“700…14…7435。”
找到名单后,她可能这样说:“他的犯罪记录代码是2602。”
现在,攻击者只需到NCIC的网站上查一下这个号码的含义了——这个人有一桩诈骗的犯罪记录。
过程分析
一个出色的社会工程师一刻也不会停止思考闯入NCIC数据库的办法,往当地警察局打上一个电话,花言巧语一番让对方认为自己是内部人员,这就足以能够得到他所需的信息。下一次,他只需使用相同的借口往另一个警察局打电话就是了。
你也许会吃惊,往警察局或是州政府打电话不危险吗?那攻击者不是冒了很大的风险?
答案是不……因为一个特殊的理由。执法人员像军人一样,从他们第一天到学院开始等级制度观念就已经根深蒂固了。只要社会工程师伪装成一个警官或助理官员——比和他谈话的人等级更高——受骗者将被精心学习的课程支配,不要怀疑比你职位更高的人。等级,换句话说就是拥有特权,特权不会被等级低的人挑战。
但是不要认为执法部门和军事部门是社会工程师唯一可以利用等级制度的地方,社会工程师经常在商业攻击中像使用武器一样利用公司的职权或等级——就像这一章的许多故事所示范的那样。
预防措施
保护你的消费者
在这个电子时代许多公司出售商品给消费者时将信用卡信息存档。理由是:解决了消费者每次进入商店或Web站点购物时都要输入信用卡信息的麻烦。然而,这种做法应该避免。
如果你必须将信用卡号存档,使用复杂的编码或者存取控制来进行安全防范必不可少。员工需要培训识别像这一章中社会工程师的一些诡计。那些从没亲眼见过但在电话里成为朋友的同事可能并不像他或她声称的那样。他也许并不“需要知道”客户的敏感信息,因为他可能根本就不在这家公司工作。
米特尼克信箱
每个人都应该知道社会工程师的一贯手法:尽可能地搜集一些关于目标的信息,利用这些信息增加内部人员的信任。然后直取要害!
聪明的信任
不只是有明显的敏感信息的人——软件工程师,研究与开发(R&D)人员,等等——需要防范入侵者攻击。你的公司的几乎所有人都需要训练保护企业防范商业间谍和信息窃贼。
一切的基础应该从一个企业信息资产调查开始,分离地看待每一个敏感的,关键的或贵重的资产,并寻找攻击者使用社会工程学策略可能危及这些资料安全的方法。对有权访问这些信息的人进行的适当培训应该有计划地围绕这些问题的答案。
当一个你不认识的人请求获得一些信息或材料,或要求你在你的电脑上完成任何操作时,让你的员工问他们自己一些问题。如果我把这些信息给了我最坏的敌人,它会被用来伤害我或我的公司吗?我十分了解被要求输入到我的电脑的这些命令的潜在影响吗?
我们不想抱着对我们遇到的每一个陌生人的怀疑度过一生。但是我们的信任越多,下一个看上去十分友好的社会工程师就会来到我们的城市里,欺骗我们,获得我们公司的所有信息。
什么属于你的Intranet(企业内部互联网)?
你的Intranet的一部分可能开放到了外部世界中,而另一部分则限制只有员工能使用。你的公司有没有仔细地确认受保护的敏感信息没有被放到访客易接近的地方?当上次公司的一个人在Intranet上查看到任何敏感信息并不经意地提交到了Web站点的公共访问空间的时候?
如果你的公司执行代理服务保护企业应对信息安全威胁,这些服务在最近的检查中确认被适当的配置了吗?
事实上,有人检查过他们的Intranet安全性吗?
第五章 我来帮你
当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。社会工程师了解这一点,并懂得如何利用它。他还知道如何制造一个麻烦,然后帮你解决以获得你的感激,最后利用你的感激之情来获取信息或得到你的一些小关照,这将把你的公司或是你个人置于不利的地步,而你可能永远不知道你已经遭受损失。下面是一些社会 工程师“帮忙”的典型方法。
网络故障
日期/时间:2月12日星期一,15:25
地点:斯达伯德(Starboard)造船厂办公室
第一个电话:汤姆?狄雷(Tom Delay)
“簿记处,汤姆?狄雷。”
“嗨,汤姆,我是服务中心的艾迪?马丁(Eddie Martin)。我们正在检修计算机网络,你们部门有人在线时遇到问题了么?”
