“下个星期不行。”她告诉他,因为她要去肯塔基州参加她妹妹的婚礼,在其它的时间她可以帮他,只要她办得到。当她挂上电话时,梅林感觉很好,因为她为一个未被赏识的公务员提供了帮助。基思?卡特(Keith Carter)的故事从电影和畅销犯罪小说里可以得出结论,私人侦探缺乏道德规范,热衷于窥探人们的隐私。他们的行为违反了法律,就差被逮捕了。真相当然是,大部分PI(译者注:private investigator缩写,私人侦探。)的生意运作完全合法。自从他们中许多人开始在他们的工作中宣誓遵守法律,他们就已经完全知道什么是合法的,什么是不合法的,大部分人不会想越过这条线。这里,仍然有例外。一些PI——比一些更多——所做的确实和犯罪小说里塑造的那些家伙一样。这些人在交易中充当信息经纪人是很出名的,一个要违反法律的人的教养有限。他们知道如果走捷径就可以更快更好地完成任何任务。这些捷径可能严重触犯了法律,那将使他们在高墙下度过数年的时光,不过似乎不能阻止一个肆无忌惮的人。高消费阶层的PI——这些人在城镇高价出租屋里设计出独特的办公套房——不亲自做这些事情,他们只是雇用一些信息经纪人为他们工作。我们称呼这个人为基思?卡特,一个不受道德规范限制的私人侦探。一个典型的案例是:“他藏钱的地方在哪里?”或者有时候是:“她藏钱的地方在哪里?”有时候是一个有钱的女士,想知道她的丈夫把她的钱藏在哪里(虽然为什么一个有钱的女人曾经和一个家伙结婚是一个谜,但这不是基思?卡特现在想知道的,因此没有去找一个很好的答案)。这个案例里的丈夫名字是乔?詹森,他把钱藏了起来。他“是一个非常聪明的人,他从他妻子家族借了一万美元创建了一家高科技公司,发展成了上亿美元的公司。”按照她的离婚律师所说,他做了一件高难度的事情隐藏了他的资产,这位律师想要一份完成的资产报告。基思首先确定他的起点是社会保险总署,目标是他们关于詹森的文件,像这样的情形,那里装着非常有用的信息。有了相关信息的帮助,基思可以伪装成目标让银行、经济公司和风险投资公司告诉他任何事情。他的第一个电话打给了本地区域办公室,使用了任何公众都可以使用的一个的800号码,这个号码列在了本地电话本里。当办事员在线时,基思要求连线产权局的人。等待了一会儿,然后有了声音。然后基思变换了身份,“你好,”他说,“我是格热格瑞?亚当斯(Gregory Adams),329区域办公室。听着,我在设法联系一个产权调停者操作一个尾数为329的账户号码,我从传真机那里得到的这个号码。”“那是2号Mod。”这个人说,他查到了号码并告诉了基思。下一个电话他打给了2号Mod(译者注:上文中说的是三号Mod,不知道为什么)。当梅林响应时,他更换了角色,成了审查中心办公室的一名进行常规审查的工作人员,碰到了问题,他的电脑不得不给别人使用。她把他要找的信息告诉了他,还同意在他将来需要帮助时找她帮忙。过程分析是什么使得利用员工的同情心如此有效?在这个故事里,别人用了他的电脑然后“我的上司对我不满了”。人们并不经常表达他们的情感,当他们这样做时,可以使目标再一次失去对社会工程学的本能防御。“我遇到了麻烦,你能帮我吗?”的情感策略是赢得这一天用到的所有东西。不安全的社会难以置信,社会保险总署把他们全部的程序操作手册放到了网上,这些信息里有很多对他们有用,但同样也对社会工程师有用。它包含了缩写、术语和怎样请求你想要的东西的指令,就像这个故事里描述的那样。想要知道社会保险总署的更多内部信息?只要在Google里面搜索或者在你的浏览器里输入下面这个地址:v/f/。除非这个机构已经阅读了这个故事并在你阅读这些以前移除了这个手册,你可以找到在线使用说明,它甚至详细地给出了哪些数据SSA办事员可以提供给执法部门。实际上,那一部门包含了任何可以使SSA办事员相信他来自执法部门的社会工程师。攻击者不能成功的从一个接到审查中心的电话的办事员那里获得这些信息。基思的攻击方式仅仅是使用一些公众难以获得的电话号码,接听的人因此认为打这个电话的人都是内部人员——另一个地下酒吧式安全的例子。协助此次攻击的元素如下:知道Mod的电话号码。知道他们使用的术语——阿尔法查询、数据列表和详细收入查询。假装来自审查中心办公室,那是每一个联邦政府员工都知道的有很大权力的政府研究机构。这给了攻击者一个权威的光环。一个有趣的事实是:社会工程师似乎知道怎么样进行请求,让一个从来没有想过“你为什么打电话给我。”认为这个电话来自一些完全不同的其它部门的人,可以建立更多的理解。也许他只是想帮助这个打电话的人,好让单调的日常工作能停顿一下,受害人不会去想这个电话有多么不寻常。最后,这个故事里的攻击者,没有满足于这些到手的信息,他还想要和目标建立联系好让他可以有规律的打电话来。他可以使用普通的同情心攻击策略——“我把咖啡撒在键盘上了。”可是,那在这里不适用,因为一个键盘可以在一天里面更换掉。因此他使用了这个别人用了他的电脑的故事,他可以适当地将这些扩充:“是的,我想他在昨天就会有一台他自己的电脑,但是一个人进来和另一个家伙进行了一些交易把它给换了。所以这个爱开玩笑的人仍然出现在我的办公室里。”等等。我很可怜,我需要帮助,像有魔力一般有效。一个简单的电话攻击者的一个主要障碍是让他的请求看上去很合理,就像是受害人在日常工作中碰到的常规请求,这些对受害人而言并不陌生。和一生中的其他许多事情一样,进行合理的请求有时候是个挑战,但是接下来,它就会变成小菜一碟。玛丽?哈里斯(Mary Harris)的电话日期/时间:星期一,十一月23日,上午7:49地点:麦斯拜&火炬会计公司(Mauersby & Storch Accounting),纽约对于大多数的人而言,会计工作就是数字整理和账目计算,通常认为那些就像在小路上漫步一样惬意。幸运的是,不是每一个人都那样看这份工作。例如,玛丽?哈里斯认为她的工作像高级会计师一样有趣,一部分原因是她是这家公司最专注的会计员工之一。在这个特殊的星期一,玛丽到得很早,开始了漫长的一天里她的首要工作,并吃惊地发现她的电话响了。她接了电话,报上了她的名字。“你好,我是彼得?谢帕德(Peter Sheppard)。这里是奥布斯特(Arbuclde)公司,我们为你的公司提供技术支持。我们在周末收到了几个这里的电脑有问题的投诉。我想我可以在早上所有人进来工作之前充当故障检修员。你的电脑有任何问题或者连接网络有任何问题吗?她告诉他她还不知道。她打开了她的电脑,当电脑启动的时候,他解释了他要做的事情。“我想在你的电脑上进行一些测试,”他说,“我能在我的屏幕上看见你键入的字,我想确认网络通顺。所以当你录入时,我想要你告诉我那是什么,然后我会检查这里是否是相同的文字或数字。好吗?”梦魇一般的景象,她的电脑无法工作,失败的一天,不能完成任何工作。她很高兴这个人能帮她。过了一会儿,她告诉他:“我到了登陆屏幕,我要输入我的ID。我现在键入它——M...A...R...Y...D。”“到现在为止很好,”他说,“我看到了。