她的名字也未登记电话,或者至少是没有列出她的电话,这就是他之所以联系我的原因。我告诉他,好的,没问题。
这就是那种通常一两个电话就可以完成的工作,如果你知道自已是在做什么的话。通常情况下,每个地方上的公共事业公司都有可能查到这样的信息,当然,这需要些小小的谎言,但偶尔撒一个小谎无所谓吧,对么?
我喜欢使用不同的方法,只为了让事情有趣些。“我是执行办公室的某某……”这样的开场白,一直都很好用。同样还有这次使用的“我正在与某副总裁办公室的人通话”也不错。
你必须充分发挥社会工程师的潜能,把握电话另一端将与之打交道的人的配合性。这次我幸运的碰到了一位友善、热心的女士,仅打了一个电话,就得到了地址和电话,任务完成。
米特尼克信箱
绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂,以防被人轻易识破。有些攻击来去匆匆、得手即逝,更简单的攻击仅仅是,直接索取。
过程分析
珍妮肯定知道客户信息属于敏感信息,她绝不会与一位客户谈论另一位客户的账户,也不会向外部泄露客户的私人信息。但是很自然地,当一个公司内部的人员打来电话时,情况便不同了。做为公司团队的一员,同事之间最重要的是互相帮助,以完成工作。那个客户名单部的工作人员,如果不是病毒把计算机搞坏,他自己完全可以查阅客户信息,她自然很乐意帮助一个同事。
亚特渐渐地接近了他真正想寻求的关健信息,在这一过程中他还提出了他不必知道的问题,如账户号码。然而,这个账户号码也为他提供了一个退路。万一珍妮有所警觉,他再打第二个电话时,成功的可能性便大大的增加了。因为,这个账户号码会让他给下一个工作人员打电话时,听起来更加可信。
从未有人向珍妮撒过这样的谎,打电话的人根本就不是客户名单部门的人。当然,珍妮也不应被责怪。她并不熟悉那条“在谈论客户档案信息之前,一定要知道与之谈话的人是谁”的规则,没有人告诉过她象亚特这样打来电话的危险性,公司里也没有制定这样的政策,她也从来没有培训过这方面的内容,而且她的主管也从未提及过。
预防措施
企业安全培训的一个要点就是:如果一个来访者或是打电话的人知道公司某人的名字,或是知道一些内部用语或业务程序,并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的,从而把内部信息泄露给他,或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调:一旦有所怀疑,必须确认、确认,再确认。
在过去,能够访问到企业内部信息是拥有权力和级别的标志。工人们往熔炉里添燃料、运转机器,员工们打字、填写报告,工头或是上司告诉他们做什么,何时做,如何做。只有工头或上司才知道一个班上的每个员工生产多少零件,工厂这个星期、下个星期、这个月底需要生产出什么颜色、什么尺寸、什么数目的产品来。
工人们负责机器、工具和原材料,老板们负责处理信息。工人只需要知道与本职工作有关的信息。
那时的情况与现在有所不同,不是么?现在,许多工厂的员工都使用某种计算机或是由计算机控制的机器。对大多数人来说,重要的信息都直接放在使用者的桌子上,以便于他们履行自己的职责来完成工作。在现代社会,几乎每一名员工都离不开处理信息的工作。因此,企业的安全策略应遍布企业的各个地方,而无所谓职位的高低不同。每个人都应该认识到,不仅是上司或管理人员拥有攻击者想追寻的信息。今天,每个层次级别上的职员,甚至是不使用计算机的人,都有可能成为攻击者的目标。而公司新近雇用的客服人员则是社会工程师最容易突破的薄弱环节,企业的安全培训和安全策略务必要加强这方面的注意
第三章正面攻击――直接索取
很多时候,社会工程学的攻击是十分复杂的,包括一系列的步骤和精心的策划,并同时具备操作技巧和透彻的背景知识。但令人惊奇的是一位技艺高超的社会工程师经常可以使用简单、直接、正面的攻击方式来达到目标。直接了当的开口要求所需的信息,也许仅此一点就已经足够,正如下文中你即将看到的。
快速搞定线路分配中心
想知道某人未登记的电话号码么?一个社会工程师可以告诉你半打的方法(你也可以在本书中的其它故事内容中看到),但最简单的办法就是拨出这样的一个电话……
请告诉我号码
攻击者拨打线路分配中心(mechanizedlineassignmentcenter)未公开的电话公司号码,接听电话的是个女子,攻击者说道:“嗨,我是保罗?安东尼(panthony),我是线路员。是这样,这里有一个接线盒在火灾中烧毁,警察认为是有人故意烧掉自己的房子来骗保险。他们让我一个人来为二百对接线柱接线。现在,我真得需要帮忙了。南大街6723号的线路是怎样分配的?”
