我在影片中见到过它
这儿有一个例子,来自一部许多人都会想起来的电影。《英雄不流泪》(Three Days of the Condor)中的主角,特纳(罗伯特?瑞德福特饰演)为一家与中央情报局签约的小调查公司工作。一天,他吃完午饭后回来发现他的同事们都被枪杀了,他决定找出凶手和真相,同时那些坏人也一直在找他。故事的后面部分,特纳(Turner)设法得到了其中一个坏人的电话号码,但这个人是谁?特纳又如何确定他的在哪儿呢?他很幸运。编剧大卫?瑞菲尔轻松的给了特纳一个美国陆军通讯兵的受训背景,使他在电话方面有着丰富的知识和经验。特纳当然知道该如何利用手中的电话号码,在剧本中,那幕场景是这样的:
特纳重新拿起电话拨出另一个号码
叮呤!
女性的声音从电话中传来:CNA,我是科尔曼(Coleman)夫人。
特纳:科尔曼夫人,我是哈罗德?托马斯,客户服务CNA202-555-7389,谢谢。
科尔曼夫人:请稍等。(几乎是同时)兰纳德?亚特伍德,马里兰州切维柴斯区麦克肯色街765号。
虽然编剧错误地把华盛顿特区的电话区号用到了马里兰州,但我们没必要注意这个细节。关健是弄明白刚才的对话是怎么一回事。
特纳由于有通讯兵的受训背景,他知道如何给电话公司的CNA部门(Customer Name and Address-客户名称与地址)打电话。CNA是为了方便电话安装员和其他得到授权的电话公司职员而成立的部门,电话安装员拨打CNA并提供一个电话号码时,CNA的服务人员就会报出电话所有者的名字和地址。
愚弄电话公司
在现实世界中,CNA的电话号码保护的十分严密。尽管当今的电话公司最终明白这一点,并不再轻易的泄露此类信息,但在当时他们却实行着地下酒吧式的安全,那时的安全专家们管这种安全叫做隐晦安全。他们假定任何给CAN打电话并知道其专业用语(如,客户服务CNA555-1234)的人都已被授权得到相应信息。
专业术语
隐晦安全:一种效率低下的计算机安全手段,通过对系统运转细节(协议、算法和内部系统)的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统,因此这种安全并不可靠。
米特尼克信箱
隐晦安全在社会工程师的面前毫无用处。在这个世界上,每一个计算机系统至少有一个人在使用。因此,如果社会工程师能够操纵这个使用系统的人,系统的隐晦就没有意义。不用亲自验证或确认,不用提供员工号码,也不用每天改变口令,只要你知道正确的电话号码并听起来可以信任,你就有权得到相关信息。对于电话公司来说,情况并不总是这样,他们还会定期的(至少一年一次)改变电话号码做为仅有的安全举措。即便这样,某个特定时期的号码还是在电话盗打者的圈子里传得很广,他们很高兴利用这个便利的信息资源,并乐于在同行中分享他们的所做所为。在我十几岁习惯盗打电话的时期,拨打CNA我最先学到的手段之一。
在全世界的政府和企业中,地下酒吧式的安全仍然很普遍。它可能是你公司的部门、员工和专业术语,有时连这些也用不着,一个内部电话号码就够了。
粗心的计算机管理者
尽管企业中的许多员工都对信息安全的危险或给予忽视或漠不关心,或是没有这方面的意识,但那些500强企业中计算机中心的管理者应该对安全操作了如指掌了吧,对吧?
不要期望一位计算机中心的管理者——负责公司IT部门的人,会掉入简单、明显的社会工程学圈套,尤其是还带有孩子气的、刚步入社会的年轻社会工程师。但有时,这样的想法是错误的。
收听
在以前,对许多人来说,把无线电调到地方警察局或消防队的频率收听正在进行中的银行抢劫、办公大楼起火、高速追击是一件很有趣的事情。执法部门和消防部门使用的无线电频率,曾经从街角书店的书中就可以查到。现在,在网上就有这些频率的列表,你还可以从Radio Shack(译者注:美国著名电子产品零售商)买到列有地方、郡、州有时甚至是联邦机构无线频率的书。
当然,不只是那些怀有好奇心的人,午夜抢劫店铺的窃贼会收听是否有警车派到附近,毒品贩子要始终关注的毒品缉查人员的行动,纵火犯则通过放火后收听消防队奋力灭火的情况来满足他的变态嗜好。
最近几年来,计算机技术的发展已经使声音信息的加密成为可能。在工程师们不断的找到方法把越来越多的计算能力塞进一块微芯片时,他们也开始制造小巧的加密无线设备,帮助执法部门来防范坏人和怀有好奇心的人窃听。
窃听者丹尼
一个我们称之为丹尼的扫描器爱好者,同时也是位技巧娴熟的黑客,他想看一下自己是否能够染指由安全无线系统顶级生产商开发的绝密的加密软件源代码。他希望通过这些代码了解如何对执法部门进行窃听,同时利用此技术令即便是最强有力的政府部门也很难监视他与朋友的通话。在朦胧的黑客世界中,丹尼这样的人属于特殊的一类,介于无恶意的好奇和完全的破坏之间。他们有着专家般的知识和极易引起麻烦的黑客想法,为了智力挑战和了解技术细节带来的满足感入侵系统和网络。但是他们惊人的电子入侵技术,也仅仅是一种特技。
这些人,这些无恶意的黑客,非法进入别人的网站纯粹是为了有趣并为能够证明自己的能力而感到满足。他们并不偷窃,也没有利用这种手段来赚钱。他们不会破坏文件、中断网络连接,或是摧毁计算机系统。他们的目的就是悄悄地捕获文件拷贝、搜索电子邮件、得到密码,以嘲弄那些网络管理员和对安全负责的工作人员,他们的满足感基本来自于这种胜人一筹的能力。
就这样,我们的丹尼为了满足自己强烈的好奇心并为了对生产商可能做出的惊人革新一看究竟,他将检验对方高度保护的产品信息细节。不用说,这种产品的设计是受到严密保护的,如同公司其他贵重的财产一样。丹尼知道这一点,但他并不怎么担心。毕竟,这只是一家没什么名气的大公司。但他如何得到软件的源代码呢?
