欺骗的艺术

这些故事可能会导致你认为我把业务中接触到的每一个人都看成十足的傻瓜，都很乐意地、甚至是渴望着把他或她所拥有的每一个秘密泄露出去。社会工程师知道，这是不可能的。为什么社会工程的攻击容易得手呢？这不是因为人们的愚蠢或是缺乏常识，而是因为，我们人类很容易被操纵而把信任用错了地方，因此被欺骗。社会工程师早已料到会受到阻力和怀疑，他随时准备着把人们对他的怀疑扭转。一个优秀的社会工程师策划攻击时如同下象棋，预先想到对方可能会提出什么样的问题，从而把合适的答案准备好。他的一个很常用的技巧就是给受骗者建立信任感，一个骗子如何才能获得你的信任呢？相信我，他能够。

 

信任：欺骗的关健

 

社会工程师越把情况营造得像普通的业务联系，就越能减少怀疑。当人们没有疑心时，得到他们的信任就很容易了。一旦取得你的信任，如同吊桥放下，城门打开，他就可以入内随心所欲地取得他所需的信息。

 

　　注：你也许注意到我在提及社会工程师、电话盗打者和设计骗局的人时，大多数情况下用的是“他”。这不是偏见，这只是反应了一个事实――从事这些领域的人大都是男性。但尽管女社会工程师很少，可这个数字正在增长。不要仅仅因为听到了一位女性的声音而放松了你的警觉，女社会工程师还是有的。事实上，女社会工程师有着独特的优势，利用她们的女性特征来得到对方的配合。本书以后的内容中将会出现少量的女性社会工程师。

 

　　第一个电话：安德瑞亚·洛偑兹（Andrea Lopez）

 

　　安德瑞亚·洛偑兹在她工作的音像店接到了一个电话，她立刻微笑起来（当一位客户特意打来电话对服务表示满意时，总会让人高兴）。打电话的人说，在他们店里得到了非常好的服务，他想给写封信告诉他们的经理。他询问经理的名字和通信地址，她告诉他名字是汤米·艾里森（Tommy Allison），并把通信地址也给了他。就在要挂电话时，他又有了一个想法，他说：“我还想写给你们公司总部，那儿的电话是多少？”她也告诉了他。他道了谢谢，并说了些她的服务十分让人满意之类的话，然后再见了。“像这样的电话，”她想，“总能让上班的时间过的快些，如果多有些这样的人就好了。”

 

　　第二个电话：吉妮

 

“欢迎致电音像工作室，我是吉妮，需要帮忙么？”

“嗨，吉妮，”打电话者热情的打招呼，听起来就像每个星期都给吉妮通话似的。“我是汤米·艾里森”，863店森林公园的经理。我这儿有一位客户，想租《洛奇5》，可我们这儿已经没有拷贝了，你能查一下你们那儿有么？”

过了一会儿，她回答：“是的，我们还有三个拷贝。”

“好的，我问一下客户是否愿意过去，谢谢你。如果有任何需要，请致电汤米，我很乐意为你效劳。”

 

接下来的几个星期，吉妮又接到过三、四次汤米寻求帮助的电话，这些要求似乎都很正常，他总是十分友善，没有故意接近她的意思。同时，稍稍有些唠叨。如“你听说橡树园的大火了么？一连串的街道都封掉了，”类似的话。对于日常工作来说，这些电话可以让人得到片刻的休息，吉妮总是乐意接到他的电话。

 

　　一天，汤米打来电话，听上去有些焦虑，他说：“你们的计算机出过问题么？”

“没有，”吉妮回答。“怎么了？”

“有个人开车把电线杆撞了，电话公司的修理人员说城市的一部分地区没办法打电话和上网，直到他们修好。”

“哦，不会吧。那个人受伤了么？”

“他们把他送到救护车上了。别管这些了，我需要你帮个忙。我这儿有一个你们的客户，想租《教父2》，但他没带租片卡，你能帮我确认一下他的信息吗？”

“是的，当然。”

　　

汤米说出客户的名字和地址，吉妮在计算机中找到，然后告诉汤米客户的账号。

“有过期未还和欠款记录么？”汤米问。

“没有。”

“好的，很好。我手工给他登记一下账户，计算机故障恢复之后再录入数据库。而且，客户还想用在你们店使用的维萨卡（Visa）付账，但他也没带。他的卡号和有效期是多少？”

