第八章　利用同情、内疚和胁迫（5）

一个简单的电话

一个攻击者的主要障碍是让他的请求看上去合理，像是受害人的工作日里碰到典型请求一 样，那不会让受害人太陌生。像一生中的许多其他事情一样，进行合理的请求有一天是个挑 战，但是下一步，它就会变成小菜一碟。

玛丽•哈里斯(Mary Harris)的电话

日期/时间：星期一，十一月23日，上午7:49 地点：麦斯拜&火炬会计公司(Mauersby & Storch Accounting)，纽约 对于大多数的人而言，会计工作就是数字整理和账目计算，通常认为那些就像在小路上漫步 一样惬意。幸运的是，不是每一个人都那样看这份工作。例如，玛丽•哈里斯认为她的工作 像高级会计师一样有趣，一部分原因是她是这家公司最专注的会计员工之一。

在这个特殊的星期一，玛丽到得很早，开始了漫长的一天里她的首要工作，并吃惊地发现她 的电话响了。她接了电话，报上了她的名字。

“你好，我是彼得•谢帕德(Peter Sheppard)。这里是奥布斯特(Arbuclde)公司，这家公司为你 的公司提供技术支持。我们在周末收到了几个这里电脑有问题的人的投诉。我想我可以在早 上所有人进来工作之前充当故障检修员。你的电脑有任何问题或者连接网络有任何问题吗？

她告诉他她还不知道。她打开了她的电脑，当电脑启动的时候，他解释了他要做的事情。

“我想在你的电脑上进行一些测试，”他说，“我能在我的屏幕上看见你键入的字，我想确认网 络通顺。所以当你录入时，我想要你告诉我那是什么，然后我会检查这里是否是相同的文字 或数字。好吗？”

梦魇一般的景象，她的电脑无法工作，失败的一天，不能完成任何工作，她很高兴这个人能 帮她。过了一会儿，她告诉他：“我到了登陆屏幕，我要输入我的ID。我现在键入它—— M...A...R...Y...D。”

“到现在为止很好，”他说，“我看到了。现在，前进并输入你的密码但不要把它告诉我。不要 把你的密码告诉任何人，甚至技术支持部门都不可以。我在这里只会看见星号——你的密码 受到了保护所以我无法看到它。”这些都不是真的，但这对玛丽有意义。然后他说：“当你的 电脑启动时告诉我。”

当她说它启动了时，他要她打开两个应用程序，然后她报告说他们运行得“很好”。

玛丽看到所有东西都运行正常，放心了。彼得说，“我很高兴可以确定你的电脑工作正常。 听着，”他继续道，“我们刚才安装了一个更新程序，允许人们更改他们的密码，你可以给我 几分钟时间让我能检查它是否工作正常吗？”

她对他的帮助很感激于是欣然答应了。彼得告诉她运行这个程序的步骤，允许用户修改密 码，这是Windows2000操作系统的标准组件。“前进并输入你的密码，”他告诉她，“但是记 住不要大声地说出来。”

当她完成这些时，彼得说：“只是为了这个快速测试，当它请求你的新密码时，输 入ʻtest123ʼ，然后在确认栏里再次输入它，点击确定。” 他告诉她从服务器断开的方法。他让她等待几分钟，然后再连接，这次试着用她的新密码登 陆。它像有魔力一样工作着，彼得似乎很高兴，然后告诉她用初始密码改回去或者选择一个 新的密码——再一次提醒她不要把密码大声地说出来。

“好了，玛丽，”彼得告诉她，“我们找不到任何错误，那很好。听着，如果有了任何问题，只 要打电话到奥布斯特公司我们这里，我通常有特殊任务，但是这里的任何人都可以帮助 你。”她感谢了他然后他们互相说了再见。

第八章　利用同情、内疚和胁迫（6）

警察的故事

阿图若对他需要知道的感到满意，像这些：开始是，他拿到附近复印店的电话号码，打电话 给他们请求使用他们的传真号码。然后他打电话给检察官办公室，找档案室。当他联系上档 案办公室时，他介绍他自己是莱克镇的警官，说他需要和归档现行搜查证的办事员谈话。

