第八章 利用同情、内疚和胁迫(1) 和在15章中讨论的一样,社会工程师利用心理影响引导目标答应他的请求。熟练的社会工程 师非常擅长一个诡计:刺激情感,如畏惧、兴奋或内疚。他们利用心理触发——自动机制, 引导人们未经深入分析有用的信息就回应请求。
我们想让自己和他人都避免陷入困境,基于此论断,攻击者可以利用人们的同情心,让他的 目标感到内疚,或者像使用武器一样胁迫受害者。
下面是一些研究所的利用情绪的热门策略课程。
电影制片厂的访客
你有没有注意过一些人是怎样进入有守卫的地方(比如,会议室、私人派对或者图书发布仪 式)而不用被询问是否有入场券或通行证? 有许多相同的方法,一个社会工程师能在你没有想过可能性的地方谈论他的方法——就像下 面这个电影行业的故事一样。
电话响了
“罗恩•希亚德(Ron Hillyard)办公室,我是多罗茜(Dorothy)。” “多罗茜,你好,我叫凯尔•贝拉米(Kyle Bellamy)。我刚刚加入Animation公司成为布莱恩 •格拉斯曼(Brian Glassman)的职员,你应该对这里不同的事情很了解吧。” “我想,我从没在其它电影公司工作过,所以我真的不知道,我能帮你做什么?” “说实话,我觉得自己有点笨,今天下午为稿件会议约了名作家过来,不知道该和谁讨论让 他参与哪一部分。布莱恩办公室里的人都非常好,但是我不想再麻烦他们教我这件事我该怎 么做,那件事我该怎么做,就像我刚刚从大学出来找不到去洗手间的路。你明白我的意思 吗?” 多罗茜笑了。 “你要和Security里的人讨论,拨号7,然后6138。如果你联系上了劳伦(Lauren),告诉她 多罗茜说她能够帮助你。” “谢谢,多罗茜。如果我找不到男洗手间,我会再打电话给你!”
他们都为这个想法暗自发笑,然后挂了电话。
大卫•哈罗德(David Harold)的故事
我热爱电影。当我搬到洛杉矶时,我想我可以和各种各样的电影商业人士见面,他们会邀请 我参加聚会并在摄影棚里吃午饭。好,我在这里已经一年了,现在 26岁,最靠近的一次是 在菲尼克斯和克里夫兰(译者注:均为美国城市)遇到了环球电影公司的一些友好的人。所 以最后我开始记录电话号码,如果他们不邀请我,我就邀请我自己。我就是这样做的。
我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏,写下不同电影公司的制片人 的名字。我首先确定了一个偶然发现大型制片厂,然后打电话给接线总机请求接通我在报纸 上找到名字的这个制片人。接线员的回答很亲切,所以我很幸运,如果是一个只在那里盼望 着着被提拔的年轻女孩,她也许不会给我时间。
但是这个多罗茜,她听上去像是在接待一个迷路的小猫,有人同情这个被新工作打击了的新 人。并且我肯定很好的触动了她,不是每天你设法欺骗一些人他们就会给你比你请求的更多 的东西。出于同情,她不仅给了我一个在Security的人的名字,还说我可以告诉那位女士多 罗茜希望她帮助我。
当然我计划过无论如何要利用多罗茜的名字,劳伦都没查找我提供的名字是否真的在员工数 据库里就信任了我,这让我的目标更好实现。 当我那个下午开车进入大门时,他们不仅把我的名字放到了访客名单里,还为我准备了一个 停车位。我在内部餐厅吃了一顿迟了的午饭,然后在这个地方散步直到一天结束。我甚至偷 偷摸摸地到了几个摄影棚,看他们拍电影直到7点才离开。那是我经历的令人激动的一天。
过程分析
每个人都曾是新员工。我们对上班第一天的事情记忆犹新,尤其是当我们没有经验,对工作 不熟练的时候。所以当一个新员工求助时,他可以盼望许多人—— 尤其是登记处的人—— 可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些,他知道可 以利用目标的同情心来办到。
我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划,即使在入口处有守卫 并对每一个非员工实行签名程序,任意变化一个在这个故事里使用的诡计,都能让一个入侵 者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢?这是个好规 定,但是它只在这种假设下才有效——你的员工们真正尽责的拦住任何有或没有访客认证的 人并询问他,然后如果对回答不满意你的员工们会联系安全部门。
攻击者谈论进入你的公司危及敏感信息的方法,这对他们来说很容易。当今世界,恐怖分子 攻击的威胁笼罩着我们的社会,比陷入危险中的信息多得多。
“现在就做”
不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部信息的 人都变得危险,即使任何公司的经理对员工的所有个人信息文件和数据库进行限制(当然, 大部分公司都会这样做),危险依然存在。
当不对职工们进行教育和培训如何防御社会工程学攻击时,坚决的人,就像接下来的故事里 那位被抛弃了的女士一样,所做的事情大多数诚实的人会认为不可能。
第八章 利用同情、内疚和胁迫(2)
道格(Doug)的故事
