与梦为伴

 

 

 

 

 

 

 

 

 

 

 

刺激，在这本书的其它地方提到过（在我看来或许最好的电影永远是关于实施入侵的），迷人的叙说里安排了它巧妙的情节。在电影中刺激作用的一个准确的描述是顶级骗子运用的“金属丝”，这是提到的三种主要骗局之一的“重要的过程”。如果你想要知道一个专业的团队怎样只用一个晚上去实现一个骗局而迅速获得大量的金钱，这里没有更好的教材。

但是传统的入侵，凡是他们的特殊花招，都依照一个模式。有时候一个诡计会被反向应用，这称为逆向骗局。这是一个迷人的手段，攻击者设定情况让受害人向他寻求帮助，或者一位同事正好发出了攻击者响应的请求。

这些是怎样实现的？你正打算发现它。

 

逆向骗局：一种入侵手段，让被攻击者向攻击者寻求帮助。

 

当一般人想象电脑黑客的样子时，通常会联想到阴暗的一面，一个孤独、内向、讨厌的人，他最好的朋友是一台除即时信息以外很难交流的电脑。社会工程师常常拥有黑客的技能，也有普通人的技能——在对立的光之尽头——使用得到良好发展的能力操纵人们谈论他们获取信息的方法，通过你从未想过可能性的途径。

 

地点：工业联邦银行，流域分行。

时间：上午11:27。

安吉拉•维斯露斯基（Angela Wisnowski）接到了一个电话，那个人说他刚刚得到了一大笔遗产，想要了解一些信息，关于不同类型的储蓄存款账户、存款单和任何她推荐的安全的可以正当获利的投资。她解释说有相当多的选择，问他是否可以过来坐下和她一起讨论它们。他说他一拿到钱就要去旅游，还有很多事情要安排。所以当她设法约束他的投资目标时，她开始推荐一些可能的类型，还给了他关于利率的详细资料，如果你在初期卖出一张光盘会发生什么，等等。

 她似乎更进了一步，他说：“噢，对不起，我要接另一个电话。什么时候能和你结束这次交谈好让我作出一些决定？你什么时候出去吃午饭？”她告诉他是12:30，他说他会在那之前或者之后几天再打电话过来。

 

银行总部使用每天都更改的安全密码，当分行的某个人需要从另一个分行处获得信息时，他可以通过证明自己知道这个每日密码来表明他有权访问信息。为了更深层次的安全性和机动性，一些银行总部每天都会发行多重密码。在一个被我称为工业联邦银行的西部海岸机构里，每一位员工每天都能收到一张有五个密码的列表，每天早晨在他或她的电脑上从A到E进行验证。

地点：相同。

时间：下午12:48，同一天。

路易斯•霍普本（Louis Halpburn）对那个下午接到的电话不以为意，这个电话和一周里有规律的其它几次来电一样。

“你好，”打电话的人说，“我是尼尔•韦伯斯特（Neil Webster），从波士顿3182分行打电话来。找安吉拉•维斯露斯基，谢谢。”

“她在吃午饭，我能帮忙吗？”

“好的，她留了言请求我们传真一些关于我们的一个客户的资料给她。”

这个打电话的人听上去度过了糟糕的一天。

“通常处理这些请求的人请了病假，”他说，“我有一堆这些事情要做，已经在这里4个钟头了，我希望能在半个小时以后离开这里去和一个医生会面。

这一操作——给出了为什么其他人会觉得他很可怜的所有理由——这是使受害人软化的一部分。他继续说：“无论是谁接到了她的电话留言，传真号码已经不清楚了，大概是213什么的，其余的是什么？”

路易斯给出了传真号码，然后打电话的人说，“好的，谢谢，在我传真这些之前，我需要询问你密码B。”

“但是是你打电话给我的。”他说这句话时很冷淡，好让这个来自波士顿的人明白。

很好，打电话的人想。当人们在第一次温柔的推挤中没有跌倒时，很酷。如果没有少量的反抗，这份工作会太容易，我会变得懒散的。

他对路易斯说：“我这里的分行经理对我们发送任何东西之前的验证有些偏执，但是听着，如果你不需要我们传真这些信息，很好，不需要验证。”

“看，”路易斯说，“安吉拉会在大约半个小时后回来，我可以让她打电话给你。”

“我会告诉她今天我不能发送这些信息，因为你没有给我密码验证这些合法的请求。如果我明天没有请病假，我会再打电话给她。”

“留言说 ‘紧急的’，别担心，没有验证我就无法操作，你可以告诉她我试着发送它但是你没有给我密码，好吗？”

在压力之下路易斯放弃了，从电话线的另一端传来一声烦恼的叹息。

“好的，”他说，“等一下，我要到我的电脑上去，你想要哪一个密码？”

“B。”打电话的人说。

他把电话放在桌子上然后很快又拿了起来。“3184。”

“那不是正确的密码。”

“它是正确的——B是3184。”

“我没有说B，我说的是E。”

“噢，该死的，等一会儿。”

另一次停顿，当他查看密码时。

“E是9697。”

“9697——正确，我在路上发送这份传真，好不好？”

“当然好，谢谢。”

 

“工业联邦银行，我是沃尔特。”

“嗨，沃尔特，我是影视城38分行的鲍勃•格若博斯基（Bob Grabowski），”打电话的人说，“我需要你传真一份客户账户的签字样卡给我。”签字样卡上面有客户的签名，它也有验证信息，常见的例如社会保险号码、生日、母亲家族的姓氏，有时甚至是驾驶执照号码。这对于一个社会工程师来说唾手可得。

“确认信息，密码C是多少？”

“其他出纳员正在使用我的电脑，”打电话的人说，“但是我可以使用B和E，我记得它们。问我它们中的一个。”

“好吧，E是多少？”

“E是9697。”

几分钟以后，沃尔特依照请求传真了一份签字样卡。

 

“你好，我是安森莫（Anselmo）先生。”

“今天我能帮你些什么？”

“我想要了解保证金是否仍记入贷方，应该打哪个800号码？”

“你是这家银行的客户吗？”

“是的，我没有用过这个号码，现在我不知道我把它写在了哪里。”

“号码是800-555-8600。”

“好的，谢谢。”

 

斯伯克恩（Spokane）街巡警的儿子文斯很年轻的时候就知道他不会把生命花费在长时间的辛勤努力上，承受最低工资的风险。他人生的两个主要目标首先是离开斯伯克恩，然后是成就他自己的事业。朋友们的笑声一直伴随着他的大学生活，这只让他更加恼火——他们认为这很搞笑，他太失败了，想开创自己的事业却不知道从哪里开始。

文斯私下里其实知道他们是对的，他唯一擅长的事是在大学棒球队里当接球手，但是还不够好，拿不到大学奖学金，更别提职业棒球了。所以他能从哪里开始他的事业呢？

有一件事情在文斯的小组里的人一直没有弄明白：任何曾经是他们的东西——一把新的弹簧折刀，一对顶好的保暖手套，一个性感的女朋友，只要文斯喜欢，不久之后就会变成他的。他不需要偷窃或是鬼鬼祟祟地跟在任何人的后面，他不需要这样做。拥有它的人会自动放弃它，过后才会对这是怎样发生的感到惊讶。恰当的做法是请求文斯在任何地方都不要碰你的东西：他不了解他自己，人们似乎可以让他拿到任何他想要的东西。

文斯•开普雷很年轻的时候就已经是一个社会工程师了，即使他从没听说过这个术语。

他的朋友们拿到了大学毕业证之后就再也没有笑他了。当其他人艰难地在城市周围寻找工作时（在那里你不会要说“你想要来点油炸食品吗？”），文斯的父亲送他去为一个年迈的巡警工作，这位巡警离开警局之后在旧金山开始了他自己的私人调查事业，他迅速发现了文斯的才能，并为他安排了一个适合的工作。

那是六年以前的事了。现在，坐着监视的无聊时间使他陷入痛苦，他痛恨从不诚实的配偶那里获取证据的部分，但是他感觉去搜集有用信息的任务是对自己的挑战，律师们想要了解一些可怜的穷人是否有足够的钱进行财产诉讼，这些任务给了他许多机会使用他的智慧。

像这一次他浏览了一个名叫乔•马克欧兹（Joe Markowitz）的家伙的银行账户，乔可能暗地里处理了和他以前的一个朋友的交易，现在那位朋友想要知道如果他提出诉讼，马克欧兹有没有足够的家底让他拿回一些他的钱？

文斯的第一步是找出至少一个银行这一天的安全密码，但是两个会更好。这听上去像是几乎不可能的挑战：究竟是什么使得一个银行员工在他自己的安全系统里撞出一条裂缝来？问你自己——如果你想要这样做，你有任何主意去实现它吗？

对于像文斯这样的人来说，这太容易了。

如果你知道他们公司的行话和他们工作的内部术语，他们就会信任你。就像是把你当成了他们的内部成员一样，也像是一次秘密的握手。

我不需要太多这些工作的内部术语，不需要往头脑里灌输那些东西，开始工作只需要一个分行的电话号码。当我打电话到布法罗州比肯街办公室时，回应的人似乎是一个接线员。

“我是提姆•艾克门（Tim Ackerman），”我说（任何名字都可以，他不会把它写下来）， “这里的分行号码是多少？”

他知道这个电话号码或者分行号码，但是相当麻木，因为我只是要打这个电话号码（分行号码），不是吗？

“3182，”他说。就像这样，没有“你想要知道这个干什么？”或者任何问题，只因为它不是敏感信息，它被写在他们使用的每一张纸上。

第二步，打电话给一家银行的分行，我的目标在那里有存款。获取他们中一个人的名字，然后得到安吉拉外出午餐的时间，她12:30离开。到现在为止，非常好。

第三步，在安吉拉的午休时间打电话回同一家银行，说我从波士顿某某分行号码打电话来，安吉拉需要我传真这些信息，告诉我今天的密码。这是精彩的部分，出神入化。如果我要建立一个社会工程师测试，我会放上一些像这样的东西，你的目标起了疑心——为了一个好的理由——你仍然镇定自若直到打败了他，然后获得了你想要的信息。你不能通过背诵剧本里的句子或者学习日常事务做到这些，你要去了解你的目标，捕捉他的心情，像钓鱼一样控制他，放一点点线然后卷起，放线，卷起，直到你把他用网网起来，在船上用长板条拍打他！

我控制了他并且拿到了今天的密码，这是一个重要的步骤。对于大部分的银行，他们只使用一个密码，因此我可以在家里避开它。联邦工业银行使用五个，所以只使用五个中的一个的几率很小，有了五个中的两个，我就可以有更高的可能性完成这小小的戏剧的下一幕。我热爱“我没有说B，我说的是E”这一部分，当它生效时，实在是太漂亮了，并且它在大多数情况下都有效。

拿到三个可能会更好，事实上我想只用一个电话就拿到三个——“B”、“D”、“E”听上去很相似，你可以声称他们再次误解了你的意思，那样的话你肯定是在和一个真正弱小的人谈话。这个人不是，我拿到了两个。

每日密码是我拿到银行签字样卡的王牌。我打电话，然后那个人请求了一个密码，他想要C，我只有B和E，但这不是世界末日。在这一刻你必须保持镇定，听上去自信，保持正确的行为，真正的平滑。我使用一个技巧操纵了他：“有人使用了我的电脑，问我其它的这些。”

我们都是这家公司的职员，我们都在这里工作，让这个家伙方便些——这就是你希望受害人在那一刻心里想的。然后他按照剧本正确地操作了，选择了一个我提供的一个密码，我给出了正确的答案，他发送了签字样卡的传真。

打更多的电话我就可以知道客户使用的自动服务的800号码，差不多都有效，电子语音会把你请求的信息读出来。从签字样卡里我得到了目标所有的账户号码和他的PIN码（个人身份号码），因为那家银行使用社会保险号码前面的五个或者后面的四个阿拉伯数字。有了这些，我打电话给那个800号码，拨通号码几分钟后，我得到了这个家伙四个账户的最后余额，并且额外还知道了他最近的每一笔存款和取款操作。

每一件客户要求的事我都会给他们一些额外的特别的东西，好让他们高兴，毕竟，回头客才能让业务保持下去，对吗？

 

整个故事的关键是得到非常重要的每日密码，攻击者文斯使用了几个不同的技巧。

当路易斯不给他密码证明身份时，他开始用上了一点口头上的威胁。路易斯的怀疑是正确的——密码被设计成可以反向使用。他知道这些事情通常的流程，这个不知名的人将给他一个安全密码。这对文斯来说是决定性的时刻，成败在此一举了。

面对路易斯的怀疑，文斯简单地进行了控制，利用同情心（“去看医生”），压力（“我有一堆事要做，已经4个钟头了”），还有操纵（“告诉她你不肯给我密码”）。文斯很聪明，他事实上没有制造任何威胁，只是含蓄的表达了一个意思：如果你不给我安全密码，我就不会发送你的同事要的客户资料，并且我会告诉她我想要发送但是你不合作。

停，我们不能太草率地责备路易斯。毕竟，电话上的人知道（或者至少看起来知道）自己的同事安吉拉请求了一个传真。打电话的人知道安全密码，并且知道他们使用指定的字母来验证，还说他的分行经理有很严格的安全要求。似乎实在是没有任何理由不按他的要求进行验证。

并非只有路易斯，每一天都有银行职员在社会工程师面前放弃安全密码，难以置信却是真实的。

沙滩上有一根线，私人侦探的技巧介于合法与违法之间。当文斯获得分行的电话号码时他的行为是合法的，当他操纵路易斯告诉他两个每日安全密码时，他也是合法的，当他拿到一位银行客户的保密资料传真时，他越过了这根线。

但是对于文斯和他的老板来说，这是低风险的犯罪。当你偷钱或者商品时，会有人注意到它的发生。当你偷窃信息时，大多数情况下没有人会发觉，因为他们仍然拥有这些信息。

 

安全密码相当于提供了方便可靠的方法来保护数据，但是员工们需要了解社会工程师使用的骗局，并且要培训他们在任何时候都不要放弃使用密码。

 

