欺骗的艺术-第12章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
这是一个极好的基于计算机进行社会工程学攻击的例子。然而,它也有着一些漏洞。内容上文笔较差,尤其是在最后一段的开头“您之所以收到此通知”,这即拗口也用词不当(实施这些骗局的人才不会雇用一个专业编辑人员来修饰这些内容)。此外,任何一个认真的人都会对eBay索取访问者的贝宝账户信息感到怀疑,eBay有什么理由能向用户索取用户在另外的公司中注册的私人信息呢。
而且如果对于互联网很熟悉的人来说,很可能会发现这个链接并不是eBay的域名,而是tripod(一个提供免费主页的网站),这无疑是一封非法的邮件。然而,我打赌还是会有很多人在这样的页面上输入他们的个人信息,包括信息卡号。
注:为什么人们可以注册欺骗性和不合适的域名?现行的法律和互联网政策规定,任何人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者,但结果并不理想。通用(美国著名汽车公司――generalmotors)对一个域名为fuckgeneralmotors的网站提出诉讼,通用败诉。
保持警觉
作为互联网的个人用户,我们所有的人都应该保持警觉,当键入个人信息,如口令、账户或PIN码等信息时,要对目前情况有清醒的认识。你的熟人当中,有多少人能保证他在浏览的页面是安全页面?你公司的员工又有多少人知道该如何做?
每个使用互联网的用户都应该认识那个经常出现在网页上的像一个小挂锁样的图标,当挂扣合上的时候,站点则是安全的。如果挂扣打开着,或是就没有挂锁图样,这个站点就不能被确认是可信的,在上面传送的任何信息都可能处于危险之中(信息未被加密)。
然而,一个危及计算机管理员权限的攻击者可能会更改操作系统代码,甚至为其打上补丁,以掩饰计算机已受到攻击的真相。比如,可以绕过浏览器中的程序对显示某站点的数字证书是否失效的检测。再比如,系统可能会被植入rootkit,安装一个或多个很难检测出来的系统级别的后门。
安全连接可以保证站点的真实性,并对传输的信息进行加密。因此,一个攻击者便无法利用他拦截的信息。可以信任一个已经使用加密连接的站点么?不,因为这个网站的站长并没有随时为网站打上必要的安全补丁,因此不能假定任何安全站点都可以对攻击免疫。
专业术语
后门:在用户不知道的情况下进入用房计算机的一个隐蔽入口。编程人员在开发软件时,也会用其来进入程序以解决问题。安全超文本传输协议(HTTP)或安全套接层协议(SSL)提供一个使用数字证书的自动机制,,不仅可以加密发送到远端站点的信息,还可以对其进行认证(保证所连接的站点是真实可信的)。然而,这种保护机制对于那些疏于检验地址栏中的网址是否为他们想访问站点的用户是无效的。
还有一个极容易被忽视的安全问题,弹出类似这样的消息框:“此站点非安全站点或安全证书已过期,您是否还要继续访问?”许多互联网用户并不清楚它的具体含义,于是他们直接点击“确定”或“是”来继续他们的访问,而没有意识到可能已处于危险之中。
警告:在没有使用安全协议的站点上,一定不要输入个人的敏感信息,如地址、电话、信息卡号或银行账号,或者是任何你不想泄露的私人信息。
托马斯?杰佛逊(译者注:Thomas Jefferson 美国第三任总统,《独立宣言》的起草人)说过,保持自由需要“永远的警惕”。在一个视信息为流通货币的社会,要保护个人隐私和安全同样如此。
了解病毒
一个对病毒软件的特殊提示:不仅是对企业内网的用户,而且对每一个计算机用户都是必要的。不要只是把防病毒软件装在机器上,还要让其时刻运行(许多人不喜欢这样做,因为会降低计算机的性能)。
另外一个需要谨记的是:保持病毒库的更新。除非你的企业负责为每个员工更新软件和病毒库,否则自己一定要承担起下载最新病毒库的义务。我个人建议每个人都对防病毒软件的更新功能进行设置,以使软件可以每天自动更新病毒库。
专业术语
安全套接层协议:网景开发的用于互联网上客户与服务器端的安全认证协议。经常性的更新病毒库可以基本保证计算机的安全性,但这并不足以完全保证安全,还有一些病毒或蠕虫是防病毒软件公司未知的,因此相应的保护程序也就没有发布。
所有有着远程访问权限的用户,至少要在笔记本电脑或家用电脑上升级防病毒软件和防火墙。老练的攻击者会从整个系统中寻找到最弱点而发起攻击,因此需要时常提醒那些有着远程访问权限的用户,激活防病毒软件、升级他们的防火墙是共同的安全防范责任,因为你无法指望一个工作人员、主管人员、销售人员,或其他IT部门的人会时刻记得如果他们的计算机没有保护而发生的危险性。
除此之外,我还强烈推荐不常使用但的确重要的防特洛伊木马的软件。在写作这本书期间,已经有两个为人所熟知的防木马程序,The Cleaner(moosoft)和Trojan Defense Sweep(diamondcs。au)。
