第二部 攻击者的手段
第二章 无害信息的价值
对大多数人来说,社会工程师的真正威胁在哪里?又该如何保持警惕?
如果社会工程师的目标是“最有价值奖”——比如,企业智力资产的核心组成。那么也许需要
的是更坚固的保险库和全副武装的保安,对么?
但在现实中,坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件,这些
信息和文件看起来十分平常,也不重要,公司里的人大都不明白为什么这些东西会被限制和
保护。
信息的隐藏价值
社会工程师十分重视企业中许多表面上看去无利害关系的信息,因为这些信息是他能否披上
可信外衣的至关重要的因素。
在这一章里,我将通过让读者“亲身”经历攻击过程,来展示社会工程师的攻击手段。有时从
受害人的角度来表现情节,让读者以当事人的身份估计自己(或是你的同事和员工)可能会
做出的反应。而更多的时候,让读者从社会工程师的角度来经历攻击过程。
第一个故事着眼于金融行业的一个漏洞。
信誉支票(CREDITCHEX)
曾经有一段很长的时期,英国的银行系统十分闭塞,大街上一位诚实普通的市民并不能随便
走进银行而直接申请一个银行帐户。银行不会把他当做客户,除非他带有某位正式银行客户
的推荐信。
当然,这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友
善、平等的美国更方便了,任何人都可以走进银行轻松的建立一个日常账户,是这样么?
并非如此。事实上可以理解,银行很难为一个才开过空头支票的人建立账户,这很自然,同
样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏
判断的实际例子。
与银行有着重要业务联系的公司中,有一种机构专门为银行提供这类信息,我们把这种机构
称之为“信誉支票”。它为客户提优质的服务,但同许多公司一样,它也会“无心”的为“有心”的
社会工程师们提供便利的服务。
第一个电话:吉姆•安德鲁斯(Kim Andrews)
“国家银行,我是吉姆,您是想要开一个帐户么?”
“嗨,吉姆,我想请教个问题。你们与信誉支票打交道么?”
“是的。”
“你们给信誉支票打电话时,怎么称呼你们提供的号码?是叫ʻ交易号ʼ(Merchant ID)么?”短
暂的沉默,基姆在衡量这个问题,对方是什么意图,她是否应该回答。打电话的人不容对方
思考接着问:“是这样,吉姆,我在写一本涉及私人调查的书。”
“是的。”她有了回答的信心,因为她还是愿意帮助一个作家的。
“就叫“交易号”,对么?”
“啊,嗯。”
“好的,很好。我是想确认我的书中使用了正确的专业用语,谢谢你的帮忙,再见,吉姆。”
第二个电话:克瑞丝•塔伯特(Chris Talbert)
“国家银行,开户处,我是克瑞丝。”
“嗨,克瑞丝,我是阿莱克斯。”打电话的人说,“我是ʻ信誉支票ʼ的客服代表,我们在做一项
改善服务质量的调查。能耽误您几分钟么?”克瑞丝表示愿意,打电话的人继续:“好的。你
们部门营业时间是多少?”她给予回答,并接着回答下面的一系列问题。
“你们部门有多少人使用我们的服务?”
“大约多长时间给我们打一次咨询电话?”
“您用的是我们哪一个800免费电话号码?”
“我们的客服代表服务态度好么?”
“我们对业务的响应时间如何?”
“您在银行工作多长时间了?”
“您通常使用的交易号是多少?”
“您是否发现过我们提供过的信息不准确?”
“如果您对我们的服务有所建议,建议是什么呢?”最后:
“如果我们把定期调查表寄到你们部门,您会填写么?”
她表示同意,然后彼此简单对了几句话,电话挂掉,克瑞丝继续她的工作。
第三个电话:亨利•麦克金赛(Henry McKinsey)
“信誉支票,我是亨利•麦克金赛,需要帮忙么?”