对于一个隐蔽的私人侦探或者社会工程师而言，当他轻而易举地拿到某个人的驾驶执照号码时，常常有很多机会——例如，你想要冒充另一个人来获得一些关于她的银行余额信息。

除非去偷那个人的皮包或是在恰当的时间透过她的肩膀窥视，找出驾驶执照号码应该是几乎不可能的事情，但是对于任何有适当的社会工程学技术的人而言，这几乎算不上挑战。一个特殊的社会工程师（我这样称呼他）——埃里克•曼特尼（Eric Mantini）想要拿到驾驶执照和常规检查中的车辆登记号码。当埃里克需要那些信息的时候，他认为没必要冒风险去打DMV（机动车辆局）的电话然后反复使用同样的诡计。他想知道是否有什么途径可以简化处理。

也许这之前从没有人想过，但是他发现了一个瞬间就可以获得信息的方法，随时都可以。他利用了一个州机动车辆局提供的服务。许多州机动车辆局（或者你所在州这个部门的不同称呼）给了保险公司（当然还有私人侦探和其它组织）特权获取居民的这些信息，，州立法机关普遍认为把它授权共享有利于商业和社会的发展。

当然，DMV也对共享的数据类型进行限制，保险行业可以从文件里获得几种类型的信息，但是没有其它的。对私人侦探们（PIs）还有不同的限制，等等。

执法官员们通常有一个不同的惯例：DMV为任何宣誓过的治安官（如警察、警官、保安员等）提供档案里的任何信息，只要他能证明自己的身份。在埃里克所在的州，唯一需要的证明是一个DMV随同政府官员的驾驶执照号码一起发行的邀请码。DMV员工在共享信息之前始终验证匹配的官员名字，对照他的驾驶执照号码和其它部分信息——通常是生日。

社会工程师埃里克想要做的是通过一个执法官员的身份完全掩盖自己。他是怎样做到的呢？对警察使用逆向骗局！

 

首先他打电话到电话号码咨询台询问州议会大厦DMV总部的电话号码，他被告知是503555-5000，当然，这个号码可以被普通公众拨打。然后他打电话到一个附近的郡治安局并请求接通电传室——这是与其它执法机构通信的办公室，接收和发送国家犯罪数据库、本地许可证等等。当他联系上电传室时，他说他在找执法时使用的州DMV总部电话号码。

“你是？”电传室的警员问。

“我是奥，我要打到503-555-5753，”他说。这是骗局的一部分，一个无中生有的号码， DMV办公室和执法机构的电话使用同一个专用的区号，并且几乎可以确定后面的三个数字（前缀）也相同，他唯一需要知道的是最后的四个数字。

郡治安局电传室不会接到公众的电话，并且这个打电话的人已经有了这个号码的大多数，显然他是可靠的。

“是503-555-6127。”那位警员说。

那么现在埃里克已经拿到了这个执法官员打给DMV的号码，但是只有这一个号码并不能让他满意，应该还有更多的电话线路，埃里克需要知道那里有多少，并且需要知道每一个电话号码。

 

为了实现他的计划，他需要得到访问电话交换机（处理DMV的执法电话线路）的权限。他打电话到州电讯部门并声称自己来自Nortel——DMS-100（一种被广泛使用的电话交换机）的厂商。他说：“你能帮我转接到一个在DMS-100上工作的技术员吗？”

当他接通技术员时，他说自己是德克萨斯州的Nortel技术服务支持中心的工作人员，并解释说他们创建了一个管理员数据库来更新所有最近软件升级过的交换机。所有的一切都可以远程进行——无需任何交换机技术员参与，但是他们需要交换机的拨入号码，这样他们就可以直接从技术中心执行更新。

听上去完全是似是而非，但技术员还是把电话号码给了埃里克。他现在可以直接打电话到一个州电话交换机了。

为了防范外部入侵者，这种型号的商业交换机有密码保护，就像每一个公司电脑网络那样。任何使用后台电话盗用线路的优秀社会工程师都知道Nortel交换机为软件更新准备了一个默认的账户名：NTAS（Nortel Technical Assistance Support的缩写）。但是密码是什么呢？埃里克拨了几次，每一次都尝试一个常用的密码。输入和账户名相同的密码，NTAS，没有用，既不是“helper”也不是“patch”。

然后他试了一下“update”……登陆成功。典型的，使用一个常用的、容易被猜出的密码只比不用密码好一点点而已。

这有助于加快行动，埃里克或许已经足够了解那个交换机和怎样像技术员一样规划和检修它。他曾经以合法的用户访问过交换机，现在他需要获得目标电话线路的完整控制权。他通过电脑在交换机上查询拿到的那个电话号码，执法人员打到DMV 的555-6127。他发现在同一个部门有19个其它的号码，显然他们要处理大量的来电。

交换机为每一个来电在20条线路中安排“搜寻”，直到找出一个空闲的线路。

他选择了一个排在第18位的线路号码，然后输入密码为那条线路增加呼叫转移。至于转接号码，他输入了他的新的、廉价的、预支付的大哥大，这种大哥大深受经销商的喜爱，因为它们足够便宜，可以在工作完成之后就扔掉。

现在激活了18线的转接，一旦办公室有17个电话占线，下一个来电就不会在DMV办公室响起，而是会转到埃里克的大哥大。他休息了一下并等待着。

 

很快在那天早上8点之前大哥大就响了。这一部分是最好也是最美妙的，在这里埃里克，一个社会工程师，在和一个警察说话，而这个警察可以逮捕他或是拿搜索证指挥一次针对他的搜查。

并且打电话来的警察不是一个，在第一个之后，是一些。有一次，埃里克正坐在餐馆里和朋友们吃午饭，大约每五分钟就会接到一次电话，用一支借来的笔在餐巾纸上写下信息。他还是乐此不疲。

和警察说话丝毫不会打扰一个优秀的社会工程师，事实上，陶醉于欺骗这些执法机构或许增加了埃里克这个节目的乐趣。

按照埃里克的计划，通话的内容就像这样：

“DMV，我可以帮你吗？”

“我是安德鲁•可欧探员。”

“你好，探员，今天我能帮你做些什么？”

“我需要驾驶执照号为005602789的Soundex。”他想要一张照片，这是执法人员熟知的术语——这很有用，比如，当警官们在外逮捕一名疑犯并想要知道他的样子时。

“当然，让我把记录调出来，”埃里克会说，“可欧探员，你属于哪个机构？”

“杰弗森郡。”然后埃里克会问这些热门问题：

“探员，你的邀请码是？你的驾驶执照号码是？你的生日是？”

打电话的人会给出他的私人验证信息。埃里克会用一些借口验证信息，然后告诉他验证信息已确认，并询问他想从DMV查找的详细资料。埃里克会假装开始查找名称（打电话的人能听到键盘的敲击声），然后说一些比如“噢，该死，我的电脑又当机了。对不起，探员，我的电脑这个星期一直出毛病。你能再打回来让另一个办事员帮你吗？”

他结束通话的这种方法很保险，不会带来任何关于为什么他不能向警员提供帮助的猜疑。这时埃里克已经有了一个偷窃的身份——这些详细资料可以让他在任何时候拿到他需要的DMV秘密信息。

在收到几个小时的电话并拿到了许多邀请码之后，埃里克拨入了交换机并取消了呼叫转移。

几个月后，他开始为一些合法的PI（私家侦探）公司工作，他们不想知道他是怎样获得信息的。当他需要时，他会再次拨入交换机并开启呼叫转移，然后收集另一些警员证件。

 

让我们来回顾一下埃里克一连串的欺骗工作。在第一个成功的步骤中，电传室把DMV的密码号码给了一个完全陌生的人，而没有进行任何验证。

然后州电讯局的某个人做了同样的事，把埃里克当成了硬件厂商的工作人员，并且把拨入DMV电话交换服务的电话号码给这个陌生人。

埃里克可以进入交换机很大程度上是因为交换机厂商脆弱的安全习惯,他们的交换机都使用同样的帐户名。社会工程师可以轻易地猜到密码，毫无疑问，交换机技术员会像大多数人一样选择易记的密码。

 有了交换机的访问权限，他把执法人员使用的一条DMV电话线路设置呼叫转移到了他的大哥大上。

 然后，在这个骗局的高潮部分，他操纵了一个又一个的执法官员，不仅得到了他们的邀请码，还得到了他们的私人验证信息，这样埃里克就可以假扮他们。

当然还必须要有足够的技术知识来完成这个绝技，少了这些人们就会知道他们在和一个冒名顶替的人谈话。

这个故事中的另一个现象是为什么人们不问“为什么？”，为什么电传室办事员要把这些信息给一个他不知道的郡代理（或者，也可以说，一个自称是郡代理的人）而不是建议他从他的代理同事或上司那里获得这些信息？我可以提供的唯一答案是人们很少问这个问题。他们没有想到去问？还是他们不想听上去不友好？也许，任何更多的解释都只是无用功，但社会工程师不关心为什么，他们只关心这一事实可以让获取信息变得容易，否则这将成为挑战。

 

如果你的公司有电话交换机，管理它的人在接到硬件商的电话并被请求告知拨入号码时会怎样做？顺便问一下，那个人曾经更改过交换机的默认密码吗？那个密码是不是一个在任何字典里都可以找到的可以轻易猜出的密码？

 

使用恰当的安全密码可以构建了一个有效的保护层，而使用不恰当的安全密码则比不用安全密码更糟糕，因为它带来了并不真正存在的安全幻想。有很好的密码但你的员工是否使用它们？秘密？

有口头安全密码的任何公司都必须清楚地向员工说明什么时候和怎么样使用这个密码。有了适当的培训，这一章第一个故事中的人物就不会依赖于他的本能，在询问一个陌生人安全密码时被轻易突破。他感觉这种情况下不应该询问密码E，但是缺乏一个清晰的安全策略——和优秀的判断能力——他轻易地让步了。

当员工遇到不恰当的安全密码请求时安全程序应该要有应对的步骤。应该培训所有的员工直接报告任何可疑情况和验证信息（例如一个每日密码）请求，当核查请求者身份失败时也应该报告。

至少，员工应该记录呼叫者的名字、电话号码、办公室或部门，然后再挂断。在回电之前他应该检查那个机构是否真的有这个员工，打回的电话号码是否与在线公司目录上的电话号码匹配。大部分时间都可以使用这个简单的策略核实呼叫者的身份。

当公司用一个发行的电话目录代替一个在线版本时，身份核实要更加严谨。人员雇用，人员离开，人员调动，工作位置，工作电话，这些黄页在发行之后的第二天就应该废弃不用，因为社会工程师知道怎样修改它们。如果员工无法从一个独立来源核实电话号码，她应该被指定通过另外一些方式核实，例如联系员工经理。

和在15章中讨论的一样，社会工程师利用心理影响引导目标答应他的请求。熟练的社会工程师非常擅长一个诡计：刺激情感，如畏惧、兴奋或内疚。他们利用心理触发——自动机制，引导人们未经深入分析有用的信息就回应请求。

我们想让自己和他人都避免陷入困境，基于此论断，攻击者可以利用人们的同情心，让他的目标感到内疚，或者像使用武器一样胁迫受害者。

下面是一些研究所的利用情绪的热门策略课程。

 

　　电影制片厂的访客

你有没有注意过一些人是怎样进入有守卫的地方（比如，会议室、私人派对或者图书发布仪式）而不用被询问是否有入场券或通行证？

有许多相同的方法，一个社会工程师能在你没有想过可能性的地方谈论他的方法——就像下面这个电影行业的故事一样。

 

“罗恩·希亚德（Ron Hillyard）办公室，我是多罗茜（Dorothy）。”

“多罗茜，你好，我叫凯尔·贝拉米（Kyle Bellamy）。我刚刚加入Animation公司成为布莱恩·格拉斯曼（Brian Glassman）的职员，你应该对这里不同的事情很了解吧。”

“我想，我从没在其它电影公司工作过，所以我真的不知道，我能帮你做什么？”

“说实话，我觉得自己有点笨，今天下午为稿件会议约了名作家过来，不知道该和谁讨论让他参与哪一部分。布莱恩办公室里的人都非常好,但是我不想再麻烦他们教我这件事我该怎么做，那件事我该怎么做,就像我刚刚从大学出来找不到去洗手间的路。你明白我的意思吗？”

多罗茜笑了。

“你要和Security里的人讨论，拨号7，然后6138。如果你联系上了劳伦（Lauren），告诉她多罗茜说她能够帮助你。”

“谢谢，多罗茜。如果我找不到男洗手间，我会再打电话给你！”

 

他们都为这个想法暗自发笑，然后挂了电话。

 

我热爱电影。当我搬到洛杉矶时，我想我可以和各种各样的电影商业人士见面，他们会邀请我参加聚会并在摄影棚里吃午饭。好，我在这里已经一年了，现在26岁，最靠近的一次是在菲尼克斯和克里夫兰（译者注：均为美国城市）遇到了环球电影公司的一些友好的人。所以最后我开始记录电话号码，如果他们不邀请我，我就邀请我自己。我就是这样做的。

我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏，写下不同电影公司的制片人的名字。我首先确定了一个偶然发现大型制片厂，然后打电话给接线总机请求接通我在报纸上找到名字的这个制片人。接线员的回答很亲切，所以我很幸运，如果是一个只在那里盼望着着被提拔的年轻女孩，她也许不会给我时间。

但是这个多罗茜，她听上去像是在接待一个迷路的小猫，有人同情这个被新工作打击了的新人。并且我肯定很好的触动了她，不是每天你设法欺骗一些人他们就会给你比你请求的更多的东西。出于同情，她不仅给了我一个在Security的人的名字，还说我可以告诉那位女士多罗茜希望她帮助我。

