设备,这就是时间令牌。它有两种型号:一种只有一张信用卡的一半大小,但稍厚些。另一
种小到可以挂到钥匙链上。 这个特殊的装置由加密技术衍生而来,它的上面有一个显示六位数字的小窗口,每六十
秒改变一次。当一位得到授权的用户从外部访问网络时,她首先必须输入她的PIN 码和令牌
上的数字,依此来确认自己的身份。内部系统一旦予以确认,她就可以输入用户名和口令进
行认证。 对于觊觎着源代码的年轻黑客丹尼来说,他不仅要解决用户名和口令的问题(对于经验
75
丰富的社会工程师来说这算不上什么难题)还要绕过时间令牌的检测。攻破基于时间令牌和
用户PIN 码的双因素认证听起来像是一个“不可能的任务”,但对于社会工程师来说,这种
挑战类似于一个能够占尽对方优势的有着高超观察能力的牌手,再加上一点儿小运气,当他
在桌子旁坐下来时,就知道别人口袋里的钱基本已是他的囊中之物了。
冲击堡垒
丹尼先是做准备工作,很快他就得到假扮一个真正的雇员所需的各种信息。姓名、部门、
电话号码和员工号码,还有部门经理的姓名和电话号码。现在,是攻击前的平静期。按照计
划,丹尼在采取下一步行动前还需要一个条件,而此事他毫无把握:丹尼需要大自然母亲的
帮助,他需要一场暴风雪,一个阻止人们去办公室上班的恶劣天气。在南达科他州的冬季,
那家生产商的所在地,一个恶劣气候从不会让希望它的人等太久。星期五晚,一场暴风雪到
了。雪迅速的转成冰雨,到了早晨路面就会结一层薄薄的冰,十分危险。这对丹尼来说,简
直太好了。 他打电话给那家厂商,转到计算机机房,找到一名自称罗杰〓科瓦斯基(Roger Kowalski)
的计算机操作员。 丹尼:“我是安全通讯部的鲍伯〓比林斯(Billings),我现在家中,因为冰雪的缘故我
无法开车。我现在需要访问我的工作站和服务器,但我把安全ID 忘到办公桌上了,你能帮
我拿回来么?或者让别人帮一下忙,然后当我登录的时候给我念一下好么?我的工作任务有
一个最后期限,我没有别的办法。而且,我也没办法去办公室,路况太糟糕了。 操作员科瓦斯基:“我不能离开计算机中心……”,
丹尼:“你自己有安全ID 么?”
科瓦斯基:“计算机中心有一个,我们保留它是为了操作员应对紧急情况的。”
丹尼:“听着,你能帮我这个忙么?我拨号入网的时候,借用一下你的安全ID 可以么?
路况一能驾车就不用了。”
76
科瓦斯基:“你是谁来着?你的上司是谁?”
丹尼:“埃德〓特伦顿(Ed Trenton)。”
科瓦斯基:“哦,我认识他。”
当事情比较棘手时,优秀的社会工程师会多做一些调查工作。“我就在二层,”丹尼说:
“罗伊〓塔克(Roy Tucker)的旁边。”科瓦斯基也知道这个人。丹尼接着重新建议他:“到
我的办公桌取来安全ID 很方便。”
丹尼完全断定对方不会听从他的建议。首先,对方不会在当班的时候离开岗位,穿走廊、
爬楼梯到大楼的另一边。也不会到别人的办公桌上乱翻一通,打搅别人的私人空间。没错,
这个赌注很安全。 科瓦斯基不想对一个需要帮助的人说“不”,当然他也不想擅自做主张而让自己陷入到
麻烦中,于是他做了个折中的决定。“我得请示一下,稍等。”他放下电话,丹尼能听到他
拿起另一个电话拨打并解释这件事。科瓦斯基这时做出了让人难以理解的陈述(他实际上已
经认定了丹尼就是鲍伯〓比林斯)。“我认识他,”他对他的主管说:“他的上司是埃德〓特
伦顿。我们能让他用一下计算机中心的安全ID 吗?”