现在,前进并输入你的密码但不要把它告诉我。不要把你的密码告诉任何人,甚至技术支持部门都不可以。我在这里只会看见星号——你的密码受到了保护所以我无法看到它。”这些都不是真的,但这对玛丽有意义。然后他说:“当你的电脑启动时告诉我。”当她说它启动了时,他要她打开两个应用程序,然后她报告说他们运行得“很好”。玛丽看到所有东西都运行正常,放心了。彼得说,“我很高兴可以确定你的电脑工作正常。听着,”他继续道,“我们刚才安装了一个更新程序,允许人们更改他们的密码,你可以给我几分钟时间让我能检查它是否工作正常吗?”她对他的帮助很感激于是欣然答应了。彼得告诉她运行这个程序的步骤,允许用户修改密码,这是Windows2000操作系统的标准组件。“前进并输入你的密码,”他告诉她,“但是记住不要大声地说出来。”当她完成这些时,彼得说:“只是为了这个快速测试,当它请求你的新密码时,输入‘test123’,然后在确认栏里再次输入它,点击确定。”他告诉她从服务器断开的方法。他让她等待几分钟,然后再连接,这次试着用她的新密码登陆。它像有魔力一样工作着,彼得似乎很高兴,然后告诉她用初始密码改回去或者选择一个新的密码——再一次提醒她不要把密码大声地说出来。“好了,玛丽,”彼得告诉她,“我们找不到任何错误,那很好。听着,如果有了任何问题,只要打电话到奥布斯特公司我们这里,我通常有特殊任务,但是这里的任何人都可以帮助你。”她感谢了他然后他们互相说了再见。彼得的故事彼得这个名字传播得很广——在他的学校里许多和他一起去学校的人听说他可以进行一些电脑风啸获得其他人不能获得的有用信息。当艾丽丝?康拉德找到他并寻求帮助时,他首先说的是不。为什么他要帮忙?当他第一次遇见她并试着和她约会时,她的拒绝让他倍受打击。但是他拒绝帮忙似乎并没有让她吃惊。她说她认为一些事情他无论如何也办不到。那可能是个挑战,因为他当然确定他能办得到,那是他同意的理由。艾丽丝拿出了一份关于一家交易公司的一些顾问工作的合同,但是这份合同的条款似乎不是很好。在她回去请求获得更好的待遇以前,她想要知道其他顾问他们的合同条款都有些什么。下面是彼得讲述这个故事。当我知道它很容易时,我不想告诉艾丽丝任何事情,除了我可以做到人们认为我做不到的事情。好的,不容易,准确点,这次不容易,要做一系列的事情,但是还好。我要给她展示这真实的一切,多潇洒。星期一早上7:30之后一点点,我打电话给交易公司办公室并联系上了接待员,说我是这家公司处理他们退休金计划的人,想要和会计公司的人谈话。她有没有注意到会计公司的人还没有上班?她说:“我想我几分钟之前见到过玛丽,我帮你联系她。”当玛丽拿起电话时,我告诉她关于电脑故障的一些故事,那让她有些神经过敏,所以她很高兴的合作了。当我告诉她怎样修改她的密码时,我用同样的临时密码(我要她使用的:test123)快速登陆了系统。进入并掌握了这里——我安装了一个小型程序允许我无论何时只要我想要就能访问这家公司的电脑系统,使用了一个我自己的秘密的密码。当我挂断玛丽的电话时,我的第一个步骤是清除登陆纪录,这样就没有人知道我曾经登陆过他(或她)的系统。这很容易。在我提升了我的系统权限之后,我下载了一个叫做clearlogs的免费的程序,我是在一个安全类的网站找到它的。到真正的工作时间了。我在所有文件里查找文件名带有“contract(译者注:合同)”关键字的文件,然后把它下载下来。我还在根目录里找到了更多——这些目录里包含了所有的顾问工资报告。所以我整理了所有的合同文件和一张工资清单。艾丽丝可以细读这些合同看他们支付多少钱给其他顾问。让她辛苦地细读所有这些文件吧,我做到了她要我做的。从我存放这些数据的磁盘里,我打印了一些文件当作证据给她看。我要她和我约会并请我吃午饭,当她翻阅这一堆纸时你可以看见她的表情。“没门,”她说,“决不。”我没有拿出这些磁盘,它们是诱饵。我说过她不得不过来拿,希望也许她会对我的帮助表示感谢。米特尼克信箱这很令人惊讶,那些精心构造的请求可以轻易地让人们帮社会工程师做事。前提是引起基于心理作用的自动响应,这依赖于当他们觉得这个打电话的人是盟友时人们的心理捷径。过程分析彼得打给交易公司的电话表现的是社会工程学攻击的最基本的形式——一个简单的尝试,只需要一点点准备,首次尝试的工作,只用几分钟就能完成。效果很好,玛丽,这个受害人,没有认为那是一些对她的欺骗或诡计,也没有提交报告或引起骚动。彼得的计划使用了三种社会工程学策略。首先他让玛丽因为害怕而合作——让她认为她的电脑不能用了。然后他花时间让她打开了两个应用程序,这样她确定了她的电脑工作正常,让他们之间的好感增加了,感觉有了同盟一样。最终,他按照计划的一部分利用她的感激(他帮助她确认了她的电脑工作正常)让她进一步地合作。通过告诉她在任何时候都不能说出她的密码,甚至不能告诉他,彼得彻底地完成了这一微妙的工作,让她觉得他是在关心她的公司文件的安全。这促进了她的信心,他肯定是合法的,因为他在保护她和她的公司。警察的搜捕行动想象一下这样一个情景:政府准备对一个叫做阿图若?森彻(Arturo Sanchez)的人展开行动,他在互联网上免费发布电影,好莱坞制片厂说他侵犯了他们的版权,他说他只是推动他们承认一个不可以避免的交易方式,所以他们开始做些事情让新电影可以免费下载。他指出(正确地)这是电影公司完全忽视的巨大的收入来源。搜索证,谢谢一天晚上回家迟了,他穿过街道查看了一下他家的窗户,即使他出去了也总是会留下一盏灯,但是现在,灯灭了。他用力敲着邻居家的门直到他把人叫醒了,然后了解到确实有警察搜索了这座建筑。但是他们让邻居们待在楼下,所以他不能确定他们进入了哪个房间,他只知道他们离开时带走了一些很重的东西,可是他们把它掩盖了起来,他也说不出那些是什么,他们没有逮捕任何人。阿图若检查了他的房间,坏消息是警察留下了一张纸条要求他马上打电话并在三天之内确定一次会面,更坏的消息是他的电脑不见了。阿图若这天晚上消失了,他和一个朋友待在一起。但是一些不确定的东西困扰着他,警察知道了多少?他们最后会不会逮捕他,不给他任何逃走的机会?或者也不完全是这样,他可以解决这些事情而不用离开这里?在你继续阅读之前,停下来思考几分钟:你能想象出任何途径去找出警察知道你的哪些事情吗?傲慢的你没有任何政治上的联系或有朋友在警察局或者司法办公室,你可以想象任何途径,像一个普通公民一样,去获得这些信息吗?或者那只有一些有社会工程学技巧的人才能做到?警察的故事阿图若对他需要知道的这些很满意:首先,他拿到附近复印店的电话号码,打电话给他们请求使用他们的传真号码。然后他打电话给检察官办公室,找档案室。当他联系上档案办公室时,他介绍他自己是莱克镇的警官,说他需要和归档现行搜查证的办事员谈话。“可以。”那位女士说。“噢,好极了,”他回答,“因为我们昨晚搜捕了一个嫌疑犯,我想要了解宣誓书的位置。”“我们用他们的地址归档。”她告诉他。他说出了他的地址,她的声音几乎有些激动。“噢,是的,”她吐着泡沫,“我知道这个,‘版权侵犯’。”