打电话的人表明自己是国家银行的职员,并报出正确的交易号,以及他想查询的人的名字和
社会保险号。亨利要求出生日期,他也报上。不一会儿,亨利看着自己的计算机屏幕读
道:“韦尔斯•法果在1998年报过一次NSF”——客户账款不足(Non Sufficient Funds),支
票已开出,账户里却没有足够钱支付的银行常用专业用语。
“自那之后,还有资金往来么?”
“没有了。”
“有没有申请其他账户?”
“我看一下。有的,两次,都在上个月。一次是在芝加哥第三联合信用会(Third United
Credit Union of Chicago),”他断断续续地读出第二个地方,斯卡奈塔第共同投资
(Schenectady Mutual Investments),他不得不逐字母的将名称拼出。“纽约州。”他最后
补充道。
第二章 无害信息的价值(2)
工作中的私人侦探
所有的这三个电话都是同一个人打的,一个私人侦探,我们且称他为奥斯卡•格瑞斯(Oscar
Grace)吧。格瑞斯有了一位新客户,他的首批客户其中之一。几个月前还是名警察的格瑞
斯发现他的新工作有些做起来易如反掌,有些则对他的智力和创造性是个挑战,这件案子无
疑很具有挑战性。
小说中的冷面神探――塞姆•斯贝兹(Sam Spades)和菲利浦•马洛斯(Philip
Marlowes),在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣(译者注:塞姆和菲利浦都
是著名小说和电影中的人物),现实中的私人侦探也做同样的事情。他们为相互敌对的伴侣
之间打探消息,也许没小说中写得那么夸张,但重要性却一点不差。他们的方法主要是依靠
社会工程学的技巧,而不是坐在车子里与守夜的困倦做斗争。
格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天,她走进他的办公室,在唯
一的一把未堆着文件的皮椅上坐下来,把她的古琦(译者注:Gucci,意大利名牌)手包放
到桌子上,商标冲着他的脸。这位女士告诉格瑞斯,她想跟他的丈夫离婚,但“有一点小麻
烦。”
他的丈夫比她早了一步,已经从两人的储蓄帐户中把存款提了出来,并从代理公司(译者
注:专门从事为客户买卖股票和债券的公司)的账户中提走了更大的款项。她想知道他们的
钱到哪里去了,她的离婚律师对此无能为力。格瑞斯猜想她的律师是那种身居住宅区高楼大
厦的法律顾问,才不会为这种“钱到哪里去了”的烂事自找麻烦。
格瑞斯有办法么?
他向她保证这是小事一桩,接着报出价格,列出费用,并收了一张支票做为第一笔佣金。接
下来,他要面对此事了。如果你以前从未处理过这样的事情,并根本不知道如何跟踪一笔资
金的来龙去脉,你该从何做起呢?一步一步地往前挪?好吧,我们来讲格瑞斯的故事。
我知道信誉支票以及银行与其的联系,我的前妻曾在银行工作。但我并不知道那些专业术语
和业务过程,而向我前妻打听则是浪费时间。
第一步:了解专业术语,设计出获取信息时所需要的对话,以便听起来不会露出马脚。我给
银行打电话时,第一位年轻的小姐,吉姆,在我询问他们如何向信誉支票确定自己身份时就
有所迟疑,她犹豫着,不知道是否应该告诉我。我被难住了么?才不。事实上,她的犹豫给
了我一个重要的线索,提醒我必须给她提供一个可信的理由。当我骗她说为写一本书而做的
调查时,便打消了她的怀疑。声称自己是一位作家或电影剧本作者,可以让人放松警惕。
她知道一些有用的信息,比如信誉支票如何确定打电话人的身份,你可以查询哪些信息,最
重要的——吉姆所在银行的交易号。我已准备好提出这些问题,但她的犹豫造成了麻烦。吉
姆相信了写书的故事,可她已经有所疑心。如果她更配合些,我就会多问些操作细节了。