丹尼惊奇地偷听着科瓦斯基对他意乎寻常、意料之外的支持,他简直无法相信自己的耳
朵。 又过了一会儿,科瓦斯基拿起丹尼的电话说:“我们经理想亲自跟你说话。”然后告诉
丹尼经理的名字和手机号码。丹尼打过去又把整个故事重复了一遍,同时又添加了一些工作
细节和他的工作为什么有一个最后期限。“如果有人拿回来我的安全ID 就方便多了,”丹
尼说:“我想桌子应该没锁住,它就在左上方的抽屉里。” “嗯,正好是周末,”经理说:“我想你可以用计算机中心的 ID,我让值班人员在你
拨入的时候给你读一下随机访问码。”然后他把相应的PIN 码告诉了丹尼。整个周末,丹尼
只需打电话给计算机中心让有关人员念一下安全ID 上的六位数字,便随时都可以进入这家
77
企业的计算机系统。
内部任务
当丹尼进入这家企业的计算机系统后,又该怎么办?他如何找到那台放有他想要的加密
软件的服务器呢?对此,他已有所准备。许多计算机用户都知道电子公告板形式的新闻组,
人们可以把问题贴上来或者回答别人的问题,也有人用它来寻找拥有共同兴趣的虚拟伙伴,
如音乐、计算机,或者是其他成百上千的主题。在新闻组站点上发布信息的时候,很少有人
会想到这些信息会在网上保留数年之久。比如Google,目前保留着7 亿条信息量的存档,
某些信息已经有了二十年的历史。丹尼首先访问了http://groups.google.com这个网址,用“无
线加密通讯”和那家企业的名称做为关健词进行搜索,结果发现了一条数年前某个职员贴出
的信息,是在这家公司刚开始开发这个产品的时候贴出的,很可能是在警察部门和联邦机构
考虑使用加密无线信号很久以前的事了。 这条信息包含了发送者的签名档,其中不仅有他的名字― ―斯科特〓普瑞斯(Scott
Press),还有他的电话号码,甚至他的工作组名称――安全通讯小组。丹尼发现这个电话后
打了过去,这个机会似乎很渺茫。多年后他仍然还在这家公司么?在这个暴风雪的周末他还
会在工作么?电话铃在响,一声、二声、三声,一个声音从电话另一端传来,“我是斯科特,”
对方说。 丹尼介绍自己是公司IT 部门的,从而操纵着普瑞斯(用前几章中大家已熟悉的方法)
透露出研发部门所使用服务器的名称,这些服务器的上面可能存有这家企业无线安全产品固
件和独有加密算法的源代码。 丹尼越来越接近目标,也越来越兴奋。他期待着那种快感,那种当他完成只有很少人才
能达到的目标时所感到的狂喜。然而,他现在还不能放松。虽然由于计算机中心经理的支持,
可以随时进入这家企业网络系统,同时也知道了需要访问的服务器。但是,在他拨入时他登
录的终端服务器却不能连接到安全通讯小组的系统。一定是有内部防火墙或是路由器保护着
78
研发组的计算机系统,丹尼必须找到其他的办法进入。 接下来的情况需要些胆量,丹尼再次给计算机中心的科瓦斯基打电话抱怨:“我的服务
器不让连接,我需要你帮我建一个账号来telnet(远程登录)系统。”
既然部门经理已经同意告诉他时间令牌上的访问码,当然这个新的请求似乎也没什么不
合理。科瓦斯基在计算机中心的计算机上建立了一个临时账号,然后告诉丹尼不再需要这个
账号时通知他,好把它删除。有了这个临时账号,丹尼便可以连接到安全通讯小组的系统了。
经过了一个小时的查找,丹尼中了个头彩,他找到了访问研发服务器的漏洞。很明显,系统
管理员并没有时刻关注最新的系统远程安全漏洞,但丹尼关注了。 很快地,他就找到那些源代码文件,并把它们远远地发送到一个提供免费存储空间的商
业站点。这样,即使这些文件被发现,也不会追查到丹尼。现在只剩下最后一步了:有条不
紊的擦去他的痕迹。他在当晚的杰伊〓里诺(译者注:Jay Leno,著名脱口秀节目主持人)
的节目播完之前完成了这项工作。 丹尼极为得意他的这次杰作,在这次行动中,他从未把自己置于危险之中,这是一次令
人陶醉的激情之旅,甚至比滑雪和跳伞都要过瘾。丹尼那天晚上喝醉了,不只是因为威士忌、
杜松子、啤酒和清酒,在盗来的源代码文件中逐步地接近那绝密的无线软件时,他完全沉醉
于自己的能力和成功感之中。
过程分析