“就是这个,”他说,“我在寻找宣誓书和许可证的副本。”“哦,我这里正好有。”“好极了,”他说,“听着,我现在在外面,有一个关于这件案子的秘密服务的十五分钟会议。我最近有点恍惚,把文件留在了家里,这里没有那些文件并且来不及回去拿了。我可以从你那里拿到副件吗?”“当然,没问题。我把它复制一份,你可以到这里来拿它们。”“好极了,”他说,“那真好。但是听着,我在镇子的另一边,你可以把它们传真给我吗?”有了一个小麻烦,但是可以克服。“我们档案室没有传真机,”她说,“但是楼下的职员办公室有,他们可以让我用。”他说:“我打电话到职员办公室问问看。”职员办公室的女士说她乐意帮忙但是想要知道“谁来付钱?”,她需要知道账户代码。“我拿到代码后再打电话给你。”他告诉她。然后他打电话给DA办公室,再一次伪装成警官简单地询问了一下接线员,“DA办公室的账户代码是多少?”没有丝毫犹豫,她告诉了他。他打电话回职员办公室,提供了账户代码,原谅他进一步利用了这位女士:他要她上楼去拿那些副件来传真。注意使用那些对他的攻击有用的东西,比如电话和电脑,一个社会工程师如何知道那么多操作的详细资料(警察部门、司法办公室、电话公司和特殊的公司机构)?把它找出来就是他的生意,这些知识是一个社会工程师在交易中的库存,因为信息可以在他的行骗中帮助他。掩盖足迹阿图若还有其它组合的步骤去拿传真。总是有可能被人察觉到一些异样,他可能会在复印店发现几个侦探,他们随意地说着话,看上去很忙碌直到有人露面拿那个特殊的传真。他等待了一会儿,然后打电话回职员办公室确认那位女士已经发送了传真。到目前为止一切都很好。他打电话给镇子对面的另一家连锁复印店,略施小计,“我对你的工作处理很满意,想写一封信给经理表示祝贺,她的名字是?” 有了这一基本信息,他又打电话给第一个复印店说他想和经理说话。当那个人拿起电话时,阿图若说:“你好,我是哈特菲尔德628店的爱德华(Edward)。我的经理安娜(Anna)要我打电话给你。我们有一个心烦意乱的顾客——有人把错误的复印店传真号码给了他,他在这里等一个重要的传真,可是他拿到的这个号码是你们复印店的。”这位经理答应马上叫一个人把这份传真发到哈特菲尔德的复印店。当传真到了第二家复印店时阿图若早已经等在那里,他一把它拿到手,就打电话回职员办公室对那位女士表示感谢,还有“没必要把那些副件送回楼上了,你现在就可以把它们扔了。”然后他打电话给第一家复印店的经理,也告诉他把那些传真副件扔了。这样这里发生的事情就不会有任何纪录,只是有个人稍后回来问了些问题。社会工程师知道你决不会很细心的。计划的这些方法,阿图若不需要支付第一家复印店收这些传真再把它发给第二家复印店的钱,并且如果露馅了警察先会找到第一家复印店,当他们安排去第二家复印店抓人时阿图若早已经拿到了他的传真。故事的最后:宣誓书和许可证上显示警察已经有了阿图若盗版电影行为的充分证据。这就是他想要知道的。当天晚上,他穿过了州界线。阿图若开始了新的生活,在别的地方有了新的身份,准备再次开始他的活动。过程分析在任何检查官办公室工作的人,无论在哪里,总是免不了和执法部门的工作人员联系——回答问题、做好安排、获得讯息。任何足够勇敢的人都可以打电话声称自己是一名警官、代理州长或者任何由他的语言来决定的角色。除非他很明显不了解术语,或者他有些神经紧张结结巴巴地结束他的话,或者用一些听上去不可信的方法,他可能甚至不会被问一个问题确定他的身份。那确实发生在这里,和两个不同的工作人员。米特尼克信箱问题的实质是没有人会对一个优秀社会工程师的欺骗免疫。因为普通生活的节奏,我们并不经常有时间深思熟虑再作出判断,虽然事实上那对我们很重要。复杂的情形,缺乏的时间,情绪的波动,或者精神的疲劳,都可以轻易地使我们分心。所以我们使用了心理捷径,没有经过谨慎和全面的分析就作出判断,一个像自动应答一样的心理作用。这些甚至适用于联邦、州和本地执法部门办公室。我们是所有人。通过一个简单的电话就可以获得一个必需的支付代码,然后阿图若用一个故事打出了同情牌,“有一个关于这件案子的秘密服务的十五分钟会议,我有点心不在焉,把文件忘在了家里。”她自然对他这件事感到遗憾,然后偏离了她的职责去帮忙。然后通过利用两个复印店,阿图若去拿那份传真时他让自己非常安全。进行传真时这里的一个变化让追踪足迹更加困难:代替把这些文件发给另一家复印店,攻击者可以给一个公开的传真号码,通过一个真实的地址在因特网上的免费服务将你收到的传真自动转发到你的邮箱地址里,他不会在任何地方露脸,没有人会认出他,邮箱地址和电子传真号码在完成任务后就可以扔了。转换表格一个我叫他迈克尔?帕克(Michael Parker)的年轻人,他是较晚完成better-paying论文的人之一,那通常是和大学学位挂钩的。他有一个机会参加一个本地大学的部分奖学金加教育贷款活动,但是那意味着要在晚上和周末工作才能支付他的租金、食物、汽油和汽车保险。迈克尔总是喜欢去找捷径,认为也许有另外的方法,一个只需要少量的努力就可以不用付钱的更快的方法。因为他从十岁第一次玩电脑时就开始学习计算机了,他着迷于发现它们是怎样工作的,他确信能更快看见自己的计算机科学学士学位,如果他可以“制造”它的话。毕业生——没有荣誉他可以入侵州立大学的计算机系统,找到成绩为B+优秀或平均为A-毕业的人的档案,复制,然后加入他自己的名字,把它添加到当年毕业班的档案里。通过思考这些,不知道怎么了他有些担心这个主意,然后他认识到肯定还有其它的在校生档案——学费支付档案,住房分配办公室,还有那些知道别的什么的人。仅仅建立课程和评分的档案会留下太多漏洞。经过深入思考,他觉得这个方案只有在达到了他的目标时才能实现,学校里要有一个和他名字相同的毕业生,在任何适当范围的时间里获得过一个计算机科学学位。如果那样的话,他就可以在员工申请书里填写另一个迈克尔?帕克的社会保险号码,任何去大学核实姓名和社会保险号的公司都会被告知,是的,他有学位。(对大部分人而言不明显但是对他而言是显而易见的,他把一个社会保险号放在了工作申请里,然后如果被雇用了,就把他自己真实的号码填入新员工表格中。大部分公司都不会想去检查一个新员工在聘用时是否使用了一个不同的号码。)登陆的麻烦怎样在大学档案里找到一个迈克尔?帕克?他是这样着手的:进入大学校园的主图书馆,他坐在一台电脑终端前,连入网络并访问大学的网站。然后他打电话给注册员办公室,当有人回应时,他运用了一个社会工程师耳熟能详的方法:“我从电脑中心打电话来,我们正在更改一些网络配置,我们想要确定我们没有使你的访问中断。你连接的哪个服务器?”“服务器?什么意思?”他问。“当你查询学生档案信息时连接的哪一台电脑。”回答是:u,储存学生档案的电脑名称。这是难题的一小部分:他现在知道了他的目标机器。专业术语哑终端:一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。他在电脑里输入了那个网址但是没有获得响应——和预期的一样,有防火墙阻止了访问。