专业术语
马克(MARK):受骗者
激警(BURN THE SOURCE):攻击者如果让对方看出来攻击的意图称为激警。一旦对方
有所警觉并通知其他人员,以后再想套出类似的信息就十分困难了。
你必须依靠自己的感觉,仔细的倾听马克的说话内容和说话方式。这位小姐看起来就十分聪
明,如果我提出很多的敏感问题,她一定会敲响警钟的。即使她不知道我是谁,我用哪个号
码打过来,也不要让任何人注意到有人在打探消息而有所警觉。这是因为我们不想激警,有
可能还需要给这个地方打电话的。
我总是留意那些能够帮助我了解一个人配合程度的微小迹象,其态度各异,从“你听起来真
是一个好人,我相信你所说的每一句话”到“打电话给警察,通知国民警卫队,这小子要倒霉
了。”
我发现了吉姆的警觉,于是我打电话给另一个人——克瑞丝。在我的第二个电话中,调查表
的把戏很能迷惑人。我把重要的问题插进可以建立信任感的无关紧要的问题中,在信誉支票
的交易号问题之前,我通过问她在这家银行工作多久了这样一个私人问题,做了一个最后的
小测试。
私人问题就像一颗地雷,有些人会毫不注意的踩上去,有些人则知道它会爆炸,赶紧躲开。
因此,如果我问及一个私人问题,她在回答的语气上没有变化,这就意味着她很可能没有对
提问产生怀疑,我可以在她没有疑心的问题之下安全地提出关健问题。
一个好的私人侦探还知道,千万不要在得到关键信息后马上结束谈话。多问两三个问题,小
聊一会儿,然后再说拜拜。如果对方稍后想起你提过的问题,很可能是你最后提出的问题,
其它的通常会忘记。
这样,我从克瑞丝那里得到了他们的交易号和他们查询时所用的电话号码,如果当时我再多
问些信誉支票的事,我会更高兴的。但没有进一步冒险,也许更好。
如同有了一张空白支票,无论什么时候我都可以从信誉支票那里获得我需要的信息,甚至不
用付费。从前面的情况看出,信誉支票的客服代表十分愿意为我提供信息,于是我知道了我
客户的丈夫最近在两个地方申请建立账户。那他将要离婚的妻子寻找的那笔资产在哪里呢?
无论在哪家银行,信誉支票都会将其列出吧?
第二章 无害信息的价值(3)
过程分析
整个过程都基于社会工程师的基本策略之一,获得公司职员认为无关紧要的信息(实际上它
是有用的)。第一个银行职员肯定了打电话给信誉支票时确认身份的术语,第二个职员提供
了电话号码和最至关重要的信息――交易号。透露这些信息对于她们来说似乎是无所谓的,
毕竟她们认为与之交谈的是信誉支票的工作人员,把号码说出来又有什么不对呢?
前两个电话为第三个电话打下基础,格瑞斯已经具备给信誉支票打电话需要知道的一切信
息,于是冒充信誉支票的客户——国家银行,轻松地查询信息。
格瑞斯窃取信息的技巧丝毫不逊于一个高超的骗子诈骗钱财时所用的手段,在了解人方面格
瑞斯久经磨练。他懂得把关健信息藏在无关紧要的信息中,也知道在套出交易号之前用私人
问题来测试对方的配合程度。
第一个银行职员在确认信誉支票专业术语上的错误几乎是最难防范的,这种专业用语在银行
业几乎人人都知道,因此显得无关紧要――无害信息最普遍的表现形式。但第二个职员,克
瑞丝,不应该在确定打电话人的身份真实与否之前,就非常乐意的回答问题。她至少应该询
问对方的名字和电话号码并拔回,这样如果日后发生问题,她还有一个打电话人所使用电话
号码的记录。在这个案例中,拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成
很大的困难。
米特尼克信箱
这个案例中的交易号相当于一个密码,如果银行工作人员将其与自动取款机的个人识别码
(PIN)一样看待,便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视
的编码和数字呢?