在上面的故事中,骗局的成功归于那家企业的职员过于相信了打电话人表示身份的话
语。这种帮助同事解决问题的热心一方面使工作顺利进展并获得更令人满意的合作认可,另
一方面却是极易被社会工程师利用的重大漏洞。 在骗局中丹尼使用的一个小技巧值得注意:他在要求别人到他的办公桌上拿安全ID 时,
79
不断地说“拿回来”。这个用语经常做为让狗取东西的命令,没人会乐意为别人“拿回来”
东西。由于这一点,丹尼更加的断定这个请求不会被接受,于是其他的解决方法便会自然而
来,那正是他想要的结果。那个计算机操作员科瓦斯基,在丹尼随便的说出了一个自己碰巧
认识的人名后便完全相信了他。但为什么科瓦斯基的经理(一个IT 经理)竟然也同意让陌
生人访问公司的内网?仅仅是因为这样的求助电话是社会工程师百宝囊中一个强大的说服
工具么? 米特尼克信箱
这个故事表明时间令牌或是类似的认证方法并不能抵挡住一个诡计多端的社会工程师,
真正有效的防范是一个尽职尽责职员,不仅严守公司的安全守则而且了解别有用心的人是如
何影响他人的行为的。 预防措施
在上述所有的故事中有一点似乎经常提到,那就是攻击者从企业外部进入内部的计算机
网络时,帮助他的工作人员都没有采取足够的措施来确认对方的合法身份,是否有权访问系
统。为什么我会经常提及这一点呢?因为,这的确是许多社会工程师在攻击时所采用的手段。
对于他们来说,这是达到目标最简单易用的方法。一个电话就能解决的事,还有必要再花上
几个小时寻找技术上的漏洞么? 对于社会工程师来说,实施这种攻击最有力的手段就是假装需要帮助,这是攻击者经常
采用的方法。既然我们不想禁止员工对同事或客户的帮助,因此特定详细的确认程序成为判
断任何人是否有权使用计算机或接触机密信息的必要。这样,我们才可以帮助应该帮助的人,
同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的
各种不同的确认方法,第十七章提供这样的一个详细列表,但在这儿首先要考虑一些指南:
一个确认对方的好办法就是拨打公司通讯录上的电话,如果对方实际上是个冒名顶替者,那
么这个确认电话不是令你找到真正的人(被冒充者,而这时冒名顶替者还给你打着电话),
80
就是可以听到被冒充者的语音信箱,从而你就可以与冒名顶替者的声音做比较。 如果企业使用员工号码确认身份,务必要把员工号当做企业的敏感信息,小心保护,不
要泄露。此规则适用于所有的内部识别信息,如内部电话号码、部门单据,甚至电子邮件。
在安全培训中应唤起每个人对陌生人的警惕,不要因为对方听起来熟悉内部或可信就认为他
是真正的内部人员,仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认
的理由。 安全管理人员和系统管理员不能只注意其他人员的安全意识,他们自己也需要提醒自己
遵循守则、程序和操作规程。密码口令等信息绝不能共享,而对时间令牌或其他方式的认证
来说,限制共用则更为重要。应该普遍认识到,这类事物的共享会危害到公司整个的系统布
署。共享就意味着无责任,如果发生安全事件,或是其他问题时,就分不清是谁的责任了。
正如我在整本书中不断重申的,员工要熟悉社会工程师的策略和方法,仔细的分析对方
的要求,考虑把角色扮演做为安全培训中的一个固定内容,以使员工能较好的理解社会工程
师的手段。
81
第七章 假冒网站和危险附件
虽然有句老话说“不劳而获是不可能的”,但把免费当做幌子进行促销仍是许多商家愿
意使用的方法,无所谓合理(“等一下,还有……,现在打电话,我们将免费奉送一套餐刀
和一个长柄锅!”)或不太合理(“佛罗里达湿地,买一亩送一亩!”),而大多数人对免
费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心,出门不换”的警言,
但在这里需要注意的是一另句话:“小心具有诱惑力的电子邮件附件和免费软件。”精明的
攻击者会想方设法进入企业的网络,比如利用免费礼物对人们的吸引力。下面是几个例子:
你不想免费么?