吉妮都告诉了他。汤米最后说：“嗨，谢谢帮忙，回聊！”

　道伊尔·罗尼甘（Doyle Lonnegan）的故事

　　罗尼甘可不是一个普通的年轻人，他过去是一个收藏家，欠了不少赌债，如果不是这些赌债弄得他焦头烂额的话，他还会偶尔继续他的爱好。在这个故事里，他仅仅往一家音像店打了几个电话，就得了一笔现金。这听起相当不错，因为他的“客户”没有人知道如何设计这个骗局，他们需要像罗尼甘这类人的知识和才能。

　　每个人都知道，当他们在牌桌上运气差或是犯错误而输钱时，是不会用支票来代替赌资的。可为什么我的这些朋友们还要跟一个没带钞票的骗子赌钱呢？不要问了，也许他们的智商有点儿问题，但他们是我的朋友，我又能怎么办？

　　这个家伙没带钱，于是他们收了他的支票。让你说，他们应该开车把他带到自动柜员机那儿去吧？本应这样做的。但他们没有，他们收了一张支票，3230美元。不用想，这是张空头支票。还有什么其它可能呢？于是，他们给我打电话，问我能帮忙么？我不再用门去挤别人的手指了（译者注：指暴力手段），而且，现在有更好的办法。我告诉他们，我要30%的佣金，看我的本事吧。他们给了我他的名字和地址，我用计算机找到离他最近的音像店。我并不着急，先后打了四个电话来讨好音像店的经理，然后，我就得到了那个骗子的维萨卡号。我有一个朋友开了一间半裸吧（译者注：裸露半身的脱衣舞酒吧），用了50美元，把那个骗子所欠的赌资当做酒吧消费从他的维萨卡上划出，让他给老婆解释去吧。你认为他会找信息卡公司说他没有花这笔钱吗？好好想想。他知道我们知道他是谁，而且如果我们可以拿到他的维萨卡号，他会认为我们还可以做更多的事情，因此，这件事没什么可担心的。

　　过程分析

　　汤米打给吉妮的第一个电话仅仅是为了建立信任，当真正的攻击开始时，她已经放松了警惕并认同汤米所声称的身份――另一家连锁店的经理。有什么理由不接受他呢？她已经认识了他。当然，仅仅是通过电话联系，可他们已经建立了工作上的友谊，那是信任的基础。一旦她认为他是可以相信的人――同一家公司的一位经理，信任感就已经建立，剩下的事就顺其自然了。

　　米特尼克信箱

　　建立信任的欺骗技术是社会工程学最有效的策略之一，你务必要考虑你是否真正认识与你谈话的人。在一些不常见的情形下，对方很可能不是他自己声称的那个人。因此，我们必须学会观察、思考和提问。

主题变奏：攫取信用卡

　　建立信任感，不一定非得给受骗者打上一系列的电话，如上文中讲述的案例。我想起一个亲身经历的故事，它建立信任感只用了5分钟。

　　惊奇吧，爸爸

有一次，我与汉瑞（Henry）和他父亲坐在一家餐馆。谈话中，汉瑞责怪他父亲把信用卡号像电话号码一样随便泄露给别人。

“当然，买东西时必须使用信用卡号，”汉瑞说。“但是把你的卡号告诉一家商店，并让他们记录下来，那是非常不明智的。”
“我只在音像工作室这么做过，”康克林（Conklin）先生说，“但我每个月都会查看我的维萨卡记录，如果他们多收费用，我会知道的。”
“当然，”汉瑞说。“但他们一旦知道了你的卡号，别人就很容易弄到了。”
“你是指不怀好意的店员么？”
“不，我是指任何人，不仅仅是店员。”
“你在信口开河，”康克林先生说。
“我可以现在就打电话，让他们告诉我你的维萨卡号，”汉瑞立刻大声回应道。
“不，这不可能，”他父亲说。
“我可以在五分钟之内搞定这件事，就在你的面前，连桌子我都不会离开。”

康克林先生看起来有些紧张，他自己感觉到了这种紧张，但并不想让别人知道。“你根本就不知道你在说什么，”他急促地说，并掏出钱包拿出50美元甩到桌子上，“如果你能做到你说的话，这是你的了。”