“可以。”那位女士说。 “噢，好极了，”他回答，“因为我们昨晚搜捕了一个嫌疑犯，我想要了解宣誓书的位置。” “我们用他们的地址归档。”她告诉他。 他说出了他的地址，她的声音几乎有些激动。“噢，是的，”她吐着泡沫，“我知道这个，ʻ版 权侵犯ʼ。” “就是这个，”他说，“我在寻找宣誓书和许可证的副本。” “哦，我这里正好有。” “好极了，”他说，“听着，我现在在外面，有一个关于这件案子的秘密服务的十五分钟会议。 我最近有点恍惚，把文件留在了家里，这里没有那些文件并且来不及回去拿了。我可以从你 那里拿到副件吗？”

“当然，没问题。我把它复制一份，你可以到这里来拿它们。” “好极了，”他说，“那真好。但是听着，我在镇子的另一边，你可以把它们传真给我吗？” 有了一个小麻烦，但是可以克服。“我们档案室没有传真机，”她说，“但是楼下的职员办公室 有，他们可以让我用。” 他说：“我打电话到职员办公室问问看。” 职员办公室的女士说她乐意帮忙但是想要知道“谁来付钱？”，她需要知道账户代码。 “我拿到代码后再打电话给你。”他告诉她。 然后他打电话给DA办公室，再一次伪装成警官简单地询问了一下接线员，“DA办公室的账户 代码是多少？” 没有丝毫犹豫，她告诉了他。 他打电话回职员办公室，提供了账户代码，原谅他进一步利用了这位女士：他要她上楼去拿 那些副件来传真。

注意

使用那些对他的攻击有用的东西例如电话和电脑，一个社会工程师怎样知道那么多操作的详 细资料，来自警察部门、司法办公室、电话公司和特殊的公司机构？因为把它找出来就是他 的生意，这些知识是一个社会工程师在交易中的库存，因为信息可以在他的行骗中帮助他。

掩盖足迹

阿图若还有其它组合的步骤去拿传真。总是有可能被人察觉到一些异样，他可能会在复印店 发现几个侦探，他们随意地说着话，看上去很忙碌直到有人露面拿那个特殊的传真。他等待 了一会儿，然后打电话回职员办公室确认那位女士已经发送了传真。到目前为止一切都很 好。

他打电话给镇子对面的另一家连锁复印店，略施小计，“我对你的工作处理很满意，想写一 封信给经理表示祝贺，她的名字是？” 有了这一基本信息，他又打电话给第一个复印店说他 想和经理说话。当那个人拿起电话时，阿图若说：“你好，我是哈特菲尔德628店的爱德华 (Edward)。我的经理安娜(Anna)要我打电话给你。我们有一个心烦意乱的顾客——有人把错 误的复印店传真号码给了他，他在这里等一个重要的传真，可是他拿到的这个号码是你们复 印店的。”这位经理答应马上叫一个人把这份传真发到哈特菲尔德的复印店。

当传真到了第二家复印店时阿图若早已经等在那里，他一把它拿到手，就打电话回职员办公 室对那位女士表示感谢，还有“没必要把那些副件送回楼上了，你现在就可以把它们扔 了。”然后他打电话给第一家复印店的经理，也告诉他把那些传真副件扔了。这样这里发生 的事情就不会有任何纪录，只是有个人稍后回来问了些问题。社会工程师知道你决不会很细 心的。

计划的这些方法，阿图若不需要支付第一家复印店收这些传真再把它发给第二家复印店的 钱，并且如果露馅了警察先会找到第一家复印店，当他们安排去第二家复印店抓人时阿图若 早已经拿到了他的传真。

故事的最后：宣誓书和许可证上显示警察已经有了阿图若盗版电影行为的充分证据。这就是 他想要知道的。当天晚上，他穿过了州界线。阿图若开始了新的生活，在别的地方有了新的 身份，准备再次开始他的活动。