就像病毒从一开始就给人类带来祸害,给医生带来麻烦一样,计算机病毒给其使用者带
来同样的苦难。如今,计算机病毒以其巨大的破坏力受到很多人的关注,它们是由计算机破
坏者制造出来的。计算机痴迷者逐渐存心不良,计算机破坏者在卖力的炫耀他们是多么的聪
明过人。有时他们的行为像是入门仪式,为了给具有老资格和经验丰富的黑客前辈留下印象,
他们攒着劲的制造出会带来危害的蠕虫或病毒。一旦这些“成果”破坏了文件,毁掉整个硬
盘,并把自身发给成千上万的毫无防备的人,破坏者便会因此而沾沾自喜。如果这些病毒带
来的危害足以成为报纸的新闻和网络上的病毒警告,他们便更加得意洋洋了。 有很多文章来描写这些破坏者和他们制造的病毒,还有防病毒的软件程序和专门的安全
企业,但我们在这里并不想过多的讨论如何在技术上防范他们的攻击,以及他们的破坏行为,
我们的话题将更多的关注他们的远亲――社会工程师。 来自电子邮件
你也许每天都能接到不请自来的邮件,有广告还有提供免费品之类的邮件,这些东西你
既不需要也不想要。你知道那无非是些投资建议、电器、维生素或旅游打折之类的东西,还
有你并不需要的信用卡、可以免费观看收费电视频道的设备、增进健康或改进性生活的方法,
等等等等。
82
但每当这样的邮件从你的电子邮箱弹出来的时候都会引起你的注目,也许是一个免费游
戏、一副你喜欢的名星的照片、一个免费日历软件或是用来保护你的计算机免受病毒侵害的
便宜的共享软件。无论是什么,它都会引导你去下载你想去尝试的文件。 所有的这些行为,包括下载从广告邮件中得知的软件、点击一个你从未听说过的网站链
接、打开陌生人发过来的附件,都可能会惹来麻烦。当然,很多时候你得到的也正是你想要
的,或者运气很差,令你失望和生气,但至少无害。可有些时候,你会碰到计算机破坏者制
造的程序。发送恶意代码到你的计算机上只是攻击的一小步,攻击者会诱导你下载完成攻击
所需的附件。
注:
有一种在计算机上悄悄运行的程序叫RAT(Remote Access Trojan)――远程访问控制
木马,它给予攻击者充分访问你的计算机的权限,如同坐在你的键盘前。最具有破坏力的恶
意代码病毒,像爱虫(Love Letter)、SirCam 和Kournikiva 等等,都依赖于社会工程师欺
骗的艺术,并利用人们不劳而获的心理传播。它时常作为一个具有引诱力的邮件附件而出现,
像机密信息、免费色情资料,或者一个更加诡诈的方法――一条你可能定购了某昂贵物品的
信息。最后这种方法,利用你害怕信用卡可能被消费的心理,令你打开这些危险的附件。 令人震惊的是,有太多的人因此而上当,即使在一次又一次的被告知打开附件的危险性
之后。随着时间的过去,逐渐削弱的危险意识,让我们每一个人都易受攻击。 识别恶意软件
另一种恶意软件在你不知道或未认可的情况下进入你的计算机运行,这种软件伪装的很
好,甚至有时它会表现为一个word 文档或是powerPoint 文件,或含有宏命令,它将悄悄的
安装一个未经许可的程序。比如,它可能是一个在第六章谈到过的木马。一旦这个软件安装
到你的计算机上,它能够将你每一次敲击键盘的情况反馈给攻击者,包括你的口令和信用卡
号。
83
还有两种恶意软件,听起来些难以置信。一种可以把你说的每一句话都传送给攻击者,
即使你认为你的麦克风是关着的。另一种更加恶劣,如果你的计算机配有摄像头,攻击者可
以利用它捕获在你计算机前发生的任何画面,即便你认为你的摄像头是关着的,无论白天或
黑夜。 专业术语
恶意软件:一种危害性的程序,例如病毒、蠕虫,或是木马。
米特尼克信箱
小心那些提供礼物的伪装者,否则你的公司很可能会遭受与特洛伊城相同的命运。一旦
发现可疑迹象,一定要采取保护措施。有些喜欢恶作剧的黑客可能会在你的计算机上运行一
些骚扰程序,如弹开你的光驱、最小化你的当前窗口,或者用最大的音量在半夜播放一声尖
叫。虽然这样的伎俩没有什么意思,尤其当你完成工作或准备睡觉时,但至少这些恶作剧不
会带来真正的损失。 朋友的消息
也许情况会变得更糟,尽管你已经处处小心。想像一下:你已经决定不再冒险,不再从