正如我们最后将要看到的,从公司的保安通讯小组中猎取信息很容易,即使这家公司也使用了双因素认证(用户需两种单独的标识来证明身份)技术。这里有一个你可能已经熟悉的例子:当你的信用卡更换日期到了的时候,你需要给发行公司打电话,让他们知道信息卡还在持卡人的手中,并没有被人偷走。信息用卡上会说明在通常情况下要从家打电话,当打电话时,信用卡公司的软件程序就会分析ANI(自动号码认证),并被转到公司的免费电话上。信用卡公司的计算机使用ANI提供的呼叫方号码,与公司持卡人数据库中的号码做比较。公司的工作人员在接电话时,他或她就会看到数据库中显示的客户详细信息。这样,工作人员就知道了电话是客户从家中打来的,这就是一种形式的认证。
专业用语
双因素认证:用两种不同的验证方式对身份进行确认。比如,一个人必须从某个可确认的地方打来电话并知道口令来确认自已的身份,然后工作人员从你的信息中选出某个条目(通常为社会保险号码、出生日期或是母亲的姓氏)来询问你,如果你的答案正确,这就是第二次的验证――基于你应该知道的信息。我们故事中那家生产安全无线电系统的公司,每一名有权访问计算机的职员都有自己的账号和口令,并另外配备一个叫做安全ID的电子小设备,这就是时间令牌。它有两种型号:一种只有一张信用卡的一半大小,但稍厚些。另一种小到可以挂到钥匙链上。
这个特殊的装置由加密技术衍生而来,它的上面有一个显示六位数字的小窗口,每六十秒改变一次。当一位得到授权的用户从外部访问网络时,她首先必须输入她的PIN码和令牌上的数字,依此来确认自己的身份。内部系统一旦予以确认,她就可以输入用户名和口令进行认证。
对于觊觎着源代码的年轻黑客丹尼来说,他不仅要解决用户名和口令的问题(对于经验丰富的社会工程师来说这算不上什么难题)还要绕过时间令牌的检测。攻破基于时间令牌和用户PIN码的双因素认证听起来像是一个“不可能的任务”,但对于社会工程师来说,这种挑战类似于一个能够占尽对方优势的有着高超观察能力的牌手,再加上一点儿小运气,当他在桌子旁坐下来时,就知道别人口袋里的钱基本已是他的囊中之物了。
冲击堡垒
丹尼先是做准备工作,很快他就得到假扮一个真正的雇员所需的各种信息。姓名、部门、电话号码和员工号码,还有部门经理的姓名和电话号码。现在,是攻击前的平静期。按照计划,丹尼在采取下一步行动前还需要一个条件,而此事他毫无把握:丹尼需要大自然母亲的帮助,他需要一场暴风雪,一个阻止人们去办公室上班的恶劣天气。在南达科他州的冬季,那家生产商的所在地,一个恶劣气候从不会让希望它的人等太久。星期五晚,一场暴风雪到了。雪迅速的转成冰雨,到了早晨路面就会结一层薄薄的冰,十分危险。这对丹尼来说,简直太好了。
他打电话给那家厂商,转到计算机机房,找到一名自称罗杰?科瓦斯基(Roger Kowalski)的计算机操作员。
丹尼:“我是安全通讯部的鲍伯?比林斯(Billings),我现在家中,因为冰雪的缘故我无法开车。我现在需要访问我的工作站和服务器,但我把安全ID忘到办公桌上了,你能帮我拿回来么?或者让别人帮一下忙,然后当我登录的时候给我念一下好么?我的工作任务有一个最后期限,我没有别的办法。而且,我也没办法去办公室,路况太糟糕了。
操作员科瓦斯基:“我不能离开计算机中心……”,
丹尼:“你自己有安全ID么?”
科瓦斯基:“计算机中心有一个,我们保留它是为了操作员应对紧急情况的。”
丹尼:“听着,你能帮我这个忙么?我拨号入网的时候,借用一下你的安全ID可以么?路况一能驾车就不用了。”
科瓦斯基:“你是谁来着?你的上司是谁?”
丹尼:“埃德?特伦顿(Ed Trenton)。”
科瓦斯基:“哦,我认识他。”
当事情比较棘手时,优秀的社会工程师会多做一些调查工作。“我就在二层,”丹尼说:“罗伊?塔克(Roy Tucker)的旁边。”科瓦斯基也知道这个人。丹尼接着重新建议他:“到我的办公桌取来安全ID很方便。”
丹尼完全断定对方不会听从他的建议。首先,对方不会在当班的时候离开岗位,穿走廊、爬楼梯到大楼的另一边。也不会到别人的办公桌上乱翻一通,打搅别人的私人空间。没错,这个赌注很安全。
科瓦斯基不想对一个需要帮助的人说“不”,当然他也不想擅自做主张而让自己陷入到麻烦中,于是他做了个折中的决定。“我得请示一下,稍等。”他放下电话,丹尼能听到他拿起另一个电话拨打并解释这件事。科瓦斯基这时做出了让人难以理解的陈述(他实际上已经认定了丹尼就是鲍伯?比林斯)。“我认识他,”他对他的主管说:“他的上司是埃德?特伦顿。我们能让他用一下计算机中心的安全ID吗?”