因此他运行了一个程序看看能不能连接上那台电脑的任何服务,然后发现了一个打开的端口运行着Telnet服务(允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它)。获取访问权限所必需的是一个标准用户ID和密码。他打了另一个电话给注册员办公室,这一次他仔细地倾听并确定在和另一个人说话。他遇到了一位女士,然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统,仍处于测试阶段,想了解她是否可以正确访问学生档案。他给了她一个连接的IP地址并且告诉她怎样操作。事实上,这个IP地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步骤,他创建了一个登陆蜜罐——一个登陆界面的圈套——看上去就像是当她登录学生档案系统时通常看到的一样。“它没工作,”她告诉他,“它持续说‘登陆不正确’。”现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她:“哦,这台机器里的一些账户仍然不能用,让我配置一下你的用户,然后再打电话给你。”小心的绑好未扣牢的一端,就像所有社会工程师精通的那样,他强调稍后再打电话,说测试系统还没有工作正常,如果她能使用它了,他们会打电话给她或者这里的其他人。乐于助人的注册员现在迈克尔知道了他要访问哪一个电脑系统,还有用户ID和密码。但是当他有了正确的名字和毕业时间时如何在文件里搜索这些信息?学生数据库是私有的,在学校建立它是为了对付大学特殊的需求和注册员办公室,并且有唯一的途径在数据库中访问信息。首先清除这些最后的障碍:找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注册员办公室,这一次成了另一个不同的人。他来自迪安工程办公室,他告诉那位女士,然后他问道:“当我们访问学生档案出现问题时,我们该给谁打电话?”几分钟以后他打电话给大学数据库管理员,上演了值得同情的一幕:“我是注册员办公室的马克?塞乐。你能同情一下一个新人吗?很抱歉打电话给你但是这个下午他们都在开会,没有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表,从1990年到2000年的。他们今天就需要它,如果我没有它的话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧?”帮助人们是这个数据库管理员要做的事的一部分,所以他特别耐心地告诉迈克尔一步一步的操作过程。当他们挂断电话时,迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟,查找到了两个迈克尔?帕克,在他们中选择了一个,获得了这个人的社会保险号码和其它在数据库里的相关信息。他就成了“迈克尔?帕克,B.S(译者注:Bachelor of Science 理科学士),计算机科学,光荣毕业,1998”。在这里,“B.S”是唯一恰当的。过程分析这次攻击使用了一个我之前没有谈到过的策略:攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格,相当于请求商店的所有者帮你搬运包含了消息的盒子,你只需要从他的架子上偷来放到你的车里就可以了。米特尼克信箱当电脑用户遇到社会工程学相关的威胁和攻击时,他们显得有些无能为力,那些技术存在于我们的世界中。他们有权使用信息,但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标,所以目标通常会答应陌生人的请求。预防措施同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制,这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢?保护数据这一章的一些故事强调了发送一份文件给你不认识的人有多么危险,即使当这个人是(或者表面上是)一名员工,这份文件是被发送到一个公司的电子邮件地址或传真机上。需要制定非常详细的公司安全策略,保护贵重的数据不被发送给陌生人。需要制定严格的程序来传送有敏感信息的文件。当请求来自于陌生人时,必须有清晰的查证,要有依赖于敏感信息的不同的等级证明。这里有一些可以考虑的方法:建立知道需求(要求获得指定信息所有者的授权)。保持一个处理这些事情的个人或者部门日志。维护一张接受过特殊培训、被授权对外发送敏感信息的人员名单,要求只有这些人可以发送信息给工作组外部的人。如果数据请求需要写入(电子邮件,传真,邮件),则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。关于密码所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员——都需要了解一些简单的操作,比如修改你的密码,即使是一小会儿都能导致一个严重的安全漏洞。安全培训需要包含密码主题,关注什么时候和怎么样改变你的密码,什么是合法的密码,和将任何其他人卷入程序的危险性。培训尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们密码的请求。表面上看起来这是一条简单的传给员工们的信息,但不是,因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”,但是在这个小孩明白为什么那是重要的以前,你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。注意:密码是社会工程学攻击关注的中心,那是我们致力于第16章的单独的部分,那里你可以找到详细的管理密码的推荐方针。中心报告点你的安全方针应该指定一个人或组为报告可疑行为(企图渗透你的机构)的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的,报告这些的电话号码应该始终放置在眼前,这样当员工们怀疑发生了攻击时就不需要去发掘它。保护你的网络员工们需要了解电脑服务器或者网络的名称不是无价值的信息,它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。特别的,像是数据库管理员之类的使用软件工作的人属于专业技术类别,他们需要在特殊的和非常限制性的规则下操作,验证打电话给他们请求信息的人的身份。经常提供各种电脑帮助的人需要很好的培训识别哪些请求属于红色标记,暗示打电话的人可能试图进行社会工程学攻击。