你不知道和信任的站点下载文件,除了那些可靠的站点,如安全焦点(SecurityFocus.com)
和亚马逊(Amazon)。你不再点击不知其来源的邮件链接,不再打开陌生的邮件附件,并检查
你浏览器的安全标志,以确定你访问的电子商务或交换秘密信息的站点的安全性。 这样,有一天,你收到一封朋友或商业合作伙伴的带着附件的邮件。这封来自熟人的信
不会有危险吧?即使有危险,你也知道该找谁承担。于是,你打开了附件……轰!你又中了
蠕虫或是木马。为什么你的熟人会这样做呢?事情并不象表面上那样。事实是,进入到某人
计算机上的蠕虫会根据所进入计算机上的地址薄,自动的把自身发给地址薄中的每一个人。
这样,每一个中了此蠕虫的计算机都会传给其地址薄上的所有熟人,蠕虫就这样不断地繁殖,
如同在水塘中掷下一块石头而产生的波纹。 这种手段之所以有效在于它结合了两个方法:一是在没有戒心的受害者中传播,二是以
84
熟人的面目出现。 米特尼克信箱
人类发明了许多奇妙的方法,以改变世界和我们的生活方式。但每一种带来的进步的科
技,无论是计算机、电话还是互联网,总会有人利用它做坏事,以满足自己的私欲。目前的
科学技术处于这样一种状态,你在收到熟人的邮件之后仍然要确定它是否安全,是否可以打
开,这真是一件令人悲哀的事。
主题变奏
在这个互联网时代,有一种骗局可以诱使你进入一个你并不想去的站点,这经常发生,
并且有很多种方法。这个典型例子基于一个发生在互联网上的真实故事。 圣诞快乐
埃德加(Edgar)是一个已退休的保险销售商,一天他收到一封来自贝宝(PayPal,提
供方便快捷的在线支付公司)的邮件。这种服务对于一个在某地或是某个国家从不熟悉的商
家购物时,尤其方便。贝宝会直接把从买家的信息卡中把钱转到卖家的账户。埃德加是一个
古董瓶的收藏者,通过在线拍卖公司eBay 做过许多网上交易。他经常使用贝宝,有时一个
星期就用数次。于是,埃德加对这封2001 年圣诞节期间,像是来自贝宝公司的邮件很感兴
趣,这封邮件是一封升级他的贝宝账户的奖励邮件。信中写道: 节日问候!贝宝高级用户:
新年将至,贝宝将往您的账户上划入5 美元,你只需在2002 年1 月1 日前,到贝宝安
全站点确认这5 美元是做为升级你的账户信息所用即可。新年新气象,升级您的账户,以延
续您在贝宝的记录,同时方便我们以优质的服务继续为您提供有价值的客户服务。立即升级
账户并马上接收5 美元,请点击:http://www. Paypa1 -secure. com/cgi bin 谢谢您使用
贝宝和对我们的支持!圣诞快乐,新年愉快!
85
贝宝
电子商务网站
你也许知道,人们不大愿意在网上购物,即便是亚马逊、eBay,或象老海军(Old Navy)、
塔吉特(Target)、耐克这样的这样名牌公司和网站。从某方面来看,他们的戒心无可非议。
如果你的浏览器使用现在的128 位加密标准,那么你从计算机上发往任意一个安全站点的信
息都是经过加密的。这些数据经过大量的努力理论上可以被解密,但更可能的是在正常的时
间内无法解密,除非是国家安全部(但谁也没听说过,国家安全部对盗窃美国公民的信息卡
号以及谁定购了色情录像或情趣内衣感兴趣)。
这些加密信息实际上可以被任何有时间有才智的人所破解。但是,许多电子商务公司把
他们的客户信息未经加密的存储在数据库中,在这种情况下,再去耗费巨大的精力去破解一
个信用卡号会是多么的愚蠢。更糟糕的是,有许多使用特定SQL 数据库软件的电子商务公司
都会犯这样的错误:他们从未改变过数据库系统管理员的默认口令。他们安装数据库时,系
统口令默认是空口令,于是它就一直空着。所以,这个数据库里面的内容,对于互联网上任
何尝试连接这个数据库服务器的人都是唾手可得的。 这些站点始终都处在被攻击并且信息会被窃取的危险下,而无需复杂的手段。另一方面,
那些不愿在网上购物的人担心他们的信用卡信息被盗。但他们却不在意去真实的商店购物,
吃午饭、晚饭,甚至去偏僻街道的小酒馆等一样可以用信用卡付费的地方,即便这些地方总
是有人偷取信用卡的收据,有时收据还会从垃圾箱中被人找出。还有一些道德败坏的店员服
