欺骗的艺术-第23章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
呼叫者声称,“我是爱德华,来自SeerWare公司,你们的数据库供应商。显然我们的一些客户没有收到我们的关于紧急更新的电子邮件,所以我们打电话给一些客户,作为质量监督检查是否已经装好了补丁,你安装了更新吗?”
保罗十分肯定地说,“我从没看到过类似的东西。”
爱德华说,“好的,这可能导致数据灾难性丢失,所以我们建议你尽快安装好补丁。”是的,这正是他想要做的,保罗说,“好的。”呼叫者回应说,“我们可以送给你包含补丁的磁带或CD,我想要告诉你的是,这真的很危险——有两家公司已经失去几天的数据了,所以你真的应该在收到之后马上进行安装,趁你的公司还没有发生那种情况之前。”
“我能从你们的网站上下载吗?”保罗问道。
“很快就可以了——技术团队正在努力当中,如果你愿意的话,我们可以让我们的客户支持中心远程帮你安装,我们可以拨号进入,也可以使用Telnet进行连接,如果你能支持的话。”
“我们不允许Telnet连接,特别是从因特网——这不安全,”保罗回答说。“如果你能用SSH的话,就没问题了。”他说,SSH是提供文件安全传输的产品名称。
“是的,我们有SSH。那么,IP地址是多少?”
保罗把IP地址告诉了他,并且当安德鲁问“我能用哪个用户名和密码”时,保罗也十分配合地说了出来。
过程分析
当然,那个电话也有可能真的是数据库厂商打来的,但那就不是这本书应该讲的了。
在这里,社会工程师首先让受害者担心数据有可能丢失,然后向他提供了一个直接了当的解决方案。
同样,当社会工程师选中的目标十分了解信息的价值时,他就要拿出非常可信非常有说服力的理由获得远程访问的权限,有时候他还需要催促一番,使受害者感到心烦意乱,让他在仔细思考这些请求之前就匆匆忙忙地同意了。
新来的女孩
在你的公司文件中有哪些信息可能是攻击者想要得到的?有时候可能是你认为根本就没必要保护的东西。
莎拉(Sarah)的电话
“人力资源部,我是莎拉。”
“你好,莎拉,停车场,我是乔治。你知道你用来进入停车场和电梯的门禁卡(译者注:与信用卡外观相似,内有编码数据)吗?对,我们遇到了一个问题,需要重写最近十五天加入公司的所有新员工的磁卡。”
“所以你需要他们的名字?”
“还有他们的电话号码。”
“我可以查看我们的新员工列表,到时候打给你吧,你的电话号码是?”
“73……啊,我现在有点事情,半个小时候我再打给你怎么样?”
“哦,好吧。”
当他再打回去的时候,她说:
“哦,是的,只有两个,一个是安娜?莫托(Anna Myrtle),她是财政部的秘书,另一个是新来的副总,安德伍德先生。”
“电话号码是?”
“好的,安德伍德先生的号码是6973,安娜?莫托的是2127。”
“嘿,你帮了我一个大忙,谢谢。”
安娜的电话
“财政部,我是安娜。”
“我很高兴有人这么晚了还在工作,听着,我是罗恩?维特诺(Ron Vittaro),商务部的出版人。我不认为我们已经被介绍过了,欢迎来到我们公司。”
“噢,谢谢。”
“安娜,我现在在洛杉矶,我有一些事情,能占用你大概十分钟的时间吗?”
“当然,有什么可以帮忙的吗?”
“到我的办公室去,你知道我的办公室在哪里吗?”
“不知道。”
“好的,我的办公室在十五楼——1502室。过一会儿我会打电话到那里,如果你到了,就按一下电话上的转移键,这样来电就不会直接转到我的语音信箱。”
“好的,我这就去。”
十分钟后她到他的办公室取消了他的呼叫转移,然后等他的电话。他让她打开电脑,运行Internet Explorer,输入地址:geocities/ron…insen/manuscript。doc。exe。
出现了一个对话框,他告诉她点击打开。电脑开始下载这个文档,然后屏幕变成了空白。当她反应说好像出了点问题时,他的回答是,“噢,不,别再这样了,在网上下载东西的时候我经常遇到这个问题,我还以为已经解决了,那么,好吧,不要担心,我再试试其它方法。”然后他要她把他的电脑重启,好让他确认是否还会再出现这种情况,他告诉了她重新启动的操作步骤。
当电脑又一次毫无显示的时候,他对她的热心帮助表示了感谢并挂上了电话,安娜回到财政部,继续她未完成的工作。
库尔特?狄龙的故事
Millard…Fenton出版社对他们刚刚签约的新作家非常热情,财富500强公司的离任CEO,他要讲述一个迷人的故事。有人安排他和一个商务经理讨论相关事务,而这个商务经理不想让他知道出版合同的详细内容,于是他雇用了一个老朋友帮他找出他想要知道的东西。可惜的是,这个老朋友,并不是一个明智的选择。库尔特?狄龙(Kurt Dillon)习惯于在他的调查中使用与众不同的方法,而这些方法并不完全符合道德。