用以前记录的银行电话号码给信誉支票回拔一个电话(不要用对方提供的号码),以验证对
方是否在那儿工作,信誉支票是否正在做一项客户调查,这样的电话还是有必要打的。现代
社会人们的工作时间都很紧张,而且这样的确认电话会占用不少时间,考虑到现实中的实用
性,建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。
工程师的圈套
很多人都知道,猎头公司使用社会工程学来扩大业务范围,这里有一个例子:
在90年代末,某个不怎么道德的职业介绍所签了一家新客户,一家正在寻找有通讯行业工作
经验的电气工程师的公司。负责这个项目的经理是一位女士,有着有磁性的嗓音,和充满诱
惑力的言谈举止,这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电
话服务提供商进行一次偷袭,以期找到一些可能会投奔到竞争对手那里的工程师。她当然不
能直接给接线员打电话说:“我要找五年经验的工程师”,那样她的动机会立刻暴露的。她通
过询问看上去无关紧要的信息,电话公司人人都可以告诉别人的信息,巧妙的发动了这次袭
击。
第一个电话:接线员
攻击者使用迪迪•桑德斯这个名字给移动电话服务商的总机打了一个电话,对话情形大致如
下:
接线员:下午好,我是玛丽,您有什么事情?
迪迪:请帮我接运输部好么?
接:我不一定能找到这个号码,我查一下目录,您是哪位?
迪:我是迪迪。
接:您在公司大楼里还是在……?
迪:不,我在外面。
接:你是迪迪……?
迪:迪迪•桑德斯,我以前知道运输部的分机号,但我现在忘了。
接:稍等。
为了减少怀疑,在这里迪迪设计了一次谈话,让对方认为她是内部人员,熟悉公司的情况。
接:您在哪里办公?主街商厦(Main Place)还是望湖大厦(Lakeview)?
迪:主街。(停顿一下)接:电话是805-555-6469。
有可能给运输部打电话后也得不到所需的信息,迪迪又要了资产部的电话,作为备用。接线
员帮迪迪接到运输部,但线路正忙。于是,迪迪又问第三个电话,位于得克萨斯州首府奥斯
丁的收款部号码。接线员让她等一会儿,并放下电话。接线员有所警觉了么?她在向保卫部
门报告她接到一个可疑电话么?才不,迪迪一点都不担心。接线员只是有些不耐烦了,但这
是她再平常不过的日常工作了。一分钟后,接线员拿起电话,查到收款部的号码,给迪迪接
通。
第二个电话:派基(Peggy)
对话大致如下:
派基:收款部,我是派基。
迪迪:嗨,派基,我是橡木城(Thousand Oaks)的迪迪。
派:嗨,迪迪。
迪:你好吗?
派:还好。
迪迪接着使用企业内部的习惯用语来描述成本核算代码——给一个特定的机构或工作组分配
费用的代码(译者注:常在报销费用时填写)。
迪:很好。我有个问题问你。我如何才能找到某个部门的成本中心(cost center)?
派:你必须联系到那个部门的预算师。
迪:你知道谁是橡木城总部的预算师么?我在填表,但我不知道该填哪个成本中心?
派:我只知道要找成本中心的代码时,打电话给预算师。
迪:你们部门在德克萨斯有成本中心么?
派:我们有自己的成本中心,但我们没有完整的成本中心列表。
迪:成本中心的代码是多少位?比如,你们的成本中心?
派:嗯,这样,你是9WC还是SAT?
迪迪并不知道这是指哪个部门或工作组,但这并不重要,她回答道:
迪:9WC。
派:那一般是四位数字。你说你在哪里?