总之,和琳达(Linda)的事情不是很顺利,当我看到艾瑞(Erin)时,我就确定她是我的唯一。 琳达是,像是,有一点……好吧,有些不确切,不稳定,当她烦恼时她会不经过大脑就行 事。 我尽量温和地告诉她必须从我家搬出去,并且帮她整理东西,甚至让她拿走了几张属于我的 Queensryche CD。等她一走我马上到五金店买了一把新的Medico锁,把它装在了前门并在 当天晚上锁好。第二天上午我打了一个电话给电话公司,让他们更改我的电话号码,并对其 保密。 我可以自由地追求艾瑞了。
琳达的故事
我准备离开了,无论如何,那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。所以 只有一个问题,我该怎样让他知道他有多么负心? 没花费很多时间就可以断定他有了另一个女孩子,否则不会这样仓促地和我分手。所以我只 要稍等一下,然后在晚上很晚的时候开始打电话给他。你知道的,在这段时间他们最不想接 电话。
我等到第二个星期才在星期六晚上11点钟打电话给他,可是他更改了他的电话号码,新号码 又没有在电话表里列出来,这有些像是SOB的人干的。
这不是个很大的挫折。我开始在一些文件里到处翻寻,那是我辞去电话公司的工作前设法带 到家里的。就是它——我保存的一张维修票,道格的电话线路有一次出现故障,这上面列出 了他的电话线路。看吧,你可以尽你想要的修改你的电话号码,但你的电话线依然连接在你 的房子和电话公司的中继局之间,接通着电话总机办公室(Central Office,或者说CO)。电 话线路的设置被这些接通着线路的号码所确认,如果你知道电话公司是怎么样做这些事情 的,像我做的那样,找到电话号码只需要获得目标的电话线路设置。
我有一张这个城市所有CO的列表,里面有他们的地址和电话号码,我找到了一个在道格这 个负心汉我以前住的地方旁边的CO号码,并且打过去,但是没有人在那里。转接员在你需
要他的时候在哪里?实足用了20分钟我才拿出计划,开始打电话给附近的其他CO,最终锁 定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按我需要的 做,我已经计划好了。
“我是琳达,维修中心,”我说,“我们遇到了紧急情况。一台医疗机构的服务器当机了。我们 使用技术手段尝试重新启动服务器,但是找不到问题所在。我们需要你马上开车到韦伯斯特 (Webster) 的CO,看我们离开电话总机办公室能否拨通。”
然后我告诉他,“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中心找 我。
我知道他不愿意离开舒适的电话总机办公室,穿得厚厚实实的,擦掉挡风玻璃上的积雪,深 夜在烂泥地上开车。但这是紧急事件,他没理由说自己很忙。
当我四十分钟后在韦伯斯特的CO里见到他时,我告诉他检查29线2481路,然后他热情地检 查了,并说,是的,线路是通的。当然这我早知道了。
所以我说,“好的,我需要你进行LV(line verification线路排查)。”那需要他确认电话号 码,他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话表 里的号码,或者是这个号码刚刚被修改过。所以他按我要求的做了,并且展示了他的线路工 人的测试设置。很好,所有的事情像有魔力一般完成了。
我告诉他,“好的,故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他并告 诉他我们要继续工作,然后说,晚安。
米特尼克信箱
一旦一个社会工程师了解了目标公司的内部工作流程,使用这些知识与一个正式员工相识将 变得很容易。公司需要预防这些社会工程学攻击,来自现在的或以前的别有企图的员工。后 台检查可以帮助清除有这些行为倾向的人。但是在大多数案例中,发现这些人是非常困难 的。在这些案例中唯一合理的安全措施就是执行和审核身份验证程序,包括员工身份和之前 有无透漏公司的任何内部信息给任何人。
道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。
好戏开始了。
过程分析
这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划,是因为她拥有内部知 识:那些电话号码、程序和电话公司的行话。有了它们她不仅可以找到一个新的、未公布的 电话号码,而且可以在冬季的晚上,让一个电话转接员为了她而穿过整个城镇。
“比格(BIGG)先生想要这个”
一个流行的非常有效的胁迫方式——因为它太简单了——依赖于利用权威来影响人们的行 为。
仅CEO办公室助手的名字就很有价值,私人侦探,甚至猎头公司都始终在做这些事情。他 们打电话给接线员,说他们想要联系CEO的办公室。当秘书或者助理经理回应时,他们就说 他们有一个文件或者包裹给CEO,或者如果他们发送一份电子邮件附件,她能把它打印出 来吗?或者他们会问,传真号码是多少?顺便问一下,你叫什么名字?
