欺骗的艺术（第二章 无害信息的价值）

第二部　攻击者的手段　



第二章　无害信息的价值



对大多数人来说，社会工程师的真正威胁在哪里？又该如何保持警惕？



如果社会工程师的目标是“最有价值奖”-比如，企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安，对么？



但在现实中，坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件，这些信息和文件看起来十分平常，也不重要，公司里的人大都不明白为什么这些东西会被限制和保护。



信息的隐藏价值



社会工程师十分重视企业中许多表面上看去无利害关系的信息，因为这些信息是他能否披上可信外衣的至关重要的因素。



在这一章里，我将通过让读者“亲身”经历攻击过程，来展示社会工程师的攻击手段。有时从受害人的角度来表现情节，让读者以当事人的身份估计自己（或是你的同事和员工）可能会做出的反应。而更多的时候，让读者从社会工程师的角度来经历攻击过程。



第一个故事着眼于金融行业的一个漏洞。



信誉支票(CREDITCHEX)



曾经有一段很长的时期，英国的银行系统十分闭塞，大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户，除非他带有某位正式银行客户的推荐信。



当然，这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了，任何人都可以走进银行轻松的建立一个日常账户，是这样么？



并非如此。事实上可以理解，银行很难为一个才开过空头支票的人建立账户，这很自然，同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。



与银行有着重要业务联系的公司中，有一种机构专门为银行提供这类信息，我们把这种机构称之为“信誉支票”。它为客户提优质的服务，但同许多公司一样，它也会“无心”的为“有心”的社会工程师们提供便利的服务。



第一个电话：吉姆·安德鲁斯(Kim Andrews)



“国家银行，我是吉姆，您是想要开一个帐户么？”

“嗨，吉姆，我想请教个问题。你们与信誉支票打交道么？”

“是的。”

“你们给信誉支票打电话时，怎么称呼你们提供的号码？是叫‘交易号’(Merchant ID)么？”短暂的沉默，基姆在衡量这个问题，对方是什么意图，她是否应该回答。打电话的人不容对方思考接着问：“是这样，吉姆，我在写一本涉及私人调查的书。”

“是的。”她有了回答的信心，因为她还是愿意帮助一个作家的。

“就叫“交易号”，对么？”

“啊，嗯。”

“好的，很好。我是想确认我的书中使用了正确的专业用语，谢谢你的帮忙，再见，吉姆。”



第二个电话：克瑞丝·塔伯特(Chris Talbert)



“国家银行，开户处，我是克瑞丝。”

“嗨，克瑞丝，我是阿莱克斯。”打电话的人说，“我是‘信誉支票’的客服代表，我们在做一项改善服务质量的调查。能耽误您几分钟么？”克瑞丝表示愿意，打电话的人继续：“好的。你们部门营业时间是多少？”她给予回答，并接着回答下面的一系列问题。



“你们部门有多少人使用我们的服务？”

“大约多长时间给我们打一次咨询电话？”

“您用的是我们哪一个800免费电话号码？”

“我们的客服代表服务态度好么？”

“我们对业务的响应时间如何？”

“您在银行工作多长时间了？”

“您通常使用的交易号是多少？”

“您是否发现过我们提供过的信息不准确？”

“如果您对我们的服务有所建议，建议是什么呢？”最后：

“如果我们把定期调查表寄到你们部门，您会填写么？”



她表示同意，然后彼此简单对了几句话，电话挂掉，克瑞丝继续她的工作。