“我不想要你的钱，爸爸。”汉瑞拿出手机，询问他父亲是哪一个音像店分店，然后打电话给查号台找到分店的电话号码以及谢尔曼橡树园（Sherman Oaks）分店的电话号码。接着，他打电话给谢尔曼·奥克分店，几乎用了跟上一个故事完全一样的方法，很快得到了经理的名字和分店的店号（译者注：如上文中提到的863分店）。然后，他打电话给登记着他父亲账户的分店，利用刚刚得到的名字和分店店号来假扮分店经理。接着使用相同的手法：“你们的计算机没出问题吧？我们这儿的计算机时好时坏。”听到了她的回答后他接着说，“嗯，是这样，我这儿有一位你们的客户想租一部片子，可我们的计算机现在坏掉了，我需要你帮忙查一下客户的账号以确定他就是你们店的客户。”

汉瑞给出他父亲的名字，使用了一个稍有不同的方法，他请求对方把账户信息读出来：地址、电话，开户日期，然后说：“嗨，是这样，我这儿有一大堆等着的客户，他的信用卡和有效期是多少？”汉瑞一支手在耳边拿着手机，另一支手在餐巾纸上写。打完电话，他把餐巾纸推到瞪着眼睛、张着嘴巴的父亲面前，可怜的父亲看上去完全震惊了，似乎他的信任系统已被完全颠覆。

过程分析

当某个不认识的人询问你某事时，想想自己是什么态度。如果一个衣衫褴褛的陌生人来到你门前，很可能你不会让他进去。如果是一位衣着得体、皮鞋明亮、发型完美，举止优雅并面带微笑的陌生人，你可能就会放松警觉。也许他就是现实生活中的占森（译者注：电影《十三号星期五》中的杀人狂）呢？但你仍然愿意相信他，只要他看起来正当，手里也没有握着餐刀。

米特尼克信箱

人们习惯的认为自己在任何特定的事务中不大可能走进骗局，否则至少也得有理由相信这是个骗局。大多数情况下，我们权衡风险，然后假定别人没有恶意。这就是有教养人的一般行为，至少那些没有被操纵、利用或被骗过一大笔钱的有教养的人这样认为。在儿时，我们的父母告诫我们不要相信陌生人，也许在当今的工作环境下，我们所有的人都就应谨记这个陈旧的规则。　

工作中，人们总是会有各种各样的请求。你有这个人的电子邮件地址么？最新的客户名单在哪儿？谁是这个项目本部分的分包商？请发给我最新的计划更新。我需要新版本的源代码。有时，做出这些请求的人你并不直接认识，或是公司其他部门的人，或是他们自己说是其他部门的人。但如果他们提供的信息是正确的，并且看来熟悉公司内情（“玛丽安说……”、“这里是K16服务器”、“……新产计划第26次修订版”），我们便把信任圈扩大他们身上，轻率的满足了他们的请求。

当然，我们也许会有些困惑的问自己：“为什么这个达拉斯（Dallas）分厂的人想知道新的产品计划？”或是“说出服务器的名称会有害处么？”等等这类问题，如果答案看上去合情合理，对方的言行也比较可靠，我们便会放松警惕，恢复相信同事的习惯，并满足（有理由的）对方的请求。

绝不要认为攻击者只会把目标锁定到使用计算机的人身上，收发室的人也可能是目标。“能帮个忙么？把这个放到公司内部的邮袋。”收发室的人可不知道它是一张带有特殊程序的针对首席执行官秘书的软盘。这样，攻击者本人就拥有了首席执行官的邮件拷贝。不会吧？这事情真得会在企业中发生么？答案是，绝对可能。

一美分的手机

　　许多人都在寻找好的机会，不达目的不罢休。社会工程师不然，他们找到办法使机会变得更好。比如，某公司进行一项诱人的市场优惠活动，社会工程师就会想办法扩大他的利益。

　　不久以前，一家全国性的无线通讯公司发起了一个大规模的促销活动，只要你登记接受一种资费方式，便可以得到一部全新的手机，只收一美分。对于一个精明的消费者来说，在登记一种资费方式之前，有好多问题要问清楚。通讯服务是模拟还是数字的，或是两者结合？每个月的免费通话时间是多少？是否包含漫游费……等等，等等，尤其重要的是资费合同时限――你承诺的资费方式是多长时间，几个月还是几年？

想像一个这样的情景，一位费城（Philadelphia）的社会工程师被通讯公司提供的一款十分便宜的手机所打动，但他讨厌与其捆绑的资费方式。没什么大不了的，他也许使用下面的方法来解决此事……