库尔特在Geocities上用罗恩?维特诺的名字申请了一个免费站点,然后上传了一个间谍程序,他把这个程序的文件名改为manuscript。doc。exe,这样看上去就是一个Word文档,而不会引起怀疑。事实上,这比库尔特预期的更有效:真正的维特诺从未更改过Windows操作系统的默认设置——“隐藏已知文件类型的扩展名”,因此实际显示的文件名为manuscript。doc。
他让一个女性朋友打电话给维特诺的秘书,按照狄龙的指示,她说:“我是多伦多终结者书店经理保罗?斯帕多內(Paul Spadone)的执行助理,前阵子维特诺先生在一个书展上遇到了我的上司,他要他打电话给他商讨一个合作项目。斯帕多內先生有非常多的时间是在四处奔波,所以他说我应该弄清楚维特诺先生在办公室的时间。”
等到两个人核对好了时间表,这位女士就有了足够的信息提供给攻击者——一张维特诺先生在办公室的日程表,这意味着他同样知道了维特诺先生不在办公室的时间。不需要过多额外的交流就可以了解到维特诺的秘书会利用他不在的一段时间去滑雪,虽然时间不是很长,但两个人都不会在办公室,非常好。
术语
间谍程序:用于监控目标计算机活动的专业软件。一种形式是记录因特网购物者访问过的站点,这样在线广告就可以根据他们的上网习惯进行修改,另一种形式类似于监听,除了目标设备是计算机。这些软件监控用户的活动,包括密码、按键、Email、聊天记录、即时聊天、所有访问过的网站和显示屏图像。
无声安装:在计算机用户或操作员毫不知情的情况下安装软件程序的一种方法。
星期天他们按照预定计划打去电话进行确认,然后被一个接待员告知“维特诺先生不在办公室,他的秘书也不在,最近几天都别指望他们会在。”
他的初次尝试非常成功地使一个新进员工加入到了他的计划中,她毫不犹豫地帮他下载了一个“manuscript”(原稿)文件,而事实上这个文件是一个流行的商业间谍程序,攻击者把它改成了无声安装,通过这种方法,安装程序就不会被任何杀毒软件发现。因为一些奇怪的理由,杀毒软件厂商销售的产品并不能识别商业化的间谍程序。
当这位年轻女士在维特诺的计算机上运行了那个程序之后,库尔特马上回到了Geocities站点上,他把那个doc。exe文件替换成了一个他在网上找到的书籍原稿,以防有人无意中发现了这个骗局并回到该站点进行调查,他们唯一能找到的是一份无用的、业余的、不适合出版的书籍原稿。
一旦程序安装完成并重新启动了计算机,设置马上就会生效。罗恩?维特诺将在几天后回到这里开始工作,间谍程序也将开始记录他的计算机上的所有键入,包括所有寄出的Email和那时他的屏幕上显示的图像,所有这些都将被定期发送到一个乌克兰的免费邮箱上。
在维特诺返回数天后,库尔特的邮箱里已经堆满了收集的日志文件,不久之后他在一封秘密的电子邮件里发现了Millard…Fenton出版社与作家达成协议的底线,有了这些信息,就可以通过代理和出版社商讨比原来更好的合同条款,而不会有失去合作机会的风险,当然,这也意味着需要更多的代理费。
过程分析
在这个骗局中,攻击者之所以能成功很大程度上是因为他选择了一个新进员工作为他的代理,多亏了她自愿的合作成为了团队的成员,既不了解公司和它的员工,也不清楚哪些是可以抵挡攻击的好的安全习惯。
因为库尔特在和安娜的谈话中伪装成了商务部的副部长,他知道她不太可能会怀疑他的身份,相反的,她可能认为帮助一个副部长对自己很有好处。
接着他引导安娜安装了一个表面上无害的间谍程序,安娜并不知道她的行为让一个攻击者获得了能影响公司利益的重要信息的访问权限。
为什么他要选择把这个副主管的日志文件发到一个乌克兰的邮箱帐户里?因为距离越远攻击者被追踪或抓捕的可能性就越低。当警察把目光集中在并不显著的的因特网入侵上时,这个国家就不会受到攻击者的青睐。因此,使用国外的邮箱可以大大减少和美国执法部门打交道的机会,这很吸引人。
预防措施
社会工程师永远喜欢不怀疑他的请求的人,这不仅使他的工作变得容易,而且也使风险变得更低——正如这一章中的故事所讲的那样。
米特尼克语录
寻求同事或下级的帮助是一件很普通的事情,社会工程师知道怎样利用人们的天性获得帮助并使其成为团队的成员。攻击者利用人们的这种特点引导员工的行为以达到他的目标,了解这一简单的概念非常重要,这样在另一个人试图操纵你的时候你就更有可能发现。
欺骗不知情的人
我之前强调的是需要对员工进行充分的培训,使他们不会被陌生人说服去做某些事情, 所有员工同样需要了解按照请求在另一个人的计算机上执行任何操作都是很危险的,公司的政策应当禁止这些行为,除非得到一名指定的管理人员的批准。允许的情况包括:
当发出请求的是一个你非常熟悉的人,两个人面对面或者你通过电话确认了呼叫者的声音时。
当你通过严格的程序核实了请求者的身份时。
当行动得到一名主管或其他熟悉请求者的权威人士的批准时。
必须培训员工不去帮助不是亲自认识的人,即使那个人声称自己是经理主管人员。一旦安全政策方面的审核开始实施,管理层就必须让员工们遵守这些规定,即使这意味着员工可以质疑要求他们绕过安全规定的主管人员。
每家公司还需要有自己的政策和程序引导员工响应针对电脑或电脑相关设备的任何行动。在这个关于出版社的故事中,社会工程师有针对性的选择了一个没有接受过信息安全策略与程序培训的新员工。为防止这类攻击,所有员工都必须遵守这样一个简单的规则:不要在任何计算机系统上执行陌生人请求的操作,就这一点。
记住,任何能直接或间接接触到一台计算机(或一部与计算机相关的设备)的员工都很容易被攻击者操控成为实施一些恶意行为的代理。
员工们(尤其是IT员工)需要知道让外部人员进入他们的计算机网络就像是把你的银行帐户交给一个电话销售员或把你的电话卡号码交给一个监狱中的陌生人。员工们必须谨慎考虑那些能导致敏感信息泄露或危及公司计算机系统安全的请求。
IT员工也必须提防伪装成供应商的未知呼叫者。通常,公司应当考虑为每一个技术供应商指定具体的联系人员,如果实施了这一策略,其他员工就不会响应供应商索取资料或更改任何电话或电脑设备的请求。这样,指定的员工就会很熟悉打电话或前来拜访的供应商; 减小了被骗的可能性。如果一个和公司没有合同的供应商打来电话,也应当引起注意。
公司中的的每个人都必须了解信息安全威胁与攻击。注意,安全警卫等需要的不仅仅是安全培训,还应当包括信息安全培训,因为安全警卫经常要接触公司的设施,所以他们必须要能够识别各类针对他们的社会工程学攻击。
当心间谍程序
商业间谍程序曾经被许多家长用来监控他们孩子的网络行为,而对于公司的老板而言,他们需要找出那些不认真工作,只知道上网冲浪的员工,更重要的是找出那些潜在的信息窃贼或商业间谍。开发商推出间谍软件似乎旨在保护儿童,但事实上,他们真正的市场是那些想要暗中监视别人的人。如今,间谍软件之所以存在在很大程度上是因为人们想要知道他们的配偶或其他重要人物是否在骗他们。
前不久我开始写这本书中的间谍故事的时候,帮我收电子邮件的人(因为我被禁止上网)发现了一封宣传一系列间谍程序的广告邮件,其中一段是这样说的:
热门!必须拥有:
这一强大的监控程序秘密捕获所有的按键、时间与所有活动窗口的标题到一个文本文档,同时隐藏在后台运行。日志文件可加密并自动发送到指定邮箱地址,或仅存储在硬盘上。程序受密码保护并可在CTRL+ALT+DEL菜单中隐藏。可用它来监控输入的网址、聊天记录、电子邮件和许多其它东西(甚至是密码)。
在任何PC上后台安装并把日志发给自己!
杀毒软件的缺陷?
杀毒软件不能查出商业间谍程序,从而将其判定为非恶意软件,即使它的用途是监控他人。如此一来电脑就相当于一部被忽视的窃听器,在任何时候我们每个人都有被非法监控的危险。当然,杀毒软件厂商可能认为,间谍程序可以用于合法目的,因此不应当视为恶意软件。但是由黑客团体免费发布(或当成安全相关程序出售)的某些工具却会被视为恶意代码,我至今都不明白为什么会有这种双重标准。
同一封邮件中的另一段则声称它可以捕捉用户的电脑屏幕图像,就像是一台放在他肩膀上的摄像机。其中部分软件产品甚至不需要亲自接触受害人的电脑,只要远程安装并配置好应用程序,你就马上拥有了一部电脑窃听器!FBI(联邦调查局)肯定很喜欢这种技术。
由于间谍程序的广泛使用,你的企业需要建立双层防护。你应当在所有工作站上安装间谍程序检测软件,如SpyCop (网址: spycop),你还应当要求员工进行定期扫描。此外,你还必须培训员工提防下载程序或打开电子邮件附件之类的可以安装恶意程序的骗局。
除了防范间谍程序的安装(当员工因为茶会、午餐或会议离开办公桌时)以外,还应当规定所有员工在离开时必须使用屏幕保护密码或类似的方法锁定他们的计算机系统,这能大大降低员工的计算机被非法访问的可能性。即使混入某个人的房间或办公室也不能访问他们的任何文件,阅读他们的电子邮件或安装间谍程序(或其他恶意软件)。使用屏幕保护密码需要的资源几乎为零,却能很好地保护员工的工作站,在这种情况下进行成本效益分析应该是很容易的事情。
第十三章 聪明的骗局
现在你已经知道了,当接到陌生人请求敏感信息(或其它对攻击者有用的东西)的来电时,接电话的人必须被培训询问呼叫者的电话号码,然后打过去核实这个人的身份是否和他声称的一样——例如,一名公司员工,一名商业伙伴员工,或者一名供