丹尼惊奇地偷听着科瓦斯基对他意乎寻常、意料之外的支持,他简直无法相信自己的耳朵。
又过了一会儿,科瓦斯基拿起丹尼的电话说:“我们经理想亲自跟你说话。”然后告诉丹尼经理的名字和手机号码。丹尼打过去又把整个故事重复了一遍,同时又添加了一些工作细节和他的工作为什么有一个最后期限。“如果有人拿回来我的安全ID就方便多了,”丹尼说:“我想桌子应该没锁住,它就在左上方的抽屉里。”
“嗯,正好是周末,”经理说:“我想你可以用计算机中心的ID,我让值班人员在你拨入的时候给你读一下随机访问码。”然后他把相应的PIN码告诉了丹尼。整个周末,丹尼只需打电话给计算机中心让有关人员念一下安全ID上的六位数字,便随时都可以进入这家企业的计算机系统。
内部任务
当丹尼进入这家企业的计算机系统后,又该怎么办?他如何找到那台放有他想要的加密软件的服务器呢?对此,他已有所准备。许多计算机用户都知道电子公告板形式的新闻组,人们可以把问题贴上来或者回答别人的问题,也有人用它来寻找拥有共同兴趣的虚拟伙伴,如音乐、计算机,或者是其他成百上千的主题。在新闻组站点上发布信息的时候,很少有人会想到这些信息会在网上保留数年之久。比如Google,目前保留着7亿条信息量的存档,某些信息已经有了二十年的历史。丹尼首先访问了m这个网址,用“无线加密通讯”和那家企业的名称做为关健词进行搜索,结果发现了一条数年前某个职员贴出的信息,是在这家公司刚开始开发这个产品的时候贴出的,很可能是在警察部门和联邦机构考虑使用加密无线信号很久以前的事了。
这条信息包含了发送者的签名档,其中不仅有他的名字――斯科特?普瑞斯(Scott Press),还有他的电话号码,甚至他的工作组名称――安全通讯小组。丹尼发现这个电话后打了过去,这个机会似乎很渺茫。多年后他仍然还在这家公司么?在这个暴风雪的周末他还会在工作么?电话铃在响,一声、二声、三声,一个声音从电话另一端传来,“我是斯科特,”对方说。
丹尼介绍自己是公司IT部门的,从而操纵着普瑞斯(用前几章中大家已熟悉的方法)透露出研发部门所使用服务器的名称,这些服务器的上面可能存有这家企业无线安全产品固件和独有加密算法的源代码。
丹尼越来越接近目标,也越来越兴奋。他期待着那种快感,那种当他完成只有很少人才能达到的目标时所感到的狂喜。然而,他现在还不能放松。虽然由于计算机中心经理的支持,可以随时进入这家企业网络系统,同时也知道了需要访问的服务器。但是,在他拨入时他登录的终端服务器却不能连接到安全通讯小组的系统。一定是有内部防火墙或是路由器保护着研发组的计算机系统,丹尼必须找到其他的办法进入。
接下来的情况需要些胆量,丹尼再次给计算机中心的科瓦斯基打电话抱怨:“我的服务器不让连接,我需要你帮我建一个账号来telnet(远程登录)系统。”
既然部门经理已经同意告诉他时间令牌上的访问码,当然这个新的请求似乎也没什么不合理。科瓦斯基在计算机中心的计算机上建立了一个临时账号,然后告诉丹尼不再需要这个账号时通知他,好把它删除。有了这个临时账号,丹尼便可以连接到安全通讯小组的系统了。经过了一个小时的查找,丹尼中了个头彩,他找到了访问研发服务器的漏洞。很明显,系统管理员并没有时刻关注最新的系统远程安全漏洞,但丹尼关注了。
很快地,他就找到那些源代码文件,并把它们远远地发送到一个提供免费存储空间的商业站点。这样,即使这些文件被发现,也不会追查到丹尼。现在只剩下最后一步了:有条不紊的擦去他的痕迹。他在当晚的杰伊?里诺(译者注:Jay Leno,著名脱口秀节目主持人)的节目播完之前完成了这项工作。
丹尼极为得意他的这次杰作,在这次行动中,他从未把自己置于危险之中,这是一次令人陶醉的激情之旅,甚至比滑雪和跳伞都要过瘾。丹尼那天晚上喝醉了,不只是因为威士忌、杜松子、啤酒和清酒,在盗来的源代码文件中逐步地接近那绝密的无线软件时,他完全沉醉于自己的能力和成功感之中。
过程分析
在上面的故事中,骗局的成功归于那家企业的职员过于相信了打电话人表示身份的话语。这种帮助同事解决问题的热心一方面使工作顺利进展并获得更令人满意的合作认可,另一方面却是极易被社会工程师利用的重大漏洞。
在骗局中丹尼使用的一个小技巧值得注意:他在要求别人到他的办公桌上拿安全ID时,不断地说“拿回来”。这个用语经常做为让狗取东西的命令,没人会乐意为别人“拿回来”东西。由于这一点,丹尼更加的断定这个请求不会被接受,于是其他的解决方法便会自然而来,那正是他想要的结果。那个计算机操作员科瓦斯基,在丹尼随便的说出了一个自己碰巧认识的人名后便完全相信了他。但为什么科瓦斯基的经理(一个IT经理)竟然也同意让陌生人访问公司的内网?仅仅是因为这样的求助电话是社会工程师百宝囊中一个强大的说服工具么?
米特尼克信箱
这个故事表明时间令牌或是类似的认证方法并不能抵挡住一个诡计多端的社会工程师,真正有效的防范是一个尽职尽责职员,不仅严守公司的安全守则而且了解别有用心的人是如何影响他人的行为的。
预防措施
在上述所有的故事中有一点似乎经常提到,那就是攻击者从企业外部进入内部的计算机网络时,帮助他的工作人员都没有采取足够的措施来确认对方的合法身份,是否有权访问系统。为什么我会经常提及这一点呢?因为,这的确是许多社会工程师在攻击时所采用的手段。对于他们来说,这是达到目标最简单易用的方法。一个电话就能解决的事,还有必要再花上几个小时寻找技术上的漏洞么?
对于社会工程师来说,实施这种攻击最有力的手段就是假装需要帮助,这是攻击者经常采用的方法。既然我们不想禁止员工对同事或客户的帮助,因此特定详细的确认程序成为判断任何人是否有权使用计算机或接触机密信息的必要。这样,我们才可以帮助应该帮助的人,同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的各种不同的确认方法,第十七章提供这样的一个详细列表,但在这儿首先要考虑一些指南:一个确认对方的好办法就是拨打公司通讯录上的电话,如果对方实际上是个冒名顶替者,那么这个确认电话不是令你找到真正的人(被冒充者,而这时冒名顶替者还给你打着电话),就是可以听到被冒充者的语音信箱,从而你就可以与冒名顶替者的声音做比较。
如果企业使用员工号码确认身份,务必要把员工号当做企业的敏感信息,小心保护,不要泄露。此规则适用于所有的内部识别信息,如内部电话号码、部门单据,甚至电子邮件。在安全培训中应唤起每个人对陌生人的警惕,不要因为对方听起来熟悉内部或可信就认为他是真正的内部人员,仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认的理由。
安全管理人员和系统管理员不能只注意其他人员的安全意识,他们自己也需要提醒自己遵循守则、程序和操作规程。密码口令等信息绝不能共享,而对时间令牌或其他方式的认证来说,限制共用则更为重要。应该普遍认识到,这类事物的共享会危害到公司整个的系统布署。共享就意味着无责任,如果发生安全事件,或是其他问题时,就分不清是谁的责任了。
正如我在整本书中不断重申的,员工要熟悉社会工程师的策略和方法,仔细的分析对方的要求,考虑把角色扮演做为安全培训中的一个固定内容,以使员工能较好的理解社会工程师的手段。
第七章 假冒网站和危险附件
虽然有句老话说“不劳而获是不可能的”,但把免费当做幌子进行促销仍是许多商家愿意使用的方法,无所谓合理(“等一下,还有……,现在打电话,我们将免费奉送一套餐刀和一个长柄锅!”)或不太合理(“佛罗里达湿地,买一亩送一亩!”),而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心,出门不换”的警言,但在这里需要注意的是一另句话:“小心具有诱惑力的电子邮件附件和免费软件。”精明的攻击者会想方设法进入企业的网络,比如利用免费礼物对人们的吸引力。下面是几个例子:
你不想免费么?