迪:橡木城总部。
派:哦,这里有橡木城的代码。 1A5N,N是Nancy的N。
仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的
被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。
第三个电话:有用的错误号码
迪迪的下一步是把成本中心的代码当做筹码来开发更大的价值。她先给资产部打电话,假装
是故意拔错的电话。以“不好意思,但……”做为话头,她声称自己丢失了公司的通讯录,看
看对方可不可以帮她弄一个新的。对方说公司已将通讯录放在内部网站上,打印出来的已经
过期了。迪迪说她还是想要一份复印件,对方让她打刊印部的电话,并主动查到刊印部的电
话(也许是想让这位声音性感的女士多在电话上呆一会儿吧)然后告诉了她。
第四个电话:刊印部的巴特
在刊印部,她与一个叫巴特的人谈上了话。迪迪说她是橡木城的,他们新来了一位顾问,需
要一份公司的通讯录。她告诉巴特,对于这位顾问来说,一份复印件会让工作更顺利些,即
便有些过期。巴特告诉她需要填一份申请单然后再寄给他。迪迪说她手头没有申请单,而且
事情很急,她甜言蜜语地问巴特是否能发个善心帮她填这个单子?他有些过分热心地同意
了,接着迪迪报出单子上的各项内容。在报出虚构的签单人地址时,她慢慢地说出了一个被
社会工程师称为“秘密通信地”的号码,在这里是一个邮箱号,商用的,她的公司为类似这种
情况而租用的邮箱。这时,早先的准备工作派上了用场。邮递这份目录会产生费用,迪迪给
出了橡木城成本中心的成本核算代码:“1A5N,N是Nancy的N。”
几天后,企业通讯录寄到,迪迪发现比她期望的还要好。上面不仅有名字和电话号码,还有
人员之间的工作关系,整个企业的组织结构。
这位有着磁性嗓音的女士可以通过拔打人员电话开始她的猎头行动了。她使用社会工程师久
经磨练的谈话技巧,骗取了开始行动所需的信息,她现在已经准备好收获了。
第二章 无害信息的价值(4)
专业术语
秘密通信地(Mail Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租
用的,用来接收受骗者发来的文件和包裹。
米特尼克信箱
犹如拼图游戏,每条信息本身并没有什么联系。然而,当把它们放在一起时,一个清晰的画
面便出现了。在这个案例中,社会工程师看到的画面就是那家公司的整个内部结构。
过程分析
在这次社会工程学的攻击中,迪迪以获得目标企业的三个部门电话为开始。这很容易,因为
她询问的电话号码并不是秘密,尤其是对于内部工作人员。一个社会工程师要听起来像一个
内部人员,此例中的迪迪就很善此道。一个电话号码帮她弄到成本中心的核算代码,而后者
用来获取公司职员的通讯录。她使用的主要工具是:友善的语气、企业专业用语,以及对那
个最后的上当者抛一个口头上的媚眼。还有一件无法轻易得到的必不可少的工具——社会工
程师的操纵能力,它来自于广泛的实践,和老一辈骗子们口头传下来的经验。
更多的“无价值”信息
除了成本核算代码和内部分机电话,还有哪些看似无用但对你的敌人来说非常有价值的信
息?
皮特•艾伯尔(Peter Abel)的电话
“嗨,”电话的另一端说:“我是帕克斯特(Parkhurst)旅行社的汤姆,您去往旧金山的机票
已订好,您要寄过去还是您来拿?”
“旧金山?”皮特说:“我没打算去旧金山。”
“您是皮特•艾伯尔么?”
“是的,但我没有任何旅行的安排。”
“嗯,”对方友好的笑笑,“您确定您不想去旧金山么?”
“如果你认为你能跟我老板谈谈此事的话……”皮特对这次友好的谈话开起玩笑。
“这听起来有些乱,”对方说:“我们的系统依照员工号码登记旅行安排,也许有人把号码弄错
了,你的员工号码是多少?”
皮特欣然报出他的号码。为什么?因为这如同他平时所填的公司里很多人都会看到的人员登
记表,人事部、工资名单,很明显,还有外面的旅行社。没人把员工号码当做秘密。这会有
什么影响吗?