　　第一个电话：泰德（Ted）

他首先打给位于西吉拉德（West Girard）的一家电器连锁店。

“电子商城，我是泰德。”
“嗨，泰德，我叫亚当。是这样，我在前几天晚上，跟你们的一个男销售员谈到一个手机，我说一旦决定了就给他打电话。可我忘了他的名字，你们值夜班的人是谁？”
“不只一位，是威廉么？”
“不知道，也许是吧。他长什么样？”
“高个子，瘦瘦的。”
“我想是他吧，他姓什么来着？”
“哈德利。哈－德－利（H--A--D--L--E-- Y.）”
“是的，是他。他什么时候上班？”
“我不知道他这星期的排班，但上夜班的人5点到。”
“好的，那我试试晚上找他。谢谢，泰德。”

　　第二个电话：凯蒂（Katie）

第二个电话打给位于北广街（North Broad Street）的连锁店。

“嗨，电器商城。我是凯蒂，需要帮忙么？”
“凯蒂，嗨！我是威廉·哈德利，西吉拉德店的。今天过得怎么样？”
“有点儿忙，什么事？”
“我有一位顾客想购买那个一美分的手机，你知道这个手机的资费捆绑吧？”
“是的，上星期我售出了一些。”
“你那儿还有这种资费捆绑的手机么？”
“还有一堆呢。”
“很好。我刚售出了一个这种手机的资费，顾客通过了信用记录（译者注：美国通讯公司会查询手机用户过去的使用记录，以确定用户是否具备享受某一资费方式的资格），我们也签了资费合同。我查了一下该死的存货记录，却没有这种手机了。这让我很难做，你能帮个忙么？我让他到你们店去买一美分的手机，你卖给他后开张发票。他买到手机后会给我打电话，然后我再告诉他怎么用。”
“好的，当然可以。让他来吧。”
“太好了，他叫泰德，泰德·岩西（Ted Yancy）。”

一个自称泰德·岩西的人来到北广街连锁店，凯蒂开了一张发票，把一美分的手机卖给他，完全依照她的“同事”交待给她的事情，从而彻底地掉入骗局。付钱时，这个顾客的钱包里一枚硬币也没有，于是他到收款台的零钱碟中拿了一枚，交给她完成登记。他甚至一分钱都没有花就得到了那部手机。

　　过程分析

　　人们会很自然地相信熟悉公司内部的业务流程和专业用语，并声称自己是公司同事的人。这个故事中的社会工程师就是利用了这一点，通过了解促销活动的细节，扮做公司的职员，并要求另一个分店人员的帮助。这种事情在各零售店之间以及一个公司的各部门之间经常发生，这是因为人们没有机会接触，天天与从未见过面的同事打交道。

入侵FBI

　　人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目，节目制作者在网上做了一次搜索，发现了一份访问国家犯罪信息中心（NCIC）的操作说明拷贝。不久他发现，真正的NCIC操作说明原件就在网上，这是一份相当敏感的文档，它记录着从FBI的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门，这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息，手册里包含了数据库中用来标明各种信息的代码，从各种各样的纹身到各式各样的轮船外壳，再到失窃纸币和债券的面额。

任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则，然后依据手册上的步骤指导，再加一点胆量，人人都可以从数据库中提取信息，而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。

FBI几乎肯定不知道如此敏感的资料暴露在网上，我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的，另一份是由得克萨斯州的执法机构传到网上。为什么？这都是因为，也许某人觉得这些信息可能没什么价值，放到网上也不会有什么害处。也许有人为了内部人员使用上的方便，而它放到内网上，却从未想到会被在网上使用搜索引擎（如Google）的人找到，包括仅仅是好奇的人、还有想当警察的人、黑客，以及有组织的犯罪团伙。

　　接入系统

利用这样的信息来欺骗有政府或企业背景的人，使用的准则是相同的：由于社会工程师知道如何访问特定的数据库或应用程序，或是知道公司的服务器名称等类似的事情，他因此具备可信性，这种可信导致信任。一旦社会工程师拥有了这样的代码，获得所需信息就十分简单。在这个例子中，他首先给当地的州警察局电讯室打电话，针对手册上的一个代码，提出问题。比如，犯罪代码。他可能这样说，“我在NCIC做犯罪记录查询时，碰到‘系统发生问题’的错误提示。你做记录查询时碰到过这种情况么？能帮我试一下么？”或者他会说正在查询WPF（警方用语，被通辑人的档案）。电话另一端，电讯室的工作人员就会意识到对方熟悉查询NCIC数据库的操作程序和命令，除了受过训练的人，谁会知道这些操作程序呢？