务生会偷偷记下你的名字和卡号,或使用很容易就在网上买到的盗卡装置,来存储在它上面
刷过的信用卡数据,以备日后使用。 在线购物有些冒险,但也可能和在真实的商店购物一样安全。当你在网上使用信用卡时,
信用卡公司为你提供相同的保护。如果发生欺诈性收费,你的账户只会损失头一笔交易的
50 美元。因此我认为,对网上购物的恐惧只是另一种错误的担心。
86
埃德加没有注意到邮件中的几个不对劲的地方,如抬头的分号,混乱的用词(我们以优
质的服务继续为您提供有价值的客户服务)。他点击了链接,输入姓名、地址、电话号码和
信用卡等信息,然后静静地等待5 美元的到来。但他等来的只会是一堆他从未购买过的商品
账单。 过程分析
埃德加被互联网上司空见惯的骗局所欺骗,这种骗局有多种形式,其中一种(详见第九
章)有着与真正网站一样的界面,看起来真实可信。不同之处在于冒充的页面不会到达用户
真正想访问的系统,而是会把他的用户名和口令发给黑客。埃德加被骗了,对方注册了一个
域名为paypal-secure.com 的网站,看上去如同贝宝的一个安全页面。当他在这个页面输入
个人信息时,黑客们便得逞了。 米特尼克信箱
当没有安全保证时,无论什么时候访问一个需要输入个人信息的网站时,一定要确认当
前链接是可信和加密的。更需注意的是,不要顺其自然地点击对话框中的“yes”,尤其是
有安全提示的对话框,比如无效、过期或废除的数字证书的提示。
变奏之变奏
究竟有多少多种方法可以骗取人们在假冒的网站输入他们的机密信息?我不认为大家
对此有一个统一的答案,但无疑是越来越多。 不明链接
一种常见的手法:发送一封具有诱惑力的邮件,提供一个链接。它并不会带你到想去的
站点,它只是看起来像那个的站点的链接。另一个已经在互联网上应用的例子是,用paypa1
模仿paypal。
乍一看来,像是贝宝的域名。即便受害人注意到这一点,他也可能会以为只是一个文本
上的小错误,把1 当成l 了。而谁又会立刻注意到那是一个数字1 而不是小写的L 呢?就这
87
样,有很多的人失去了信用卡上的钱,而这个诈骗手段得以继续。假冒网站做的跟真得一样,
当人们访问时,便轻率地输入他们的信用卡上的信息。建立这样一种行骗的机制,攻击者只
需注册一个用来冒充的域名,发出电子邮件,然后等待那些傻鸟们上钩。 2002 年,我收到一封标着来自Ebay@ebay.com 的邮件,很明显这是一个群发性质的邮
件。见图8.1,(译者注:我的电子书中看不到这张图。)这样的链接应该注意。
-------------------
亲爱的eBay用户,很明显您的eBay账户被第三方所影响并违犯了我们下面的用户协定条款:
4.招投标
用户如果通过固定价格或成为最高价竞买人,并经销售方同意,则有义务与销售方一起
完成此项交易,否则此项交易会被本协定或法律终止。 您之所以收到此通知是因为您当前账户服务的中断引起了我们的注意,eBay 方面需要
立刻验证 你的账户 ,请验证 您的账户 以免账户 被封。点 击此处验 证你的 账
户――http://error ebay.tripod.com 商标设计和标志为各自拥有者所有,eBay以及eBay
图标为eBay 有限公司的注册商标。
-----------------
点击这个链接的人会来到一个很像eBay 网站的页面,设计精美,带有eBay 的图标,令
人可信。而且,如果点击页面上的“浏览”、“出售”等一些导航链接,可将访问者带到真
正的eBay 站点。页面的右下角也有一个安全的图标,为了防止精明的用户发现马脚,仿造
者甚至使用HTML 加密来掩盖用户信息的发送地。
这是一个极好的基于计算机进行社会工程学攻击的例子。然而,它也有着一些漏洞。内
容上文笔较差,尤其是在最后一段的开头“您之所以收到此通知”,这即拗口也用词不当(实
施这些骗局的人才不会雇用一个专业编辑人员来修饰这些内容)。此外,任何一个认真的人
都会对eBay 索取访问者的贝宝账户信息感到怀疑,eBay 有什么理由能向用户索取用户在另
外的公司中注册的私人信息呢。 而且如果对于互联网很熟悉的人来说,很可能会发现这个链接并不是eBay 的域名,而