当然我计划过无论如何要利用多罗茜的名字，劳伦都没查找我提供的名字是否真的在员工数据库里就信任了我，这让我的目标更好实现。

当我那个下午开车进入大门时，他们不仅把我的名字放到了访客名单里，还为我准备了一个停车位。我在内部餐厅吃了一顿迟了的午饭，然后在这个地方散步直到一天结束。我甚至偷偷摸摸地到了几个摄影棚，看他们拍电影直到7点才离开。那是我经历的令人激动的一天。

 

每个人都曾是新员工。我们对上班第一天的事情记忆犹新，尤其是当我们没有经验，对工作不熟练的时候。所以当一个新员工求助时，他可以盼望许多人——尤其是登记处的人——可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些，他知道可以利用目标的同情心来办到。

我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划，即使在入口处有守卫并对每一个非员工实行签名程序，任意变化一个在这个故事里使用的诡计，都能让一个入侵者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢？这是个好规定，但是它只在这种假设下才有效——你的员工们真正尽责的拦住任何有或没有访客认证的人并询问他，然后如果对回答不满意你的员工们会联系安全部门。

攻击者谈论进入你的公司危及敏感信息的方法，这对他们来说很容易。当今世界，恐怖分子攻击的威胁笼罩着我们的社会，比陷入危险中的信息多得多。

 

 不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部信息的人都变得危险，即使任何公司的经理对员工的所有个人信息文件和数据库进行限制（当然，大部分公司都会这样做），危险依然存在。

当不对职工们进行教育和培训如何防御社会工程学攻击时，坚决的人，就像接下来的故事里那位被抛弃了的女士一样，所做的事情大多数诚实的人会认为不可能。

 

总之，和琳达(Linda)的事情不是很顺利，当我看到艾瑞(Erin)时，我就确定她是我的唯一。琳达是，像是，有一点……好吧，有些不确切，不稳定，当她烦恼时她会不经过大脑就行事。

我尽量温和地告诉她必须从我家搬出去，并且帮她整理东西，甚至让她拿走了几张属于我的Queensryche CD。等她一走我马上到五金店买了一把新的Medico锁，把它装在了前门并在当天晚上锁好。第二天上午我打了一个电话给电话公司，让他们更改我的电话号码，并对其保密。

我可以自由地追求艾瑞了。

 

我准备离开了，无论如何，那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。所以只有一个问题，我该怎样让他知道他有多么负心？

没花费很多时间就可以断定他有了另一个女孩子，否则不会这样仓促地和我分手。所以我只要稍等一下，然后在晚上很晚的时候开始打电话给他。你知道的，在这段时间他们最不想接电话。

我等到第二个星期才在星期六晚上11点钟打电话给他，可是他更改了他的电话号码，新号码又没有在电话表里列出来，这有些像是SOB的人干的。

这不是个很大的挫折。我开始在一些文件里到处翻寻，那是我辞去电话公司的工作前设法带到家里的。就是它——我保存的一张维修票，道格的电话线路有一次出现故障，这上面列出了他的电话线路。看吧，你可以尽你想要的修改你的电话号码，但你的电话线依然连接在你的房子和电话公司的中继局之间，接通着电话总机办公室(Central Office，或者说CO)。电话线路的设置被这些接通着线路的号码所确认，如果你知道电话公司是怎么样做这些事情的，像我做的那样，找到电话号码只需要获得目标的电话线路设置。

我有一张这个城市所有CO的列表，里面有他们的地址和电话号码，我找到了一个在道格这个负心汉我以前住的地方旁边的CO号码，并且打过去，但是没有人在那里。转接员在你需要他的时候在哪里？实足用了20分钟我才拿出计划，开始打电话给附近的其他CO，最终锁定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按我需要的做，我已经计划好了。

“我是琳达，维修中心，”我说，“我们遇到了紧急情况。一台医疗机构的服务器当机了。我们使用技术手段尝试重新启动服务器，但是找不到问题所在。我们需要你马上开车到韦伯斯特(Webster) 的CO，看我们离开电话总机办公室能否拨通。”

然后我告诉他，“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中心找我。

我知道他不愿意离开舒适的电话总机办公室，穿得厚厚实实的，擦掉挡风玻璃上的积雪，深夜在烂泥地上开车。但这是紧急事件，他没理由说自己很忙。

当我四十分钟后在韦伯斯特的CO里见到他时，我告诉他检查29线2481路，然后他热情地检查了，并说，是的，线路是通的。当然这我早知道了。

所以我说，“好的，我需要你进行LV（line verification线路排查）。”那需要他确认电话号码，他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话表里的号码，或者是这个号码刚刚被修改过。所以他按我要求的做了，并且展示了他的线路工人的测试设置。很好，所有的事情像有魔力一般完成了。

我告诉他，“好的，故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他并告诉他我们要继续工作，然后说，晚安。

 

一旦一个社会工程师了解了目标公司的内部工作流程，使用这些知识与一个正式员工相识将变得很容易。公司需要预防这些社会工程学攻击，来自现在的或以前的别有企图的员工。后台检查可以帮助清除有这些行为倾向的人。但是在大多数案例中，发现这些人是非常困难的。在这些案例中唯一合理的安全措施就是执行和审核身份验证程序，包括员工身份和之前有无透漏公司的任何内部信息给任何人。

 

道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。

好戏开始了。

 

这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划，是因为她拥有内部知识：那些电话号码、程序和电话公司的行话。有了它们她不仅可以找到一个新的、未公布的电话号码，而且可以在冬季的晚上，让一个电话转接员为了她而穿过整个城镇。

 

一个流行的非常有效的胁迫方式——因为它太简单了——依赖于利用权威来影响人们的行为。

仅CEO办公室助手的名字就很有价值，私人侦探，甚至猎头公司都始终在做这些事情。他们打电话给接线员,说他们想要联系CEO的办公室。当秘书或者助理经理回应时，他们就说他们有一个文件或者包裹给CEO，或者如果他们发送一份电子邮件附件，她能把它打印出来吗？或者他们会问，传真号码是多少？顺便问一下，你叫什么名字？

然后他们打电话给下一个人，说，“比格先生办公室的琼尼(Jeannie)要我打电话给你，他说你能帮我。”

这个技巧是打电话时略提权威人士以示相识而提高自己身份，它通常是个惯用的方法，通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系，目标大多对这些人有好感，他们认识他认识的人。

如果攻击者着眼于进攻高度敏感的信息，他可以使用这些方法激起受害人有用的情绪，例如害怕和上司之间陷入麻烦。下面是一个例子。

 

“斯科特·艾布拉姆(Scott Abrams)。”

“斯科特，我是克里斯多佛·道布瑞 (Christopher Dalbridg)，我刚刚和比格雷(Biggley)先生结束通话，他有些不高兴。他说他10天前发了一条短信给你，想要拿你的市场深入调查给我们分析。但我们没有拿到任何东西。

“市场深入调查？没有人和我说过和它有关的任何事情。你是哪个部门的？”

“我们是他请来的顾问团,我们已经落后于预定计划了。”

“听着，我在去开会的路上，告诉我你的电话号码……”

现在攻击者听上去有些失落：“你想让我告诉比格雷先生吗？！听着，他希望明天早上拿到我们的分析，我们不得不整晚都为它工作。现在，你希望我告诉他我们不能完成，因为我们没有没有从你那里拿到报告，或者你想亲自告诉他呢？”

一个生气的CEO可以摧毁你的一个星期，目标可能会决定在去开会之前较好的解决这些事情。再一次，社会工程师按下了正确的按钮获得了他想要的回应。

 

如果一个人在公司里地位相当低，通过提及权威人士工作的胁迫方式很有效，利用重要人物的名字不仅可以消除正常的不愿和怀疑，而且经常让人热情的满足要求。当你认为这个你帮助的人是重要的或有权势的，自然希望自己变得更加有用。

社会工程师知道，虽然，运用这种特殊的欺骗是最好的，利用比目标上司等级更高的人的名字，但是小公司对这种开局很机警：攻击者不想他的目标有和商业副总裁交谈的机会。“我发送了一份产品销售计划给你，那个人跟我说的。”能轻易的引起这样的回答“什么销售计划？什么人？”这将导致公司发现自己被攻击了。

 

胁迫可以引起对惩罚的畏惧心理，使人们合作。胁迫也可以引起人们对困境的畏惧心理或者害怕失去新的提升机会。

人们必须训练当陷入安全危机时，不但是可以接受的而且是合理的去挑战权威。信息安全训练应该包含教育人们如何通过友好用户途径挑战权威，而不会破坏关系。而且，应当落实这些期望。如果一个员工不支持不考虑身份的挑战权威，正常的反应是停止挑战——正好和你想的相反。

 

我们喜欢认为政府机构把我们的信息保护得很严密，只有可信的人才能知道。事实是甚至联邦政府都不像我们想象的那样免疫入侵。

 

地点: 社会保险总署区域办公室

时间:星期四的早晨, 上午10:18

“三号Mod,我是王梅林。”

电话的另一端的声音听上去像是在道歉，几乎有些羞怯。

“王女士，我是艾伦戴尔·亚瑟，审查中心办公室。我能叫你‘梅’吗？”

“是‘梅林’”她说。

“好的，是这样的，梅林，我们这里来了个新人，他至今还没有电脑，马上他要有一个优先的任务，他就用了我的电脑。我们属于美国政府，我们大声的抱怨，但他们说他们的预算里没有足够的钱为这个人买一台电脑。现在我的上司认为我拖欠了工作并不想听到任何借口，你知道吗？”

“我懂你的意思，好的。”

“你能帮我快速查询一下MCS吗？”他请求道，用到了查询纳税人信息的电脑系统的名字。

“当然，你要查什么？”

“首先我需要你对约瑟夫·詹森进行一次阿尔法查询(alphadent)，DOB是7/4/69。”（阿尔法查询的意思是在电脑里按字母顺序查询纳税人的名字，通过生日来确认身份。）

在简短的停顿后，她问道：

“你需要知道什么？”

“他的账户号码是多少？”他说，用到了社会保险号码的内部称呼。她把它读了出来。

“好的，我需要你对那个账户号码进行数据列表(numident)。”打电话的人说。

数据列表是请求她把纳税人的基本数据读出来。梅林回答了纳税人的出生地点、母亲的名字和父亲的名字。当她同样告诉他发行卡的年月和发行它的区域办公室时，打电话的人有耐心的听着。

他下一步请求进行一次DEQY(显然“DECK-wee”是“详细收入查询”的简写。)

DEQY的请求得到了这样的回应，“哪一年的？”

打电话的人回答，“2001年。”

梅林说，“总计190,286美元，户头是詹森微技术公司。”

“还有其它收入吗？”

“没有。”

“谢谢，”他说，“你真是个好人。”

然后他试着和她商量当他需要信息并且不能使用他的电脑的时候能获得帮助，他再次使用了拿手的社会工程学欺骗，尝试和同一个人保持联系，避免每次都要寻找新的目标。

“下个星期不行。”她告诉他，因为她要去肯塔基州参加她妹妹的婚礼，在其它的时间她可以帮他，只要她办得到。

当她挂上电话时，梅林感觉很好，因为她为一个未被赏识的公务员提供了帮助。

 

 

从电影和畅销犯罪小说里可以得出结论，私人侦探缺乏道德规范，渴望知道如何了解人们有趣的事实。他们用很违法的方法实现它，几乎不能消除被逮捕的危险。真相，当然，大部分PI（译者注：private investigator缩写，私人侦探。）的生意运作完全合法。自从他们中许多人开始在他们的工作中声称完全遵守法律，他们完全知道什么是合法的，什么是不合法的，大部分人不会想越过这条线。

这里，仍然，有例外。一些PI——比一些更多——所做的确实和犯罪小说里塑造的那些家伙一样。这些人在交易中充当信息经纪人很出名，将要违反法律的人的教养有限。他们知道如果走捷径就可以更快更好的完成任何任务。这些捷径可能严重触犯了法律，不过似乎不能阻止一个更加肆无忌惮的人，那将使他们在高墙下度过数年的时光。

高消费阶层的PI——这些人在城镇高价出租屋里设计出独特的办公套房——不亲自做这些事情，他们只是雇用一些信息经纪人为他们工作。

我们称呼这个人为基思·卡特，一个不受道德规范限制的私人侦探。

一个典型的案例是:“他藏钱的地方在哪里？”或者有时候是:“她藏钱的地方在哪里？”有时候是一个有钱的女士,想知道她的丈夫把她的钱藏在哪里(虽然为什么一个有钱的女人曾经和一个家伙结婚是一个谜,但这不是基思·卡特现在想知道的,因此没有去找一个很好的答案)。

这个案例里的丈夫名字是乔·詹森，他把钱藏了起来。他“是一个非常聪明的人，他从他妻子家族借了一万美元创建了一家高技术公司，发展成了上亿美元的公司。”按照她的离婚律师所说，他做了一件高难度的事情隐藏了他的资产，这位律师想要一份完成的资产报告。

基思首先确定他的起点是社会保险总署，目标是他们关于詹森的文件，像这样的情形，那里装着非常有用的信息。有了相关信息的帮助，基思可以伪装成目标让银行、经济公司和风险投资公司告诉他任何事情。

他的第一个电话打给了本地区域办公室，使用了任何公共成员都可以使用的同一个的800号码，这个号码列在了本地电话本里。当办事员在线时，基思要求连线产权局的人。等待了一会儿，然后有了声音。现在基思改变了方式,“你好，”他说，“我是格热格瑞·亚当斯(Gregory Adams)，329区域办公室。听着，我在设法联系一个产权调停者操作一个尾数为329的账户号码，我从传真机那里得到的这个号码。”

“那是2号Mod。”这个人说，他查到了号码并告诉了基思。

下一个电话他打给了2号Mod（译者注：上文中说的是三号Mod，不知道为什么）。当梅林响应时，他改换了角色，成了审查中心办公室的一名进行常规审查的工作人员，碰到了问题，他的电脑不得不给别人使用。她把他要找的信息告诉了他，还同意在他将来需要帮助时找她帮忙。

 