这很难说清。两到三个信息也许就可以让社会工程师装扮成他人扮演一场好戏了。弄到一个
工作人员的名字和他的电话号码,也许为了保险起见,再找到他上司的名字和电话号码。即
使一个不怎么出色的社会工程师也会尽可能的搜集所需要的信息,以使他给下一个目标打电
话时听起来可信。
如果昨天有人给你打过电话,声称他是公司另一个部门的职员,并给出一个含糊的理由来询
问你的员工号码,你很轻易的就告诉他了么?
还有,你的社会保险号呢?(译者注:美国、加拿大居民的身份代码,类似于中国的身份证
号。)
米特尼克信箱
这个故事的寓意在于,不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出
她或他的声音是熟人,并确认对方有这些信息的知情权。
预防措施
公司有责任让员工意识到对非公共信息的管理不善会带来严重的后果。一个深思熟虑地信息
安全策略,再加上正确的教育和培训,将会极大的提升员工正确处理企业内部信息的意识。
资料数据的分类策略也将帮助你实施对信息使用的正确控制,如果没有分类策略,所有的内
部信息都应被视为保密,除非另做指定。
采取以下步骤来防止公司看似无害信息的泄漏:
信息安全部门应操办意识培训来讲解社会工程师所使用的手段。其中一个方法,正如上文所
提到的,就是获得看似不敏感的信息,然后把它当做筹码来取得短暂的信任。每一个员工都
应该意识到,当一个知道公司办事程序、专业用语和内部标识的人打来电话时,并不意味着
他或她就可以知道所查询的信息。对方可能是公司以前的员工或是知道公司内部一般情况的
合同工(译者注:某些大公司将员工分为regular和contractor,前者类似事业单位的固定
工,后者类似合同工)。因此,每个企业都有责任制定适当的验证方法,在员工与他们不认
识的人通电话或当面交谈时使用。
负责制订资料分类政策的人应该仔细检查信息的分类,注意那些正式员工可以访问到的看似
无害却可能会导致敏感信息泄漏的信息。尽管你从未把现金卡(ATM)的密码告诉过别人,
但你曾把开发公司软件产品的服务器告诉过别人么?这个信息可不可以让一个人装扮成企业
员工合法地访问企业网络呢?
有时仅仅知道内部的专用术语,就可以让社会工程师显得知道很多并可以信赖,攻击者常常
利用这个普遍的错误观念来操纵受骗者。比如,交易码是银行开户处用工作人员每天都使用
的认证标识,这个标识的意义与密码一模一样。如果每一个工作人员都认识到它的意义——
唯一用来确认查询人身份,他们也许会更加谨慎的对待它。
米特尼克信箱
正如人所说——即使一个真正的妄想狂也可能有敌人,我们也必须假定每个企业都有它的敌
人——以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字,
应尽早地布置深思熟虑的安全操作方案和策略,这样才能对企业进行正确的控制以加强防
范。
没有公司或只有很少的公司,会将首席执行官或董事长的直拨电话告诉别人。尽管大多数公
司并不在意在内部公开电话号码,尤其对于似乎是内部员工的人,实施这样一个政策还是必
要的:禁止对外公开内部职员、合同工、顾问和临时雇员的电话号码。
部门或工作组的财务制度,还有企业通讯录(无论是复印件还是资料文件或是内网上的电子
版),都是社会工程师常见的目标。每个企业对这类信息都要有一个成文的使用政策,并让
所有的员工都知道。保安人员则应保留一份备查日志,用以记录敏感信息透露给企业外人员
的情况。像员工号码这样的信息,它本身不能用做任何形式的验证,内部员工不仅要验证查
询信息者的身份,还要确定对方是否具有相关信息的知情权。
在进行安全培训时,试一下这个方法:无论什么时候在接受一个陌生人询问时,首先要礼貌
的拒绝,直到确认对方身份。然后,在做好心人之前,先遵循公司对非公共信息的验证和使
用政策。这种工作方式也许违背了我们乐于助人的天性,但多一点有益的怀疑也许是必要
的,以免成为社会工程师的下一个受骗者。
正如本章故事中所叙述的,看似无害的信息也许会成为打开企业最有价值的秘密信息的钥
匙。