就像病毒从一开始就给人类带来祸害,给医生带来麻烦一样,计算机病毒给其使用者带来同样的苦难。如今,计算机病毒以其巨大的破坏力受到很多人的关注,它们是由计算机破坏者制造出来的。计算机痴迷者逐渐存心不良,计算机破坏者在卖力的炫耀他们是多么的聪明过人。有时他们的行为像是入门仪式,为了给具有老资格和经验丰富的黑客前辈留下印象,他们攒着劲的制造出会带来危害的蠕虫或病毒。一旦这些“成果”破坏了文件,毁掉整个硬盘,并把自身发给成千上万的毫无防备的人,破坏者便会因此而沾沾自喜。如果这些病毒带来的危害足以成为报纸的新闻和网络上的病毒警告,他们便更加得意洋洋了。
有很多文章来描写这些破坏者和他们制造的病毒,还有防病毒的软件程序和专门的安全企业,但我们在这里并不想过多的讨论如何在技术上防范他们的攻击,以及他们的破坏行为,我们的话题将更多的关注他们的远亲――社会工程师。
来自电子邮件
你也许每天都能接到不请自来的邮件,有广告还有提供免费品之类的邮件,这些东西你既不需要也不想要。你知道那无非是些投资建议、电器、维生素或旅游打折之类的东西,还有你并不需要的信用卡、可以免费观看收费电视频道的设备、增进健康或改进性生活的方法,等等等等。
但每当这样的邮件从你的电子邮箱弹出来的时候都会引起你的注目,也许是一个免费游戏、一副你喜欢的名星的照片、一个免费日历软件或是用来保护你的计算机免受病毒侵害的便宜的共享软件。无论是什么,它都会引导你去下载你想去尝试的文件。
所有的这些行为,包括下载从广告邮件中得知的软件、点击一个你从未听说过的网站链接、打开陌生人发过来的附件,都可能会惹来麻烦。当然,很多时候你得到的也正是你想要的,或者运气很差,令你失望和生气,但至少无害。可有些时候,你会碰到计算机破坏者制造的程序。发送恶意代码到你的计算机上只是攻击的一小步,攻击者会诱导你下载完成攻击所需的附件。
注:
有一种在计算机上悄悄运行的程序叫RAT(Remote Access Trojan)――远程访问控制木马,它给予攻击者充分访问你的计算机的权限,如同坐在你的键盘前。最具有破坏力的恶意代码病毒,像爱虫(Love Letter)、SirCam和Kournikiva等等,都依赖于社会工程师欺骗的艺术,并利用人们不劳而获的心理传播。它时常作为一个具有引诱力的邮件附件而出现,像机密信息、免费色情资料,或者一个更加诡诈的方法――一条你可能定购了某昂贵物品的信息。最后这种方法,利用你害怕信用卡可能被消费的心理,令你打开这些危险的附件。
令人震惊的是,有太多的人因此而上当,即使在一次又一次的被告知打开附件的危险性之后。随着时间的过去,逐渐削弱的危险意识,让我们每一个人都易受攻击。
识别恶意软件
另一种恶意软件在你不知道或未认可的情况下进入你的计算机运行,这种软件伪装的很好,甚至有时它会表现为一个word文档或是powerPoint文件,或含有宏命令,它将悄悄的安装一个未经许可的程序。比如,它可能是一个在第六章谈到过的木马。一旦这个软件安装到你的计算机上,它能够将你每一次敲击键盘的情况反馈给攻击者,包括你的口令和信用卡号。
还有两种恶意软件,听起来些难以置信。一种可以把你说的每一句话都传送给攻击者,即使你认为你的麦克风是关着的。另一种更加恶劣,如果你的计算机配有摄像头,攻击者可以利用它捕获在你计算机前发生的任何画面,即便你认为你的摄像头是关着的,无论白天或黑夜。
专业术语
恶意软件:一种危害性的程序,例如病毒、蠕虫,或是木马。
米特尼克信箱
小心那些提供礼物的伪装者,否则你的公司很可能会遭受与特洛伊城相同的命运。一旦发现可疑迹象,一定要采取保护措施。有些喜欢恶作剧的黑客可能会在你的计算机上运行一些骚扰程序,如弹开你的光驱、最小化你的当前窗口,或者用最大的音量在半夜播放一声尖叫。虽然这样的伎俩没有什么意思,尤其当你完成工作或准备睡觉时,但至少这些恶作剧不会带来真正的损失。
朋友的消息
也许情况会变得更糟,尽管你已经处处小心。想像一下:你已经决定不再冒险,不再从你不知道和信任的站点下载文件,除了那些可靠的站点,如安全焦点(SecurityFm)和亚马逊(Amazon)。你不再点击不知其来源的邮件链接,不再打开陌生的邮件附件,并检查你浏览器的安全标志,以确定你访问的电子商务或交换秘密信息的站点的安全性。
这样,有一天,你收到一封朋友或商业合作伙伴的带着附件的邮件。这封来自熟人的信不会有危险吧?即使有危险,你也知道该找谁承担。于是,你打开了附件……轰!你又中了蠕虫或是木马。为什么你的熟人会这样做呢?事情并不象表面上那样。事实是,进入到某人计算机上的蠕虫会根据所进入计算机上的地址薄,自动的把自身发给地址薄中的每一个人。这样,每一个中了此蠕虫的计算机都会传给其地址薄上的所有熟人,蠕虫就这样不断地繁殖,如同在水塘中掷下一块石头而产生的波纹。
这种手段之所以有效在于它结合了两个方法:一是在没有戒心的受害者中传播,二是以熟人的面目出现。
米特尼克信箱
人类发明了许多奇妙的方法,以改变世界和我们的生活方式。但每一种带来的进步的科技,无论是计算机、电话还是互联网,总会有人利用它做坏事,以满足自己的私欲。目前的科学技术处于这样一种状态,你在收到熟人的邮件之后仍然要确定它是否安全,是否可以打开,这真是一件令人悲哀的事。
主题变奏
互联网时代有一种骗局,可以让你进入你并不想去的站点,这种事情很常见,花样也很多。下面的例子具有代表性,这是一个发生在互联网上的真实故事。
圣诞快乐
埃德加(Edgar)是一个已退休的保险销售商,一天他收到一封来自贝宝(PayPal,提供方便快捷的在线支付公司)的邮件。这种服务对于一个在某地或是某个国家从不熟悉的商家购物时,尤其方便。贝宝会直接把从买家的信息卡中把钱转到卖家的账户。埃德加是一个古董瓶的收藏者,通过在线拍卖公司eBay做过许多网上交易。他经常使用贝宝,有时一个星期就用数次。于是,埃德加对这封2001年圣诞节期间,像是来自贝宝公司的邮件很感兴趣,这封邮件是一封升级他的贝宝账户的奖励邮件。信中写道:
节日问候!贝宝高级用户:
新年将至,贝宝将往您的账户上划入5美元,你只需在2002年1月1日前,到贝宝安全站点确认这5美元是做为升级你的账户信息所用即可。新年新气象,升级您的账户,以延续您在贝宝的记录,同时方便我们以优质的服务继续为您提供有价值的客户服务。立即升级账户并马上接收5美元,请点击:http://www. Paypa1 -secure. com/cgi bin 谢谢您使用贝宝和对我们的支持!圣诞快乐,新年愉快!