是什么使得利用员工的同情心这一方法有效？在这个故事里，别人用了他的电脑然后“我的上司对我不满了”。人们并不经常表达他们的情感，当他们这样做时，可以使人们再一次失去对社会工程学的本能防御。“我遇到了麻烦，你能帮我吗？”的情感策略是赢得这一天用的所有东西。

 

难以置信，社会保险总署把他们全部的程序操作手册提交到了网上，这些信息里有很多对他们有用，但同样也对社会工程师有价值。它包含了缩写、术语和如何请求你想要的东西的指令,就像这个故事里描述的那样。

想要知道社会保险总署的更多内部信息？只要在Google里面搜索或者在你的浏览器里输入下面这个地址：http://policy.ssa.gov/poms.nsf/。除非这个机构已经阅读了这个故事并在你阅读这些以前移除了这个手册，你可以找到在线使用说明，它甚至详细地给出了哪些数据SSA办事员可以提供给执法部门。实际上，那一部门包含了任何可以使SSA办事员相信他来自执法部门的社会工程师。攻击者不能成功的从一个接到审查中心的电话的办事员那里获得这些信息。基思的攻击方式仅仅是使用一些公众难以获得的电话号码，接听的人因此希望任何打这个电话的人应当是内部的一些人员——另一个地下酒吧式安全的例子。帮助这一攻击的基础包含以下几个前提：

知道Mod的电话号码。

知道他们使用的术语——阿尔法查询、数据列表和详细收入查询。

 

假装来自审查中心办公室，那是每一个联邦政府员工都知道的遍布政府的有很大权力的研究机构。这给了攻击者一个权威的光环。

一个有趣的事实是：社会工程师似乎知道怎么样进行请求，因此一个曾经认为那很困难的人，即使当他问“为什么你打电话给我。”时，理论上，如果这个电话来自一些完全不同的其它部门的人，可以建立更多理解。也许他的简单的意图只是帮助这个打电话的人，好让单调的日常工作能停顿一下，受害人不会去想这个电话有多么不寻常。

最后，这个故事里的攻击者，没有满足于这些到手的信息，他还想要和目标建立联系好让他可以有规律的打电话来。他可以使用普通的同情心攻击策略——“我把咖啡撒在键盘上了。”可是，那在这里不适用，因为一个键盘可以在一天里面更换掉。

因此他使用了这个别人用了他的电脑的故事，他可以适当地将扩充这些：“是的，我想他昨天会有一台他自己的电脑，但是一个人进来和另一个家伙进行了一些交易把它给换了。所以这个爱开玩笑的人仍然出现在我的办公室里。”等等。

我很可怜，我需要帮助，像有魔力一般有效。

 

一个攻击者的主要障碍是让他的请求看上去合理，像是受害人的工作日里碰到典型请求一样，那不会让受害人太陌生。像一生中的许多其他事情一样，进行合理的请求有一天是个挑战，但是下一步，它就会变成小菜一碟。

 

日期/时间：星期一，十一月23日，上午7:49

地点：麦斯拜&火炬会计公司(Mauersby & Storch Accounting)，纽约

对于大多数的人而言，会计工作就是数字整理和账目计算，通常认为那些就像在小路上漫步一样惬意。幸运的是，不是每一个人都那样看这份工作。例如，玛丽·哈里斯认为她的工作像高级会计师一样有趣，一部分原因是她是这家公司最专注的会计员工之一。

在这个特殊的星期一，玛丽到得很早，开始了漫长的一天里她的首要工作，并吃惊地发现她的电话响了。她接了电话，报上了她的名字。

“你好，我是彼得·谢帕德(Peter Sheppard)。这里是奥布斯特(Arbuclde)公司，这家公司为你的公司提供技术支持。我们在周末收到了几个这里电脑有问题的人的投诉。我想我可以在早上所有人进来工作之前充当故障检修员。你的电脑有任何问题或者连接网络有任何问题吗？

她告诉他她还不知道。她打开了她的电脑，当电脑启动的时候，他解释了他要做的事情。

“我想在你的电脑上进行一些测试，”他说，“我能在我的屏幕上看见你键入的字，我想确认网络通顺。所以当你录入时，我想要你告诉我那是什么，然后我会检查这里是否是相同的文字或数字。好吗？”

梦魇一般的景象，她的电脑无法工作，失败的一天，不能完成任何工作，她很高兴这个人能帮她。过了一会儿，她告诉他：“我到了登陆屏幕，我要输入我的ID。我现在键入它——M...A...R...Y...D。”

“到现在为止很好，”他说，“我看到了。现在，前进并输入你的密码但不要把它告诉我。不要把你的密码告诉任何人，甚至技术支持部门都不可以。我在这里只会看见星号——你的密码受到了保护所以我无法看到它。”这些都不是真的，但这对玛丽有意义。然后他说：“当你的电脑启动时告诉我。”

当她说它启动了时，他要她打开两个应用程序，然后她报告说他们运行得“很好”。

玛丽看到所有东西都运行正常，放心了。彼得说，“我很高兴可以确定你的电脑工作正常。听着，”他继续道，“我们刚才安装了一个更新程序，允许人们更改他们的密码，你可以给我几分钟时间让我能检查它是否工作正常吗？”

她对他的帮助很感激于是欣然答应了。彼得告诉她运行这个程序的步骤，允许用户修改密码，这是Windows2000操作系统的标准组件。“前进并输入你的密码，”他告诉她，“但是记住不要大声地说出来。”

当她完成这些时，彼得说：“只是为了这个快速测试，当它请求你的新密码时，输入‘test123’，然后在确认栏里再次输入它，点击确定。”

他告诉她从服务器断开的方法。他让她等待几分钟，然后再连接，这次试着用她的新密码登陆。它像有魔力一样工作着，彼得似乎很高兴，然后告诉她用初始密码改回去或者选择一个新的密码——再一次提醒她不要把密码大声地说出来。

“好了，玛丽，”彼得告诉她，“我们找不到任何错误，那很好。听着，如果有了任何问题，只要打电话到奥布斯特公司我们这里，我通常有特殊任务，但是这里的任何人都可以帮助你。”她感谢了他然后他们互相说了再见。

 

彼得这个名字传播得很广——在他的学校里许多和他一起去学校的人听说他可以进行一些电脑风啸获得其他人不能获得的有用信息。当艾丽丝·康拉德找到他并寻求帮助时，他首先说的是不。为什么他要帮忙？当他第一次遇见她并试着和她约会时，她的拒绝让他倍受打击。

但是他拒绝帮忙似乎并没有让她吃惊。她说她认为一些事情他无论如何也办不到。那可能是个挑战，因为他当然确定他能办得到，那是他同意的理由。

艾丽丝拿出了一份关于一家交易公司的一些顾问工作的合同，但是这份合同的条款似乎不是很好。在她回去请求获得更好的待遇以前，她想要知道其他顾问他们的合同条款都有些什么。

下面是彼得讲述这个故事。

当我知道它很容易时，我不想告诉艾丽丝任何事情除了我可以做到人们认为我做不到的事情。好的，不容易，准确点，这次不容易，要做一系列的事情，但是还好。

我要给她展示这真实的一切，多潇洒。

星期一早上7：30之后一点点，我打电话给交易公司办公室并联系上了接待员，说我是这家公司处理他们退休金计划的人，想要和会计公司的人谈话。她有没有注意到会计公司的人还没有上班？她说：“我想我几分钟之前见到过玛丽，我帮你联系她。”

当玛丽拿起电话时，我告诉她关于电脑故障的一些故事，那让她有些神经过敏，所以她很高兴的合作了。当我告诉她怎样修改她的密码时，我用同样的临时密码（我要她使用的：test123）快速登陆了系统。

进入并掌握了这里——我安装了一个小型程序允许我无论何时只要我想要就能访问这家公司的电脑系统，使用了一个我自己的秘密的密码。当我挂断玛丽的电话时，我的第一个步骤是清除登陆纪录，这样就没有人知道我曾经登陆过他（或她）的系统。这很容易。在我提升了我的系统权限之后，我下载了一个叫做clearlogs的免费的程序，我是在一个安全类的网站www.ntsecurity.nu找到它的。

到真正的工作时间了。我在所有文件里查找文件名带有“contract（译者注：合同）”关键字的文件，然后把它下载下来。我还在根目录里找到了更多——这些目录里包含了所有的顾问工资报告。所以我整理了所有的合同文件和一张工资清单。

艾丽丝可以细读这些合同看他们支付多少钱给其他顾问。让她辛苦地细读所有这些文件吧，我做到了她要我做的。

从我存放这些数据的磁盘里，我打印了一些文件当作证据给她看。我要她和我约会并请我吃午饭，当她翻阅这一堆纸时你可以看见她的表情。“没门，”她说，“决不。”

我没有拿出这些磁盘，它们是诱饵。我说过她不得不过来拿，希望也许她会对我的帮助表示感谢。

 

那很令人惊讶，基于那些精心构造的请求社会工程师可以轻易地让人们帮他做事。前提是引起基于心理作用的自动回应，依赖于当他们觉得这个打电话的人是盟友时人们心理的捷径。

 

彼得打给交易公司的电话表现的是社会工程学攻击的最基本的形式——一个简单的尝试只需要一点点准备，首次尝试的工作，只用几分钟就能完成。

甚至更好，玛丽，这个受害人，没有认为那是一些对她的欺骗或诡计，没有提交报告或引起骚动。

彼得的计划使用了三种社会工程学策略。首先他让玛丽因为害怕而合作——让她认为她的电脑不能用了。然后他花时间让她打开了两个应用程序，这样她确定了她的电脑工作正常，让他们之间的好感增加了，感觉有了同盟一样。最终，他按照计划的一部分利用她的感激（他帮助她确认了她的电脑工作正常）让她进一步地合作。

通过告诉她在任何时候都不能说出她的密码，甚至不能告诉他，彼得彻底地完成了这一微妙的工作，让她觉得他是在关心她的公司文件的安全。这促进了她的信心，他肯定是合法的因为他在保护她和她的公司。

 

描绘一下这样的情景：政府为一个叫做阿图若·森彻(Arturo Sanchez)的人设置了陷阱，他在互联网上免费发布电影。好莱坞制片厂说他侵犯了他们的版权，他说他只是推动他们承认一个不可以避免的交易方式，所以他们开始做些事情让新电影可以免费下载。他指出（正确地）这是电影公司完全忽视的巨大的收入来源。

 

一天晚上回家迟了，他穿过街道查看了一下他家的窗户并注意到灯灭了，即使他出去时也总是会留下一盏灯。

他用力敲着邻居家的门直到他把这个人叫醒了，然后了解到确实有警察搜索了这座建筑。但是他们让邻居们待在楼下，所以他不能确定他们进入了哪个房间，他只知道他们离开时带走了一些很重的东西，可是他们把它掩盖了起来，他也说不出那些是什么，他们没有逮捕任何人。

阿图若检查了他的房间，坏消息是警察留下了一张纸条要求他马上打电话在三天之内确定一次会面，更坏的消息是他的电脑不见了。

阿图若这天晚上消失了，他和一个朋友待在一起。但是一些不确定的东西困扰着他，警察知道了多少？他们最后会不会逮捕他，不给他任何逃走的机会？或者也不完全是这样，他可以解决这些事情而不用离开这里？

在你继续阅读之前，停下来思考几分钟：你能想象出任何途径去找出警察知道你的哪些事情吗？傲慢的你没有任何政治上的联系或有朋友在警察局或司法办公室，你可以想象任何途径，像一个普通公民一样，去获得这些信息吗？或者那只有一些有社会工程学技巧的人才能做到？

 

阿图若对他需要知道的感到满意，像这些：开始是，他拿到附近复印店的电话号码，打电话给他们请求使用他们的传真号码。然后他打电话给检察官办公室，找档案室。当他联系上档案办公室时，他介绍他自己是莱克镇的警官，说他需要和归档现行搜查证的办事员谈话。

“可以。”那位女士说。

“噢，好极了，”他回答，“因为我们昨晚搜捕了一个嫌疑犯，我想要了解宣誓书的位置。”

“我们用他们的地址归档。”她告诉他。

他说出了他的地址，她的声音几乎有些激动。“噢，是的，”她吐着泡沫，“我知道这个，‘版权侵犯’。”

“就是这个，”他说，“我在寻找宣誓书和许可证的副本。”

“哦，我这里正好有。”

“好极了，”他说，“听着，我现在在外面，有一个关于这件案子的秘密服务的十五分钟会议。我最近有点恍惚，把文件留在了家里，这里没有那些文件并且来不及回去拿了。我可以从你那里拿到副件吗？”

“当然，没问题。我把它复制一份，你可以到这里来拿它们。”

“好极了，”他说，“那真好。但是听着，我在镇子的另一边，你可以把它们传真给我吗？”

有了一个小麻烦，但是可以克服。“我们档案室没有传真机，”她说，“但是楼下的职员办公室有，他们可以让我用。”

他说：“我打电话到职员办公室问问看。”

职员办公室的女士说她乐意帮忙但是想要知道“谁来付钱？”，她需要知道账户代码。

“我拿到代码后再打电话给你。”他告诉她。

 然后他打电话给DA办公室，再一次伪装成警官简单地询问了一下接线员，“DA办公室的账户代码是多少？”

没有丝毫犹豫，她告诉了他。

他打电话回职员办公室，提供了账户代码，原谅他进一步利用了这位女士：他要她上楼去拿那些副件来传真。

 

使用那些对他的攻击有用的东西例如电话和电脑，一个社会工程师怎样知道那么多操作的详细资料，来自警察部门、司法办公室、电话公司和特殊的公司机构？因为把它找出来就是他的生意，这些知识是一个社会工程师在交易中的库存，因为信息可以在他的行骗中帮助他。

 

阿图若还有其它组合的步骤去拿传真。总是有可能被人察觉到一些异样，他可能会在复印店发现几个侦探，他们随意地说着话，看上去很忙碌直到有人露面拿那个特殊的传真。他等待了一会儿，然后打电话回职员办公室确认那位女士已经发送了传真。到目前为止一切都很好。