然后他们打电话给下一个人,说,“比格先生办公室的琼尼(Jeannie)要我打电话给你,他说 你能帮我。”
这个技巧是打电话时略提权威人士以示相识而提高自己身份,它通常是个惯用的方法,通过 影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系,目标大多对这些人有好 感,他们认识他认识的人。
如果攻击者着眼于进攻高度敏感的信息,他可以使用这些方法激起受害人有用的情绪,例如 害怕和上司之间陷入麻烦。下面是一个例子。
第八章 利用同情、内疚和胁迫(3)
斯科特(Scott)的故事
“斯科特•艾布拉姆(Scott Abrams)。” “斯科特,我是克里斯多佛•道布瑞 (Christopher Dalbridg),我刚刚和比格雷(Biggley)先生结 束通话,他有些不高兴。他说他10天前发了一条短信给你,想要拿你的市场深入调查给我们 分析。但我们没有拿到任何东西。 “市场深入调查?没有人和我说过和它有关的任何事情。你是哪个部门的?” “我们是他请来的顾问团,我们已经落后于预定计划了。” “听着,我在去开会的路上,告诉我你的电话号码……”
现在攻击者听上去有些失落:“你想让我告诉比格雷先生吗?!听着,他希望明天早上拿到 我们的分析,我们不得不整晚都为它工作。现在,你希望我告诉他我们不能完成,因为我们 没有没有从你那里拿到报告,或者你想亲自告诉他呢?”
一个生气的CEO可以摧毁你的一个星期,目标可能会决定在去开会之前较好的解决这些事 情。再一次,社会工程师按下了正确的按钮获得了他想要的回应。
过程分析
如果一个人在公司里地位相当低,通过提及权威人士工作的胁迫方式很有效,利用重要人物 的名字不仅可以消除正常的不愿和怀疑,而且经常让人热情的满足要求。当你认为这个你帮 助的人是重要的或有权势的,自然希望自己变得更加有用。
社会工程师知道,虽然,运用这种特殊的欺骗是最好的,利用比目标上司等级更高的人的名 字,但是小公司对这种开局很机警:攻击者不想他的目标有和商业副总裁交谈的机会。“我 发送了一份产品销售计划给你,那个人跟我说的。”能轻易的引起这样的回答“什么销售计 划?什么人?”这将导致公司发现自己被攻击了。
米特尼克信箱
胁迫可以引起对惩罚的畏惧心理,使人们合作。胁迫也可以引起人们对困境的畏惧心理或者 害怕失去新的提升机会。 人们必须训练当陷入安全危机时,不但是可以接受的而且是合理的去挑战权威。信息安全训 练应该包含教育人们如何通过友好用户途径挑战权威,而不会破坏关系。而且,应当落实这 些期望。如果一个员工不支持不考虑身份的挑战权威,正常的反应是停止挑战——正好和你 想的相反。
社会保险总署(Social Security Administration)了解你的哪些事情
我们喜欢认为政府机构把我们的信息保护得很严密,只有可信的人才能知道。事实是甚至联 邦政府都不像我们想象的那样免疫入侵。
梅林(May Linn)的电话
地点: 社会保险总署区域办公室 时间:星期四的早晨, 上午10:18 “三号Mod,我是王梅林。” 电话的另一端的声音听上去像是在道歉,几乎有些羞怯。 “王女士,我是艾伦戴尔•亚瑟,审查中心办公室。我能叫你ʻ梅ʼ吗?” “是ʻ梅林ʼ”她说。 “好的,是这样的,梅林,我们这里来了个新人,他至今还没有电脑,马上他要有一个优先 的任务,他就用了我的电脑。我们属于美国政府,我们大声的抱怨,但他们说他们的预算里 没有足够的钱为这个人买一台电脑。