欺骗的艺术-第16部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


　　有了一个小麻烦，但是可以克服。“我们档案室没有传真机，”她说，“但是楼下的职员办公室有，他们可以让我用。”
　　他说：“我打电话到职员办公室问问看。”
　　职员办公室的女士说她乐意帮忙但是想要知道“谁来付钱？”，她需要知道账户代码。
　　“我拿到代码后再打电话给你。”他告诉她。
　　然后他打电话给DA办公室，再一次伪装成警官简单地询问了一下接线员，“DA办公室的账户代码是多少？”
　　没有丝毫犹豫，她告诉了他。
　　他打电话回职员办公室，提供了账户代码，原谅他进一步利用了这位女士：他要她上楼去拿那些副件来传真。
　　注意
　　使用那些对他的攻击有用的东西例如电话和电脑，一个社会工程师怎样知道那么多操作的详细资料，来自警察部门、司法办公室、电话公司和特殊的公司机构？因为把它找出来就是他的生意，这些知识是一个社会工程师在交易中的库存，因为信息可以在他的行骗中帮助他。
　　掩盖足迹
　　阿图若还有其它组合的步骤去拿传真。总是有可能被人察觉到一些异样，他可能会在复印店发现几个侦探，他们随意地说着话，看上去很忙碌直到有人露面拿那个特殊的传真。他等待了一会儿，然后打电话回职员办公室确认那位女士已经发送了传真。到目前为止一切都很好。
　　他打电话给镇子对面的另一家连锁复印店，略施小计，“我对你的工作处理很满意，想写一封信给经理表示祝贺，她的名字是？”　有了这一基本信息，他又打电话给第一个复印店说他想和经理说话。当那个人拿起电话时，阿图若说：“你好，我是哈特菲尔德628店的爱德华（Edward）。我的经理安娜（Anna）要我打电话给你。我们有一个心烦意乱的顾客——有人把错误的复印店传真号码给了他，他在这里等一个重要的传真，可是他拿到的这个号码是你们复印店的。”这位经理答应马上叫一个人把这份传真发到哈特菲尔德的复印店。
　　当传真到了第二家复印店时阿图若早已经等在那里，他一把它拿到手，就打电话回职员办公室对那位女士表示感谢，还有“没必要把那些副件送回楼上了，你现在就可以把它们扔了。”然后他打电话给第一家复印店的经理，也告诉他把那些传真副件扔了。这样这里发生的事情就不会有任何纪录，只是有个人稍后回来问了些问题。社会工程师知道你决不会很细心的。
　　计划的这些方法，阿图若不需要支付第一家复印店收这些传真再把它发给第二家复印店的钱，并且如果露馅了警察先会找到第一家复印店，当他们安排去第二家复印店抓人时阿图若早已经拿到了他的传真。
　　故事的最后：宣誓书和许可证上显示警察已经有了阿图若盗版电影行为的充分证据。这就是他想要知道的。当天晚上，他穿过了州界线。阿图若开始了新的生活，在别的地方有了新的身份，准备再次开始他的活动。
　　过程分析
　　在任何检查官办公室工作的人，无论在哪里，总是免不了和执法部门的工作人员联系——回答问题、做好安排、获得讯息。任何足够勇敢的人都可以打电话声称自己是一名警官、代理州长或者任何由他的语言来决定的角色。除非他很明显不了解术语，或者他有些神经紧张结结巴巴地结束他的话，或者用一些听上去不可信的方法，他可能甚至不会被问一个问题确定他的身份。那确实发生在这里，和两个不同的工作人员。
　　米特尼克信箱
　　问题的实质是没有人会对一个优秀社会工程师的欺骗免疫。因为普通生活的节奏，我们并不经常有时间深思熟虑再作出判断，甚至事实上那对我们很重要。复杂的情形，缺乏的时间，情绪的波动，或者精神的疲劳，都可以轻易地使我们分心。所以我们使用了心理捷径，没有经过谨慎和全面的分析就作出判断，一个知名的心理作用，像自动应答一样。联邦、州、本地执法部门办公室这些都是真的。我们是所有人。
　　通过一个简单的电话就可以获得一个必需的支付代码，然后阿图若用一个故事打出了同情牌，“有一个关于这件案子的秘密服务的十五分钟会议，我有点心不在焉，把文件忘在了家里。”她自然对他这件事感到遗憾，然后偏离了她的职责去帮忙。
　　然后通过利用不是一个而是两个复印店，阿图若去拿那份传真时他让自己非常安全。进行传真时这里的一个变化让追踪足迹更加困难：代替把这些文件发给另一家复印店，攻击者可以给一个公开的传真号码，通过一个真实的地址在因特网上的免费服务将你收到的传真自动转发到你的邮箱地址里，他不会在任何地方露脸，没有人会认出他，邮箱地址和电子传真号码在完成任务后就可以扔了。
　　转换表格