贝宝
电子商务网站
你也许知道,人们不大愿意在网上购物,即便是亚马逊、eBay,或象老海军(Old Navy)、塔吉特(Target)、耐克这样的这样名牌公司和网站。从某方面来看,他们的戒心无可非议。如果你的浏览器使用现在的128位加密标准,那么你从计算机上发往任意一个安全站点的信息都是经过加密的。这些数据经过大量的努力理论上可以被解密,但更可能的是在正常的时间内无法解密,除非是国家安全部(但谁也没听说过,国家安全部对盗窃美国公民的信息卡号以及谁定购了色情录像或情趣内衣感兴趣)。
这些加密信息实际上可以被任何有时间有才智的人所破解。但是,许多电子商务公司把他们的客户信息未经加密的存储在数据库中,在这种情况下,再去耗费巨大的精力去破解一个信用卡号会是多么的愚蠢。更糟糕的是,有许多使用特定SQL数据库软件的电子商务公司都会犯这样的错误:他们从未改变过数据库系统管理员的默认口令。他们安装数据库时,系统口令默认是空口令,于是它就一直空着。所以,这个数据库里面的内容,对于互联网上任何尝试连接这个数据库服务器的人都是唾手可得的。
这些站点始终都处在被攻击并且信息会被窃取的危险下,而无需复杂的手段。另一方面,那些不愿在网上购物的人担心他们的信用卡信息被盗。但他们却不在意去真实的商店购物,吃午饭、晚饭,甚至去偏僻街道的小酒馆等一样可以用信用卡付费的地方,即便这些地方总是有人偷取信用卡的收据,有时收据还会从垃圾箱中被人找出。还有一些道德败坏的店员服务生会偷偷记下你的名字和卡号,或使用很容易就在网上买到的盗卡装置,来存储在它上面刷过的信用卡数据,以备日后使用。
在线购物有些冒险,但也可能和在真实的商店购物一样安全。当你在网上使用信用卡时,信用卡公司为你提供相同的保护。如果发生欺诈性收费,你的账户只会损失头一笔交易的50美元。因此我认为,对网上购物的恐惧只是另一种错误的担心。
埃德加没有注意到邮件中的几个不对劲的地方,如抬头的分号,混乱的用词(我们以优质的服务继续为您提供有价值的客户服务)。他点击了链接,输入姓名、地址、电话号码和信用卡等信息,然后静静地等待5美元的到来。但他等来的只会是一堆他从未购买过的商品账单。
过程分析
埃德加被互联网上司空见惯的骗局所欺骗,这种骗局有多种形式,其中一种(详见第九章)有着与真正网站一样的界面,看起来真实可信。不同之处在于冒充的页面不会到达用户真正想访问的系统,而是会把他的用户名和口令发给黑客。埃德加被骗了,对方注册了一个域名为m的网站,看上去如同贝宝的一个安全页面。当他在这个页面输入个人信息时,黑客们便得逞了。
米特尼克信箱
当没有安全保证时,无论什么时候访问一个需要输入个人信息的网站时,一定要确认当前链接是可信和加密的。更需注意的是,不要顺其自然地点击对话框中的“yes”,尤其是有安全提示的对话框,比如无效、过期或废除的数字证书的提示。
变奏之变奏
究竟有多少多种方法可以骗取人们在假冒的网站输入他们的机密信息?我不认为大家对此有一个统一的答案,但无疑是越来越多。
不明链接
一种常见的手法:发送一封具有诱惑力的邮件,提供一个链接。它并不会带你到想去的站点,它只是看起来像那个的站点的链接。另一个已经在互联网上应用的例子是,用paypa1模仿paypal。
乍一看来,像是贝宝的域名。即便受害人注意到这一点,他也可能会以为只是一个文本上的小错误,把1当成l了。而谁又会立刻注意到那是一个数字1而不是小写的L呢?就这样,有很多的人失去了信用卡上的钱,而这个诈骗手段得以继续。假冒网站做的跟真得一样,当人们访问时,便轻率地输入他们的信用卡上的信息。建立这样一种行骗的机制,攻击者只需注册一个用来冒充的域名,发出电子邮件,然后等待那些傻鸟们上钩。
2002年,我收到一封标着来自Ebay@m的邮件,很明显这是一个群发性质的邮件。见图8.1,(译者注:我的电子书中看不到这张图。)这样的链接应该注意。
-------------------
亲爱的eBay用户,很明显您的eBay账户被第三方所影响并违犯了我们下面的用户协定条款:
4.招投标
用户如果通过固定价格或成为最高价竞买人,并经销售方同意,则有义务与销售方一起完成此项交易,否则此项交易会被本协定或法律终止。
您之所以收到此通知是因为您当前账户服务的中断引起了我们的注意,eBay方面需要立刻验证你的账户,请验证您的账户以免账户被封。点击此处验证你的账户――http://error m 商标设计和标志为各自拥有者所有,eBay以及eBay图标为eBay有限公司的注册商标。
-----------------
点击这个链接的人会来到一个很像eBay网站的页面,设计精美,带有eBay的图标,令人可信。而且,如果点击页面上的“浏览”、“出售”等一些导航链接,可将访问者带到真正的eBay站点。页面的右下角也有一个安全的图标,为了防止精明的用户发现马脚,仿造者甚至使用HTML加密来掩盖用户信息的发送地。
这是一个极好的基于计算机进行社会工程学攻击的例子。然而,它也有着一些漏洞。内容上文笔较差,尤其是在最后一段的开头“您之所以收到此通知”,这即拗口也用词不当(实施这些骗局的人才不会雇用一个专业编辑人员来修饰这些内容)。此外,任何一个认真的人都会对eBay索取访问者的贝宝账户信息感到怀疑,eBay有什么理由能向用户索取用户在另外的公司中注册的私人信息呢。
而且如果对于互联网很熟悉的人来说,很可能会发现这个链接并不是eBay的域名,而是m(一个提供免费主页的网站),这无疑是一封非法的邮件。然而,我打赌还是会有很多人在这样的页面上输入他们的个人信息,包括信息卡号。
注:为什么人们可以注册欺骗性和不合适的域名?现行的法律和互联网政策规定,任何人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者,但结果并不理想。通用(美国著名汽车公司――m)对一个域名为m的网站提出诉讼,通用败诉。
保持警觉
作为互联网的个人用户,我们所有的人都应该保持警觉,当键入个人信息,如口令、账户或PIN码等信息时,要对目前情况有清醒的认识。你的熟人当中,有多少人能保证他在浏览的页面是安全页面?你公司的员工又有多少人知道该如何做?