这些故事可能会导致你认为我把业务中接触到的每一个人都看成十足的傻瓜,都很乐意地、甚至是渴望着把他或她所拥有的每一个秘密泄露出去。社会工程师知道,这是不可能的。为什么社会工程的攻击容易得手呢?这不是因为人们的愚蠢或是缺乏常识,而是因为,我们人类很容易被操纵而把信任用错了地方,因此被欺骗。社会工程师早已料到会受到阻力和怀疑,他随时准备着把人们对他的怀疑扭转。一个优秀的社会工程师策划攻击时如同下象棋,预先想到对方可能会提出什么样的问题,从而把合适的答案准备好。他的一个很常用的技巧就是给受骗者建立信任感,一个骗子如何才能获得你的信任呢?相信我,他能够。
信任:欺骗的关健
社会工程师越把情况营造得像普通的业务联系,就越能减少怀疑。当人们没有疑心时,得到他们的信任就很容易了。一旦取得你的信任,如同吊桥放下,城门打开,他就可以入内随心所欲地取得他所需的信息。
注:你也许注意到我在提及社会工程师、电话盗打者和设计骗局的人时,大多数情况下用的是“他”。这不是偏见,这只是反应了一个事实――从事这些领域的人大都是男性。但尽管女社会工程师很少,可这个数字正在增长。不要仅仅因为听到了一位女性的声音而放松了你的警觉,女社会工程师还是有的。事实上,女社会工程师有着独特的优势,利用她们的女性特征来得到对方的配合。本书以后的内容中将会出现少量的女性社会工程师。
第一个电话:安德瑞亚?洛偑兹(andrealopez)
安德瑞亚?洛偑兹在她工作的音像店接到了一个电话,她立刻微笑起来(当一位客户特意打来电话对服务表示满意时,总会让人高兴)。打电话的人说,在他们店里得到了非常好的服务,他想给写封信告诉他们的经理。他询问经理的名字和通信地址,她告诉他名字是汤米?艾里森(tommyallison),并把通信地址也给了他。就在要挂电话时,他又有了一个想法,他说:“我还想写给你们公司总部,那儿的电话是多少?”她也告诉了他。他道了谢谢,并说了些她的服务十分让人满意之类的话,然后再见了。“像这样的电话,”她想,“总能让上班的时间过的快些,如果多有些这样的人就好了。”
第二个电话:吉妮
“欢迎致电音像工作室,我是吉妮,需要帮忙么?”
“嗨,吉妮,”打电话者热情的打招呼,听起来就像每个星期都给吉妮通话似的。“我是汤米?艾里森”,863店森林公园的经理。我这儿有一位客户,想租《洛奇5》,可我们这儿已经没有拷贝了,你能查一下你们那儿有么?”
过了一会儿,她回答:“是的,我们还有三个拷贝。”
“好的,我问一下客户是否愿意过去,谢谢你。如果有任何需要,请致电汤米,我很乐意为你效劳。”
接下来的几个星期,吉妮又接到过三、四次汤米寻求帮助的电话,这些要求似乎都很正常,他总是十分友善,没有故意接近她的意思。同时,稍稍有些唠叨。如“你听说橡树园的大火了么?一连串的街道都封掉了,”类似的话。对于日常工作来说,这些电话可以让人得到片刻的休息,吉妮总是乐意接到他的电话。
一天,汤米打来电话,听上去有些焦虑,他说:“你们的计算机出过问题么?”
“没有,”吉妮回答。“怎么了?”
“有个人开车把电线杆撞了,电话公司的修理人员说城市的一部分地区没办法打电话和上网,直到他们修好。”
“哦,不会吧。那个人受伤了么?”
“他们把他送到救护车上了。别管这些了,我需要你帮个忙。我这儿有一个你们的客户,想租《教父2》,但他没带租片卡,你能帮我确认一下他的信息吗?”
“是的,当然。”
汤米说出客户的名字和地址,吉妮在计算机中找到,然后告诉汤米客户的账号。
“有过期未还和欠款记录么?”汤米问。
“没有。”
“好的,很好。我手工给他登记一下账户,计算机故障恢复之后再录入数据库。