友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
欺骗的艺术-第17部分
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!
保护你的网络
员工们需要了解电脑服务器或者网络的名称不是无价值的信息,它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。
特别的,像是数据库管理员之类的使用软件工作的人属于专业技术类别,他们需要在特殊的和非常限制性的规则下操作,验证打电话给他们请求信息的人的身份。
经常提供各种电脑帮助的人需要很好的被训练识别哪些请求属于红色标记,暗示打电话的人可能试图进行社会工程学攻击。
这是有价值的笔记,可是来自这一章最后故事里的数据库管理员的观点,打电话的人是符合标准的:他是在校内打来的电话,并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证(对任何请求信息的人)程序的重要性,尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。
所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了,也不要惊讶于学生档案——有时候是全体教员档案,同样的——是一个诱人的目标。这一陋习如此的泛滥,一些公司甚至考虑把大学加入敌对的外界环境,创建防火墙规则阻止以。edu结尾的教育机构地址访问。
我已经说清楚了,所有学生和职员的任何类型的档案都会是攻击的主要目标,应该得到很好的保护就像敏感信息一样。
训练技巧
大部分社会工程学攻击都可笑地能轻易的被任何知道自己看守的是什么的人防范。
从公司的观点出发,有一些优秀培训的基本原则,但是同样需要另一些东西:多种途径提醒人们他们在学习什么。
使用屏幕溅射(splash screen,也叫程序启动画面的制作),当用户电脑启动时每天出现一个不同的安全消息。这条消息可以被设计为不能自动消失,要求用户点击这些消息确认他或她已经读过它了。
另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要,一个提示程序必须正在运行并且不能结束。在陈述的内容里,不应该在每一种情况里使用同样的措词。当他们变化措词或者使用不同的例子时,学习显示的这些消息更为有效。
一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏,虽然一个安全专栏的确有价值。代替的,设计一个两或三栏宽的插入块,有些像是你们本地报纸的小型陈列广告。在每一次的时事通讯出版时,通过这个简短的抓取注意力的途径呈现一个新的安全提示。
第九章 逆向骗局
刺激,在这本书的其它地方提到过(在我看来或许最好的电影永远是关于实施入侵的),迷人的叙说里安排了它巧妙的情节。在电影中刺激作用的一个准确的描述是顶级骗子运用的“金属丝”,这是提到的三种主要骗局之一的“重要的过程”。如果你想要知道一个专业的团队怎样只用一个晚上去实现一个骗局而迅速获得大量的金钱,这里没有更好的教材。
但是传统的入侵,凡是他们的特殊花招,都依照一个模式。有时候一个诡计会被反向应用,这称为逆向骗局。这是一个迷人的手段,攻击者设定情况让受害人向他寻求帮助,或者一位同事正好发出了攻击者响应的请求。
这些是怎样实现的?你正打算发现它。
专业术语
逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。
友好的说服艺术
当一般人想象电脑黑客的样子时,通常会联想到阴暗的一面,一个孤独、内向、讨厌的人,他最好的朋友是一台除即时信息以外很难交流的电脑。社会工程师常常拥有黑客的技能,也有普通人的技能——在对立的光之尽头——使用得到良好发展的能力操纵人们谈论他们获取信息的方法,通过你从未想过可能性的途径。
安吉拉(Angela)的电话
地点:工业联邦银行,流域分行。
时间:上午11:27。
安吉拉o维斯露斯基(Angela Wisnowski)接到了一个电话,那个人说他刚刚得到了一大笔遗产,想要了解一些信息,关于不同类型的储蓄存款账户、存款单和任何她推荐的安全的可以正当获利的投资。她解释说有相当多的选择,问他是否可以过来坐下和她一起讨论它们。他说他一拿到钱就要去旅游,还有很多事情要安排。所以当她设法约束他的投资目标时,她开始推荐一些可能的类型,还给了他关于利率的详细资料,如果你在初期卖出一张光盘会发生什么,等等。
她似乎更进了一步,他说:“噢,对不起,我要接另一个电话。什么时候能和你结束这次交谈好让我作出一些决定?你什么时候出去吃午饭?”她告诉他是12:30,他说他会在那之前或者之后几天再打电话过来。
路易斯(Louis)的电话
银行总部使用每天都更改的安全密码,当分行的某个人需要从另一个分行处获得信息时,他可以通过证明自己知道这个每日密码来表明他有权访问信息。为了更深层次的安全性和机动性,一些银行总部每天都会发行多重密码。在一个被我称为工业联邦银行的西部海岸机构里,每一位员工每天都能收到一张有五个密码的列表,每天早晨在他或她的电脑上从A到E进行验证。
地点:相同。
时间:下午12:48,同一天。
路易斯o霍普本(Louis Halpburn)对那个下午接到的电话不以为意,这个电话和一周里有规律的其它几次来电一样。
“你好,”打电话的人说,“我是尼尔o韦伯斯特(Neil Webster),从波士顿3182分行打电话来。找安吉拉o维斯露斯基,谢谢。”
“她在吃午饭,我能帮忙吗?”