这是有价值的笔记,可是来自这一章最后故事里的数据库管理员的观点,打电话的人是符合标准的:他是在校内打来的电话,并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证(对任何请求信息的人)程序的重要性,尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了,也不要惊讶于学生档案——有时候是全体教员档案——是一个诱人的目标。这一陋习如此的泛滥,一些公司甚至考虑把大学加入敌对的外界环境,创建防火墙规则阻止以.edu结尾的教育机构地址访问。我已经说清楚了,所有学生和职员的任何类型的档案都会是攻击的主要目标,应该得到很好的保护就像敏感信息一样。训练技巧大部分社会工程学攻击都可以轻易地被阻止,只要那个人知道自己掌握的是什么。从公司的观点出发,有一些优秀培训的基本原则,但是同样需要另一些东西:多种途径提醒人们他们在学习什么。使用屏幕溅射(splash screen,也叫程序启动画面的制作),当用户电脑启动时每天出现一个不同的安全消息。这条消息可以被设计为不能自动消失,要求用户点击这些消息确认他或她已经读过它了。另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要,一个提示程序必须正在运行并且不能结束。在陈述的内容里,不应该在每一种情况里使用同样的措词。当他们变化措词或者使用不同的例子时,学习显示的这些消息更为有效。一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏,虽然一个安全专栏的确有价值。另外,设计一个两或三栏宽的插入块,有点像是你们本地报纸的小型陈列广告。在每一次的时事通讯出版时,通过这个简短的注意力点呈现一个新的安全提示。第九章 逆向骗局圈套,在这本书的其它地方提到过(在我看来也许最好的电影永远是关于实施入侵的),迷人的叙说里安排了它巧妙的情节。在电影中圈套的一个准确的描述是顶级骗子运用的“金属丝”,这是提到的三种主要骗局之一的“重要的过程”。如果你想要知道一个专业的团队怎样只用一个晚上去实现一个骗局而迅速获得大量的金钱,这里没有更好的教材。但是传统的入侵,他们的特殊花招都会依照一个模式。有时候一个诡计会被反向应用,这称为逆向骗局。这是一个迷人的手段,攻击者设定情况让受害人向他寻求帮助,或者一位同事正好发出了攻击者响应的请求。这些是怎样实现的?你正打算发现它。专业术语逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。友好的说服艺术当一般人想象电脑黑客的样子时,通常会联想到阴暗的一面,一个孤独、内向、讨厌的人,他最好的朋友是一台除即时信息以外很难交流的电脑。社会工程师常常拥有黑客的技能,也有普通人的技能——在对立的光之尽头——通过你从未想过可能性的途径,使用得到良好发展的能力操纵人们谈论他们获取信息的方法。安吉拉(Angela)的电话地点:工业联邦银行,流域分行。时间:上午11:27。安吉拉?维斯露斯基(Angela Wisnowski)接到了一个电话,那个人说他刚刚得到了一大笔遗产,想要了解一些信息,关于不同类型的储蓄存款账户、存款单和任何她推荐的安全的可以正当获利的投资。她解释说有相当多的选择,问他是否可以过来坐下和她一起讨论它们。他说他一拿到钱就要去旅游,还有很多事情要安排。所以当她设法约束他的投资目标时,她开始推荐一些可能的类型,还给了他关于利率的详细资料,如果你很早地提现会发生什么,等等。她似乎更进了一步,他说:“噢,对不起,我要接另一个电话。什么时候能和你继续这次交谈好让我作出一些决定?你什么时候出去吃午饭?”她告诉他是12:30,他说他会在那之前或者之后几天再打电话过来。路易斯(Louis)的电话银行总部使用每天都更改的安全密码,当分行的某个人需要从另一个分行处获得信息时,他可以通过证明自己知道这个每日密码来表明他有权访问信息。为了更深层次的安全性和机动性,一些银行总部每天都会发行多重密码。在一个被我称为工业联邦银行的西部海岸机构里,每一位员工每天都能收到一张有五个密码的列表,每天早晨在他或她的电脑上从A到E进行验证。地点:相同。时间:下午12:48,同一天。路易斯?霍普本(Louis Halpburn)对那个下午接到的电话不以为意,这个电话和一周里有规律的其它几次来电一样。“你好,”打电话的人说,“我是尼尔?韦伯斯特(Neil Webster),从波士顿3182分行打电话来。找安吉拉?维斯露斯基,谢谢。”“她在吃午饭,我能帮忙吗?”“好的,她留了言请求我们传真一些关于我们的一个客户的资料给她。”这个打电话的人听上去度过了糟糕的一天。“通常处理这些请求的人请了病假,”他说,“我有一堆这些事情要做,已经在这里4个钟头了,我希望能在半个小时以后离开这里去和一个医生会面。这样处理——给出了为什么其他人会觉得他很可怜的所有理由——这是使受害人软化的一部分。他继续说:“无论是谁接到了她的电话留言,传真号码已经不清楚了,大概是213什么的,其余的是什么?”路易斯给出了传真号码,然后打电话的人说,“好的,谢谢,在我传真这些之前,我需要询问你密码B。”“但是是你打电话给我的。”他说这句话时很冷淡,好让这个来自波士顿的人明白。很好,打电话的人想。当人们在第一次温柔的推挤中没有跌倒时,很酷。如果没有少量的反抗,这份工作会太容易,我会变得懒散的。他对路易斯说:“我这里的分行经理对我们发送任何东西之前的验证有些偏执,但是听着,如果你不需要我们传真这些信息,很好,不需要验证。”“看,”路易斯说,“安吉拉会在大约半个小时后回来,我可以让她打电话给你。”“我会告诉她今天我不能发送这些信息,因为你没有给我密码验证这些合法的请求。如果我明天没有请病假,我会再打电话给她。”“留言说 ‘紧急的’,别担心,没有验证我就无法操作,你可以告诉她我试着发送它但是你没有给我密码,好吗?”在压力之下路易斯放弃了,从电话线的另一端传来一声烦恼的叹息。“好的,”他说,“等一下,我要到我的电脑上去,你想要哪一个密码?”“B。”打电话的人说。他把电话放在桌子上然后很快又拿了起来。“3184。”“那不是正确的密码。”“它是正确的——B是3184。”“我没有说B,我说的是E。”“噢,该死的,等一会儿。”另一次停顿,当他查看密码时。“E是9697。”“9697——正确,我在路上发送这份传真,好不好?”“当然好,谢谢。”沃尔特(Walter)的电话“工业联邦银行,我是沃尔特。”“嗨,沃尔特,我是影视城38分行的鲍勃?格若博斯基(Bob Grabowski),”打电话的人说,“我需要你传真一份客户账户的签字样卡给我。”签字样卡上面有客户的签名,它也有验证信息,常见的例如社会保险号码、生日、母亲家族的姓氏,有时甚至是驾驶执照号码。这对于一个社会工程师来说唾手可得。“确认信息,密码C是多少?”“其他出纳员正在使用我的电脑,”打电话的人说,“但是我可以使用B和E,我记得它们。问我它们中的一个。”“好吧,E是多少?”“E是9697。”