每个使用互联网的用户都应该认识那个经常出现在网页上的像一个小挂锁样的图标,当挂扣合上的时候,站点则是安全的。如果挂扣打开着,或是就没有挂锁图样,这个站点就不能被确认是可信的,在上面传送的任何信息都可能处于危险之中(信息未被加密)。
然而,一个危及计算机管理员权限的攻击者可能会更改操作系统代码,甚至为其打上补丁,以掩饰计算机已受到攻击的真相。比如,可以绕过浏览器中的程序对显示某站点的数字证书是否失效的检测。再比如,系统可能会被植入rootkit,安装一个或多个很难检测出来的系统级别的后门。
安全连接可以保证站点的真实性,并对传输的信息进行加密。因此,一个攻击者便无法利用他拦截的信息。可以信任一个已经使用加密连接的站点么?不,因为这个网站的站长并没有随时为网站打上必要的安全补丁,因此不能假定任何安全站点都可以对攻击免疫。
专业术语
后门:在用户不知道的情况下进入用房计算机的一个隐蔽入口。编程人员在开发软件时,也会用其来进入程序以解决问题。安全超文本传输协议(HTTP)或安全套接层协议(SSL)提供一个使用数字证书的自动机制,,不仅可以加密发送到远端站点的信息,还可以对其进行认证(保证所连接的站点是真实可信的)。然而,这种保护机制对于那些疏于检验地址栏中的网址是否为他们想访问站点的用户是无效的。
还有一个极容易被忽视的安全问题,弹出类似这样的消息框:“此站点非安全站点或安全证书已过期,您是否还要继续访问?”许多互联网用户并不清楚它的具体含义,于是他们直接点击“确定”或“是”来继续他们的访问,而没有意识到可能已处于危险之中。
警告:在没有使用安全协议的站点上,一定不要输入个人的敏感信息,如地址、电话、信息卡号或银行账号,或者是任何你不想泄露的私人信息。
托马斯?杰佛逊(译者注:Thomas Jefferson 美国第三任总统,《独立宣言》的起草人)说过,保持自由需要“永远的警惕”。在一个视信息为流通货币的社会,要保护个人隐私和安全同样如此。
了解病毒
一个对病毒软件的特殊提示:不仅是对企业内网的用户,而且对每一个计算机用户都是必要的。不要只是把防病毒软件装在机器上,还要让其时刻运行(许多人不喜欢这样做,因为会降低计算机的性能)。
另外一个需要谨记的是:保持病毒库的更新。除非你的企业负责为每个员工更新软件和病毒库,否则自己一定要承担起下载最新病毒库的义务。我个人建议每个人都对防病毒软件的更新功能进行设置,以使软件可以每天自动更新病毒库。
专业术语
安全套接层协议:网景开发的用于互联网上客户与服务器端的安全认证协议。经常性的更新病毒库可以基本保证计算机的安全性,但这并不足以完全保证安全,还有一些病毒或蠕虫是防病毒软件公司未知的,因此相应的保护程序也就没有发布。
所有有着远程访问权限的用户,至少要在笔记本电脑或家用电脑上升级防病毒软件和防火墙。老练的攻击者会从整个系统中寻找到最弱点而发起攻击,因此需要时常提醒那些有着远程访问权限的用户,激活防病毒软件、升级他们的防火墙是共同的安全防范责任,因为你无法指望一个工作人员、主管人员、销售人员,或其他IT部门的人会时刻记得如果他们的计算机没有保护而发生的危险性。
除此之外,我还强烈推荐不常使用但的确重要的防特洛伊木马的软件。在写作这本书期间,已经有两个为人所熟知的防木马程序,The Cleaner(m)和Trojan Defense Sweep()。
最后,对于那些没有在企业网关上做危险邮件扫描的公司来说,可能是最重要的安全提醒:由于我们习惯于忘记或忽略那些与完成工作不直接相关的事,因此需要反复地以不同的方式提醒员工,不要打开陌生邮件的附件。管理部门也要提醒员工激活防病毒和防木马软件,以防范那些看似可以信任但实则会带来危害的邮件。
第八章 利用同情、内疚与威胁
和在15章中讨论的一样,社会工程师利用心理影响引导目标答应他的请求。熟练的社会工程师擅长于刺激情感,比如害怕、兴奋或内疚。他们利用心理自动触发机制,使人们未经分析就响应请求。
我们想让自己和他人都避免陷入困境,正因为如此,攻击者可以利用人们的同情心,让他的目标感到内疚,或者把威胁当成武器。
下面是一些如何利用情绪的热门课程。
电影制片厂的访客
你有没有注意过一些人是怎样溜进有守卫的地方(比如,会议室、私人派对或者图书发布会),而没有被询问是否有入场券或通行证?
同样,一个社会工程师可以在你没有想过可能性的地方谈论他的方法——就像下面这个电影行业的故事一样。
电话响了
“罗恩?希亚德(Ron Hillyard)办公室,我是多罗茜(Dorothy)。”
“多罗茜,你好,我叫凯尔?贝拉米(Kyle Bellamy)。我刚刚加入动画开发部成为布莱恩?格拉斯曼(Brian Glassman)的职员,你们对这里的事情很了解吧。”
“我想,我没有在其它部门工作过,所以我也不是很了解,我能帮你做什么?”
