欺骗的艺术-第3章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　
我们的国民性格
　
我们对危险漠不关心，尤其在西方，美国则更甚。我们没有受到要对别人保有怀疑态度的训练，我们接受的是“爱汝之邻”（译者注：此句引自《圣经》）的教育，人与人之间要相互信任和忠实，试想一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是很明显的，却似乎被许多宁愿活在理想世界里的人忽略，直至受到伤害。
　
我们知道，并不是所有的人都诚实善良、友爱可亲，可我们在生活中却经常把他人想像成这样。这种可爱的无知一直都是美国人的生活方式，放弃这种习惯十分不易。做为美国人，自由和最适宜居住的地方就是锁和钥匙最没必要的地方，这种理念已经深入人心。大多数人持有不会被欺骗的想法是觉得被骗的可能性很低，而攻击者利用这种心理，编出不会引起怀疑的听上去十分合理的理由，充分的利用了受骗者的信任。
　
机构的无知
　　
　　无知是我们国民性格的一部分，这可以在回溯计算机首次远程联接时轻易的看出。APPANet（美国国防部高级研究项目署网络），互联网的前身，用来在政府、科研和教育机构之间共享信息，其目标是信息共享和科技进步，许多教育机构因此建立了几乎没有任何安全措施的早期计算机系统。一个著名的软件开发自由主义者，理查德？斯托曼，甚至拒绝为他的账号设置口令。但随着互联网电子商务的兴起，由于互联网脆弱的安全措施导致的危害性发生了极大的变化。
　
使用再多的安全技术也不能解决人为的安全因素，拿今天的机场为例，安全已经成为首要措施，然而我们仍然被媒体的报道所警告，还是有人可以避开安全措施、携带潜在性武器通过检测。在一个机场时刻处于警戒状态下的时期，这种事情又是怎么发生的呢？是那些金属仪器失效了么？不，问题不在机器，问题在于人，机器是由人操纵的。机场的官员虽然可以布署国民警卫队并安装检测器和面部识别系统，但如何培训一线保卫人员正确地检查旅客则更为重要。全世界的政府、商业、教育机构都有同样的问题，虽然各个地方的职业安全人员不敢懈怠，但信息仍然易受攻击，并被具备社会工程学技巧的攻击者视为可摘之果，除非安全链中最薄弱的环节——人为因素，被加固强化。
　
现在，我们比任何时候都需要停止幻想，同时对攻击计算机系统和网络机密性、完整性以及实用性的技术加深认识。我们已经认识到主动防御的必要，是接受和学习安全防护的时候了。
　
　　对你的隐私、思想和公司信息系统的非法入侵似乎很遥远，直到它真的发生。为了避免付出昂贵的代价，我们所有的人都需加深认识、富有经验、保持警醒，并主动防卫我们的信息资产、个人信息，以及国家的关健基础设施。现在，我们必须实行严谨、周密的设防。
欺骗与恐怖分子　
　
当然，欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件，我们前所未有地意识到我们居住的世界充满了危险。文明，终归只是一层脆弱的薄板。2001年，发生在纽约的911事件把悲伤和恐惧植入每一个人的心中，不只是美国人，还有世界上所有善良的人们。我们已经开始警觉，因为这个世界上还分布着受到良好训练的极端恐怖分子，伺机再次发动对我们的攻击。
　
政府最近的强化努力已经提升了大众的安全意识，我们需要保持警醒，警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份，假扮学生、邻居而混入人群的，他们掩饰住自己真实的思想以密谋恐怖行动，而他们使用的就是类似于本书中介绍的欺骗手法。
　
然而，就我所认为，恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂，或其它关系国计民生的基础设施中，但可能性依然存在，这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强，因为这本书恰逢其时。
　
关于此书
　
企业安全是一个平衡问题，安全性太差公司易受攻击，但过多的强调安全又会妨碍业务管理和公司的发展，其难点在于达到生产效率和安全之间的平衡。
　
　　其它关于企业信息安全的书都把重点放在硬、软件技术上，而忽略了最重要的安全威胁——对人的欺骗。与之相反，此书的目的，就是要帮助大家理解自己、同事，和公司其他人员是如何被操纵的，并帮助大家建立屏障，谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上，它能够对看似安全的信息完整性产生威胁，甚至破坏公司的工作成果。
　
　　我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着，他们有办法（比如：“这是为了你好”）让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法，巧妙的编出看似有理的故事、理由以及借口，来达到他们的目的。是的，我们都被我们的父母所引导——那些乐善好施的（偶尔也不完全如此）社会工程师们。
　
　　由于这种生长环境，导致我们软弱而容易被操纵。可总是对他人怀有戒心，担心上当受骗，会活得很累。在理想的世界里我们应对他人给予绝对信任，每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中，我们必须锻炼我们的防欺诈能力以对付我们的敌人。
　
这本书的主要内容——第二和第三部分，讲述社会工程师如何实施欺骗的故事。在这两部分中，大家将会看到如下内容：
