关