现在我的上司认为我拖欠了工作并不想听到任何借口, 你知道吗?” “我懂你的意思,好的。” “你能帮我快速查询一下MCS吗?”他请求道,用到了查询纳税人信息的电脑系统的名字。 “当然,你要查什么?” “首先我需要你对约瑟夫•詹森进行一次阿尔法查询(alphadent),DOB是7/4/69。”(阿尔法查 询的意思是在电脑里按字母顺序查询纳税人的名字,通过生日来确认身份。) 在简短的停顿后,她问道: “你需要知道什么?” “他的账户号码是多少?”他说,用到了社会保险号码的内部称呼。她把它读了出来。 “好的,我需要你对那个账户号码进行数据列表(numident)。”打电话的人说。 数据列表是请求她把纳税人的基本数据读出来。梅林回答了纳税人的出生地点、母亲的名字 和父亲的名字。当她同样告诉他发行卡的年月和发行它的区域办公室时,打电话的人有耐心 的听着。 他下一步请求进行一次DEQY(显然“DECK-wee”是“详细收入查询”的简写。) DEQY的请求得到了这样的回应,“哪一年的?” 打电话的人回答,“2001年。” 梅林说,“总计190,286美元,户头是詹森微技术公司。” “还有其它收入吗?” “没有。” “谢谢,”他说,“你真是个好人。”
然后他试着和她商量当他需要信息并且不能使用他的电脑的时候能获得帮助,他再次使用了 拿手的社会工程学欺骗,尝试和同一个人保持联系,避免每次都要寻找新的目标。
“下个星期不行。”她告诉他,因为她要去肯塔基州参加她妹妹的婚礼,在其它的时间她可以 帮他,只要她办得到。
当她挂上电话时,梅林感觉很好,因为她为一个未被赏识的公务员提供了帮助。
第八章 利用同情、内疚和胁迫(4)
基思•卡特(Keith Carter)的故事
从电影和畅销犯罪小说里可以得出结论,私人侦探缺乏道德规范,渴望知道如何了解人们有 趣的事实。他们用很违法的方法实现它,几乎不能消除被逮捕的危险。真相,当然,大部分 PI(译者注:private investigator缩写,私人侦探。)的生意运作完全合法。自从他们中许
多人开始在他们的工作中声称完全遵守法律,他们完全知道什么是合法的,什么是不合法 的,大部分人不会想越过这条线。
这里,仍然,有例外。一些PI——比一些更多——所做的确实和犯罪小说里塑造的那些家伙 一样。这些人在交易中充当信息经纪人很出名,将要违反法律的人的教养有限。他们知道如 果走捷径就可以更快更好的完成任何任务。这些捷径可能严重触犯了法律,不过似乎不能阻 止一个更加肆无忌惮的人,那将使他们在高墙下度过数年的时光。
高消费阶层的PI——这些人在城镇高价出租屋里设计出独特的办公套房——不亲自做这些事 情,他们只是雇用一些信息经纪人为他们工作。 我们称呼这个人为基思•卡特,一个不受道德规范限制的私人侦探。
一个典型的案例是:“他藏钱的地方在哪里?”或者有时候是:“她藏钱的地方在哪里?”有时候是 一个有钱的女士,想知道她的丈夫把她的钱藏在哪里(虽然为什么一个有钱的女人曾经和一个 家伙结婚是一个谜,但这不是基思•卡特现在想知道的,因此没有去找一个很好的答案)。
这个案例里的丈夫名字是乔•詹森,他把钱藏了起来。他“是一个非常聪明的人,他从他妻子 家族借了一万美元创建了一家高技术公司,发展成了上亿美元的公司。”按照她的离婚律师 所说,他做了一件高难度的事情隐藏了他的资产,这位律师想要一份完成的资产报告。
基思首先确定他的起点是社会保险总署,目标是他们关于詹森的文件,像这样的情形,那里 装着非常有用的信息。有了相关信息的帮助,基思可以伪装成目标让银行、经济公司和风险 投资公司告诉他任何事情。
