欺骗的艺术-第三章-“环回”欺骗

 2019-05-07    1977  

 米特尼克信箱

    人们都很容易相信自己的同事,尤其是在其要求满足合理的测试之后。社会工程师便利用这种知识从受骗者身上获取信息以达到他们的目标。

    过程分析

    正如你不断地在这些故事中看到的,企业专业术语的知识和它的结构组织――各个办公室和部门都是做什么的、具备什么样的信息,是一个优秀社会工程师的骗术箱中的必备品。

    逃亡者

    一个我们将称之为弗兰克?帕森斯(Frank Parsons)的人已经在逃多年,作为60年代地下反战组织的一分子,他仍然被联邦政府通辑。在餐馆里,他总面对着门口坐着,习惯于左顾右盼,偶尔会被人注意到神色紧张。

    弗兰克每隔几年都会搬家。有一次,他来到一个陌生的城市,准备找个工作。对于弗兰克这样有着精湛计算机技术的人(同样,还有娴熟的社会工程学技术,即便他从不会把这写到应聘简历上),找到一个不错的工作还是很容易的。只要不是处于经济特别紧张的时期,具备良好计算机知识的人很容易得到施展才能的机会并摆脱困境。弗兰克很快的看中了一份薪资优厚的工作,一家庞大、高级的长期疗养院,而且离他住的地方很近。

    他想,这真合适。但当他埋头苦干地填写申请表时,忽然碰到一个麻烦。雇用方要求应聘者提供一份犯罪历史记录的复印件,这份复印件他只能亲自去州警察局去拿。在工作申请表里就包含着一张需要这个复印件的表格,上面还有一个用来按指纹的地方。即便他们只需要右手食指的指纹,但如果把这个指纹与联邦调查局数据库中的指纹做比较的话,他可能很快就要到联邦政府资助的地方(译者注:指监狱)食堂工作了。

    另一方面,对于弗兰克来说,还可能(仅仅是可能),仍然平安无事,州警察局也许根本不会把指纹样发到联邦调查局。但他如何获知这一点呢?

    怎么办?他是一个社会工程师,你认为他会怎么做呢?

    弗兰克往州警察局拨了一个电话:“嗨,我们正在为州司法部执手一项研究,调查是否有必要实施一个新的指纹认证系统。可以找一个你们内部熟悉此项工作的人帮我们一下么?”

    当本地的专家拿起电话时,弗兰克询问了一系列有关他们使用的指纹系统的问题,以及检索和储存指纹数据的能力。他们的系统是否出过故障?他们在国家犯罪信息中心(NCIC)还是仅在本州进行指纹检索?这套系统对于每个人来说容易学习使用么?

    狡猾的弗兰克悄悄地得到了其中的关键信息。答案对他来说如音乐般动听――不,他们不在NCIC检索,他们只在州犯罪信息索引(CII)中查询。

    米特尼克信箱

    精明的信息骗子想获悉法律执行程序方面的问题时,从不会迟疑于给联邦、州或是地方政府打电话。利用这些唾手可得的信息,社会工程师很可能会绕过企业的常规安全检查。

    那就是弗兰克所需要知道的,他在这个州没有任何犯罪记录。因此,他提交了他的工作申请,并被录用。而且,一直也没有任何人出现在他的办公桌前对他说:“这些先生是联邦调查局的,他们想跟你谈谈。”

    据弗兰克所说,他后来成为那家公司的一名模范雇员。

    放到门口

    尽管我们有美丽的无纸办公神话,但在企业,每天还是继续打印出大量的纸张,而纸上打印的企业内部信息很容易泄露,即使上面印着机密并采取了安全防范措施。这里有一个故事,它将显示社会工程师如何获取你最机密的文件。

    “环回”欺骗

    电话公司每年都要刊印一本叫做测试号码目录的电话册。至少以前是这样,由于我还处于监督释放期(译者注:类似假释),我并不打算去问电话公司是否还在这样做。电话盗打者十分重视这本电话册,因为它包含了一个列表,上面列出了所有企业工人、技师使用的受到严密保护的号码,以及其他一些总是处于忙音的中继线测试和检查号码。在这些测试号码当中,有一个术语称做“环回”(loop-around)的号码,尤其有用。电话盗打者用它做为一个找到其它同行聊天的方法,对他们来说这无需成本。电话盗打者还把它用来做为给予对方的回电号码,比如银行。一个社会工程师会告诉银行的人,打这个电话号码到他的办公室,当银行按这个号码(环回号码)打过来时,电话盗打者就可以接到,同时还很安全,因为依据这个号码无法追踪到他。

    测试号码目录提供许多极其有用的信息,从而被对信息无比渴求、内分泌激素发达的电话盗打者所利用。因此,每当新的目录发布时,都会被大量的喜欢探究电话网络的年轻人所觊觎。