他打电话给镇子对面的另一家连锁复印店，略施小计，“我对你的工作处理很满意，想写一封信给经理表示祝贺，她的名字是？” 有了这一基本信息，他又打电话给第一个复印店说他想和经理说话。当那个人拿起电话时，阿图若说：“你好，我是哈特菲尔德628店的爱德华(Edward)。我的经理安娜(Anna)要我打电话给你。我们有一个心烦意乱的顾客——有人把错误的复印店传真号码给了他，他在这里等一个重要的传真，可是他拿到的这个号码是你们复印店的。”这位经理答应马上叫一个人把这份传真发到哈特菲尔德的复印店。

当传真到了第二家复印店时阿图若早已经等在那里，他一把它拿到手，就打电话回职员办公室对那位女士表示感谢，还有“没必要把那些副件送回楼上了，你现在就可以把它们扔了。”然后他打电话给第一家复印店的经理，也告诉他把那些传真副件扔了。这样这里发生的事情就不会有任何纪录，只是有个人稍后回来问了些问题。社会工程师知道你决不会很细心的。

计划的这些方法，阿图若不需要支付第一家复印店收这些传真再把它发给第二家复印店的钱，并且如果露馅了警察先会找到第一家复印店，当他们安排去第二家复印店抓人时阿图若早已经拿到了他的传真。

故事的最后：宣誓书和许可证上显示警察已经有了阿图若盗版电影行为的充分证据。这就是他想要知道的。当天晚上，他穿过了州界线。阿图若开始了新的生活，在别的地方有了新的身份，准备再次开始他的活动。

 

在任何检查官办公室工作的人，无论在哪里，总是免不了和执法部门的工作人员联系——回答问题、做好安排、获得讯息。任何足够勇敢的人都可以打电话声称自己是一名警官、代理州长或者任何由他的语言来决定的角色。除非他很明显不了解术语，或者他有些神经紧张结结巴巴地结束他的话，或者用一些听上去不可信的方法，他可能甚至不会被问一个问题确定他的身份。那确实发生在这里，和两个不同的工作人员。

 

问题的实质是没有人会对一个优秀社会工程师的欺骗免疫。因为普通生活的节奏，我们并不经常有时间深思熟虑再作出判断，甚至事实上那对我们很重要。复杂的情形，缺乏的时间，情绪的波动，或者精神的疲劳，都可以轻易地使我们分心。所以我们使用了心理捷径，没有经过谨慎和全面的分析就作出判断，一个知名的心理作用，像自动应答一样。联邦、州、本地执法部门办公室这些都是真的。我们是所有人。

 

通过一个简单的电话就可以获得一个必需的支付代码，然后阿图若用一个故事打出了同情牌，“有一个关于这件案子的秘密服务的十五分钟会议，我有点心不在焉，把文件忘在了家里。”她自然对他这件事感到遗憾，然后偏离了她的职责去帮忙。

然后通过利用不是一个而是两个复印店，阿图若去拿那份传真时他让自己非常安全。进行传真时这里的一个变化让追踪足迹更加困难：代替把这些文件发给另一家复印店，攻击者可以给一个公开的传真号码，通过一个真实的地址在因特网上的免费服务将你收到的传真自动转发到你的邮箱地址里，他不会在任何地方露脸，没有人会认出他，邮箱地址和电子传真号码在完成任务后就可以扔了。

 

一个我叫他迈克尔·帕克(Michael Parker)的年轻人，他是较晚完成better-paying论文的人之一，那通常是和大学学位挂钩的。他有一个机会参加一个本地大学的部分奖学金加教育贷款活动，但是那意味着要在晚上和周末工作才能支付他的租金、食物、汽油和汽车保险。迈克尔总是喜欢去找捷径，认为也许有另外的方法，一个只需要少量的努力就可以不用付钱的更快的方法。因为他从十岁第一次玩电脑时就开始学习计算机了，他着迷于发现它们是怎样工作的，他确信能更快看见自己的计算机科学学士学位，如果他可以“制造”它的话。

 

他可以入侵州立大学的计算机系统，找到成绩为B+优秀或平均为A-毕业的人的档案，复制，然后加入他自己的名字，把它添加到当年毕业班的档案里。通过思考这些，不知道怎么了他有些担心这个主意，然后他认识到肯定还有其它的在校生档案——学费支付档案，住房分配办公室，还有那些知道别的什么的人。仅仅建立课程和评分的档案会留下太多漏洞。

经过深入思考，他觉得这个方案只有在达到了他的目标时才能实现，学校里要有一个和他名字相同的毕业生，在任何适当范围的时间里获得过一个计算机科学学位。如果那样的话，他就可以在员工申请书里填写另一个迈克尔·帕克的社会保险号码，任何去大学核实姓名和社会保险号的公司都会被告知，是的，他有学位。（对大部分人而言不明显但是对他而言是显而易见的，他把一个社会保险号放在了工作申请里，然后如果被雇用了，就把他自己真实的号码填入新员工表格中。大部分公司都不会想去检查一个新员工在聘用时是否使用了一个不同的号码。）

 

怎样在大学档案里找到一个迈克尔·帕克？他是这样着手的：

进入大学校园的主图书馆，他坐在一台电脑终端前，连入网络并访问大学的网站。然后他打电话给注册员办公室，当有人回应时，他运用了一个社会工程师耳熟能详的方法：“我从电脑中心打电话来，我们正在更改一些网络配置，我们想要确定我们没有使你的访问中断。你连接的哪个服务器？”

“服务器？什么意思？”他问。

“当你查询学生档案信息时连接的哪一台电脑。”

回答是：admin.rnu.edu，储存学生档案的电脑名称。这是难题的一小部分：他现在知道了他的目标机器。

 

哑终端：一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。

 

他在电脑里输入了那个网址但是没有获得响应——和预期的一样，有防火墙阻止了访问。因此他运行了一个程序看看能不能连接上那台电脑的任何服务，然后发现了一个打开的端口运行着Telnet服务（允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它）。获取访问权限所必需的是一个标准用户ID和密码。

他打了另一个电话给注册员办公室，这一次他仔细地倾听并确定在和另一个人说话。他遇到了一位女士，然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统，仍处于测试阶段，想了解她是否可以正确访问学生档案。他给了她一个连接的IP地址并且告诉她怎样操作。

事实上，这个IP地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步骤，他创建了一个登陆蜜罐——一个登陆界面的圈套——看上去就像是当她登录学生档案系统时通常看到的一样。“它没工作，”她告诉他，“它持续说‘登陆不正确’。”

现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她：“哦，这台机器里的一些账户仍然不能用，让我配置一下你的用户，然后再打电话给你。”小心的绑好未扣牢的一端，就像所有社会工程师精通的那样，他强调稍后再打电话，说测试系统还没有工作正常，如果她能使用它了，他们会打电话给她或者这里的其他人，当他们解决了问题时。

 

现在迈克尔知道了他要访问哪一个电脑系统，还有用户ID和密码。但是当他有了正确的名字和毕业时间时如何在文件里搜索这些信息？学生数据库是私有的，在学校建立它是为了对付大学特殊的需求和注册员办公室，并且有唯一的途径在数据库中访问信息。

首先清除这些最后的障碍：找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注册员办公室，这一次成了另一个不同的人。他来自迪安工程办公室，他告诉那位女士，然后他问道：“当访问学生档案出现问题时，我们猜想有人打来了电话请求帮助。”

几分钟以后他打电话给大学数据库管理员，上演了值得同情的一幕：“我是注册员办公室的马克·塞乐。你能同情一下一个新人吗？很抱歉打电话给你但是这个下午他们都在开会，没有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表，从1990年到2000年的。他们今天就需要它，如果我没有它的话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧？”帮助人们是这个数据库管理员要做的事的一部分，所以他特别耐心地告诉迈克尔一步一步的操作过程。

当他们挂断电话时，迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟，查找到了两个迈克尔·帕克，在他们中选择了一个，获得了这个人的社会保险号码和其它在数据库里的相关信息。

他就成了“迈克尔·帕克，B.S（译者注：Bachelor of Science 理科学士），计算机科学，光荣毕业，1998”。在这里，“B.S”是唯一恰当的。

 

这次攻击使用了一个我之前没有谈到过的策略：攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格相当于请求商店的所有者帮你搬运包含了消息的盒子，你只需要从他的架子上偷来放到你的车里就可以了。

 

当电脑用户遇到社会工程学相关的威胁和攻击时，他们显得有些无能为力，那些技术存在于我们的世界中。他们有权使用信息，但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标，所以目标通常会答应陌生人的请求。

 

同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制，这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢？

这一章的一些故事强调了发送一份文件给你不认识的人有多么危险，即使当这个人是（或者表面上是）一名员工，这份文件是被发送到一个公司的电子邮件地址或传真机上。

需要制定非常详细的公司安全方针保护贵重的数据不被发送给任何不是亲自认识的人。需要制定严格的程序来传送有敏感信息的文件。当请求来自不是亲自认识的人时，必须有清晰的查证，要有依赖于敏感信息的不同的等级证明。

这里有一些可以考虑的方法：

建立知道需求（要求获得指定信息所有者的授权）。

保持一个处理这些事情的个人或者部门日志。

维持一张人员表，那些临时传送的程序和可信的被批准发送敏感信息的人。要求只有这些人被允许发送信息给任何工作组外部的人。

如果数据请求需要写入（电子邮件，传真，邮件），则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。

 

所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员——需要了解一些简单的操作如修改你的密码，即使是一小会儿都能导致一个主安全漏洞。

安全训练需要包含密码主题，关注什么时候和怎么样改变你的密码，什么是合法的密码，和将任何其他人卷入程序的危险性。训练尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们的密码的请求。

表面上看起来这是一条简单的传给员工们的信息，但不是，因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”，但是在这个小孩明白为什么那是重要的以前，你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。

 

密码是社会工程学攻击关注的中心，那是我们致力于第16章的单独的部分，那里你可以找到详细的管理密码的推荐方针。

 

你的安全方针应该指定一个人或组为报告可疑行为（企图渗透你的机构）的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的，报告这些的电话号码应该始终放置在眼前，这样当员工们怀疑发生了攻击时就不需要去发掘它。

 

员工们需要了解电脑服务器或者网络的名称不是无价值的信息，它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。

特别的，像是数据库管理员之类的使用软件工作的人属于专业技术类别，他们需要在特殊的和非常限制性的规则下操作，验证打电话给他们请求信息的人的身份。

经常提供各种电脑帮助的人需要很好的被训练识别哪些请求属于红色标记，暗示打电话的人可能试图进行社会工程学攻击。

这是有价值的笔记，可是来自这一章最后故事里的数据库管理员的观点，打电话的人是符合标准的：他是在校内打来的电话，并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证（对任何请求信息的人）程序的重要性，尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。

所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了，也不要惊讶于学生档案——有时候是全体教员档案，同样的——是一个诱人的目标。这一陋习如此的泛滥，一些公司甚至考虑把大学加入敌对的外界环境，创建防火墙规则阻止以.edu结尾的教育机构地址访问。

我已经说清楚了，所有学生和职员的任何类型的档案都会是攻击的主要目标，应该得到很好的保护就像敏感信息一样。

 

大部分社会工程学攻击都可笑地能轻易的被任何知道自己看守的是什么的人防范。

从公司的观点出发，有一些优秀培训的基本原则，但是同样需要另一些东西：多种途径提醒人们他们在学习什么。

使用屏幕溅射（splash screen，也叫程序启动画面的制作），当用户电脑启动时每天出现一个不同的安全消息。这条消息可以被设计为不能自动消失，要求用户点击这些消息确认他或她已经读过它了。

另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要，一个提示程序必须正在运行并且不能结束。在陈述的内容里，不应该在每一种情况里使用同样的措词。当他们变化措词或者使用不同的例子时，学习显示的这些消息更为有效。

一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏，虽然一个安全专栏的确有价值。代替的，设计一个两或三栏宽的插入块，有些像是你们本地报纸的小型陈列广告。在每一次的时事通讯出版时，通过这个简短的抓取注意力的途径呈现一个新的安全提示。

第七章　假冒网站和危险附件

　　虽然有句老话说“不劳而获是不可能的”，但把免费当做幌子进行促销仍是许多商家愿意使用的方法，无所谓合理（“等一下，还有……，现在打电话，我们将免费奉送一套餐刀和一个长柄锅！”）或不太合理（“佛罗里达湿地，买一亩送一亩！”），而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心，出门不换”的警言，但在这里需要注意的是一另句话：“小心具有诱惑力的电子邮件附件和免费软件。”精明的攻击者会想方设法进入企业的网络，比如利用免费礼物对人们的吸引力。下面是几个例子：

 

就像病毒从一开始就给人类带来祸害，给医生带来麻烦一样，计算机病毒给其使用者带来同样的苦难。如今，计算机病毒以其巨大的破坏力受到很多人的关注，它们是由计算机破坏者制造出来的。计算机痴迷者逐渐存心不良，计算机破坏者在卖力的炫耀他们是多么的聪明过人。有时他们的行为像是入门仪式，为了给具有老资格和经验丰富的黑客前辈留下印象，他们攒着劲的制造出会带来危害的蠕虫或病毒。一旦这些“成果”破坏了文件，毁掉整个硬盘，并把自身发给成千上万的毫无防备的人，破坏者便会因此而沾沾自喜。如果这些病毒带来的危害足以成为报纸的新闻和网络上的病毒警告，他们便更加得意洋洋了。

　　有很多文章来描写这些破坏者和他们制造的病毒，还有防病毒的软件程序和专门的安全企业，但我们在这里并不想过多的讨论如何在技术上防范他们的攻击，以及他们的破坏行为，我们的话题将更多的关注他们的远亲――社会工程师。

　　来自电子邮件

　　你也许每天都能接到不请自来的邮件，有广告还有提供免费品之类的邮件，这些东西你既不需要也不想要。你知道那无非是些投资建议、电器、维生素或旅游打折之类的东西，还有你并不需要的信用卡、可以免费观看收费电视频道的设备、增进健康或改进性生活的方法，等等等等。