“说实话,我觉得自己有点笨,今天下午为稿件会议约了名作家过来,但我不知道该和谁说让他进来。布莱恩办公室里的人都非常好,但是我不想再麻烦他们教我这件事我该怎么做,那件事我该怎么做,就像我刚刚从大学出来找不到去洗手间的路。你明白我的意思吗?”
多罗茜笑了。
“你可以和安全部门的人说,拨号7,然后6138。如果你联系上了劳伦(Lauren),告诉她多罗茜说她能够帮助你。”
“谢谢,多罗茜。如果我找不到男洗手间,我会再打电话给你!”
他们都为这个想法暗自发笑,然后挂了电话。
大卫?哈罗德(David Harold)的故事
我热爱电影。当我搬到洛杉矶时,我以为我可以和各种各样的电影商业人士见面,他们会邀请我参加聚会并在摄影棚里吃午饭。好,我在这里已经一年了,现在26岁,最近的一次是在环球电影公司遇到了从菲尼克斯和克里夫兰(译者注:均为美国城市)来的一些好人。所以最后我开始记录电话号码,如果他们不邀请我,我就邀请我自己。我就是这样做的。
我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏,写下不同电影公司的制片人的名字。我首先确定了一个偶然发现的大型制片厂,然后打电话给接线总机,请她转接我在报纸上找到名字的这个制片人。接线员的声音很亲切,我很幸运,如果是一个只在那里盼望着被提拔的年轻女孩,她也许不会给我时间。
然后是多罗茜,她就像是在接待一只迷路的小猫,她很同情被新工作打击了的新人。我肯定很好的触动了她,当你去骗人的时候,他们可不是每次都会给你比你想要的更多的东西。出于同情,她不仅给了我一个安全部门的人的名字,还说我可以告诉那位女士多罗茜希望她帮助我。
当然我计划过无论如何要利用多罗茜的名字,劳伦都没查找我提供的名字是否真的在员工数据库里就信任了我,这让我的目标更好实现。
当我那个下午开车进入大门时,他们不仅把我的名字放到了访客名单里,还为我准备了一个停车位。我在内部餐厅吃了一顿迟了的午饭,然后在这个地方散步直到一天结束。我甚至偷偷摸摸地到了几个摄影棚,看他们拍电影直到7点才离开。那是我经历的令人激动的一天。
过程分析
每个人都曾是新员工。我们对上班第一天的事情记忆犹新,尤其是当我们没有经验,对工作不熟练的时候。所以当一个新员工求助时,他会希望很多人——特别是登记处的人——可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些,他知道可以利用目标的同情心来办到。
我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划,即使在入口处有守卫并对每一个非员工实行签名程序,任意变化一个在这个故事里使用的诡计,都能让一个入侵者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢?这是个好规定,但是它只在这种假设下才有效——你的员工们真正尽责的拦住任何有或没有访客认证的人并询问他,然后如果对回答不满意你的员工们会联系安全部门。
攻击者进入你的公司获取敏感信息,这对他们来说很容易。当今世界,恐怖分子攻击的威胁笼罩着我们的社会,比陷入危险中的信息多得多。
“现在就做”
不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部信息的人都变得危险,即使任何公司的经理对员工的所有个人信息文件和数据库进行限制(当然,大部分公司都会这样做),危险依然存在。
当不培训员工如何防御社会工程学攻击时,心意已决的人,就像接下来的故事里那位被抛弃了的女士一样,会做出一些大多数老实人认为不可能的事情。
道格(Doug)的故事
总之,和琳达(Linda)的事情不是很顺利,当我看到艾瑞(Erin)时,我就确定她是我的唯一。琳达是,像是,有一点……好吧,有些不确切,不稳定,当她烦恼时她会不经过大脑就行事。
我尽量温和地告诉她必须从我家搬出去,并且帮她整理东西,甚至让她拿走了几张属于我的Queensryche CD。等她一走我马上到五金店买了一把新的Medico锁,把它装在了前门并在当天晚上锁好。第二天上午我打了一个电话给电话公司,让他们更改我的电话号码,并对其保密。
我可以自由地追求艾瑞了。
琳达的故事
我准备离开了,无论如何,那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。所以只有一个问题,我该怎样让他知道他有多么负心?
想都不用想,他肯定是有了别的女孩,不然不会这样仓促地和我分手。所以我只要稍等一下,然后在晚上很晚的时候开始打电话给他。你知道的,在这段时间他们最不想接电话。
我等到第二个星期才在星期六的晚上11点钟打电话给他,可是他更改了他的电话号码,新号码又没有在电话表里列出来,这正证明了他是一个SOB(译者注:son of a bitch)。
没有关系,我开始在一些文件里四处寻找,那是我在辞去电话公司的工作之前设法带到家里的。就是它——我保存的一张维修票,道格的电话线路有一次出现了故障,这上面列出了他的电话线路。看吧,你可以尽你想要的修改你的电话号码,但你的电话线依然连接在你的房子和电话公司的中继局之间,接通着电话总机办公室(Central Office,或者说CO)。电话线路的设置被这些接通着线路的号码所确认,如果你知道电话公司是怎么样做这些事情的,像我做的那样,找到电话号码只需要获得目标的电话线路设置。
我有一张这个城市所有CO的列表,里面有他们的地址和电话号码,我找到了我以前和道格这个负心汉住的地方附近的CO号码,然后打了过去,但是没有人接。转接员在你需要他的时候在哪里?足足用了20分钟我才计划好,开始打电话给附近的其他CO,最终锁定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按照我想的去做,但是我已经有了计划。
“我是琳达,维修中心,”我说,“我们遇到了紧急情况。一台医疗机构的服务器当机了。我们使用技术手段尝试重新启动服务器,但是找不到问题所在。我们需要你马上开车到韦伯斯特(Webster) 的CO,看我们离开电话总机办公室能否拨通。”
然后我告诉他,“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中心找我。
我知道他不愿意离开舒适的电话总机办公室,穿得厚厚实实的,擦掉挡风玻璃上的积雪,深夜在烂泥地上开车。但这是紧急事件,他没理由说自己很忙。
当我四十分钟后在韦伯斯特的CO里见到他时,我告诉他检查29线2481路,然后他热情地检查了,并说,是的,线路是通的。当然这我早知道了。
所以我说,“好的,我需要你进行LV(line verification线路排查)。”那需要他确认电话号码,他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话表里的号码,或者是这个号码刚刚被修改过。所以他按我要求的做了,并且展示了他的线路工人的测试设置。很好,所有的事情像有魔力一般完成了。
我告诉他,“好的,故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他并告诉他我们要继续工作,然后说,晚安。
米特尼克信箱
一旦一个社会工程师了解了目标公司的内部工作流程,用这些信息认识一个正式员工将变得相当简单。所有的公司都需要预防这些来自现在或以前的别有企图的员工的社会工程学攻击。后台检查可以帮助查找有这些行为倾向的人。但是在大多数案例中,发现这些人是非常困难的。在这些案例中唯一合理的安全措施就是执行并审核身份验证程序,包括员工身份和之前有无透漏公司的内部信息给任何人。
道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。
好戏开始了。
过程分析
这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划,是因为她拥有内部知识:那些电话号码、程序和电话公司的行话。有了它们她不仅可以找到一个新的、未公布的电话号码,而且可以在冬季的晚上,让一个电话转接员为了她而穿过整个城镇。
“这是比格(BIGG)先生想要的”
一个流行的非常有效的威胁方式——因为它太简单了——利用权威来影响人们的行为。
只是CEO办公室助手这个名字就很有价值。私人侦探,甚至猎头公司都始终在做这些事情,他们打电话给接线员,说他们想要联系CEO的办公室。当秘书或者助理经理回应时,他们就说他们有一个文件或者包裹给CEO,或者说他们发送了一份email附件,她能把它打印出来吗?或者他们会问,传真号码是多少?顺便问一下,你叫什么名字?
