欺骗的艺术-第9章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
到了经理的名字和分店的店号(译者注:如上文中提到的863分店)。然后,他打电话给登记着他父亲账户的分店,利用刚刚得到的名字和分店店号来假扮分店经理。接着使用相同的手法:“你们的计算机没出问题吧?我们这儿的计算机时好时坏。”听到了她的回答后他接着说,“嗯,是这样,我这儿有一位你们的客户想租一部片子,可我们的计算机现在坏掉了,我需要你帮忙查一下客户的账号以确定他就是你们店的客户。”
汉瑞给出他父亲的名字,使用了一个稍有不同的方法,他请求对方把账户信息读出来:地址、电话,开户日期,然后说:“嗨,是这样,我这儿有一大堆等着的客户,他的信用卡和有效期是多少?”汉瑞一支手在耳边拿着手机,另一支手在餐巾纸上写。打完电话,他把餐巾纸推到瞪着眼睛、张着嘴巴的父亲面前,可怜的父亲看上去完全震惊了,似乎他的信任系统已被完全颠覆。
过程分析
当某个不认识的人询问你某事时,想想自己是什么态度。如果一个衣衫褴褛的陌生人来到你门前,很可能你不会让他进去。如果是一位衣着得体、皮鞋明亮、发型完美,举止优雅并面带微笑的陌生人,你可能就会放松警觉。也许他就是现实生活中的占森(译者注:电影《十三号星期五》中的杀人狂)呢?但你仍然愿意相信他,只要他看起来正当,手里也没有握着餐刀。
米特尼克信箱
人们习惯的认为自己在任何特定的事务中不大可能走进骗局,否则至少也得有理由相信这是个骗局。大多数情况下,我们权衡风险,然后假定别人没有恶意。这就是有教养人的一般行为,至少那些没有被操纵、利用或被骗过一大笔钱的有教养的人这样认为。在儿时,我们的父母告诫我们不要相信陌生人,也许在当今的工作环境下,我们所有的人都就应谨记这个陈旧的规则。
工作中,人们总是会有各种各样的请求。你有这个人的电子邮件地址么?最新的客户名单在哪儿?谁是这个项目本部分的分包商?请发给我最新的计划更新。我需要新版本的源代码。有时,做出这些请求的人你并不直接认识,或是公司其他部门的人,或是他们自己说是其他部门的人。但如果他们提供的信息是正确的,并且看来熟悉公司内情(“玛丽安说……”、“这里是K16服务器”、“……新产计划第26次修订版”),我们便把信任圈扩大他们身上,轻率的满足了他们的请求。
当然,我们也许会有些困惑的问自己:“为什么这个达拉斯(Dallas)分厂的人想知道新的产品计划?”或是“说出服务器的名称会有害处么?”等等这类问题,如果答案看上去合情合理,对方的言行也比较可靠,我们便会放松警惕,恢复相信同事的习惯,并满足(有理由的)对方的请求。
绝不要认为攻击者只会把目标锁定到使用计算机的人身上,收发室的人也可能是目标。“能帮个忙么?把这个放到公司内部的邮袋。”收发室的人可不知道它是一张带有特殊程序的针对首席执行官秘书的软盘。这样,攻击者本人就拥有了首席执行官的邮件拷贝。不会吧?这事情真得会在企业中发生么?答案是,绝对可能。
一美分的手机
许多人都在寻找好的机会,不达目的不罢休。社会工程师不然,他们找到办法使机会变得更好。比如,某公司进行一项诱人的市场优惠活动,社会工程师就会想办法扩大他的利益。
不久以前,一家全国性的无线通讯公司发起了一个大规模的促销活动,只要你登记接受一种资费方式,便可以得到一部全新的手机,只收一美分。对于一个精明的消费者来说,在登记一种资费方式之前,有好多问题要问清楚。通讯服务是模拟还是数字的,或是两者结合?每个月的免费通话时间是多少?是否包含漫游费…… 等等,等等,尤其重要的是资费合同时限――你承诺的资费方式是多长时间,几个月还是几年?
想像一个这样的情景,一位费城(Philadelphia)的社会工程师被通讯公司提供的一款十分便宜的手机所打动,但他讨厌与其捆绑的资费方式。没什么大不了的,他也许使用下面的方法来解决此事……
第一个电话:泰德(Ted)
他首先打给位于西吉拉德(West Girard)的一家电器连锁店。
“电子商城,我是泰德。”
“嗨,泰德,我叫亚当。是这样,我在前几天晚上,跟你们的一个男销售员谈到一个手机,我说一旦决定了就给他打电话。可我忘了他的名字,你们值夜班的人是谁?”
