了解IT技术
老九你最好的选择

欺骗的艺术-第三章 正面攻击——直接索取

很多时候,社会工程学的攻击是十分复杂的,包括一系列的步骤和精心的策划,并同时具备操作技巧和透彻的背景知识。但令人惊奇的是一位技艺高超的社会工程师经常可以使用简单、直接、正面的攻击方式来达到目标。直接了当的开口要求所需的信息,也许仅此一点就已经足够,正如下文中你即将看到的。

快速搞定线路分配中心

想知道某人未登记的电话号码么?一个社会工程师可以告诉你半打的方法(你也可以在本书中的其它故事内容中看到),但最简单的办法就是拨出这样的一个电话……

请告诉我号码

攻击者拨打线路分配中心(Mechanized Line Assignment Center)未公开的电话公司号码,接听电话的是个女子,攻击者说道:“嗨,我是保罗·安东尼(Paul Anthony),我是线路员。是这样,这里有一个接线盒在火灾中烧毁,警察认为是有人故意烧掉自己的房子来骗保险。他们让我一个人来为二百对接线柱接线。现在,我真得需要帮忙了。南大街6723号的线路是怎样分配的?”

电话公司的人都知道,对于非公开的号码查询信息只能让已授权的电话公司知道,线路分配中心的的号码只能告诉本公司的职员。然而,即使他们从不会将这些信息公之于众,谁又能拒绝帮助一位身负繁重工作任务的公司员工呢?她对他保罗起了同情之心,她今天的工作也很不顺,于是她小小地破了个例,来帮助这个遇到麻烦的同事。她告诉他电缆线的配对,以及每个分配到相应地址的号码。

米特尼克信箱

人们都很容易相信自己的同事,尤其是在其要求满足合理的测试之后。社会工程师便利用这种知识从受骗者身上获取信息以达到他们的目标。

过程分析

正如你不断地在这些故事中看到的,企业专业术语的知识和它的结构组织——各个办公室和部门都是做什么的、具备什么样的信息,是一个优秀社会工程师的骗术箱中的必备品。

逃亡者

一个我们将称之为弗兰克·帕森斯(Frank Parsons)的人已经在逃多年,作为60年代地下反战组织的一分子,他仍然被联邦政府通辑。在餐馆里,他总面对着门口坐着,习惯于左顾右盼,偶尔会被人注意到神色紧张。

弗兰克每隔几年都会搬家。有一次,他来到一个陌生的城市,准备找个工作。对于弗兰克这样有着精湛计算机技术的人(同样,还有娴熟的社会工程学技术,即便他从不会把这写到应聘简历上),找到一个不错的工作还是很容易的。只要不是处于经济特别紧张的时期,具备良好计算机知识的人很容易得到施展才能的机会并摆脱困境。弗兰克很快的看中了一份薪资优厚的工作,一家庞大、高级的长期疗养院,而且离他住的地方很近。

他想,这真合适。但当他埋头苦干地填写申请表时,忽然碰到一个麻烦。雇用方要求应聘者提供一份犯罪历史记录的复印件,这份复印件他只能亲自去州警察局去拿。在工作申请表里就包含着一张需要这个复印件的表格,上面还有一个用来按指纹的地方。即便他们只需要右手食指的指纹,但如果把这个指纹与联邦调查局数据库中的指纹做比较的话,他可能很快就要到联邦政府资助的地方(译者注:指监狱)食堂工作了。

另一方面,对于弗兰克来说,还可能(仅仅是可能),仍然平安无事,州警察局也许根本不会把指纹样发到联邦调查局。但他如何获知这一点呢?

怎么办?他是一个社会工程师,你认为他会怎么做呢?

弗兰克往州警察局拨了一个电话:“嗨,我们正在为州司法部执手一项研究,调查是否有必要实施一个新的指纹认证系统。可以找一个你们内部熟悉此项工作的人帮我们一下么?”

当本地的专家拿起电话时,弗兰克询问了一系列有关他们使用的指纹系统的问题,以及检索和储存指纹数据的能力。他们的系统是否出过故障?他们在国家犯罪信息中心(NCIC)还是仅在本州进行指纹检索?这套系统对于每个人来说容易学习使用么?