然后他们打电话给下一个人,说,“比格先生办公室的琼尼(Jeannie)要我打电话给你,他说你能帮我。”
这个技巧是打电话时略提权威人士以示相识而提高自己的身份,它通常是个惯用的方法,通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系,大多数目标对这些人有好感,因为他们认识他认识的人。
如果攻击者着眼于获取高度敏感的信息,他可以使用这些方法激起受害人有用的情绪,例如害怕和上司之间陷入麻烦。下面是一个例子。
斯科特(Scott)的故事
“斯科特?艾布拉姆(Scott Abrams)。”
“斯科特,我是克里斯多佛?道布瑞 (Christopher Dalbridg),我刚刚和比格雷(Biggley)先生结束通话,他有些不高兴。他说他10天前发了一条短信给你,想要你把市场调查报告拿给我们分析。但我们没有拿到任何东西。
“市场调查报告?怎么没有人和我提过,你是哪个部门的?”
“我们是他请来的顾问团,我们已经落后于预定计划了。”
“听着,我在去开会的路上,告诉我你的电话号码……”
听上去攻击者现在真的有些失望:“你想让我告诉比格雷先生吗?!听着,他希望明天早上拿到我们的分析,我们不得不整晚都为它工作。现在,你希望我告诉他我们不能完成,因为我们没有没有从你那里拿到报告,或者你想亲自告诉他呢?”
一个生气的CEO可以摧毁你的一个星期,目标可能会决定在去开会之前较好的解决这些事情。再一次,社会工程师按下了正确的按钮获得了他想要的回应。
过程分析
如果一个人在公司里地位相当低,通过提及权威人士工作的威胁方式很有效,利用重要人物的名字不仅可以消除正常的不愿和怀疑,而且经常让人热情的满足要求。当你认为你帮助的这个人是重要的或有权势的,自然会希望自己变得更加有用。
社会工程师知道,虽然利用高层人士的名字会很有效,但是对小公司使用这种骗局要谨慎:攻击者不能他的目标有和商业副总裁交谈的机会。“我发送了一份产品销售计划给你,那个人跟我说的。”能轻易的引起这样的回答“什么销售计划?什么人?”这将导致公司发现自己被攻击了。
米特尼克信箱
威胁可以引起对惩罚的畏惧心理,使人们合作。威胁也可以引起人们对困境的畏惧心理或者害怕失去新的提升机会。
必须培训员工当安全受到威胁时,质疑权威不但是可以接受的而且是合理的。信息安全培训应当包括教育人们怎样通过友好的途径质疑权威,而不会破坏关系。此外,公司上下都应该支持这些行为。如果一个员工不支持不考虑身份地质疑权威,正常的反应是停止挑战——正好和你想的相反。
社会保险总署(Social Security Administration)了解你的哪些事情
我们喜欢认为政府机构把我们的信息保护得很严密,只有可信的人才能知道。事实是甚至联邦政府都不像我们想象的那样对入侵免疫。
梅林(May Linn)的电话
地点: 社会保险总署区域办公室
时间:星期四的早晨, 上午10:18
“三号Mod,我是王梅林。”
电话另一端的声音听上去像是在道歉,几乎有些羞怯。
“王女士,我是艾伦戴尔?亚瑟,审查中心办公室。我能叫你‘梅’吗?”
“是‘梅林’”她说。
“好的,是这样的,梅林,我们这里来了个新人,他至今还没有电脑,马上他要有一个优先的任务,他就用了我的电脑。我们属于美国政府,我们大声的抱怨,但他们说他们的预算里没有足够的钱为这个人买一台电脑。现在我的上司认为我拖欠了工作并不想听到任何借口,你知道吗?”
“我懂你的意思,好的。”
“你能帮我快速查询一下MCS吗?”他说道,用到了查询纳税人信息的电脑系统的名字。
“当然,你要查什么?”
“首先我需要你对约瑟夫?詹森进行一次阿尔法查询(alphadent),DOB是7/4/69。”(阿尔法查询的意思是在电脑里按字母顺序查询纳税人的名字,通过生日来确认身份。)
在简短的停顿后,她问道:
“你需要知道什么?”
“他的账户号码是多少?”他说,用到了社会保险号码的内部称呼。她把它读了出来。
“好的,我需要你对那个账户号码进行数据列表(numident)。”打电话的人说。
数据列表是请求她把纳税人的基本数据读出来。梅林回答了纳税人的出生地点、母亲的名字和父亲的名字。当她同样告诉他发行卡的年月和发行它的区域办公室时,打电话的人有耐心的听着。
下一步他请求进行一次DEQY(显然“DECK-wee”是“详细收入查询”的简写。)
DEQY的请求得到了这样的回应,“哪一年的?”
打电话的人回答,“2001年。”
梅林说,“总计190,286美元,户头是詹森微技术公司。”
“还有其它收入吗?”
“没有。”
“谢谢,”他说,“你真是个好人。”
然后他试着和她商量当他需要信息并且不能使用他的电脑的时候能获得帮助,他再次使用了拿手的社会工程学欺骗,试图和同一个人保持联系,避免每次都要寻找新的目标。