几分钟以后,沃尔特依照请求传真了一份签字样卡。堂娜?普雷斯(Donna Plaice)的电话“你好,我是安森莫(Anselmo)先生。”“今天我能帮你些什么?”“我想要了解保证金是否仍记入贷方,应该打哪个800号码?”“你是这家银行的客户吗?”“是的,我没有用过这个号码,现在我不知道我把它写在了哪里。”“号码是800-555-8600。”“好的,谢谢。”文斯?开普雷(Vince Capelli)的故事斯伯克恩(Spokane)街巡警的儿子文斯很年轻的时候就知道他不会把生命花费在长时间的辛勤努力上,承受最低工资的风险。他人生的两个主要目标首先是离开斯伯克恩,然后是成就他自己的事业。朋友们的笑声一直伴随着他的大学生活,这只让他更加恼火——他们认为这很搞笑,他太失败了,想开创自己的事业却不知道从哪里开始。文斯私下里其实知道他们是对的,他唯一擅长的事是在大学棒球队里当接球手,但是还不够好,拿不到大学奖学金,更别提职业棒球了。所以他能从哪里开始他的事业呢?有一件事情在文斯的小组里的人一直没有弄明白:任何曾经是他们的东西——一把新的弹簧折刀,一对顶好的保暖手套,一个性感的女朋友,只要文斯喜欢,不久之后就会变成他的。他不需要偷窃或是鬼鬼祟祟地跟在任何人的后面,他不需要这样做。拥有它的人会自动放弃它,过后才会对这是怎样发生的感到惊讶。恰当的做法是请求文斯在任何地方都不要碰你的东西:他不了解他自己,人们似乎可以让他拿到任何他想要的东西。文斯?开普雷很年轻的时候就已经是一个社会工程师了,即使他从没听说过这个术语。他的朋友们拿到了大学毕业证之后就再也没有笑他了。当其他人艰难地在城市周围寻找工作时(在那里你不会要说“你想要来点油炸食品吗?”),文斯的父亲送他去为一个年迈的巡警工作,这位巡警离开警局之后在旧金山开始了他自己的私人调查事业,他迅速发现了文斯的才能,并为他安排了一个适合的工作。那是六年以前的事了。现在,坐着监视的无聊时间使他陷入痛苦,他痛恨从不诚实的配偶那里获取证据的部分,但是他感觉去搜集有用信息的任务是对自己的挑战,律师们想要了解一些可怜的穷人是否有足够的钱进行财产诉讼,这些任务给了他许多机会使用他的智慧。像这一次他浏览了一个名叫乔?马克欧兹(Joe Markowitz)的家伙的银行账户,乔可能暗地里处理了和他以前的一个朋友的交易,现在那位朋友想要知道如果他提出诉讼,马克欧兹有没有足够的家底让他拿回一些他的钱?文斯的第一步是找出至少一个银行这一天的安全密码,但是两个会更好。这听上去像是几乎不可能的挑战:究竟是什么使得一个银行员工在他自己的安全系统里撞出一条裂缝来?问你自己——如果你想要这样做,你有任何主意去实现它吗?对于像文斯这样的人来说,这太容易了。如果你知道他们公司的行话和他们工作的内部术语,他们就会信任你。就像是把你当成了他们的内部成员一样,也像是一次秘密的握手。我不需要太多这些工作的内部术语,不需要往头脑里灌输那些东西,开始工作只需要一个分行的电话号码。当我打电话到布法罗州比肯街办公室时,回应的人似乎是一个接线员。“我是提姆?艾克门(Tim Ackerman),”我说(任何名字都可以,他不会把它写下来), “这里的分行号码是多少?”他知道这个电话号码或者分行号码,但是相当麻木,因为我只是要打这个电话号码(分行号码),不是吗?“3182,”他说。就像这样,没有“你想要知道这个干什么?”或者任何问题,只因为它不是敏感信息,它被写在他们使用的每一张纸上。第二步,打电话给一家银行的分行,我的目标在那里有存款。获取他们中一个人的名字,然后得到安吉拉外出午餐的时间,她12:30离开。到现在为止,非常好。第三步,在安吉拉的午休时间打电话回同一家银行,说我从波士顿某某分行号码打电话来,安吉拉需要我传真这些信息,告诉我今天的密码。这是精彩的部分,出神入化。如果我要建立一个社会工程师测试,我会放上一些像这样的东西,你的目标起了疑心——为了一个好的理由——你仍然镇定自若直到打败了他,然后获得了你想要的信息。你不能通过背诵剧本里的句子或者学习日常事务做到这些,你要去了解你的目标,捕捉他的心情,像钓鱼一样控制他,放一点点线然后卷起,放线,卷起,直到你把他用网网起来,在船上用长板条拍打他!我控制了他并且拿到了今天的密码,这是一个重要的步骤。对于大部分的银行,他们只使用一个密码,因此我可以在家里避开它。联邦工业银行使用五个,所以只使用五个中的一个的几率很小,有了五个中的两个,我就可以有更高的可能性完成这小小的戏剧的下一幕。我热爱“我没有说B,我说的是E”这一部分,当它生效时,实在是太漂亮了,并且它在大多数情况下都有效。拿到三个可能会更好,事实上我想只用一个电话就拿到三个——“B”、“D”、“E”听上去很相似,你可以声称他们再次误解了你的意思,那样的话你肯定是在和一个真正弱小的敌人谈话。这个人不是,我拿到了两个。每日密码是我拿到银行签字样卡的王牌。我打电话,然后那个人请求了一个密码,他想要C,我只有B和E,但这不是世界末日。在这一刻你必须保持镇定,听上去自信,保持正确的行为,真正的平滑。我使用一个技巧操纵了他:“有人使用了我的电脑,问我其它的这些。”我们都是这家公司的职员,我们都在这里工作,让这个家伙方便些——这就是你希望受害人在那一刻心里想的。然后他按照剧本正确地操作了,选择了一个我提供的一个密码,我给出了正确的答案,他发送了签字样卡的传真。打更多的电话我就可以知道客户使用的自动服务的800号码,差不多都有效,电子语音会把你请求的信息读出来。从签字样卡里我得到了目标所有的账户号码和他的PIN码(个人身份号码),因为那家银行使用社会保险号码前面的五个或者后面的四个阿拉伯数字。有了这些,我打电话给那个800号码,拨通号码几分钟后,我得到了这个家伙四个账户的最后余额,并且额外还知道了他最近的每一笔存款和取款操作。每一件客户要求的事我都会给他们一些额外的特别的东西,好让他们高兴,毕竟,回头客才能让业务保持下去,不是吗?过程分析整个故事的关键是得到非常重要的每日密码,攻击者文斯使用了几个不同的技巧。当路易斯不给他密码证明身份时,他开始用上了一点口头上的威胁。路易斯的怀疑是正确的——密码被设计成可以反向使用。他知道这些事情通常的流程,这个不知名的人将给他一个安全密码。这对文斯来说是决定性的时刻,成败在此一举了。面对路易斯的怀疑,文斯简单地进行了控制,利用同情心(“去看医生”),压力(“我有一堆事要做,已经4个钟头了”),还有操纵(“告诉她你不肯给我密码”)。文斯很聪明,他事实上没有制造任何威胁,只是含蓄的表达了一个意思:如果你不给我安全密码,我就不会发送你的同事要的客户资料,并且我会告诉她我想要发送但是你不合作。停,我们不能太草率地责备路易斯。毕竟,电话上的人知道(或者至少看起来知道)自己的同事安吉拉请求了一个传真。打电话的人知道安全密码,并且知道他们使用指定的字母来验证,还说他的分行经理有很严格的安全要求。似乎实在是没有任何理由不按他的要求进行验证。