　　但每当这样的邮件从你的电子邮箱弹出来的时候都会引起你的注目，也许是一个免费游戏、一副你喜欢的名星的照片、一个免费日历软件或是用来保护你的计算机免受病毒侵害的便宜的共享软件。无论是什么，它都会引导你去下载你想去尝试的文件。

　　所有的这些行为，包括下载从广告邮件中得知的软件、点击一个你从未听说过的网站链接、打开陌生人发过来的附件，都可能会惹来麻烦。当然，很多时候你得到的也正是你想要的，或者运气很差，令你失望和生气，但至少无害。可有些时候，你会碰到计算机破坏者制造的程序。发送恶意代码到你的计算机上只是攻击的一小步，攻击者会诱导你下载完成攻击所需的附件。

 

注：　
　　有一种在计算机上悄悄运行的程序叫RAT（Remote Access Trojan）――远程访问控制木马，它给予攻击者充分访问你的计算机的权限，如同坐在你的键盘前。最具有破坏力的恶意代码病毒，像爱虫（Love Letter）、SirCam和Kournikiva等等，都依赖于社会工程师欺骗的艺术，并利用人们不劳而获的心理传播。它时常作为一个具有引诱力的邮件附件而出现，像机密信息、免费色情资料，或者一个更加诡诈的方法――一条你可能定购了某昂贵物品的信息。最后这种方法，利用你害怕信用卡可能被消费的心理，令你打开这些危险的附件。

　　令人震惊的是，有太多的人因此而上当，即使在一次又一次的被告知打开附件的危险性之后。随着时间的过去，逐渐削弱的危险意识，让我们每一个人都易受攻击。

　　识别恶意软件
　　另一种恶意软件在你不知道或未认可的情况下进入你的计算机运行，这种软件伪装的很好，甚至有时它会表现为一个word文档或是powerPoint文件，或含有宏命令，它将悄悄的安装一个未经许可的程序。比如，它可能是一个在第六章谈到过的木马。一旦这个软件安装到你的计算机上，它能够将你每一次敲击键盘的情况反馈给攻击者，包括你的口令和信用卡号。

　　还有两种恶意软件，听起来些难以置信。一种可以把你说的每一句话都传送给攻击者，即使你认为你的麦克风是关着的。另一种更加恶劣，如果你的计算机配有摄像头，攻击者可以利用它捕获在你计算机前发生的任何画面，即便你认为你的摄像头是关着的，无论白天或黑夜。

　　专业术语
　　恶意软件：一种危害性的程序，例如病毒、蠕虫，或是木马。

　　米特尼克信箱
　　小心那些提供礼物的伪装者，否则你的公司很可能会遭受与特洛伊城相同的命运。一旦发现可疑迹象，一定要采取保护措施。有些喜欢恶作剧的黑客可能会在你的计算机上运行一些骚扰程序，如弹开你的光驱、最小化你的当前窗口，或者用最大的音量在半夜播放一声尖叫。虽然这样的伎俩没有什么意思，尤其当你完成工作或准备睡觉时，但至少这些恶作剧不会带来真正的损失。

　　朋友的消息
　　也许情况会变得更糟，尽管你已经处处小心。想像一下：你已经决定不再冒险，不再从你不知道和信任的站点下载文件，除了那些可靠的站点，如安全焦点(SecurityFocus.com)和亚马逊(Amazon)。你不再点击不知其来源的邮件链接，不再打开陌生的邮件附件，并检查你浏览器的安全标志，以确定你访问的电子商务或交换秘密信息的站点的安全性。
　　这样，有一天，你收到一封朋友或商业合作伙伴的带着附件的邮件。这封来自熟人的信不会有危险吧？即使有危险，你也知道该找谁承担。于是，你打开了附件……轰！你又中了蠕虫或是木马。为什么你的熟人会这样做呢？事情并不象表面上那样。事实是，进入到某人计算机上的蠕虫会根据所进入计算机上的地址薄，自动的把自身发给地址薄中的每一个人。这样，每一个中了此蠕虫的计算机都会传给其地址薄上的所有熟人，蠕虫就这样不断地繁殖，如同在水塘中掷下一块石头而产生的波纹。
　　这种手段之所以有效在于它结合了两个方法：一是在没有戒心的受害者中传播，二是以熟人的面目出现。

　　米特尼克信箱
　　人类发明了许多奇妙的方法，以改变世界和我们的生活方式。但每一种带来的进步的科技，无论是计算机、电话还是互联网，总会有人利用它做坏事，以满足自己的私欲。目前的科学技术处于这样一种状态，你在收到熟人的邮件之后仍然要确定它是否安全，是否可以打开，这真是一件令人悲哀的事。

 

在这个互联网时代，有一种骗局可以诱使你进入一个你并不想去的站点，这经常发生，并且有很多种方法。这个典型例子基于一个发生在互联网上的真实故事。

　　圣诞快乐

　　埃德加（Edgar）是一个已退休的保险销售商，一天他收到一封来自贝宝（PayPal，提供方便快捷的在线支付公司）的邮件。这种服务对于一个在某地或是某个国家从不熟悉的商家购物时，尤其方便。贝宝会直接把从买家的信息卡中把钱转到卖家的账户。埃德加是一个古董瓶的收藏者，通过在线拍卖公司eBay做过许多网上交易。他经常使用贝宝，有时一个星期就用数次。于是，埃德加对这封2001年圣诞节期间，像是来自贝宝公司的邮件很感兴趣，这封邮件是一封升级他的贝宝账户的奖励邮件。信中写道：

　　节日问候！贝宝高级用户：

　　新年将至，贝宝将往您的账户上划入5美元，你只需在2002年1月1日前，到贝宝安全站点确认这5美元是做为升级你的账户信息所用即可。新年新气象，升级您的账户，以延续您在贝宝的记录，同时方便我们以优质的服务继续为您提供有价值的客户服务。立即升级账户并马上接收5美元，请点击：http://www. Paypa1 -secure. com/cgi bin　谢谢您使用贝宝和对我们的支持！圣诞快乐，新年愉快！

　　贝宝

　　电子商务网站

　　你也许知道，人们不大愿意在网上购物，即便是亚马逊、eBay，或象老海军（Old Navy）、塔吉特(Target)、耐克这样的这样名牌公司和网站。从某方面来看，他们的戒心无可非议。如果你的浏览器使用现在的128位加密标准，那么你从计算机上发往任意一个安全站点的信息都是经过加密的。这些数据经过大量的努力理论上可以被解密，但更可能的是在正常的时间内无法解密，除非是国家安全部（但谁也没听说过，国家安全部对盗窃美国公民的信息卡号以及谁定购了色情录像或情趣内衣感兴趣）。
　　这些加密信息实际上可以被任何有时间有才智的人所破解。但是，许多电子商务公司把他们的客户信息未经加密的存储在数据库中，在这种情况下，再去耗费巨大的精力去破解一个信用卡号会是多么的愚蠢。更糟糕的是，有许多使用特定SQL数据库软件的电子商务公司都会犯这样的错误：他们从未改变过数据库系统管理员的默认口令。他们安装数据库时，系统口令默认是空口令，于是它就一直空着。所以，这个数据库里面的内容，对于互联网上任何尝试连接这个数据库服务器的人都是唾手可得的。
　　这些站点始终都处在被攻击并且信息会被窃取的危险下，而无需复杂的手段。另一方面，那些不愿在网上购物的人担心他们的信用卡信息被盗。但他们却不在意去真实的商店购物，吃午饭、晚饭，甚至去偏僻街道的小酒馆等一样可以用信用卡付费的地方，即便这些地方总是有人偷取信用卡的收据，有时收据还会从垃圾箱中被人找出。还有一些道德败坏的店员服务生会偷偷记下你的名字和卡号，或使用很容易就在网上买到的盗卡装置，来存储在它上面刷过的信用卡数据，以备日后使用。

　　在线购物有些冒险，但也可能和在真实的商店购物一样安全。当你在网上使用信用卡时，信用卡公司为你提供相同的保护。如果发生欺诈性收费，你的账户只会损失头一笔交易的50美元。因此我认为，对网上购物的恐惧只是另一种错误的担心。

　　埃德加没有注意到邮件中的几个不对劲的地方，如抬头的分号，混乱的用词（我们以优质的服务继续为您提供有价值的客户服务）。他点击了链接，输入姓名、地址、电话号码和信用卡等信息，然后静静地等待5美元的到来。但他等来的只会是一堆他从未购买过的商品账单。

　　过程分析
　　埃德加被互联网上司空见惯的骗局所欺骗，这种骗局有多种形式，其中一种（详见第九章）有着与真正网站一样的界面，看起来真实可信。不同之处在于冒充的页面不会到达用户真正想访问的系统，而是会把他的用户名和口令发给黑客。埃德加被骗了，对方注册了一个域名为paypal-secure.com的网站，看上去如同贝宝的一个安全页面。当他在这个页面输入个人信息时，黑客们便得逞了。

　　米特尼克信箱
　　当没有安全保证时，无论什么时候访问一个需要输入个人信息的网站时，一定要确认当前链接是可信和加密的。更需注意的是，不要顺其自然地点击对话框中的“yes”，尤其是有安全提示的对话框，比如无效、过期或废除的数字证书的提示。

 

变奏之变奏

　　究竟有多少多种方法可以骗取人们在假冒的网站输入他们的机密信息？我不认为大家对此有一个统一的答案，但无疑是越来越多。

　　不明链接
　　一种常见的手法：发送一封具有诱惑力的邮件，提供一个链接。它并不会带你到想去的站点，它只是看起来像那个的站点的链接。另一个已经在互联网上应用的例子是，用paypa1模仿paypal。
　　乍一看来，像是贝宝的域名。即便受害人注意到这一点，他也可能会以为只是一个文本上的小错误，把1当成l了。而谁又会立刻注意到那是一个数字1而不是小写的L呢？就这样，有很多的人失去了信用卡上的钱，而这个诈骗手段得以继续。假冒网站做的跟真得一样，当人们访问时，便轻率地输入他们的信用卡上的信息。建立这样一种行骗的机制，攻击者只需注册一个用来冒充的域名，发出电子邮件，然后等待那些傻鸟们上钩。
　　2002年，我收到一封标着来自Ebay@ebay.com的邮件，很明显这是一个群发性质的邮件。见图8.1，（译者注：我的电子书中看不到这张图。）这样的链接应该注意。
-------------------
亲爱的eBay用户，很明显您的eBay账户被第三方所影响并违犯了我们下面的用户协定条款：
　　4.招投标
　　用户如果通过固定价格或成为最高价竞买人，并经销售方同意，则有义务与销售方一起完成此项交易，否则此项交易会被本协定或法律终止。

　　您之所以收到此通知是因为您当前账户服务的中断引起了我们的注意，eBay方面需要立刻验证你的账户，请验证您的账户以免账户被封。点击此处验证你的账户――http://error ebay.tripod.com　商标设计和标志为各自拥有者所有，eBay以及eBay图标为eBay有限公司的注册商标。
-----------------

　　点击这个链接的人会来到一个很像eBay网站的页面，设计精美，带有eBay的图标，令人可信。而且，如果点击页面上的“浏览”、“出售”等一些导航链接，可将访问者带到真正的eBay站点。页面的右下角也有一个安全的图标，为了防止精明的用户发现马脚，仿造者甚至使用HTML加密来掩盖用户信息的发送地。
　　这是一个极好的基于计算机进行社会工程学攻击的例子。然而，它也有着一些漏洞。内容上文笔较差，尤其是在最后一段的开头“您之所以收到此通知”，这即拗口也用词不当（实施这些骗局的人才不会雇用一个专业编辑人员来修饰这些内容）。此外，任何一个认真的人都会对eBay索取访问者的贝宝账户信息感到怀疑，eBay有什么理由能向用户索取用户在另外的公司中注册的私人信息呢。
　　而且如果对于互联网很熟悉的人来说，很可能会发现这个链接并不是eBay的域名，而是tripod.com（一个提供免费主页的网站），这无疑是一封非法的邮件。然而，我打赌还是会有很多人在这样的页面上输入他们的个人信息，包括信息卡号。
　　注：为什么人们可以注册欺骗性和不合适的域名？现行的法律和互联网政策规定，任何人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者，但结果并不理想。通用（美国著名汽车公司――generalmotors.com）对一个域名为fuckgeneralmotors.com的网站提出诉讼，通用败诉。

　　保持警觉

　　作为互联网的个人用户，我们所有的人都应该保持警觉，当键入个人信息，如口令、账户或PIN码等信息时，要对目前情况有清醒的认识。你的熟人当中，有多少人能保证他在浏览的页面是安全页面？你公司的员工又有多少人知道该如何做？
　　每个使用互联网的用户都应该认识那个经常出现在网页上的像一个小挂锁样的图标，当挂扣合上的时候，站点则是安全的。如果挂扣打开着，或是就没有挂锁图样，这个站点就不能被确认是可信的，在上面传送的任何信息都可能处于危险之中（信息未被加密）。
　　然而，一个危及计算机管理员权限的攻击者可能会更改操作系统代码，甚至为其打上补丁，以掩饰计算机已受到攻击的真相。比如，可以绕过浏览器中的程序对显示某站点的数字证书是否失效的检测。再比如，系统可能会被植入rootkit，安装一个或多个很难检测出来的系统级别的后门。
　　安全连接可以保证站点的真实性，并对传输的信息进行加密。因此，一个攻击者便无法利用他拦截的信息。可以信任一个已经使用加密连接的站点么？不，因为这个网站的站长并没有随时为网站打上必要的安全补丁，因此不能假定任何安全站点都可以对攻击免疫。

 

专业术语
　　后门：在用户不知道的情况下进入用房计算机的一个隐蔽入口。编程人员在开发软件时，也会用其来进入程序以解决问题。安全超文本传输协议（HTTP）或安全套接层协议（SSL）提供一个使用数字证书的自动机制，，不仅可以加密发送到远端站点的信息，还可以对其进行认证（保证所连接的站点是真实可信的）。然而，这种保护机制对于那些疏于检验地址栏中的网址是否为他们想访问站点的用户是无效的。