　
？电话盗打者早就发现的，一个从电话公司弄到未刊登电话号码的方法；
？几个不同的社会工程学方法，甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令；
？信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息；
？隐私调查者是如何弄到你的企业、你本人的隐密信息的，我可以保证，这会让你脊背发凉。
　
你也许会认为这两部分中讲述的故事实际上不可能发生，没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上，在每个案例中，这些故事都是可以成为现实而且已经成为现实的，这些事情每天都在世界的某个地方发生，甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪，还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。
　
在本书的第四部分，我转变了方向。在这里我想帮助大家建立企业必要的安全策略和安全意识培训，以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、方法和技巧，在不会降低公司的生产效率的同时，帮助你布置合理的控制策略来保护企业的信息资产。
　
简而言之，我写此书的目的就是要提升大家的安全意识，以应对来自社会工程师的严重威胁，并帮助你的公司和公司员工尽可能的不被利用。或者我应该这样说，不再被利用。

















第二部　攻击者的手段　　
　
第二章　无害信息的价值
　
对大多数人来说，社会工程师的真正威胁在哪里？又该如何保持警惕？
　
如果社会工程师的目标是“最有价值奖”——比如，企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安，对么？
　
但在现实中，坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件，这些信息和文件看起来十分平常，也不重要，公司里的人大都不明白为什么这些东西会被限制和保护。
　
信息的隐藏价值
　
社会工程师十分重视企业中许多表面上看去无利害关系的信息，因为这些信息是他能否披上可信外衣的至关重要的因素。
　
在这一章里，我将通过让读者“亲身”经历攻击过程，来展示社会工程师的攻击手段。有时从受害人的角度来表现情节，让读者以当事人的身份估计自己（或是你的同事和员工）可能会做出的反应。而更多的时候，让读者从社会工程师的角度来经历攻击过程。
　
第一个故事着眼于金融行业的一个漏洞。
　
信誉支票（CREDITCHEX）
　
曾经有一段很长的时期，英国的银行系统十分闭塞，大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户，除非他带有某位正式银行客户的推荐信。
　
当然，这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了，任何人都可以走进银行轻松的建立一个日常账户，是这样么？
　
并非如此。事实上可以理解，银行很难为一个才开过空头支票的人建立账户，这很自然，同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。
　
与银行有着重要业务联系的公司中，有一种机构专门为银行提供这类信息，我们把这种机构称之为“信誉支票”。它为客户提优质的服务，但同许多公司一样，它也会“无心”的为“有心”的社会工程师们提供便利的服务。
　
第一个电话：吉姆？安德鲁斯（Kim　Andrews）
　
“国家银行，我是吉姆，您是想要开一个帐户么？”
“嗨，吉姆，我想请教个问题。你们与信誉支票打交道么？”
“是的。”
“你们给信誉支票打电话时，怎么称呼你们提供的号码？是叫‘交易号’（Merchant　ID）么？”短暂的沉默，基姆在衡量这个问题，对方是什么意图，她是否应该回答。打电话的人不容对方思考接着问：“是这样，吉姆，我在写一本涉及私人调查的书。”
“是的。”她有了回答的信心，因为她还是愿意帮助一个作家的。
“就叫“交易号”，对么？”
“啊，嗯。”
“好的，很好。我是想确认我的书中使用了正确的专业用语，谢谢你的帮忙，再见，吉姆。”
　
第二个电话：克瑞丝？塔伯特（Chris　Talbert）
　
“国家银行，开户处，我是克瑞丝。”
“嗨，克瑞丝，我是阿莱克斯。”打电话的人说，“我是‘信誉支票’的客服代表，我们在做一项改善服务质量的调查。能耽误您几分钟么？”克瑞丝表示愿意，打电话的人继续：“好的。你们部门营业时间是多少？”她给予回答，并接着回答下面的一系列问题。
　
“你们部门有多少人使用我们的服务？”
“大约多长时间给我们打一次咨询电话？”
“您用的是我们哪一个800免费电话号码？”
“我们的客服代表服务态度好么？”
“我们对业务的响应时间如何？”
“您在银行工作多长时间了？”
“您通常使用的交易号是多少？”
“您是否发现过我们提供过的信息不准确？”
“如果您对我们的服务有所建议，建议是什么呢？”最后：
“如果我们把定期调查表寄到你们部门，您会填写么？”
　
她表示同意，然后彼此简单对了几句话，电话挂掉，克瑞丝继续她的工作。
第三个电话：亨利？麦克金赛（Henry　McKinsey）　
　
“信誉支票，我是亨利？麦