“不只一位,是威廉么?”
“不知道,也许是吧。他长什么样?”
“高个子,瘦瘦的。”
“我想是他吧,他姓什么来着?”
“哈德利。哈-德-利(H……A……D……L……E…… Y。)”
“是的,是他。他什么时候上班?”
“我不知道他这星期的排班,但上夜班的人5点到。”
“好的,那我试试晚上找他。谢谢,泰德。”
第二个电话:凯蒂(Katie)
第二个电话打给位于北广街(North Broad Street)的连锁店。
“嗨,电器商城。我是凯蒂,需要帮忙么?”
“凯蒂,嗨!我是威廉?哈德利,西吉拉德店的。今天过得怎么样?”
“有点儿忙,什么事?”
“我有一位顾客想购买那个一美分的手机,你知道这个手机的资费捆绑吧?”
“是的,上星期我售出了一些。”
“你那儿还有这种资费捆绑的手机么?”
“还有一堆呢。”
“很好。我刚售出了一个这种手机的资费,顾客通过了信用记录(译者注:美国通讯公司会查询手机用户过去的使用记录,以确定用户是否具备享受某一资费方式的资格),我们也签了资费合同。我查了一下该死的存货记录,却没有这种手机了。这让我很难做,你能帮个忙么?我让他到你们店去买一美分的手机,你卖给他后开张发票。他买到手机后会给我打电话,然后我再告诉他怎么用。”
“好的,当然可以。让他来吧。”
“太好了,他叫泰德,泰德?岩西(Ted Yancy)。”
一个自称泰德?岩西的人来到北广街连锁店,凯蒂开了一张发票,把一美分的手机卖给他,完全依照她的“同事”交待给她的事情,从而彻底地掉入骗局。付钱时,这个顾客的钱包里一枚硬币也没有,于是他到收款台的零钱碟中拿了一枚,交给她完成登记。他甚至一分钱都没有花就得到了那部手机。
过程分析
人们会很自然地相信熟悉公司内部的业务流程和专业用语,并声称自己是公司同事的人。这个故事中的社会工程师就是利用了这一点,通过了解促销活动的细节,扮做公司的职员,并要求另一个分店人员的帮助。这种事情在各零售店之间以及一个公司的各部门之间经常发生,这是因为人们没有机会接触,天天与从未见过面的同事打交道。
入侵FBI
人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目,节目制作者在网上做了一次搜索,发现了一份访问国家犯罪信息中心(NCIC)的操作说明拷贝。不久他发现,真正的NCIC操作说明原件就在网上,这是一份相当敏感的文档,它记录着从FBI的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门,这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息,手册里包含了数据库中用来标明各种信息的代码,从各种各样的纹身到各式各样的轮船外壳,再到失窃纸币和债券的面额。
任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则,然后依据手册上的步骤指导,再加一点胆量,人人都可以从数据库中提取信息,而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。
FBI几乎肯定不知道如此敏感的资料暴露在网上,我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的,另一份是由得克萨斯州的执法机构传到网上。为什么?这都是因为,也许某人觉得这些信息可能没什么价值,放到网上也不会有什么害处。也许有人为了内部人员使用上的方便,而它放到内网上,却从未想到会被在网上使用搜索引擎(如Google)的人找到,包括仅仅是好奇的人、还有想当警察的人、黑客,以及有组织的犯罪团伙。
接入系统
利用这样的信息来欺骗有政府或企业背景的人,使用的准则是相同的:由于社会工程师知道如何访问特定的数据库或应用程序,或是知道公司的服务器名称等类似的事情,他因此具备可信性,这种可信导致信任。一旦社会工程师拥有了这样的代码,获得所需信息就十分简单。在这个例子中,他首先给当地的州警察局电讯室打电话,针对手册上的一个代码,提出问题。比如,犯罪代码。他可能这样说,“我在NCIC做犯罪记录查询时,碰到‘系统发生问题’的错误提示。你做记录查询时碰到过这种情况么?能帮我试一下么?”或者他会说正在查询WPF(警方用语,被通辑人的档案)。电话另一端,电讯室的工作人员就会意识到对方熟悉查询 NCIC数据库的操作程序和命令,除了受过训练的人,谁会知道这些操作程序呢?
工作人员确定她的系统运行正常后,谈话可能像这样进行:
“我可以帮点儿忙。你要查什么?”
“我要查瑞尔顿?马丁的犯罪记录,出生日期66年10月18日。”
“索什(SOSH,执行部门的人有时把社会保险号简称为索什)是多少?”
“700…14…7435。”
找到名单后,她可能这样说