“好的,她留了言请求我们传真一些关于我们的一个客户的资料给她。”
这个打电话的人听上去度过了糟糕的一天。
“通常处理这些请求的人请了病假,”他说,“我有一堆这些事情要做,已经在这里4个钟头了,我希望能在半个小时以后离开这里去和一个医生会面。
这一操作——给出了为什么其他人会觉得他很可怜的所有理由——这是使受害人软化的一部分。他继续说:“无论是谁接到了她的电话留言,传真号码已经不清楚了,大概是213什么的,其余的是什么?”
路易斯给出了传真号码,然后打电话的人说,“好的,谢谢,在我传真这些之前,我需要询问你密码B。”
“但是是你打电话给我的。”他说这句话时很冷淡,好让这个来自波士顿的人明白。
很好,打电话的人想。当人们在第一次温柔的推挤中没有跌倒时,很酷。如果没有少量的反抗,这份工作会太容易,我会变得懒散的。
他对路易斯说:“我这里的分行经理对我们发送任何东西之前的验证有些偏执,但是听着,如果你不需要我们传真这些信息,很好,不需要验证。”
“看,”路易斯说,“安吉拉会在大约半个小时后回来,我可以让她打电话给你。”
“我会告诉她今天我不能发送这些信息,因为你没有给我密码验证这些合法的请求。如果我明天没有请病假,我会再打电话给她。”
“留言说 '紧急的',别担心,没有验证我就无法操作,你可以告诉她我试着发送它但是你没有给我密码,好吗?”
在压力之下路易斯放弃了,从电话线的另一端传来一声烦恼的叹息。
“好的,”他说,“等一下,我要到我的电脑上去,你想要哪一个密码?”
“B。”打电话的人说。
他把电话放在桌子上然后很快又拿了起来。“3184。”
“那不是正确的密码。”
“它是正确的——B是3184。”
“我没有说B,我说的是E。”
“噢,该死的,等一会儿。”
另一次停顿,当他查看密码时。
“E是9697。”
“9697——正确,我在路上发送这份传真,好不好?”
“当然好,谢谢。”
沃尔特(Walter)的电话
“工业联邦银行,我是沃尔特。”
“嗨,沃尔特,我是影视城38分行的鲍勃o格若博斯基(Bob Grabowski),”打电话的人说,“我需要你传真一份客户账户的签字样卡给我。”签字样卡上面有客户的签名,它也有验证信息,常见的例如社会保险号码、生日、母亲家族的姓氏,有时甚至是驾驶执照号码。这对于一个社会工程师来说唾手可得。
“确认信息,密码C是多少?”
“其他出纳员正在使用我的电脑,”打电话的人说,“但是我可以使用B和E,我记得它们。问我它们中的一个。”
“好吧,E是多少?”
“E是9697。”
几分钟以后,沃尔特依照请求传真了一份签字样卡。
堂娜o普雷斯(Donna Plaice)的电话
“你好,我是安森莫(Anselmo)先生。”
“今天我能帮你些什么?”
“我想要了解保证金是否仍记入贷方,应该打哪个800号码?”
“你是这家银行的客户吗?”
“是的,我没有用过这个号码,现在我不知道我把它写在了哪里。”
“号码是800…555…8600。”
“好的,谢谢。”
文斯o开普雷(Vince Capelli)的故事
斯伯克恩(Spokane)街巡警的儿子文斯很年轻的时候就知道他不会把生命花费在长时间的辛勤努力上,承受最低工资的风险。他人生的两个主要目标首先是离开斯伯克恩,然后是成就他自己的事业。朋友们的笑声一直伴随着他的大学生活,这只让他更加恼火——他们认为这很搞笑,他太失败了,想开创自己的事业却不知道从哪里开始。
文斯私下里其实知道他们是对的,他唯一擅长的事是在大学棒球队里当接球手,但是还不够好,拿不到大学奖学金,更别提职业棒球了。所以他能从哪里开始他的事业呢?