过程分析

在任何检查官办公室工作的人，无论在哪里，总是免不了和执法部门的工作人员联系——回 答问题、做好安排、获得讯息。任何足够勇敢的人都可以打电话声称自己是一名警官、代理 州长或者任何由他的语言来决定的角色。除非他很明显不了解术语，或者他有些神经紧张结

结巴巴地结束他的话，或者用一些听上去不可信的方法，他可能甚至不会被问一个问题确定 他的身份。那确实发生在这里，和两个不同的工作人员。

第八章　利用同情、内疚和胁迫（7）

米特尼克信箱

问题的实质是没有人会对一个优秀社会工程师的欺骗免疫。因为普通生活的节奏，我们并不 经常有时间深思熟虑再作出判断，甚至事实上那对我们很重要。复杂的情形，缺乏的时间， 情绪的波动，或者精神的疲劳，都可以轻易地使我们分心。所以我们使用了心理捷径，没有 经过谨慎和全面的分析就作出判断，一个知名的心理作用，像自动应答一样。联邦、州、本 地执法部门办公室这些都是真的。我们是所有人。

通过一个简单的电话就可以获得一个必需的支付代码，然后阿图若用一个故事打出了同情 牌，“有一个关于这件案子的秘密服务的十五分钟会议，我有点心不在焉，把文件忘在了家 里。”她自然对他这件事感到遗憾，然后偏离了她的职责去帮忙。

然后通过利用不是一个而是两个复印店，阿图若去拿那份传真时他让自己非常安全。进行传 真时这里的一个变化让追踪足迹更加困难：代替把这些文件发给另一家复印店，攻击者可以 给一个公开的传真号码，通过一个真实的地址在因特网上的免费服务将你收到的传真自动转 发到你的邮箱地址里，他不会在任何地方露脸，没有人会认出他，邮箱地址和电子传真号码 在完成任务后就可以扔了。

转换表格

一个我叫他迈克尔•帕克(Michael Parker)的年轻人，他是较晚完成better-paying论文的人之 一，那通常是和大学学位挂钩的。他有一个机会参加一个本地大学的部分奖学金加教育贷款 活动，但是那意味着要在晚上和周末工作才能支付他的租金、食物、汽油和汽车保险。迈克 尔总是喜欢去找捷径，认为也许有另外的方法，一个只需要少量的努力就可以不用付钱的更 快的方法。因为他从十岁第一次玩电脑时就开始学习计算机了，他着迷于发现它们是怎样工 作的，他确信能更快看见自己的计算机科学学士学位，如果他可以“制造”它的话。

毕业生——没有荣誉

他可以入侵州立大学的计算机系统，找到成绩为B+优秀或平均为A-毕业的人的档案，复 制，然后加入他自己的名字，把它添加到当年毕业班的档案里。通过思考这些，不知道怎么 了他有些担心这个主意，然后他认识到肯定还有其它的在校生档案——学费支付档案，住房 分配办公室，还有那些知道别的什么的人。仅仅建立课程和评分的档案会留下太多漏洞。

经过深入思考，他觉得这个方案只有在达到了他的目标时才能实现，学校里要有一个和他名 字相同的毕业生，在任何适当范围的时间里获得过一个计算机科学学位。如果那样的话，他 就可以在员工申请书里填写另一个迈克尔•帕克的社会保险号码，任何去大学核实姓名和社 会保险号的公司都会被告知，是的，他有学位。（对大部分人而言不明显但是对他而言是显 而易见的，他把一个社会保险号放在了工作申请里，然后如果被雇用了，就把他自己真实的 号码填入新员工表格中。大部分公司都不会想去检查一个新员工在聘用时是否使用了一个不 同的号码。）

登陆的麻烦

怎样在大学档案里找到一个迈克尔•帕克？他是这样着手的：

进入大学校园的主图书馆，他坐在一台电脑终端前，连入网络并访问大学的网站。然后他打 电话给注册员办公室，当有人回应时，他运用了一个社会工程师耳熟能详的方法：“我从电 脑中心打电话来，我们正在更改一些网络配置，我们想要确定我们没有使你的访问中断。你 连接的哪个服务器？”