最后,对于那些没有在企业网关上做危险邮件扫描的公司来说,可能是最重要的安全提醒:由于我们习惯于忘记或忽略那些与完成工作不直接相关的事,因此需要反复地以不同的方式提醒员工,不要打开陌生邮件的附件。管理部门也要提醒员工激活防病毒和防木马软件,以防范那些看似可以信任但实则会带来危害的邮件。
第八章 利用同情、内疚和胁迫
和在15章中讨论的一样,社会工程师利用心理影响引导目标答应他的请求。熟练的社会工程师非常擅长一个诡计:刺激情感,如畏惧、兴奋或内疚。他们利用心理触发——自动机制,引导人们未经深入分析有用的信息就回应请求。
我们想让自己和他人都避免陷入困境,基于此论断,攻击者可以利用人们的同情心,让他的目标感到内疚,或者像使用武器一样胁迫受害者。
下面是一些研究所的利用情绪的热门策略课程。
电影制片厂的访客
你有没有注意过一些人是怎样进入有守卫的地方(比如,会议室、私人派对或者图书发布仪式)而不用被询问是否有入场券或通行证?
有许多相同的方法,一个社会工程师能在你没有想过可能性的地方谈论他的方法——就像下面这个电影行业的故事一样。
电话响了
“罗恩?希亚德(Ron Hillyard)办公室,我是多罗茜(Dorothy)。”
“多罗茜,你好,我叫凯尔?贝拉米(Kyle Bellamy)。我刚刚加入Animation公司成为布莱恩?格拉斯曼(Brian Glassman)的职员,你应该对这里不同的事情很了解吧。”
“我想,我从没在其它电影公司工作过,所以我真的不知道,我能帮你做什么?”
“说实话,我觉得自己有点笨,今天下午为稿件会议约了名作家过来,不知道该和谁讨论让他参与哪一部分。布莱恩办公室里的人都非常好;但是我不想再麻烦他们教我这件事我该怎么做,那件事我该怎么做;就像我刚刚从大学出来找不到去洗手间的路。你明白我的意思吗?”
多罗茜笑了。
“你要和Security里的人讨论,拨号7,然后6138。如果你联系上了劳伦(Lauren),告诉她多罗茜说她能够帮助你。”
“谢谢,多罗茜。如果我找不到男洗手间,我会再打电话给你!”
他们都为这个想法暗自发笑,然后挂了电话。
大卫?哈罗德(David Harold)的故事
我热爱电影。当我搬到洛杉矶时,我想我可以和各种各样的电影商业人士见面,他们会邀请我参加聚会并在摄影棚里吃午饭。好,我在这里已经一年了,现在26岁,最靠近的一次是在菲尼克斯和克里夫兰(译者注:均为美国城市)遇到了环球电影公司的一些友好的人。所以最后我开始记录电话号码,如果他们不邀请我,我就邀请我自己。我就是这样做的。
我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏,写下不同电影公司的制片人的名字。我首先确定了一个偶然发现大型制片厂,然后打电话给接线总机请求接通我在报纸上找到名字的这个制片人。接线员的回答很亲切,所以我很幸运,如果是一个只在那里盼望着着被提拔的年轻女孩,她也许不会给我时间。
但是这个多罗茜,她听上去像是在接待一个迷路的小猫,有人同情这个被新工作打击了的新人。并且我肯定很好的触动了她,不是每天你设法欺骗一些人他们就会给你比你请求的更多的东西。出于同情,她不仅给了我一个在Security的人的名字,还说我可以告诉那位女士多罗茜希望她帮助我。
当然我计划过无论如何要利用多罗茜的名字,劳伦都没查找我提供的名字是否真的在员工数据库里就信任了我,这让我的目标更好实现。
当我那个下午开车进入大门时,他们不仅把我的名字放到了访客名单里,还为我准备了一个停车位。我在内部餐厅吃了一顿迟了的午饭,然后在这个地方散步直到一天结束。我甚至偷偷摸摸地到了几个摄影棚,看他们拍电影直到7点才离开。那是我经历的令人激动的一天。
过程分析
每个人都曾是新员工。我们对上班第一天的事情记忆犹新,尤其是当我们没有经验,对工作不熟练的时候。所以当一个新员工求助时,他可以盼望许多人——尤其是登记处的人——可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些,他知道可以利用目标的同情心来办到。
我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划,即使在入口处有守卫并对每一个非员工实行签名程序,任意变化一个在这个故事里使用的诡计,都能让一个入侵者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢?这是个好规定,但是它只在这种假设下才有效——你的员工们真正尽责的拦住任何有或没有访客认证的人并询问他,然后如果对回答不满意你的员工们会联系安全部门。
攻击者谈论进入你的公司危及敏感信息的方法,这对他们来说很容易。当今世界,恐怖分子攻击的威胁笼罩着我们的社会,比陷入危险中的信息多得多。