狡猾的弗兰克悄悄地得到了其中的关键信息。答案对他来说如音乐般动听——不,他们不在NCIC检索,他们只在州犯罪信息索引(CII)中查询。

米特尼克信箱

精明的信息骗子想获悉法律执行程序方面的问题时,从不会迟疑于给联邦、州或是地方政府打电话。利用这些唾手可得的信息,社会工程师很可能会绕过企业的常规安全检查。

那就是弗兰克所需要知道的,他在这个州没有任何犯罪记录。因此,他提交了他的工作申请,并被录用。而且,一直也没有任何人出现在他的办公桌前对他说:“这些先生是联邦调查局的,他们想跟你谈谈。”

据弗兰克所说,他后来成为那家公司的一名模范雇员。

放到门口

尽管我们有美丽的无纸办公神话,但在企业,每天还是继续打印出大量的纸张,而纸上打印的企业内部信息很容易泄露,即使上面印着机密并采取了安全防范措施。这里有一个故事,它将显示社会工程师如何获取你最机密的文件。

“环回”欺骗

电话公司每年都要刊印一本叫做测试号码目录的电话册。至少以前是这样,由于我还处于监督释放期(译者注:类似假释),我并不打算去问电话公司是否还在这样做。电话盗打者十分重视这本电话册,因为它包含了一个列表,上面列出了所有企业工人、技师使用的受到严密保护的号码,以及其他一些总是处于忙音的中继线测试和检查号码。在这些测试号码当中,有一个术语称做“环回”(loop-around)的号码,尤其有用。电话盗打者用它做为一个找到其它同行聊天的方法,对他们来说这无需成本。电话盗打者还把它用来做为给予对方的回电号码,比如银行。一个社会工程师会告诉银行的人,打这个电话号码到他的办公室,当银行按这个号码(环回号码)打过来时,电话盗打者就可以接到,同时还很安全,因为依据这个号码无法追踪到他。

测试号码目录提供许多极其有用的信息,从而被对信息无比渴求、内分泌激素发达的电话盗打者所利用。因此,每当新的目录发布时,都会被大量的喜欢探究电话网络的年轻人所觊觎。

米特尼克信箱

为保护企业的信息资产,企业里的每个人都需要而进行安全培训,而不仅仅是那些通过电子线路或是物理接触而访问到企业信息资产的人。

史蒂夫的诡计

无疑,电话公司不会轻易地让人得到这些目录。因此,电话盗打者必须想出创造性的办法。他们怎么做呢?一个对目录有着强烈渴望的年轻人可能会设计这样一个场景……

某日,南加利福尼亚秋天的一个傍晚,一个我称之为史蒂夫(Stevie)的人给一家小电话公司的总机室打电话,这个总机室所在的大楼负责服务区内所有家庭及企业电话线路的连接。当值班的接线员拿起电话时,史蒂夫称自己是电话公司刊印和发行打印资料部门的人。“我们刊印了你们新的测试号码目录,”他说。“但出于安全考虑,如果我们没有收到旧的目录,就不能给你们发新的。可送目录的人迟到了,如果你们把旧的目录放到门口,他经过时就能取到,并放下新的,然后继续赶路。”

毫不怀疑的接线员似乎觉得这很合理,于是照做,把目录放到大楼门口,虽然目录的封皮上用红字清楚地印着“公司机密――无用时销毁。”

史蒂夫开车过来,小心的察看四周,是否有警察或电话公司的保安人员藏在树后或在停泊的汽车里监视。没有人。他装作不经意地拾起那本令人垂涎的目录,开车走了。

这就是社会工程师轻易得到他想要的东西的另一个例子,这里就使用了那个简单的原则――“直接索取”。

谎言攻击

不只是企业的资产处于社会工程师设置骗局的危险之下,有时,企业客户也会成为受害者。做为客服人员,不可避免的会受到挫折、讥笑和无辜的误解,有些人还会给企业的客户带来不良后果。

珍妮·爱克顿(Janie Acton)的故事

感恩节的一周,打来了一个不同寻常的电话。打电话的人说:“我是客户名单部的爱德华多(Eduardo),我正与一位女士通着电话,她是执行办公室一位副总裁的秘书,她需要知道一些信息,而我的计算机坏了。我接到了人力资源部一位姑娘发来的一封写着‘我爱你’的邮件,当我打开附件时,就再也不能使用我的电脑了。病毒,我中了一个愚蠢的病毒。就是这样,你能帮我查一下客户信息么?”

“当然,”珍妮回答。“它毁了你的计算机么?真糟糕。”

“是啊。”

“我该如何帮你?”珍妮问。

在这里,攻击者为了使自己听起来可信,便对想知道的信息预先做了调查。他了解到他所需的信息存储在一个叫做“客户名单信息系统”(CBIS)的系统中,并且他还知道了工作人员与系统的关系。他问:“你能从CBIS中查一个账户么?”

“可以,账户号码是多少?”

“我不知道。我需要你用姓名来查。”

“好的,什么姓名?”

“希瑟·玛宁(Heather Marning)。”他拼出名字,珍妮把它输入。

“好的,我查到了。”

“很好。账户调出来了?”

“嗯哼,调出来了。”

“账户号码是什么?”他问。

“你有笔么?”

“准备好了。”

“账户号码,BAZ6573NR27Q。”

他重复了一遍号码,然后问:“服务地址是什么?”

她告诉他地址。

“电话呢?”