有一件事情在文斯的小组里的人一直没有弄明白:任何曾经是他们的东西——一把新的弹簧折刀,一对顶好的保暖手套,一个性感的女朋友,只要文斯喜欢,不久之后就会变成他的。他不需要偷窃或是鬼鬼祟祟地跟在任何人的后面,他不需要这样做。拥有它的人会自动放弃它,过后才会对这是怎样发生的感到惊讶。恰当的做法是请求文斯在任何地方都不要碰你的东西:他不了解他自己,人们似乎可以让他拿到任何他想要的东西。
文斯o开普雷很年轻的时候就已经是一个社会工程师了,即使他从没听说过这个术语。
他的朋友们拿到了大学毕业证之后就再也没有笑他了。当其他人艰难地在城市周围寻找工作时(在那里你不会要说“你想要来点油炸食品吗?”),文斯的父亲送他去为一个年迈的巡警工作,这位巡警离开警局之后在旧金山开始了他自己的私人调查事业,他迅速发现了文斯的才能,并为他安排了一个适合的工作。
那是六年以前的事了。现在,坐着监视的无聊时间使他陷入痛苦,他痛恨从不诚实的配偶那里获取证据的部分,但是他感觉去搜集有用信息的任务是对自己的挑战,律师们想要了解一些可怜的穷人是否有足够的钱进行财产诉讼,这些任务给了他许多机会使用他的智慧。
像这一次他浏览了一个名叫乔o马克欧兹(Joe Markowitz)的家伙的银行账户,乔可能暗地里处理了和他以前的一个朋友的交易,现在那位朋友想要知道如果他提出诉讼,马克欧兹有没有足够的家底让他拿回一些他的钱?
文斯的第一步是找出至少一个银行这一天的安全密码,但是两个会更好。这听上去像是几乎不可能的挑战:究竟是什么使得一个银行员工在他自己的安全系统里撞出一条裂缝来?问你自己——如果你想要这样做,你有任何主意去实现它吗?
对于像文斯这样的人来说,这太容易了。
如果你知道他们公司的行话和他们工作的内部术语,他们就会信任你。就像是把你当成了他们的内部成员一样,也像是一次秘密的握手。
我不需要太多这些工作的内部术语,不需要往头脑里灌输那些东西,开始工作只需要一个分行的电话号码。当我打电话到布法罗州比肯街办公室时,回应的人似乎是一个接线员。
“我是提姆o艾克门(Tim Ackerman),”我说(任何名字都可以,他不会把它写下来), “这里的分行号码是多少?”
他知道这个电话号码或者分行号码,但是相当麻木,因为我只是要打这个电话号码(分行号码),不是吗?
“3182,”他说。就像这样,没有“你想要知道这个干什么?”或者任何问题,只因为它不是敏感信息,它被写在他们使用的每一张纸上。
第二步,打电话给一家银行的分行,我的目标在那里有存款。获取他们中一个人的名字,然后得到安吉拉外出午餐的时间,她12:30离开。到现在为止,非常好。
第三步,在安吉拉的午休时间打电话回同一家银行,说我从波士顿某某分行号码打电话来,安吉拉需要我传真这些信息,告诉我今天的密码。这是精彩的部分,出神入化。如果我要建立一个社会工程师测试,我会放上一些像这样的东西,你的目标起了疑心——为了一个好的理由——你仍然镇定自若直到打败了他,然后获得了你想要的信息。你不能通过背诵剧本里的句子或者学习日常事务做到这些,你要去了解你的目标,捕捉他的心情,像钓鱼一样控制他,放一点点线然后卷起,放线,卷起,直到你把他用网网起来,在船上用长板条拍打他!
我控制了他并且拿到了今天的密码,这是一个重要的步骤。对于大部分的银行,他们只使用一个密码,因此我可以在家里避开它。联邦工业银行使用五个,所以只使用五个中的一个的几率很小,有了五个中的两个,我就可以有更高的可能性完成这小小的戏剧的下一幕。我热爱“我没有说B,我说的是E”这一部分,当它生效
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!