　　一个我叫他迈克尔·帕克（Michael　Parker）的年轻人，他是较晚完成better…paying论文的人之一，那通常是和大学学位挂钩的。他有一个机会参加一个本地大学的部分奖学金加教育贷款活动，但是那意味着要在晚上和周末工作才能支付他的租金、食物、汽油和汽车保险。迈克尔总是喜欢去找捷径，认为也许有另外的方法，一个只需要少量的努力就可以不用付钱的更快的方法。因为他从十岁第一次玩电脑时就开始学习计算机了，他着迷于发现它们是怎样工作的，他确信能更快看见自己的计算机科学学士学位，如果他可以“制造”它的话。
　　毕业生——没有荣誉
　　他可以入侵州立大学的计算机系统，找到成绩为B＋优秀或平均为A…毕业的人的档案，复制，然后加入他自己的名字，把它添加到当年毕业班的档案里。通过思考这些，不知道怎么了他有些担心这个主意，然后他认识到肯定还有其它的在校生档案——学费支付档案，住房分配办公室，还有那些知道别的什么的人。仅仅建立课程和评分的档案会留下太多漏洞。
　　经过深入思考，他觉得这个方案只有在达到了他的目标时才能实现，学校里要有一个和他名字相同的毕业生，在任何适当范围的时间里获得过一个计算机科学学位。如果那样的话，他就可以在员工申请书里填写另一个迈克尔·帕克的社会保险号码，任何去大学核实姓名和社会保险号的公司都会被告知，是的，他有学位。（对大部分人而言不明显但是对他而言是显而易见的，他把一个社会保险号放在了工作申请里，然后如果被雇用了，就把他自己真实的号码填入新员工表格中。大部分公司都不会想去检查一个新员工在聘用时是否使用了一个不同的号码。）
　　登陆的麻烦
　　怎样在大学档案里找到一个迈克尔·帕克？他是这样着手的：
　　进入大学校园的主图书馆，他坐在一台电脑终端前，连入网络并访问大学的网站。然后他打电话给注册员办公室，当有人回应时，他运用了一个社会工程师耳熟能详的方法：“我从电脑中心打电话来，我们正在更改一些网络配置，我们想要确定我们没有使你的访问中断。你连接的哪个服务器？”
　　“服务器？什么意思？”他问。
　　“当你查询学生档案信息时连接的哪一台电脑。”
　　回答是：admin。rnu。edu，储存学生档案的电脑名称。这是难题的一小部分：他现在知道了他的目标机器。
　　专业术语
　　哑终端：一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。
　　他在电脑里输入了那个网址但是没有获得响应——和预期的一样，有防火墙阻止了访问。因此他运行了一个程序看看能不能连接上那台电脑的任何服务，然后发现了一个打开的端口运行着Telnet服务（允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它）。获取访问权限所必需的是一个标准用户ID和密码。
　　他打了另一个电话给注册员办公室，这一次他仔细地倾听并确定在和另一个人说话。他遇到了一位女士，然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统，仍处于测试阶段，想了解她是否可以正确访问学生档案。他给了她一个连接的IP地址并且告诉她怎样操作。
　　事实上，这个IP地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步骤，他创建了一个登陆蜜罐——一个登陆界面的圈套——看上去就像是当她登录学生档案系统时通常看到的一样。“它没工作，”她告诉他，“它持续说'登陆不正确'。”
　　现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她：“哦，这台机器里的一些账户仍然不能用，让我配置一下你的用户，然后再打电话给你。”小心的绑好未扣牢的一端，就像所有社会工程师精通的那样，他强调稍后再打电话，说测试系统还没有工作正常，如果她能使用它了，他们会打电话给她或者这里的其他人，当他们解决了问题时。
　　有益的注册员
　　现在迈克尔知道了他要访问哪一个电脑系统，还有用户ID和密码。但是当他有了正确的名字和毕业时间时如何在文件里搜索这些信息？学生数据库是私有的，在学校建立它是为了对付大学特殊的需求和注册员办公室，并且有唯一的途径在数据库中访问信息。
　　首先清除这些最后的障碍：找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注册员办公室，这一次成了另一个不同的人。他来自迪安工程办公室，他告诉那位女士，然后他问道：“当访问学生档案出现问题时，我们猜想有人打来了电话请求帮助。”