珍妮也欣然地读给他。打电话的人向她致谢,并说再见,然后挂线。珍妮继续下一个电话,再也不去想这件事情。

亚特·锡利(Art Sealy)的调查方案

亚特·锡利放弃了为那些小出版社做自由编辑的工作,他找到了一个更能赚钱的方法,为作者和相关业务做调查。不久,他发现他的工作内容越是接近非法与合法之间的模糊界限,他就越可以收取更高的费用。从没有想到过,当然也从不知道这就是社会工程,亚特使用着与每个信息经济人都使用着的类似方法和技术,成为了一名社会工程师。他最终证明自己有此方面的天分,懂得了大多数社会工程师必须从他人身上学来的技巧。不久,他就毫无罪恶感的跨过了非法与合法之间的界限。

一个位正在写一本尼克松年代时关于政府内阁方面的书的作家打电话给我,说他想找一个能够挖掘出威廉·西蒙(William E. Simon)内幕消息的调查人。威廉·西蒙,曾任尼克松时期的财政部长。西蒙先生现已去世,但这位作家知道他的一名女下属的名字,并确切的知道她仍然住在华盛顿特区,可不知道详细地址。她的名字也未登记电话,或者至少是没有列出她的电话,这就是他之所以联系我的原因。我告诉他,好的,没问题。

这就是那种通常一两个电话就可以完成的工作,如果你知道自已是在做什么的话。通常情况下,每个地方上的公共事业公司都有可能查到这样的信息,当然,这需要些小小的谎言,但偶尔撒一个小谎无所谓吧,对么?

我喜欢使用不同的方法,只为了让事情有趣些。“我是执行办公室的某某……”这样的开场白,一直都很好用。同样还有这次使用的“我正在与某副总裁办公室的人通话”也不错。

  你必须充分发挥社会工程师的潜能,把握电话另一端将与之打交道的人的配合性。这次我幸运的碰到了一位友善、热心的女士,仅打了一个电话,就得到了地址和电话,任务完成。

米特尼克信箱

绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂,以防被人轻易识破。有些攻击来去匆匆、得手即逝,更简单的攻击仅仅是,直接索取。

过程分析

珍妮肯定知道客户信息属于敏感信息,她绝不会与一位客户谈论另一位客户的账户,也不会向外部泄露客户的私人信息。但是很自然地,当一个公司内部的人员打来电话时,情况便不同了。做为公司团队的一员,同事之间最重要的是互相帮助,以完成工作。那个客户名单部的工作人员,如果不是病毒把计算机搞坏,他自己完全可以查阅客户信息,她自然很乐意帮助一个同事。

亚特渐渐地接近了他真正想寻求的关健信息,在这一过程中他还提出了他不必知道的问题,如账户号码。然而,这个账户号码也为他提供了一个退路。万一珍妮有所警觉,他再打第二个电话时,成功的可能性便大大的增加了。因为,这个账户号码会让他给下一个工作人员打电话时,听起来更加可信。

从未有人向珍妮撒过这样的谎,打电话的人根本就不是客户名单部门的人。当然,珍妮也不应被责怪。她并不熟悉那条“在谈论客户档案信息之前,一定要知道与之谈话的人是谁”的规则,没有人告诉过她象亚特这样打来电话的危险性,公司里也没有制定这样的政策,她也从来没有培训过这方面的内容,而且她的主管也从未提及过。

预防措施

企业安全培训的一个要点就是:如果一个来访者或是打电话的人知道公司某人的名字,或是知道一些内部用语或业务程序,并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的,从而把内部信息泄露给他,或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调:一旦有所怀疑,必须确认、确认,再确认。

在过去,能够访问到企业内部信息是拥有权力和级别的标志。工人们往熔炉里添燃料、运转机器,员工们打字、填写报告,工头或是上司告诉他们做什么,何时做,如何做。只有工头或上司才知道一个班上的每个员工生产多少零件,工厂这个星期、下个星期、这个月底需要生产出什么颜色、什么尺寸、什么数目的产品来。

工人们负责机器、工具和原材料,老板们负责处理信息。工人只需要知道与本职工作有关的信息。 那时的情况与现在有所不同,不是么?现在,许多工厂的员工都使用某种计算机或是由计算机控制的机器。对大多数人来说,重要的信息都直接放在使用者的桌子上,以便于他们履行自己的职责来完成工作。在现代社会,几乎每一名员工都离不开处理信息的工作。因此,企业的安全策略应遍布企业的各个地方,而无所谓职位的高低不同。每个人都应该认识到,不仅是上司或管理人员拥有攻击者想追寻的信息。今天,每个层次级别上的职员,甚至是不使用计算机的人,都有可能成为攻击者的目标。而公司新近雇用的客服人员则是社会工程师最容易突破的薄弱环节,企业的安全培训和安全策略务必要加强这方面的注意。

赞(1) 打赏
未经允许不得转载:老九IT技术网 » 欺骗的艺术-第三章 正面攻击——直接索取
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

老九为IT技术人提供最全面的IT资讯和交流互动

友情链接广告合作