　　还有一个极容易被忽视的安全问题，弹出类似这样的消息框：“此站点非安全站点或安全证书已过期，您是否还要继续访问？”许多互联网用户并不清楚它的具体含义，于是他们直接点击“确定”或“是”来继续他们的访问，而没有意识到可能已处于危险之中。
　　警告：在没有使用安全协议的站点上，一定不要输入个人的敏感信息，如地址、电话、信息卡号或银行账号，或者是任何你不想泄露的私人信息。
　　托马斯•杰佛逊（译者注：Thomas Jefferson　美国第三任总统，《独立宣言》的起草人）说过，保持自由需要“永远的警惕”。在一个视信息为流通货币的社会，要保护个人隐私和安全同样如此。

　　了解病毒

　　一个对病毒软件的特殊提示：不仅是对企业内网的用户，而且对每一个计算机用户都是必要的。不要只是把防病毒软件装在机器上，还要让其时刻运行（许多人不喜欢这样做，因为会降低计算机的性能）。
　　另外一个需要谨记的是：保持病毒库的更新。除非你的企业负责为每个员工更新软件和病毒库，否则自己一定要承担起下载最新病毒库的义务。我个人建议每个人都对防病毒软件的更新功能进行设置，以使软件可以每天自动更新病毒库。

　　专业术语
　　安全套接层协议：网景开发的用于互联网上客户与服务器端的安全认证协议。经常性的更新病毒库可以基本保证计算机的安全性，但这并不足以完全保证安全，还有一些病毒或蠕虫是防病毒软件公司未知的，因此相应的保护程序也就没有发布。

　　所有有着远程访问权限的用户，至少要在笔记本电脑或家用电脑上升级防病毒软件和防火墙。老练的攻击者会从整个系统中寻找到最弱点而发起攻击，因此需要时常提醒那些有着远程访问权限的用户，激活防病毒软件、升级他们的防火墙是共同的安全防范责任，因为你无法指望一个工作人员、主管人员、销售人员，或其他IT部门的人会时刻记得如果他们的计算机没有保护而发生的危险性。
　　除此之外，我还强烈推荐不常使用但的确重要的防特洛伊木马的软件。在写作这本书期间，已经有两个为人所熟知的防木马程序，The Cleaner(www.moosoft.com)和Trojan Defense Sweep(www.diamondcs.com.au)。
　　最后，对于那些没有在企业网关上做危险邮件扫描的公司来说，可能是最重要的安全提醒：由于我们习惯于忘记或忽略那些与完成工作不直接相关的事，因此需要反复地以不同的方式提醒员工，不要打开陌生邮件的附件。管理部门也要提醒员工激活防病毒和防木马软件，以防范那些看似可以信任但实则会带来危害的邮件。

大家在前面已经看到社会工程师如何通过提供帮助来使人上当，他们的另一个惯用伎俩是假装需要别人的帮助，因为我们都会对处于困境的人施与同情，社会工程师便经常的利用这一方法来达到他的目的。

　　外地人

　　第三章中有个故事显示了攻击者如何通过对话令对方说出他的员工号码，下面的故事则运用不同的方法得到了相同的结果，并且这个故事还将展示攻击者如何利用这个号码。

　　硅谷有一家不太知名的全球企业，散落在世界各地的所有销售处和现场基站都是通过WAN――广域网，连接到公司总部。入侵者，一个叫布瑞恩•亚特拜（Brian Atterby）的狡猾的活跃分子，他知道入侵一个远程站点的网络总是要比总部的网络容易的多，由于前者的保护措施较为薄弱。

　　我找琼斯

　　他打电话到这家公司的芝加哥办公室，找琼斯（Jones）先生讲话，接线员问他是否知道琼斯先生的名字。
　　“我有他的名字，我正在找，你们那儿有几个叫琼斯的？”
　　“三个，你找的琼斯在哪个部门？”
　　“如果把他们的名字念一下，可能我就会想起来了。”
　　“拜瑞（Barry）、约瑟夫（Joseph）和格丹（Gordon）。”
　　“是乔（Joe，约瑟夫的昵称），肯定是他，他在，哪个部门？”
　　“商务拓展部。”
　　“很好，请帮我转过去好么？”

　　接线员将电话接通，琼斯接起电话，攻击者说：“琼斯先生？嗨，我是托尼，薪金发放专员（译者注：相当于管理工资发放的会计），我们刚刚依据你的要求，把薪金支票存入到你的信联账户上。”
　　“什么？？？你在开玩笑吧！我从来没这样要求过，我甚至在信联都没有账户！”
　　“哦，见鬼，我已经转过去了。”

　　一想到到薪金支票可能转到了别人的账户上，琼斯十分的心烦意乱，并开始怀疑电话另一端的小子是不是有些智力低下。他不知道该说些什么，这时攻击者说：“我得看看是怎么回事，薪金发放时要输入员工号码，你的号码是多少？”琼斯告诉了他。
　　“哦，不，你说得没错，发出请求的人不是你。”攻击者说。他们越来越蠢了，琼斯想。
　　“这样，我看一下谁负责此事，然后把错误马上改过来。请别担心，下次不会这样了。”

对方向他保证。

一次商务旅行

　　不久之后，这家公司在得克萨斯首府奥斯丁销售处的系统管理员接到了一个电话。

　　“我是约瑟夫•琼斯，商务拓展部的。这星期我要入住德斯基（Driskill Hotel）饭店，　　　我想让你帮我建立一个临时帐号，以免除远程拨号才能访问我的电子邮箱。”
　　“让我再确认一下你的名字，告诉我你的员工号码，”系统管理员说。假琼斯告诉了他，并说：“有没有速度很快的上网拨号？”
　　“请等一下，老兄。我得在数据库中确认一下。”不一会儿，系统管理员说：“好的，乔，你的楼牌号是多少？”攻击者对此早有准备，报上了备好的答案。
“好的，”系统管理员对他说：“验证通过。”

　　如此简单，系统管理员确认了约瑟夫•琼斯的名字，部门，还有员工号码，针对他的测试问题，“乔”也给出了正确的答案。

　　“你将使用的用户名与你在公司的一个用户名相同，jbjones，”系统管理告诉他说，“并且我将你的口令初设为changeme”。

　　米特尼克信箱

　　不要指望网络安全装置和防火墙来保护你的信息，要注意最薄弱的环节。通常，那就是你的员工。


　　过程分析

　　拨几个电话用上15分钟的时间，攻击者就可以访问这家企业的广域网了。有很多这样的企业，都属于我要提及的“软心糖安全”，这个概念最早是由贝尔实验室的两位研究人员提出的，斯蒂夫•贝劳文（Steve Bellovin）和斯蒂文•切斯威克（Steven Cheswick）。他们用这样的词语来描述这种安全防护：“坚硬生脆的外壳，核心却很柔软”，如同M＆M巧克力糖（一种驰名的糖果品牌），两位研究人员说，外壳即防火墙并不足以保证安全，因为一旦入侵者绕开它，内部的计算机系统便不堪一击。大部分情况下，这种保护措施是不够的。

　　上面的故事符合这个定义，利用得到的拨号和账户，攻击者甚至不用费力去攻击防火墙。而且，一旦他进入内部，内网的大部分系统就十分危险了。由于我我的经历，我知道这种骗局曾在世界最大的软件生产商身上起过作用。依据我的经验，在一个聪明的具有说服力的社会工程师面前，没有人是绝对安全的。

　　专业术语

　　软心糖安全：贝尔实验室的贝劳文和切斯威克提出的说法，用以描述一种安全状况。外部防御十分强壮，如防火墙，但其后面的设施却十分脆弱。这个说法来自于M＆M巧克力，这种糖果有着坚硬的外壳和柔软的糖心。
　　地下酒吧式的安全：知道自己想要的信息在哪里，并且使用一个词或是名称来获得对此信息或计算机系统的访问权的一种安全形式。

 

地下酒吧式的安全

　　对于早期的地下酒吧——那些在禁酒令时期提供自酿酒的夜总会，一个顾客需要走到门前敲门，然后门上会打开一个小口，伸出一张冷冰冰的脸。如果来人熟悉情况，他就会说出此地的老主顾（一句“乔让我来的”就可以了），看门的护卫就会打开门让他进来。

　　这个事情的关健在于知道地下酒吧的位置，门上没有标志，而酒吧老板也不会挂一盏霓虹灯在门口来表示这儿有个酒吧。通常，只要能找到地方就基本可以进入。很不幸，同样的安全措施在企业中广泛存在，这种没有任何保护的安全级别我称之为地下酒吧式的安全。


　　我在影片中见到过它

　　这儿有一个例子，来自一部许多人都会想起来的电影。《英雄不流泪》（Three Days of the Condor）中的主角，特纳（罗伯特•瑞德福特饰演）为一家与中央情报局签约的小调查公司工作。一天，他吃完午饭后回来发现他的同事们都被枪杀了，他决定找出凶手和真相，同时那些坏人也一直在找他。故事的后面部分，特纳（Turner）设法得到了其中一个坏人的电话号码，但这个人是谁？特纳又如何确定他的在哪儿呢？他很幸运。编剧大卫•瑞菲尔轻松的给了特纳一个美国陆军通讯兵的受训背景，使他在电话方面有着丰富的知识和经验。特纳当然知道该如何利用手中的电话号码，在剧本中，那幕场景是这样的：


　　特纳重新拿起电话拨出另一个号码

　　叮呤！
　　女性的声音从电话中传来：CNA，我是科尔曼（Coleman）夫人。
　　特纳：科尔曼夫人，我是哈罗德•托马斯，客户服务CNA202-555-7389，谢谢。
　　科尔曼夫人：请稍等。（几乎是同时）兰纳德•亚特伍德，马里兰州切维柴斯区麦克肯色街765号。

　　虽然编剧错误地把华盛顿特区的电话区号用到了马里兰州，但我们没必要注意这个细节。关健是弄明白刚才的对话是怎么一回事。

　　特纳由于有通讯兵的受训背景，他知道如何给电话公司的CNA部门（Customer Name and Address－客户名称与地址）打电话。CNA是为了方便电话安装员和其他得到授权的电话公司职员而成立的部门，电话安装员拨打CNA并提供一个电话号码时，CNA的服务人员就会报出电话所有者的名字和地址。


　　愚弄电话公司

　　在现实世界中，CNA的电话号码保护的十分严密。尽管当今的电话公司最终明白这一点，并不再轻易的泄露此类信息，但在当时他们却实行着地下酒吧式的安全，那时的安全专家们管这种安全叫做隐晦安全。他们假定任何给CAN打电话并知道其专业用语（如，客户服务CNA555-1234）的人都已被授权得到相应信息。

 

 

专业术语

　　隐晦安全：一种效率低下的计算机安全手段，通过对系统运转细节（协议、算法和内部系统）的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统，因此这种安全并不可靠。

　　米特尼克信箱

　　隐晦安全在社会工程师的面前毫无用处。在这个世界上，每一个计算机系统至少有一个人在使用。因此，如果社会工程师能够操纵这个使用系统的人，系统的隐晦就没有意义。不用亲自验证或确认，不用提供员工号码，也不用每天改变口令，只要你知道正确的电话号码并听起来可以信任，你就有权得到相关信息。对于电话公司来说，情况并不总是这样，他们还会定期的（至少一年一次）改变电话号码做为仅有的安全举措。即便这样，某个特定时期的号码还是在电话盗打者的圈子里传得很广，他们很高兴利用这个便利的信息资源，并乐于在同行中分享他们的所做所为。在我十几岁习惯盗打电话的时期，拨打CNA我最先学到的手段之一。

　　在全世界的政府和企业中，地下酒吧式的安全仍然很普遍。它可能是你公司的部门、员工和专业术语，有时连这些也用不着，一个内部电话号码就够了。

　　粗心的计算机管理者

　　尽管企业中的许多员工都对信息安全的危险或给予忽视或漠不关心，或是没有这方面的意识，但那些500强企业中计算机中心的管理者应该对安全操作了如指掌了吧，对吧？

　　不要期望一位计算机中心的管理者——负责公司IT部门的人，会掉入简单、明显的社会工程学圈套，尤其是还带有孩子气的、刚步入社会的年轻社会工程师。但有时，这样的想法是错误的。

　　收听

　　在以前，对许多人来说，把无线电调到地方警察局或消防队的频率收听正在进行中的银行抢劫、办公大楼起火、高速追击是一件很有趣的事情。执法部门和消防部门使用的无线电频率，曾经从街角书店的书中就可以查到。现在，在网上就有这些频率的列表，你还可以从Radio Shack（译者注：美国著名电子产品零售商）买到列有地方、郡、州有时甚至是联邦机构无线频率的书。

　　当然，不只是那些怀有好奇心的人，午夜抢劫店铺的窃贼会收听是否有警车派到附近，毒品贩子要始终关注的毒品缉查人员的行动，纵火犯则通过放火后收听消防队奋力灭火的情况来满足他的变态嗜好。

　　最近几年来，计算机技术的发展已经使声音信息的加密成为可能。在工程师们不断的找到方法把越来越多的计算能力塞进一块微芯片时，他们也开始制造小巧的加密无线设备，帮助执法部门来防范坏人和怀有好奇心的人窃听。

 

窃听者丹尼

　　一个我们称之为丹尼的扫描器爱好者，同时也是位技巧娴熟的黑客，他想看一下自己是否能够染指由安全无线系统顶级生产商开发的绝密的加密软件源代码。他希望通过这些代码了解如何对执法部门进行窃听，同时利用此技术令即便是最强有力的政府部门也很难监视他与朋友的通话。在朦胧的黑客世界中，丹尼这样的人属于特殊的一类，介于无恶意的好奇和完全的破坏之间。他们有着专家般的知识和极易引起麻烦的黑客想法，为了智力挑战和了解技术细节带来的满足感入侵系统和网络。但是他们惊人的电子入侵技术，也仅仅是一种特技。