是tripod.com(一个提供免费主页的网站),这无疑是一封非法的邮件。然而,我打赌还是
88
会有很多人在这样的页面上输入他们的个人信息,包括信息卡号。 注:为什么人们可以注册欺骗性和不合适的域名?现行的法律和互联网政策规定,任何
人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者,但结果并不
理想。通 用(美国 著名汽车 公司― ―generalmotors.com )对一个域名 为
fuckgeneralmotors.com 的网站提出诉讼,通用败诉。
保持警觉
作为互联网的个人用户,我们所有的人都应该保持警觉,当键入个人信息,如口令、账
户或PIN 码等信息时,要对目前情况有清醒的认识。你的熟人当中,有多少人能保证他在浏
览的页面是安全页面?你公司的员工又有多少人知道该如何做? 每个使用互联网的用户都应该认识那个经常出现在网页上的像一个小挂锁样的图标,当
挂扣合上的时候,站点则是安全的。如果挂扣打开着,或是就没有挂锁图样,这个站点就不
能被确认是可信的,在上面传送的任何信息都可能处于危险之中(信息未被加密)。
然而,一个危及计算机管理员权限的攻击者可能会更改操作系统代码,甚至为其打上补
丁,以掩饰计算机已受到攻击的真相。比如,可以绕过浏览器中的程序对显示某站点的数字
证书是否失效的检测。再比如,系统可能会被植入rootkit,安装一个或多个很难检测出来
的系统级别的后门。 安全连接可以保证站点的真实性,并对传输的信息进行加密。因此,一个攻击者便无法
利用他拦截的信息。可以信任一个已经使用加密连接的站点么?不,因为这个网站的站长并
没有随时为网站打上必要的安全补丁,因此不能假定任何安全站点都可以对攻击免疫。
专业术语
后门:在用户不知道的情况下进入用房计算机的一个隐蔽入口。编程人员在开发软件时,
也会用其来进入程序以解决问题。安全超文本传输协议(HTTP)或安全套接层协议(SSL)
提供一个使用数字证书的自动机制,,不仅可以加密发送到远端站点的信息,还可以对其进
行认证(保证所连接的站点是真实可信的)。然而,这种保护机制对于那些疏于检验地址栏
中的网址是否为他们想访问站点的用户是无效的。
89
还有一个极容易被忽视的安全问题,弹出类似这样的消息框:“此站点非安全站点或安
全证书已过期,您是否还要继续访问?”许多互联网用户并不清楚它的具体含义,于是他们
直接点击“确定”或“是”来继续他们的访问,而没有意识到可能已处于危险之中。 警告:在没有使用安全协议的站点上,一定不要输入个人的敏感信息,如地址、电话、
信息卡号或银行账号,或者是任何你不想泄露的私人信息。 托马斯〓杰佛逊(译者注:Thomas Jefferson 美国第三任总统,《独立宣言》的起草人)
说过,保持自由需要“永远的警惕”。在一个视信息为流通货币的社会,要保护个人隐私和
安全同样如此。 了解病毒
一个对病毒软件的特殊提示:不仅是对企业内网的用户,而且对每一个计算机用户都是
必要的。不要只是把防病毒软件装在机器上,还要让其时刻运行(许多人不喜欢这样做,因
为会降低计算机的性能)。
另外一个需要谨记的是:保持病毒库的更新。除非你的企业负责为每个员工更新软件和
病毒库,否则自己一定要承担起下载最新病毒库的义务。我个人建议每个人都对防病毒软件
的更新功能进行设置,以使软件可以每天自动更新病毒库。 专业术语
安全套接层协议:网景开发的用于互联网上客户与服务器端的安全认证协议。经常性的
更新病毒库可以基本保证计算机的安全性,但这并不足以完全保证安全,还有一些病毒或蠕
虫是防病毒软件公司未知的,因此相应的保护程序也就没有发布。 所有有着远程访问权限的用户,至少要在笔记本电脑或家用电脑上升级防病毒软件和防
火墙。老练的攻击者会从整个系统中寻找到最弱点而发起攻击,因此需要时常提醒那些有着
远程访问权限的用户,激活防病毒软件、升级他们的防火墙是共同的安全防范责任,因为你
无法指望一个工作人员、主管人员、销售人员,或其他IT 部门的人会时刻记得如果他们的
90