并非只有路易斯,每一天都有银行职员在社会工程师面前放弃安全密码,难以置信却是真实的。沙滩上有一根线,私人侦探的技巧介于合法与违法之间。当文斯获得分行的电话号码时他的行为是合法的,当他操纵路易斯告诉他两个每日安全密码时,他也是合法的,当他拿到一位银行客户的保密资料传真时,他越过了这根线。但是对于文斯和他的老板来说,这是低风险的犯罪。当你偷钱或者商品时,会有人注意到它的发生。当你偷窃信息时,大多数情况下没有人会发觉,因为他们仍然拥有这些信息。米特尼克信箱安全密码相当于提供了方便可靠的方法来保护数据,但是员工们需要了解社会工程师使用的骗局,并且要培训他们在任何时候都不要放弃使用密码。被愚弄的警察对于一个隐蔽的私人侦探或者社会工程师而言,当他轻而易举地拿到某个人的驾驶执照号码时,常常有很多机会——例如,你想要冒充另一个人来获得一些关于她的银行余额信息。除非去偷那个人的皮包或是在恰当的时间透过她的肩膀窥视,找出驾驶执照号码应该是几乎不可能的事情,但是对于任何有适当的社会工程学技术的人而言,这几乎算不上挑战。一个特殊的社会工程师(我这样称呼他)——埃里克?曼特尼(Eric Mantini)想要拿到驾驶执照和常规检查中的车辆登记号码。当埃里克需要那些信息的时候,他认为没必要冒风险去打DMV(机动车辆局)的电话然后反复使用同样的诡计。他想知道是否有什么途径可以简化处理。也许这之前从没有人想过,但是他发现了一个瞬间就可以获得信息的方法,随时都可以。他利用了一个州机动车辆局提供的服务。许多州机动车辆局(或者你所在州这个部门的不同称呼)给了保险公司(当然还有私人侦探和其它组织)特权获取居民的这些信息,,州立法机关普遍认为把它授权共享有利于商业和社会的发展。当然,DMV也对共享的数据类型进行限制,保险行业可以从文件里获得几种类型的信息,但是没有其它的。对私人侦探们(PIs)还有不同的限制,等等。执法官员们通常有一个不同的惯例:DMV为任何宣誓过的治安官(如警察、警官、保安员等)提供档案里的任何信息,只要他能证明自己的身份。在埃里克所在的州,唯一需要的证明是一个DMV随同政府官员的驾驶执照号码一起发行的邀请码。DMV员工在共享信息之前始终验证匹配的官员名字,对照他的驾驶执照号码和其它部分信息——通常是生日。社会工程师埃里克想要做的是通过一个执法官员的身份完全掩盖自己。他是怎样做到的呢?对警察使用逆向骗局!埃里克的圈套首先他打电话到电话号码咨询台询问州议会大厦DMV总部的电话号码,他被告知是503555-5000,当然,这个号码可以被普通公众拨打。然后他打电话到一个附近的郡治安局并请求接通电传室——这是与其它执法机构通信的办公室,接收和发送国家犯罪数据库、本地许可证等等。当他联系上电传室时,他说他在找执法时使用的州DMV总部电话号码。“你是?”电传室的警员问。“我是奥,我要打到503-555-5753,”他说。这是骗局的一部分,一个无中生有的号码, DMV办公室和执法机构的电话使用同一个专用的区号,并且几乎可以确定后面的三个数字(前缀)也相同,他唯一需要知道的是最后的四个数字。郡治安局电传室不会接到公众的电话,并且这个打电话的人已经有了这个号码的大多数,显然他是可靠的。“是503-555-6127。”那位警员说。那么现在埃里克已经拿到了这个执法官员打给DMV的号码,但是只有这一个号码并不能让他满意,应该还有更多的电话线路,埃里克需要知道那里有多少,并且需要知道每一个电话号码。交换机为了实现他的计划,他需要得到访问电话交换机(处理DMV的执法电话线路)的权限。他打电话到州电讯部门并声称自己来自Nortel——DMS-100(一种被广泛使用的电话交换机)的厂商。他说:“你能帮我转接到一个在DMS-100上工作的技术员吗?”当他接通技术员时,他说自己是德克萨斯州的Nortel技术服务支持中心的工作人员,并解释说他们创建了一个管理员数据库来更新所有最近软件升级过的交换机。所有的一切都可以远程进行——无需任何交换机技术员参与,但是他们需要交换机的拨入号码,这样他们就可以直接从技术中心执行更新。听上去完全是似是而非,但技术员还是把电话号码给了埃里克。他现在可以直接打电话到一个州电话交换机了。为了防范外部入侵者,这种型号的商业交换机有密码保护,就像每一个公司电脑网络那样。任何使用后台电话盗用线路的优秀社会工程师都知道Nortel交换机为软件更新准备了一个默认的账户名:NTAS(Nortel Technical Assistance Support的缩写)。但是密码是什么呢?埃里克拨了几次,每一次都尝试一个常用的密码。输入和账户名相同的密码,NTAS,没有用,既不是“helper”也不是“patch”。然后他试了一下“update”……登陆成功。典型的,使用一个常用的、容易被猜出的密码只比不用密码好一点点而已。这有助于加快行动,埃里克或许已经足够了解那个交换机和怎样像技术员一样规划和检修它。他曾经以合法的用户访问过交换机,现在他需要获得目标电话线路的完整控制权。他通过电脑在交换机上查询拿到的那个电话号码,执法人员打到DMV 的555-6127。他发现在同一个部门有19个其它的号码,显然他们要处理大量的来电。交换机为每一个来电在20条线路中安排“搜寻”,直到找出一个空闲的线路。他选择了一个排在第18位的线路号码,然后输入密码为那条线路增加呼叫转移。至于转接号码,他输入了他的新的、廉价的、预支付的大哥大,这种大哥大深受经销商的喜爱,因为它们足够便宜,可以在工作完成之后就扔掉。现在激活了18线的转接,一旦办公室有17个电话占线,下一个来电就不会在DMV办公室响起,而是会转到埃里克的大哥大。他休息了一下并等待着。一个打到DMV的电话很快在那天早上8点之前大哥大就响了。这一部分是最好也是最美妙的,在这里埃里克,一个社会工程师,在和一个警察说话,而这个警察可以逮捕他或是拿搜索证指挥一次针对他的搜查。并且打电话来的警察不是一个,在第一个之后,是一些。有一次,埃里克正坐在餐馆里和朋友们吃午饭,大约每五分钟就会接到一次电话,用一支借来的笔在餐巾纸上写下信息。他还是乐此不疲。和警察说话丝毫不会打扰一个优秀的社会工程师,事实上,陶醉于欺骗这些执法机构或许增加了埃里克这个节目的乐趣。按照埃里克的计划,通话的内容就像这样:“DMV,我可以帮你吗?”“我是安德鲁?可欧探员。”“你好,探员,今天我能帮你做些什么?”“我需要驾驶执照号为005602789的Soundex。”他想要一张照片,这是执法人员熟知的术语——这很有用,比如,当警官们在外逮捕一名疑犯并想要知道他的样子时。“当然,让我把记录调出来,”埃里克会说,“可欧探员,你属于哪个机构?”“杰弗森郡。”然后埃里克会问这些热门问题:“探员,你的邀请码是?你的驾驶执照号码是?你的生日是?”打电话的人会给出他的私人验证信息。埃里克会用一些借口验证信息,然后告诉他验证信息已确认,并询问他想从DMV查找的详细资料。埃里克会假装开始查找名称(打电话的人能听到键盘的敲击声),然后说一些比如“噢,该死,我的电脑又当机了。