他的第一个电话打给了本地区域办公室,使用了任何公共成员都可以使用的同一个的800号 码,这个号码列在了本地电话本里。当办事员在线时,基思要求连线产权局的人。等待了一 会儿,然后有了声音。现在基思改变了方式,“你好,”他说,“我是格热格瑞•亚当斯(Gregory Adams),329区域办公室。听着,我在设法联系一个产权调停者操作一个尾数为329的账户 号码,我从传真机那里得到的这个号码。” “那是2号Mod。”这个人说,他查到了号码并告诉了基思。
下一个电话他打给了2号Mod(译者注:上文中说的是三号Mod,不知道为什么)。当梅林 响应时,他改换了角色,成了审查中心办公室的一名进行常规审查的工作人员,碰到了问 题,他的电脑不得不给别人使用。她把他要找的信息告诉了他,还同意在他将来需要帮助时 找她帮忙。
过程分析
是什么使得利用员工的同情心这一方法有效?在这个故事里,别人用了他的电脑然后“我的 上司对我不满了”。人们并不经常表达他们的情感,当他们这样做时,可以使人们再一次失 去对社会工程学的本能防御。“我遇到了麻烦,你能帮我吗?”的情感策略是赢得这一天用的 所有东西。
不安全的社会
难以置信,社会保险总署把他们全部的程序操作手册提交到了网上,这些信息里有很多对他 们有用,但同样也对社会工程师有价值。它包含了缩写、术语和如何请求你想要的东西的指 令,就像这个故事里描述的那样。
想要知道社会保险总署的更多内部信息?只要在Google里面搜索或者在你的浏览器里输入 下面这个地址:http://policy.ssa.gov/poms.nsf/。除非这个机构已经阅读了这个故事并在你 阅读这些以前移除了这个手册,你可以找到在线使用说明,它甚至详细地给出了哪些数据
SSA办事员可以提供给执法部门。实际上,那一部门包含了任何可以使SSA办事员相信他来 自执法部门的社会工程师。攻击者不能成功的从一个接到审查中心的电话的办事员那里获得 这些信息。基思的攻击方式仅仅是使用一些公众难以获得的电话号码,接听的人因此希望任 何打这个电话的人应当是内部的一些人员——另一个地下酒吧式安全的例子。帮助这一攻击 的基础包含以下几个前提: 知道Mod的电话号码。
知道他们使用的术语——阿尔法查询、数据列表和详细收入查询。
假装来自审查中心办公室,那是每一个联邦政府员工都知道的遍布政府的有很大权力的研究 机构。这给了攻击者一个权威的光环。
一个有趣的事实是:社会工程师似乎知道怎么样进行请求,因此一个曾经认为那很困难的 人,即使当他问“为什么你打电话给我。”时,理论上,如果这个电话来自一些完全不同的其 它部门的人,可以建立更多理解。也许他的简单的意图只是帮助这个打电话的人,好让单调 的日常工作能停顿一下,受害人不会去想这个电话有多么不寻常。
最后,这个故事里的攻击者,没有满足于这些到手的信息,他还想要和目标建立联系好让他 可以有规律的打电话来。他可以使用普通的同情心攻击策略——“我把咖啡撒在键盘上 了。”可是,那在这里不适用,因为一个键盘可以在一天里面更换掉。
因此他使用了这个别人用了他的电脑的故事,他可以适当地将扩充这些:“是的,我想他昨 天会有一台他自己的电脑,但是一个人进来和另一个家伙进行了一些交易把它给换了。所以 这个爱开玩笑的人仍然出现在我的办公室里。”等等。
我很可怜,我需要帮助,像有魔力一般有效。
扫一扫
895
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