计算机没有保护而发生的危险性。 除此之外,我还强烈推荐不常使用但的确重要的防特洛伊木马的软件。在写作这本书期
间,已经有两个为人所熟知的防木马程序,The Cleaner(www.moosoft.com)和 Trojan
Defense Sweep(www.diamondcs.com.au)。
最后,对于那些没有在企业网关上做危险邮件扫描的公司来说,可能是最重要的安全提
醒:由于我们习惯于忘记或忽略那些与完成工作不直接相关的事,因此需要反复地以不同的
方式提醒员工,不要打开陌生邮件的附件。管理部门也要提醒员工激活防病毒和防木马软件,
以防范那些看似可以信任但实则会带来危害的邮件。
91
第八章 利用同情、内疚和胁迫
和在15 章中讨论的一样,社会工程师利用心理影响引导目标答应他的请求。熟练的社
会工程师非常擅长一个诡计:刺激情感,如畏惧、兴奋或内疚。他们利用心理触发——自动
机制,引导人们未经深入分析有用的信息就回应请求。
我们想让自己和他人都避免陷入困境,基于此论断,攻击者可以利用人们的同情心,让
他的目标感到内疚,或者像使用武器一样胁迫受害者。
下面是一些研究所的利用情绪的热门策略课程。
电影制片厂的访客
你有没有注意过一些人是怎样进入有守卫的地方(比如,会议室、私人派对或者图书发
布仪式)而不用被询问是否有入场券或通行证?
有许多相同的方法,一个社会工程师能在你没有想过可能性的地方谈论他的方法——就
像下面这个电影行业的故事一样。
电话响了
“罗恩·希亚德(Ron Hillyard)办公室,我是多罗茜(Dorothy)。”
“多罗茜,你好,我叫凯尔·贝拉米(Kyle Bellamy)。我刚刚加入Animation 公司成为
布莱恩·格拉斯曼(Brian Glassman)的职员,你应该对这里不同的事情很了解吧。”
“我想,我从没在其它电影公司工作过,所以我真的不知道,我能帮你做什么?”
“说实话,我觉得自己有点笨,今天下午为稿件会议约了名作家过来,不知道该和谁讨
论让他参与哪一部分。布莱恩办公室里的人都非常好,但是我不想再麻烦他们教我这件事我
该怎么做,那件事我该怎么做,就像我刚刚从大学出来找不到去洗手间的路。你明白我的意
思吗?”
多罗茜笑了。
“你要和Security 里的人讨论,拨号7,然后6138。如果你联系上了劳伦(Lauren),
告诉她多罗茜说她能够帮助你。”
“谢谢,多罗茜。如果我找不到男洗手间,我会再打电话给你!”
92
他们都为这个想法暗自发笑,然后挂了电话。
大卫·哈罗德(David Harold)的故事
我热爱电影。当我搬到洛杉矶时,我想我可以和各种各样的电影商业人士见面,他们会
邀请我参加聚会并在摄影棚里吃午饭。好,我在这里已经一年了,现在26 岁,最靠近的一
次是在菲尼克斯和克里夫兰(译者注:均为美国城市)遇到了环球电影公司的一些友好的人。
所以最后我开始记录电话号码,如果他们不邀请我,我就邀请我自己。我就是这样做的。
我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏,写下不同电影公司的制
片人的名字。我首先确定了一个偶然发现大型制片厂,然后打电话给接线总机请求接通我在
报纸上找到名字的这个制片人。接线员的回答很亲切,所以我很幸运,如果是一个只在那里
盼望着着被提拔的年轻女孩,她也许不会给我时间。
但是这个多罗茜,她听上去像是在接待一个迷路的小猫,有人同情这个被新工作打击了
的新人。并且我肯定很好的触动了她,不是每天你设法欺骗一些人他们就会给你比你请求的
更多的东西。出于同情,她不仅给了我一个在Security 的人的名字,还说我可以告诉那位
女士多罗茜希望她帮助我。
当然我计划过无论如何要利用多罗茜的名字,劳伦都没查找我提供的名字是否真的在员
工数据库里就信任了我,这让我的目标更好实现。
当我那个下午开车进入大门时,他们不仅把我的名字放到了访客名单里,还为我准备了
一个停车位。我在内部餐厅吃了一顿迟了的午饭,然后在这个地方散步直到一天结束。我甚
至偷偷摸摸地到了几个摄影棚,看他们拍电影直到7 点才离开。那是我经历的令人激动的一