“嗯,据我所知没有人。”
“你这儿也没什么麻烦吧?”
“没有,还算正常。”
“好的,很好。是这样,我们正在给可能发生网络问题的人打电话,如果你的网络连接中断请立即告诉我们,这很重要。”
“听起来可不妙,你觉得它可能出问题么?”
“我们希望不会,但一旦有情况,请打电话好么?”
“这你放心。”
“是这样,如果你们的网络连接掉线,很可能是你这儿的问题……”
“那可没准儿。”
“所以我们会检修你这里的网络,我把我的手机号留给你,如果有需要你可以直接找到我。”
“太好了,请说。”
“555 867 5309。”
“555 867 5309,好了,谢谢。你叫什么来着?”
“艾迪。听着,还有一件事。我需要检测一下你的计算机连接端口,看一下你的计算机哪里贴着一个大概写着“端口号”字样的标签?”
“稍等,没有,我看不到有这样的东西。”
“好吧,这样,你再看计算机的后面,能找到网线么?”
“是的。”
“顺着线找到它的插头,看看它的插口上是否有一个标签。”
“稍等一下,再等等,我必须蹲下离近些才能看清楚。好的,上面写着6杠47(6…47)。”
“很好,那就是我们记录的端口号,只是为了确认一下。”
第二个电话:技术支持
两天后,一个电话打到该厂的网络管理中心。
“嗨,我是鲍勃(Bob),我现在簿记处汤姆?狄雷的办公室。我们正在检修网线故障,请你封掉6…47的端口。”
技术支持人员回答说很快就封掉,并说可以恢复的时候再通知他们。
第三个电话:敌人的帮助
一个小时后,一位自称艾迪?马丁的人在Circuit City购物时,他的手机响了。他发现是造船厂的号码,便迅速地转到一个安静的角落接听手机。
“服务中心,艾迪。”
“哦,嗨,艾迪。有事找你,你在哪儿?”
“我么,嗯,我在机房,你是?”
“我是汤姆?狄雷。伙计,很高兴能找到你。或许你还记得前两天给我打过电话吧?我的网络连接可能像你说的那样断掉了,我有点不知道怎么办。”
“是的,刚刚好几个人都说掉线了,我们在今天晚上会处理此事,好么?”
“不!见鬼!如果断线那么长时间,就要耽误事了。能尽量帮帮我么?”
“事情很紧?”
“我有事得赶紧弄,有没有可能在半个小时之内处理好?”
“半个小时?你也太着急了。嗯,这样,我放下手里的活,看看能不能帮你解决。”
“嗨,艾迪,真是谢谢你了。”
第四个电话:搞定
45分钟后……
“汤姆?我是艾迪,去看看你的网络连接。”
不一会儿:
“噢,好了,它好了,太棒了!”
“很好,很高兴为你解决了。”
“是啊,十分感谢!”