对不起,探员,我的电脑这个星期一直出毛病。你能再打回来让另一个办事员帮你吗?”他结束通话的这种方法很保险,不会带来任何关于为什么他不能向警员提供帮助的猜疑。这时埃里克已经有了一个偷窃的身份——这些详细资料可以让他在任何时候拿到他需要的DMV秘密信息。在收到几个小时的电话并拿到了许多邀请码之后,埃里克拨入了交换机并取消了呼叫转移。几个月后,他开始为一些合法的PI(私家侦探)公司工作,他们不想知道他是怎样获得信息的。当他需要时,他会再次拨入交换机并开启呼叫转移,然后收集另一些警员证件。过程分析让我们来回顾一下埃里克一连串的欺骗工作。在第一个成功的步骤中,电传室把DMV的密码号码给了一个完全陌生的人,而没有进行任何验证。然后州电讯局的某个人做了同样的事,把埃里克当成了硬件厂商的工作人员,并且把拨入DMV电话交换服务的电话号码给这个陌生人。埃里克可以进入交换机很大程度上是因为交换机厂商脆弱的安全习惯,他们的交换机都使用同样的帐户名。社会工程师可以轻易地猜到密码,毫无疑问,交换机技术员会像大多数人一样选择易记的密码。有了交换机的访问权限,他把执法人员使用的一条DMV电话线路设置呼叫转移到了他的大哥大上。然后,在这个骗局的高潮部分,他操纵了一个又一个的执法官员,不仅得到了他们的邀请码,还得到了他们的私人验证信息,这样埃里克就可以假扮他们。当然还必须要有足够的技术知识来完成这个绝技,少了这些人们就会知道他们在和一个冒名顶替的人谈话。这个故事中的另一个现象是为什么人们不问“为什么?”,为什么电传室办事员要把这些信息给一个他不知道的郡代理(或者,也可以说,一个自称是郡代理的人)而不是建议他从他的代理同事或上司那里获得这些信息?我可以提供的唯一答案是人们很少问这个问题。他们没有想到去问?还是他们不想听上去不友好?也许,任何更多的解释都只是无用功,但社会工程师不关心为什么,他们只关心这一事实可以让获取信息变得容易,否则这将成为挑战。米特尼克信箱如果你的公司有电话交换机,管理它的人在接到硬件商的电话并被请求告知拨入号码时会怎样做?顺便问一下,那个人曾经更改过交换机的默认密码吗?那个密码是不是一个在任何字典里都可以找到的可以轻易猜出的密码?预防措施使用恰当的安全密码可以构建了一个有效的保护层,而使用不恰当的安全密码则比不用安全密码更糟糕,因为它带来了并不真正存在的安全幻想。有很好的密码但你的员工是否使用它们?秘密?有口头安全密码的任何公司都必须清楚地向员工说明什么时候和怎么样使用这个密码。有了适当的培训,这一章第一个故事中的人物就不会依赖于他的本能,在询问一个陌生人安全密码时被轻易突破。他感觉这种情况下不应该询问密码E,但是缺乏一个清晰的安全策略——和优秀的判断能力——他轻易地让步了。当员工遇到不恰当的安全密码请求时安全程序应该要有应对的步骤。应该培训所有的员工直接报告任何可疑情况和验证信息(例如一个每日密码)请求,当核查请求者身份失败时也应该报告。至少,员工应该记录呼叫者的名字、电话号码、办公室或部门,然后再挂断。在回电之前他应该检查那个机构是否真的有这个员工,打回的电话号码是否与在线公司目录上的电话号码匹配。大部分时间都可以使用这个简单的策略核实呼叫者的身份。当公司用一个发行的电话目录代替一个在线版本时,身份核实要更加严谨。人员雇用,人员离开,人员调动,工作位置,工作电话,这些黄页在发行之后的第二天就应该废弃不用,因为社会工程师知道怎样修改它们。如果员工无法从一个独立来源核实电话号码,她应该被指定通过另外一些方式核实,例如联系员工经理。第十章 进入内部为什么一个外部人员伪装成一个公司员工会这样容易?为什么他们的扮演会如此有说服力甚至有高度安全意识的人都会受骗?为什么欺骗十分了解安全程序的人会这样容易?在你阅读这一章的故事时思考这些问题。警卫的麻烦日期/时间:10月17日,星期二,凌晨2:16地点:Skywatcher航空公司位于图森(Tucson,美国亚利桑那州南部城市)市郊的制造车间。警卫的故事在这个袅无人烟的制造车间走廊上,听着脚后跟反复敲打地板的声音,勒罗伊?格林(Leroy Greene)觉得这比整个晚上都守在警卫室的视频监控器前要好多了,在那里除了盯着屏幕之外他不能做任何事情,不能看杂志或者他的带皮边的圣经。你只能坐在那里看着显示屏上一动不动的画面。但是在走廊里走动他至少还可以活动一下腿脚,并且还可以在走动时甩一下胳膊和肩膀,这也让他有了一点点锻炼。虽然这对于一个在全城高中冠军橄榄球队打右内边锋的人来说算不上真正的锻炼,但是他想,工作就是工作。他转向了东南角并开始沿着走廊俯视半英里长的生产场地,然后他发现有两个人越过了直升飞机制造部分的边线,站在那里似乎在互相指点着什么。在晚上这个时候看见的陌生人,“最好检查一下,”他想。勒罗伊从通往生产场地的楼梯一直走到那两个人后面,他们没有察觉到他的接近,直到他在旁边走了好几步。他说:“你们好,我能看看你们的安全证件吗?谢谢。”勒罗伊想使自己的语气在这个时候尽量温和些,他知道过于强硬会变得像是在威胁。“你好,勒罗伊,”他们中的一个把他的证件上的名字读了出来,“我是汤姆?斯第尔顿(Tom Stilton),来自菲尼克斯的公司营销办公室,我在城里开会,想向我的朋友展示一下世界上最好的直升飞机是怎样制造的。”“好的,先生,你们的证件,谢谢。” 勒罗伊说,他不禁觉得他们似乎太年轻了,那个营销员看上去才刚刚读完中学,另一个人长发披肩,看上去大概十五左右。理过发的人想从口袋里拿出他的证件,等他把所有的口袋都找过一遍之后,勒罗伊开始觉得有些不妙,“该死,”那个人说,“一定是放在车上了,我这就去拿——只要10分钟,我去一趟停车场就回来。”勒罗伊有自己的打算,“先生,你说你的名字是?”他问道。勒罗伊谨慎地写下了回答,然后要求他们和他一起去警卫室。在到第三个走廊的升降梯上,汤姆聊到他在公司才6个月,并希望自己没有惹任何麻烦。安全监控室里,其他两个值夜班的警卫和勒罗伊一起盘问了那两个人。斯第尔顿给出了他的电话号码,并说他的上司是朱迪?安德伍德(Judy Underwood),然后给出了她的电话号码,这些信息都在电脑上得到了确认。勒罗伊把其他两个警卫拉到一旁讨论该怎么做,没人想把这件事情弄错,于是三个人一致认为他们最好打电话给那个人的上司,即使那意味着要在半夜把她叫醒。勒罗伊亲自打给了安德伍德女士,解释了他是谁并询问她有没有一个叫汤姆?斯第尔顿的雇员。她听上去似乎还是半睡半醒,“是的。”她说。“好的,我们2:30的时候在生产线上发现了他,他没有身份证件。”安德伍德女士说:“让我和他谈话。”斯第尔顿拿起电话,说:“朱迪,真的很抱歉这些人在半夜把你叫醒,希望你不要责怪我。”他一边听一边说:“为了新的新闻稿会议,明天上午我无论如何都要在这里。不管怎么样,你收到关于汤普森生意的电子邮件了吗?我们需要在星期一早晨和吉姆见面所以我们不能没有这个。我还要在星期二和你一起吃午餐,对吗?”他倾听了一会儿,说了声再见并挂上了电话。