    米特尼克信箱

    为保护企业的信息资产,企业里的每个人都需要而进行安全培训,而不仅仅是那些通过电子线路或是物理接触而访问到企业信息资产的人。

    史蒂夫的诡计

    无疑,电话公司不会轻易地让人得到这些目录。因此,电话盗打者必须想出创造性的办法。他们怎么做呢?一个对目录有着强烈渴望的年轻人可能会设计这样一个场景……

    某日,南加利福尼亚秋天的一个傍晚,一个我称之为史蒂夫(Stevie)的人给一家小电话公司的总机室打电话,这个总机室所在的大楼负责服务区内所有家庭及企业电话线路的连接。当值班的接线员拿起电话时,史蒂夫称自己是电话公司刊印和发行打印资料部门的人。“我们刊印了你们新的测试号码目录,”他说。“但出于安全考虑,如果我们没有收到旧的目录,就不能给你们发新的。可送目录的人迟到了,如果你们把旧的目录放到门口,他经过时就能取到,并放下新的,然后继续赶路。”

    毫不怀疑的接线员似乎觉得这很合理,于是照做,把目录放到大楼门口,虽然目录的封皮上用红字清楚地印着“公司机密――无用时销毁。”

    史蒂夫开车过来,小心的察看四周,是否有警察或电话公司的保安人员藏在树后或在停泊的汽车里监视。没有人。他装作不经意地拾起那本令人垂涎的目录,开车走了。

    这就是社会工程师轻易得到他想要的东西的另一个例子,这里就使用了那个简单的原则――“直接索取”。

    谎言攻击

    不只是企业的资产处于社会工程师设置骗局的危险之下,有时,企业客户也会成为受害者。做为客服人员,不可避免的会受到挫折、讥笑和无辜的误解,有些人还会给企业的客户带来不良后果。

    珍妮?爱克顿(Janie Acton)的故事

    感恩节的一周,打来了一个不同寻常的电话。打电话的人说:“我是客户名单部的爱德华多(Eduardo),我正与一位女士通着电话,她是执行办公室一位副总裁的秘书,她需要知道一些信息,而我的计算机坏了。我接到了人力资源部一位姑娘发来的一封写着‘我爱你’的邮件,当我打开附件时,就再也不能使用我的电脑了。病毒,我中了一个愚蠢的病毒。就是这样,你能帮我查一下客户信息么?”

    “当然,”珍妮回答。“它毁了你的计算机么?真糟糕。”

    “是啊。”

    “我该如何帮你?”珍妮问。

    在这里,攻击者为了使自己听起来可信,便对想知道的信息预先做了调查。他了解到他所需的信息存储在一个叫做“客户名单信息系统”(CBIS)的系统中,并且他还知道了工作人员与系统的关系。他问:“你能从CBIS中查一个账户么?”

    “可以,账户号码是多少?”

    “我不知道。我需要你用姓名来查。”

    “好的,什么姓名?”

    “希瑟?玛宁(Heather Marning)。”他拼出名字,珍妮把它输入。

    “好的,我查到了。”

    “很好。账户调出来了?”

    “嗯哼,调出来了。”

    “账户号码是什么?”他问。

    “你有笔么?”

    “准备好了。”

    “账户号码,BAZ6573NR27Q。”

    他重复了一遍号码,然后问:“服务地址是什么?”

    她告诉他地址。

    “电话呢?”

    珍妮也欣然地读给他。打电话的人向她致谢,并说再见,然后挂线。珍妮继续下一个电话,再也不去想这件事情。

    亚特?锡利(Art Sealy)的调查方案

    亚特?锡利放弃了为那些小出版社做自由编辑的工作,他找到了一个更能赚钱的方法,为作者和相关业务做调查。不久,他发现他的工作内容越是接近非法与合法之间的模糊界限,他就越可以收取更高的费用。从没有想到过,当然也从不知道这就是社会工程,亚特使用着与每个信息经济人都使用着的类似方法和技术,成为了一名社会工程师。他最终证明自己有此方面的天分,懂得了大多数社会工程师必须从他人身上学来的技巧。不久,他就毫无罪恶感的跨过了非法与合法之间的界限。

    一个位正在写一本尼克松年代时关于政府内阁方面的书的作家打电话给我,说他想找一个能够挖掘出威廉?西蒙(William E. Simon)内幕消息的调查人。威廉?西蒙,曾任尼克松时期的财政部长。西蒙先生现已去世,但这位作家知道他的一名女下属的名字,并确切的知道她仍然住在华盛顿特区,可不知道详细地址。

  •  标签:  

原文链接:https://www.ceacer.cn/?id=89

=========================================

https://www.ceacer.cn/ 为 “Ceacer 网安” 唯一官方服务平台,请勿相信其他任何渠道。