“服务器？什么意思？”他问。 “当你查询学生档案信息时连接的哪一台电脑。” 回答是：admin.rnu.edu，储存学生档案的电脑名称。这是难题的一小部分：他现在知道了 他的目标机器。

专业术语

哑终端：一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。

他在电脑里输入了那个网址但是没有获得响应——和预期的一样，有防火墙阻止了访问。因 此他运行了一个程序看看能不能连接上那台电脑的任何服务，然后发现了一个打开的端口运 行着Telnet服务（允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它）。获 取访问权限所必需的是一个标准用户ID 和密码。

他打了另一个电话给注册员办公室，这一次他仔细地倾听并确定在和另一个人说话。他遇到 了一位女士，然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统， 仍处于测试阶段，想了解她是否可以正确访问学生档案。他给了她一个连接的IP地址并且告 诉她怎样操作。

事实上，这个IP地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步 骤，他创建了一个登陆蜜罐——一个登陆界面的圈套——看上去就像是当她登录学生档案系 统时通常看到的一样。“它没工作，”她告诉他，“它持续说ʻ登陆不正确ʼ。” 现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她：“哦，这台机器 里的一些账户仍然不能用，让我配置一下你的用户，然后再打电话给你。” 小心的绑好未扣 牢的一端，就像所有社会工程师精通的那样，他强调稍后再打电话，说测试系统还没有工作 正常，如果她能使用它了，他们会打电话给她或者这里的其他人，当他们解决了问题时。

第八章　利用同情、内疚和胁迫（8）

有益的注册员

现在迈克尔知道了他要访问哪一个电脑系统，还有用户ID和密码。但是当他有了正确的名字 和毕业时间时如何在文件里搜索这些信息？学生数据库是私有的，在学校建立它是为了对付 大学特殊的需求和注册员办公室，并且有唯一的途径在数据库中访问信息。

首先清除这些最后的障碍：找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注 册员办公室，这一次成了另一个不同的人。他来自迪安工程办公室，他告诉那位女士，然后 他问道：“当访问学生档案出现问题时，我们猜想有人打来了电话请求帮助。”

几分钟以后他打电话给大学数据库管理员，上演了值得同情的一幕：“我是注册员办公室的 马克•塞乐。你能同情一下一个新人吗？很抱歉打电话给你但是这个下午他们都在开会，没 有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表，从1990年到 2000年的。他们今天就需要它，如果我没有它的话我这份工作就不会长久了。你会帮助一

个处于不幸中的人吧？”帮助人们是这个数据库管理员要做的事的一部分，所以他特别耐心 地告诉迈克尔一步一步的操作过程。

当他们挂断电话时，迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜 索了几分钟，查找到了两个迈克尔•帕克，在他们中选择了一个，获得了这个人的社会保险 号码和其它在数据库里的相关信息。

他就成了“迈克尔•帕克，B.S（译者注：Bachelor of Science 理科学士），计算机科学，光 荣毕业，1998”。在这里，“B.S”是唯一恰当的。

过程分析

这次攻击使用了一个我之前没有谈到过的策略：攻击者请求机构的数据库管理员告诉他完成 一个他不知道的电脑操作步骤。一个强大并且有效的转换表格相当于请求商店的所有者帮你 搬运包含了消息的盒子，你只需要从他的架子上偷来放到你的车里就可以了。

米特尼克信箱

当电脑用户遇到社会工程学相关的威胁和攻击时，他们显得有些无能为力，那些技术存在于 我们的世界中。他们有权使用信息，但是对什么是安全威胁缺乏详细了解。一个社会工程师 会选定一名不懂得被寻求的信息有多么贵重的员工为目标，所以目标通常会答应陌生人的请 求。

预防措施

同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制，这些故事证明了这些策略 的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢？

保护数据

这一章的一些故事强调了发送一份文件给你不认识的人有多么危险，即使当这个人是（或者 表面上是）一名员工，这份文件是被发送到一个公司的电子邮件地址或传真机上。

需要制定非常详细的公司安全方针保护贵重的数据不被发送给任何不是亲自认识的人。需要 制定严格的程序来传送有敏感信息的文件。当请求来自不是亲自认识的人时，必须有清晰的 查证，要有依赖于敏感信息的不同的等级证明。