“听着,如果你不想让它再出毛病,要安装一个软件,几分钟就可以了。”
“可现在不太合适。”
“我理解,但如果下次网络连接再出毛病,这会让我们都省心的。”
“好吧,如果只需几分钟的话。”
“你照这样做……”
艾迪指导汤姆从一个网站下载一个小程序,下完之后,艾迪叫汤姆双击它。汤姆照做,但反馈说:“不行,什么反应都没有。”
“噢,真讨厌。程序一定有什么地方出错了,算了吧,我们可以下次再试。”接着他指导汤姆删除掉程序,以使其不能恢复。
整个过程花费时间,十二分钟。
攻击者的故事
每当鲍比?华莱士(Bobby Wallace)接到这样的一项任务时总觉得很可笑,他的客户总是在为什么需要这种信息的问题上闪烁其词。这件案例中,他只想到两个原因:也许他们代表某个意图收购斯达伯德造船厂的组织,因而想知道造船厂真正的财务现状,尤其是被收购方想对潜在购买者刻意隐瞒的东西。或者,他们代表投资方,认为他们的资金在使用上有些可疑,并想知道是否有些管理人员私自开设了小金库。
也许他的客户并不想让他知道真正的原因,因为如果鲍比知道了那些信息的价值,他可能会索要更多的酬金。
有许多破解企业最机密文档的方法,鲍比在制定计划前花了几天时间做选择并进行了小小的测试。他决定使用一个称为“接近”的他尤其喜欢的方法,让对方自己落入圈套,他会自动请求攻击者的帮助。
首先,鲍比花39。95美元在便利店买了一部手机,然后打电话给那个他选做目标的人,冒充公司服务中心的人哄骗对方在网络连接出问题时给他打电话。为了使事情看上去不那么明显,他故意等了两天才给网络管理中心(NOC)打电话。他声称在为汤姆(他的目标)检修网络问题,并要求NOC把网络连接禁止掉,鲍比知道这是整个计划中最棘手的部分。在许多企业,服务中心与NOC有着紧密的工作关系,实际上他知道服务中心通常就是IT部门的一个分部。但NOC接电话的人懒得问那个解决网络问题的服务中心人的名字,并同意禁止掉对方要求的网络端口。这一切搞定之后,汤姆就被完全的从企业内网上隔离了,不能从服务器上检索文件,也不能与同事交换文件、下载邮件,或甚至不能把数据传到打印机。在当今的世界,这如同居住在一个洞穴中。
正如鲍比所预想的,他的手机很快就响了。当然,他尽量使自己听上去十分愿意帮助这个不幸的同事,然后给NOC接电话把网络连接恢复。最后,他打给汤姆再次控制了他,这一次由于帮他解决了问题,令对方心存感激,于是汤姆同意下载一个软件到他的计算机上。当然,他同意下载的软件并不是鲍比所说的那样,是为了防止网络连接的再次中断,它实际上是一个特洛伊木马,一个用来对付汤姆的计算机的应用程序(特洛伊是一种原始的把敌人带到对方内部的欺骗方法)。汤姆回复说双击程序后没有任何反应,这是故意让他看不到发生任何事情的,实际上这个小巧的应用程序正在安装一个允许渗透者悄悄访问汤姆计算机的秘密软件。利用这个软件,鲍比可以完全的控制汤姆的计算机,这称为远程命令行解释器。当鲍比访问汤姆的计算机时,他可以查找他感兴趣的财务文件并拷贝下来,然后,在方便时检查它们是否包含他的客户寻求的信息。
专业术语
特洛伊木马:一种包含恶意或会造成危害的代码,用来损坏受害者的计算机或文件,或是从受害者的计算机和网络上获取信息。某些特洛伊木马会隐藏在操作系统中暗中监视击键或操作,或者通过网络连接来执行一些入侵命令,而这一切是在受害者意识不到的情况下进行的。这还不是全部,入侵者还可以在任何时候回到这台计算机上搜索电子邮件和私人备忘录,并对可能揭示出敏感信息的词进行文本查找。
在哄骗目标安装了特洛伊木马程序的当晚,鲍比就把手机扔到了垃圾桶里。当然,在扔之前他首先小心的删除了通话记录并拔出了电池。这是他最后要做的事情,让人再也拨不通这个电话号码。
过程分析
攻击者设计一个圈套来使对方认为自己的计算机存在问题,实际上,根本没有。或者,问题还未发生,但攻击者知道它会的,因为他将使之发生,然后他再假扮解决问题的人。这次攻击中的程序安装对于攻击者来说更是奖赏,他事先埋下了伏笔,当目标发现问题时,会自动打电话恳求帮助。攻击者只需坐在那儿等电话响就是了,可以把这次攻击看做是一次反向的社会工程学——攻击者迅速获得了信任,从而使目标主动打电话给他。如果你打电话给某个你认为是服务中心的人,你会要求对方证明自己的身份吗?这就是攻击者想制造的效果。