　　这些人，这些无恶意的黑客，非法进入别人的网站纯粹是为了有趣并为能够证明自己的能力而感到满足。他们并不偷窃，也没有利用这种手段来赚钱。他们不会破坏文件、中断网络连接，或是摧毁计算机系统。他们的目的就是悄悄地捕获文件拷贝、搜索电子邮件、得到密码，以嘲弄那些网络管理员和对安全负责的工作人员，他们的满足感基本来自于这种胜人一筹的能力。

　　就这样，我们的丹尼为了满足自己强烈的好奇心并为了对生产商可能做出的惊人革新一看究竟，他将检验对方高度保护的产品信息细节。不用说，这种产品的设计是受到严密保护的，如同公司其他贵重的财产一样。丹尼知道这一点，但他并不怎么担心。毕竟，这只是一家没什么名气的大公司。但他如何得到软件的源代码呢？

　　正如我们最后将要看到的，从公司的保安通讯小组中猎取信息很容易，即使这家公司也使用了双因素认证（用户需两种单独的标识来证明身份）技术。这里有一个你可能已经熟悉的例子：当你的信用卡更换日期到了的时候，你需要给发行公司打电话，让他们知道信息卡还在持卡人的手中，并没有被人偷走。信息用卡上会说明在通常情况下要从家打电话，当打电话时，信用卡公司的软件程序就会分析ANI（自动号码认证），并被转到公司的免费电话上。信用卡公司的计算机使用ANI提供的呼叫方号码，与公司持卡人数据库中的号码做比较。公司的工作人员在接电话时，他或她就会看到数据库中显示的客户详细信息。这样，工作人员就知道了电话是客户从家中打来的，这就是一种形式的认证。

　　专业用语

　　双因素认证：用两种不同的验证方式对身份进行确认。比如，一个人必须从某个可确认的地方打来电话并知道口令来确认自已的身份，然后工作人员从你的信息中选出某个条目（通常为社会保险号码、出生日期或是母亲的姓氏）来询问你，如果你的答案正确，这就是第二次的验证――基于你应该知道的信息。我们故事中那家生产安全无线电系统的公司，每一名有权访问计算机的职员都有自己的账号和口令，并另外配备一个叫做安全ID的电子小设备，这就是时间令牌。它有两种型号：一种只有一张信用卡的一半大小，但稍厚些。另一种小到可以挂到钥匙链上。

　　这个特殊的装置由加密技术衍生而来，它的上面有一个显示六位数字的小窗口，每六十秒改变一次。当一位得到授权的用户从外部访问网络时，她首先必须输入她的PIN码和令牌上的数字，依此来确认自己的身份。内部系统一旦予以确认，她就可以输入用户名和口令进行认证。

　　对于觊觎着源代码的年轻黑客丹尼来说，他不仅要解决用户名和口令的问题（对于经验丰富的社会工程师来说这算不上什么难题）还要绕过时间令牌的检测。攻破基于时间令牌和用户PIN码的双因素认证听起来像是一个“不可能的任务”，但对于社会工程师来说，这种挑战类似于一个能够占尽对方优势的有着高超观察能力的牌手，再加上一点儿小运气，当他在桌子旁坐下来时，就知道别人口袋里的钱基本已是他的囊中之物了。

 

丹尼先是做准备工作，很快他就得到假扮一个真正的雇员所需的各种信息。姓名、部门、电话号码和员工号码，还有部门经理的姓名和电话号码。现在，是攻击前的平静期。按照计划，丹尼在采取下一步行动前还需要一个条件，而此事他毫无把握：丹尼需要大自然母亲的帮助，他需要一场暴风雪，一个阻止人们去办公室上班的恶劣天气。在南达科他州的冬季，那家生产商的所在地，一个恶劣气候从不会让希望它的人等太久。星期五晚，一场暴风雪到了。雪迅速的转成冰雨，到了早晨路面就会结一层薄薄的冰，十分危险。这对丹尼来说，简直太好了。

　　他打电话给那家厂商，转到计算机机房，找到一名自称罗杰•科瓦斯基（Roger Kowalski）的计算机操作员。

　　丹尼：“我是安全通讯部的鲍伯•比林斯（Billings），我现在家中，因为冰雪的缘故我无法开车。我现在需要访问我的工作站和服务器，但我把安全ID忘到办公桌上了，你能帮我拿回来么？或者让别人帮一下忙，然后当我登录的时候给我念一下好么？我的工作任务有一个最后期限，我没有别的办法。而且，我也没办法去办公室，路况太糟糕了。

　　操作员科瓦斯基：“我不能离开计算机中心……”，
　　丹尼：“你自己有安全ID么？”
　　科瓦斯基：“计算机中心有一个，我们保留它是为了操作员应对紧急情况的。”
　　丹尼：“听着，你能帮我这个忙么？我拨号入网的时候，借用一下你的安全ID可以么？路况一能驾车就不用了。”
　　科瓦斯基：“你是谁来着？你的上司是谁？”
　　丹尼：“埃德•特伦顿（Ed Trenton）。”
　　科瓦斯基：“哦，我认识他。”

　　当事情比较棘手时，优秀的社会工程师会多做一些调查工作。“我就在二层，”丹尼说：“罗伊•塔克（Roy Tucker）的旁边。”科瓦斯基也知道这个人。丹尼接着重新建议他：“到我的办公桌取来安全ID很方便。”

　　丹尼完全断定对方不会听从他的建议。首先，对方不会在当班的时候离开岗位，穿走廊、爬楼梯到大楼的另一边。也不会到别人的办公桌上乱翻一通，打搅别人的私人空间。没错，这个赌注很安全。

　　科瓦斯基不想对一个需要帮助的人说“不”，当然他也不想擅自做主张而让自己陷入到麻烦中，于是他做了个折中的决定。“我得请示一下，稍等。”他放下电话，丹尼能听到他拿起另一个电话拨打并解释这件事。科瓦斯基这时做出了让人难以理解的陈述（他实际上已经认定了丹尼就是鲍伯•比林斯）。“我认识他，”他对他的主管说：“他的上司是埃德•特伦顿。我们能让他用一下计算机中心的安全ID吗？”

　　丹尼惊奇地偷听着科瓦斯基对他意乎寻常、意料之外的支持，他简直无法相信自己的耳朵。

　　又过了一会儿，科瓦斯基拿起丹尼的电话说：“我们经理想亲自跟你说话。”然后告诉丹尼经理的名字和手机号码。丹尼打过去又把整个故事重复了一遍，同时又添加了一些工作细节和他的工作为什么有一个最后期限。“如果有人拿回来我的安全ID就方便多了，”丹尼说：“我想桌子应该没锁住，它就在左上方的抽屉里。”
　　“嗯，正好是周末，”经理说：“我想你可以用计算机中心的ID，我让值班人员在你拨入的时候给你读一下随机访问码。”然后他把相应的PIN码告诉了丹尼。整个周末，丹尼只需打电话给计算机中心让有关人员念一下安全ID上的六位数字，便随时都可以进入这家企业的计算机系统。

 

内部任务

　　当丹尼进入这家企业的计算机系统后，又该怎么办？他如何找到那台放有他想要的加密软件的服务器呢？对此，他已有所准备。许多计算机用户都知道电子公告板形式的新闻组，人们可以把问题贴上来或者回答别人的问题，也有人用它来寻找拥有共同兴趣的虚拟伙伴，如音乐、计算机，或者是其他成百上千的主题。在新闻组站点上发布信息的时候，很少有人会想到这些信息会在网上保留数年之久。比如Google，目前保留着7亿条信息量的存档，某些信息已经有了二十年的历史。丹尼首先访问了http://groups.google.com这个网址，用“无线加密通讯”和那家企业的名称做为关健词进行搜索，结果发现了一条数年前某个职员贴出的信息，是在这家公司刚开始开发这个产品的时候贴出的，很可能是在警察部门和联邦机构考虑使用加密无线信号很久以前的事了。

　　这条信息包含了发送者的签名档，其中不仅有他的名字――斯科特•普瑞斯（Scott Press），还有他的电话号码，甚至他的工作组名称――安全通讯小组。丹尼发现这个电话后打了过去，这个机会似乎很渺茫。多年后他仍然还在这家公司么？在这个暴风雪的周末他还会在工作么？电话铃在响，一声、二声、三声，一个声音从电话另一端传来，“我是斯科特，”对方说。

　　丹尼介绍自己是公司IT部门的，从而操纵着普瑞斯（用前几章中大家已熟悉的方法）透露出研发部门所使用服务器的名称，这些服务器的上面可能存有这家企业无线安全产品固件和独有加密算法的源代码。

　　丹尼越来越接近目标，也越来越兴奋。他期待着那种快感，那种当他完成只有很少人才能达到的目标时所感到的狂喜。然而，他现在还不能放松。虽然由于计算机中心经理的支持，可以随时进入这家企业网络系统，同时也知道了需要访问的服务器。但是，在他拨入时他登录的终端服务器却不能连接到安全通讯小组的系统。一定是有内部防火墙或是路由器保护着研发组的计算机系统，丹尼必须找到其他的办法进入。

　　接下来的情况需要些胆量，丹尼再次给计算机中心的科瓦斯基打电话抱怨：“我的服务器不让连接，我需要你帮我建一个账号来telnet（远程登录）系统。”

　　既然部门经理已经同意告诉他时间令牌上的访问码，当然这个新的请求似乎也没什么不合理。科瓦斯基在计算机中心的计算机上建立了一个临时账号，然后告诉丹尼不再需要这个账号时通知他，好把它删除。有了这个临时账号，丹尼便可以连接到安全通讯小组的系统了。经过了一个小时的查找，丹尼中了个头彩，他找到了访问研发服务器的漏洞。很明显，系统管理员并没有时刻关注最新的系统远程安全漏洞，但丹尼关注了。

　　很快地，他就找到那些源代码文件，并把它们远远地发送到一个提供免费存储空间的商业站点。这样，即使这些文件被发现，也不会追查到丹尼。现在只剩下最后一步了：有条不紊的擦去他的痕迹。他在当晚的杰伊•里诺（译者注：Jay Leno，著名脱口秀节目主持人）的节目播完之前完成了这项工作。

　　丹尼极为得意他的这次杰作，在这次行动中，他从未把自己置于危险之中，这是一次令人陶醉的激情之旅，甚至比滑雪和跳伞都要过瘾。丹尼那天晚上喝醉了，不只是因为威士忌、杜松子、啤酒和清酒，在盗来的源代码文件中逐步地接近那绝密的无线软件时，他完全沉醉于自己的能力和成功感之中。

 

过程分析

　　在上面的故事中，骗局的成功归于那家企业的职员过于相信了打电话人表示身份的话语。这种帮助同事解决问题的热心一方面使工作顺利进展并获得更令人满意的合作认可，另一方面却是极易被社会工程师利用的重大漏洞。

　　在骗局中丹尼使用的一个小技巧值得注意：他在要求别人到他的办公桌上拿安全ID时，不断地说“拿回来”。这个用语经常做为让狗取东西的命令，没人会乐意为别人“拿回来”东西。由于这一点，丹尼更加的断定这个请求不会被接受，于是其他的解决方法便会自然而来，那正是他想要的结果。那个计算机操作员科瓦斯基，在丹尼随便的说出了一个自己碰巧认识的人名后便完全相信了他。但为什么科瓦斯基的经理（一个IT经理）竟然也同意让陌生人访问公司的内网？仅仅是因为这样的求助电话是社会工程师百宝囊中一个强大的说服工具么？

　　米特尼克信箱

　　这个故事表明时间令牌或是类似的认证方法并不能抵挡住一个诡计多端的社会工程师，真正有效的防范是一个尽职尽责职员，不仅严守公司的安全守则而且了解别有用心的人是如何影响他人的行为的。

　　预防措施

　　在上述所有的故事中有一点似乎经常提到，那就是攻击者从企业外部进入内部的计算机网络时，帮助他的工作人员都没有采取足够的措施来确认对方的合法身份，是否有权访问系统。为什么我会经常提及这一点呢？因为，这的确是许多社会工程师在攻击时所采用的手段。对于他们来说，这是达到目标最简单易用的方法。一个电话就能解决的事，还有必要再花上几个小时寻找技术上的漏洞么？

　　对于社会工程师来说，实施这种攻击最有力的手段就是假装需要帮助，这是攻击者经常采用的方法。既然我们不想禁止员工对同事或客户的帮助，因此特定详细的确认程序成为判断任何人是否有权使用计算机或接触机密信息的必要。这样，我们才可以帮助应该帮助的人，同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的各种不同的确认方法，第十七章提供这样的一个详细列表，但在这儿首先要考虑一些指南：一个确认对方的好办法就是拨打公司通讯录上的电话，如果对方实际上是个冒名顶替者，那么这个确认电话不是令你找到真正的人（被冒充者，而这时冒名顶替者还给你打着电话），就是可以听到被冒充者的语音信箱，从而你就可以与冒名顶替者的声音做比较。

　　如果企业使用员工号码确认身份，务必要把员工号当做企业的敏感信息，小心保护，不要泄露。此规则适用于所有的内部识别信息，如内部电话号码、部门单据，甚至电子邮件。在安全培训中应唤起每个人对陌生人的警惕，不要因为对方听起来熟悉内部或可信就认为他是真正的内部人员，仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认的理由。

　　安全管理人员和系统管理员不能只注意其他人员的安全意识，他们自己也需要提醒自己遵循守则、程序和操作规程。密码口令等信息绝不能共享，而对时间令牌或其他方式的认证来说，限制共用则更为重要。应该普遍认识到，这类事物的共享会危害到公司整个的系统布署。共享就意味着无责任，如果发生安全事件，或是其他问题时，就分不清是谁的责任了。

　　正如我在整本书中不断重申的，员工要熟悉社会工程师的策略和方法，仔细的分析对方的要求，考虑把角色扮演做为安全培训中的一个固定内容，以使员工能较好的理解社会工程师的手段。