这里有一些可以考虑的方法：

建立知道需求（要求获得指定信息所有者的授权）。

保持一个处理这些事情的个人或者部门日志。

维持一张人员表，那些临时传送的程序和可信的被批准发送敏感信息的人。要求只有这些人 被允许发送信息给任何工作组外部的人。 如果数据请求需要写入（电子邮件，传真，邮件），则要有另外的安全步骤检查这一请求是 否真的来自这个人声称的地方。

第八章　利用同情、内疚和胁迫（9）

关于密码

所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员 ——需要了解一些简单的操作如修改你的密码，即使是一小会儿都能导致一个主安全漏洞。

安全训练需要包含密码主题，关注什么时候和怎么样改变你的密码，什么是合法的密码，和 将任何其他人卷入程序的危险性。训练尤其需要传达给所有员工的是他们应该怀疑任何涉及 到他们的密码的请求。

表面上看起来这是一条简单的传给员工们的信息，但不是，因为这一观念的价值在于要求员 工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”，但是在这个小孩明白为什么那是重要的以前，你依赖于盲目的服 从。要求盲目服从规则代表着忽视和忘记。

注意：

密码是社会工程学攻击关注的中心，那是我们致力于第16章的单独的部分，那里你可以找到 详细的管理密码的推荐方针。

中心报告点

你的安全方针应该指定一个人或组为报告可疑行为（企图渗透你的机构）的中心点。所有员 工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的，报告这些的电话号 码应该始终放置在眼前，这样当员工们怀疑发生了攻击时就不需要去发掘它。

保护你的网络

员工们需要了解电脑服务器或者网络的名称不是无价值的信息，它能给一个攻击者基本的知 识帮助他获取信任或者找到他期望的信息的位置。

特别的，像是数据库管理员之类的使用软件工作的人属于专业技术类别，他们需要在特殊的 和非常限制性的规则下操作，验证打电话给他们请求信息的人的身份。

经常提供各种电脑帮助的人需要很好的被训练识别哪些请求属于红色标记，暗示打电话的人 可能试图进行社会工程学攻击。

这是有价值的笔记，可是来自这一章最后故事里的数据库管理员的观点，打电话的人是符合 标准的：他是在校内打来的电话，并且他明显有站点登陆必需的用户名和密码。这正好再一 次解释了的标准的身份验证（对任何请求信息的人）程序的重要性，尤其是像这个例子里打 电话的人寻求帮助来获得机密档案的访问权限。

所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动 已经不是新闻了，也不要惊讶于学生档案——有时候是全体教员档案，同样的——是一个诱 人的目标。这一陋习如此的泛滥，一些公司甚至考虑把大学加入敌对的外界环境，创建防火 墙规则阻止以.edu结尾的教育机构地址访问。

我已经说清楚了，所有学生和职员的任何类型的档案都会是攻击的主要目标，应该得到很好 的保护就像敏感信息一样。

训练技巧

大部分社会工程学攻击都可笑地能轻易的被任何知道自己看守的是什么的人防范。

从公司的观点出发，有一些优秀培训的基本原则，但是同样需要另一些东西：多种途径提醒 人们他们在学习什么。

使用屏幕溅射（splash screen，也叫程序启动画面的制作），当用户电脑启动时每天出现 一个不同的安全消息。这条消息可以被设计为不能自动消失，要求用户点击这些消息确认他 或她已经读过它了。

另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要，一个提示程序必须 正在运行并且不能结束。在陈述的内容里，不应该在每一种情况里使用同样的措词。当他们 变化措词或者使用不同的例子时，学习显示的这些消息更为有效。

一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏，虽然 一个安全专栏的确有价值。代替的，设计一个两或三栏宽的插入块，有些像是你们本地报纸 的小型陈列广告。在每一次的时事通讯出版时，通过这个简短的抓取注意力的途径呈现一个 新的安全提示。