工作人员确定她的系统运行正常后，谈话可能像这样进行：

“我可以帮点儿忙。你要查什么？”
“我要查瑞尔顿·马丁的犯罪记录，出生日期66年10月18日。”
“索什（SOSH，执行部门的人有时把社会保险号简称为索什）是多少？”
“700-14-7435。”
找到名单后，她可能这样说：“他的犯罪记录代码是2602。”

现在，攻击者只需到NCIC的网站上查一下这个号码的含义了――这个人有一桩诈骗的犯罪记录。

　　过程分析

　　一个出色的社会工程师一刻也不会停止思考闯入NCIC数据库的办法，往当地警察局打上一个电话，花言巧语一番让对方认为自己是内部人员，这就足以能够得到他所需的信息。下一次，他只需使用相同的借口往另一个警察局打电话就是了。为什么获得信息如此容易？

专业术语

索什：执法部门对社会保险号的简称。

你可能觉得奇怪，往州、县警察局，或是高速公路巡警处打电话不危险么？攻击者岂不是冒着很大的风险？

答案是“不”。由于某种原因，执法部门的人（比如军事部门），自从步入这个圈子的那一天起，就牢牢地记住对等级的尊重。社会工程师只要装扮成一名中士或中尉（比对方级别要高），对方就会被那句根深蒂固的训诫所支配――不要向职位、权力比你高的人提问。换句话来说，级别，享有特权，尤其是级别低的人不能对级别高的人提出置疑的特权。不要认为只有执法部门和军事部门才会看重级别的高低，社会工程师经常把企业中的等级特权做为他们对业务信息的攻击武器，一如本书中的故事中所做的示范。

预防措施

你的机构能采取哪些措施以降低社会工程师利用雇员相信他人的习惯来实施攻击的可能？下面提供一些建议：

　　保护你的客户

　　在当今的电子时代，许多销售公司都会把客户的信用卡信息存档。这是由于，在客户去商店或网站购物时，它省去了客户每次都要填写信用卡信息的麻烦。然而，这种习惯应该去除。如果你必须将信用卡号存档，则应采取加密或访问控制等相应的安全措施，工作人员需要培训以认清类似于本章中描述的社会工程师的诡计。只是通过电话但从未见过面的同事，可能不是她或他声称的那个人，他也许没有访问客户信息的知情权，因为，他可能根本就不在这个公司工作。

米特尼克信箱

人人都应了解社会工程师的惯用手段：尽可能的收集目标的所有信息，并利用这些信息获取信任，让对方认为自已是内部人员，然后便深入腹地。

　　有节制的给予信任

　　并不是只有那些有权访问到敏感信息的人，软件工程师、发展研究部门的人等等，需要得到防入侵的安全培训，几乎公司里的所有人员都需要安全培训以保护企业，防范商业间谍和信息窃贼。实施这项基础工作首先要在企业范围内做一项信息资产的调查，单独地审视每一项关键、敏感，或是有价值的信息资产，并提出问题，攻击者可能会使用什么样的社会工程手段来危及这些资产的安全。围绕这些问题，为有权访问信息资产的人制定出恰当的培训方案。任何没有见过面的人找你询问某些信息和资料，或是让你操作一下你的计算机时，每一个员工都应该问自己：如果我把这些信息透露给最坏的敌人，我或我的公司会因此而受到伤害么？我的确完全知道对方要求我做的计算机操作存在的潜在影响么？

我们并不想怀疑我们遇到的每一个陌生人，在怀疑中渡过人生。然而，我们越容易相信他人，我们就越容易被欺骗，从而把公司的私有信息泄露给下一个社会工程师。

内部网上有什么？

企业的内网也许有些内容会对外开放，剩下的只开放给员工。那你的公司是否确保了敏感信息不被放到不该放的地方？你的机构对内网上的敏感信息是否被放到网站公众访问区的最后一次检查是在什么时候？如果你的公司使用了代理服务器来增加企业的网络安全性，最近有没有进行检查以确保这些服务器做到正确的配置？

实际上，有人检查过你的内网安全性么？