“现在就做”
不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部信息的人都变得危险,即使任何公司的经理对员工的所有个人信息文件和数据库进行限制(当然,大部分公司都会这样做),危险依然存在。
当不对职工们进行教育和培训如何防御社会工程学攻击时,坚决的人,就像接下来的故事里那位被抛弃了的女士一样,所做的事情大多数诚实的人会认为不可能。
道格(Doug)的故事
总之,和琳达(Linda)的事情不是很顺利,当我看到艾瑞(Erin)时,我就确定她是我的唯一。琳达是,像是,有一点……好吧,有些不确切,不稳定,当她烦恼时她会不经过大脑就行事。
我尽量温和地告诉她必须从我家搬出去,并且帮她整理东西,甚至让她拿走了几张属于我的Queensryche CD。等她一走我马上到五金店买了一把新的Medico锁,把它装在了前门并在当天晚上锁好。第二天上午我打了一个电话给电话公司,让他们更改我的电话号码,并对其保密。
我可以自由地追求艾瑞了。
琳达的故事
我准备离开了,无论如何,那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。所以只有一个问题,我该怎样让他知道他有多么负心?
没花费很多时间就可以断定他有了另一个女孩子,否则不会这样仓促地和我分手。所以我只要稍等一下,然后在晚上很晚的时候开始打电话给他。你知道的,在这段时间他们最不想接电话。
我等到第二个星期才在星期六晚上11点钟打电话给他,可是他更改了他的电话号码,新号码又没有在电话表里列出来,这有些像是SOB的人干的。
这不是个很大的挫折。我开始在一些文件里到处翻寻,那是我辞去电话公司的工作前设法带到家里的。就是它——我保存的一张维修票,道格的电话线路有一次出现故障,这上面列出了他的电话线路。看吧,你可以尽你想要的修改你的电话号码,但你的电话线依然连接在你的房子和电话公司的中继局之间,接通着电话总机办公室(Central Office,或者说CO)。电话线路的设置被这些接通着线路的号码所确认,如果你知道电话公司是怎么样做这些事情的,像我做的那样,找到电话号码只需要获得目标的电话线路设置。
我有一张这个城市所有CO的列表,里面有他们的地址和电话号码,我找到了一个在道格这个负心汉我以前住的地方旁边的CO号码,并且打过去,但是没有人在那里。转接员在你需要他的时候在哪里?实足用了20分钟我才拿出计划,开始打电话给附近的其他CO,最终锁定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按我需要的做,我已经计划好了。
“我是琳达,维修中心,”我说,“我们遇到了紧急情况。一台医疗机构的服务器当机了。我们使用技术手段尝试重新启动服务器,但是找不到问题所在。我们需要你马上开车到韦伯斯特(Webster) 的CO,看我们离开电话总机办公室能否拨通。”
然后我告诉他,“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中心找我。
我知道他不愿意离开舒适的电话总机办公室,穿得厚厚实实的,擦掉挡风玻璃上的积雪,深夜在烂泥地上开车。但这是紧急事件,他没理由说自己很忙。
当我四十分钟后在韦伯斯特的CO里见到他时,我告诉他检查29线2481路,然后他热情地检查了,并说,是的,线路是通的。当然这我早知道了。
所以我说,“好的,我需要你进行LV(line verification线路排查)。”那需要他确认电话号码,他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话表里的号码,或者是这个号码刚刚被修改过。所以他按我要求的做了,并且展示了他的线路工人的测试设置。很好,所有的事情像有魔力一般完成了。
我告诉他,“好的,故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他并告诉他我们要继续工作,然后说,晚安。
米特尼克信箱
一旦一个社会工程师了解了目标公司的内部工作流程,使用这些知识与一个正式员工相识将变得很容易。公司需要预防这些社会工程学攻击,来自现在的或以前的别有企图的员工。后台检查可以帮助清除有这些行为倾向的人。但是在大多数案例中,发现这些人是非常困难的。在这些案例中唯一合理的安全措施就是执行和审核身份验证程序,包括员工身份和之前有无透漏公司的任何内部信息给任何人。
道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。
好戏开始了。
过程分析
这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划,是因为她拥有内部知识:那些电话号码、程序和电话公司的行话。有了它们她不仅可以