　　几分钟以后他打电话给大学数据库管理员，上演了值得同情的一幕：“我是注册员办公室的马克·塞乐。你能同情一下一个新人吗？很抱歉打电话给你但是这个下午他们都在开会，没有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表，从1990年到2000年的。他们今天就需要它，如果我没有它的话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧？”帮助人们是这个数据库管理员要做的事的一部分，所以他特别耐心地告诉迈克尔一步一步的操作过程。
　　当他们挂断电话时，迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟，查找到了两个迈克尔·帕克，在他们中选择了一个，获得了这个人的社会保险号码和其它在数据库里的相关信息。
　　他就成了“迈克尔·帕克，B。S（译者注：Bachelor　of　Science　理科学士），计算机科学，光荣毕业，1998”。在这里，“B。S”是唯一恰当的。
　　过程分析
　　这次攻击使用了一个我之前没有谈到过的策略：攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格相当于请求商店的所有者帮你搬运包含了消息的盒子，你只需要从他的架子上偷来放到你的车里就可以了。
　　米特尼克信箱
　　当电脑用户遇到社会工程学相关的威胁和攻击时，他们显得有些无能为力，那些技术存在于我们的世界中。他们有权使用信息，但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标，所以目标通常会答应陌生人的请求。
　　预防措施
　　同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制，这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢？
　　保护数据
　　这一章的一些故事强调了发送一份文件给你不认识的人有多么危险，即使当这个人是（或者表面上是）一名员工，这份文件是被发送到一个公司的电子邮件地址或传真机上。
　　需要制定非常详细的公司安全方针保护贵重的数据不被发送给任何不是亲自认识的人。需要制定严格的程序来传送有敏感信息的文件。当请求来自不是亲自认识的人时，必须有清晰的查证，要有依赖于敏感信息的不同的等级证明。
　　这里有一些可以考虑的方法：
　　建立知道需求（要求获得指定信息所有者的授权）。
　　保持一个处理这些事情的个人或者部门日志。
　　维持一张人员表，那些临时传送的程序和可信的被批准发送敏感信息的人。要求只有这些人被允许发送信息给任何工作组外部的人。
　　如果数据请求需要写入（电子邮件，传真，邮件），则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。
　　关于密码
　　所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员——需要了解一些简单的操作如修改你的密码，即使是一小会儿都能导致一个主安全漏洞。
　　安全训练需要包含密码主题，关注什么时候和怎么样改变你的密码，什么是合法的密码，和将任何其他人卷入程序的危险性。训练尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们的密码的请求。
　　表面上看起来这是一条简单的传给员工们的信息，但不是，因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩　“穿过马路前注意两旁”，但是在这个小孩明白为什么那是重要的以前，你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。
　　注意：
　　密码是社会工程学攻击关注的中心，那是我们致力于第16章的单独的部分，那里你可以找到详细的管理密码的推荐方针。
　　中心报告点
　　你的安全方针应该指定一个人或组为报告可疑行为（企图渗透你的机构）的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的，报告这些的电话号码应该始终放置在眼前，这样当员工们怀疑发生了攻击时就不需要去发掘它。
　　保护你的网络