欺骗的艺术-第7章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　
从未有人向珍妮撒过这样的谎，打电话的人根本就不是客户名单部门的人。当然，珍妮也不应被责怪。她并不熟悉那条“在谈论客户档案信息之前，一定要知道与之谈话的人是谁”的规则，没有人告诉过她象亚特这样打来电话的危险性，公司里也没有制定这样的政策，她也从来没有培训过这方面的内容，而且她的主管也从未提及过。
　
预防措施
　
企业安全培训的一个要点就是：如果一个来访者或是打电话的人知道公司某人的名字，或是知道一些内部用语或业务程序，并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的，从而把内部信息泄露给他，或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调：一旦有所怀疑，必须确认、确认，再确认。
　
在过去，能够访问到企业内部信息是拥有权力和级别的标志。工人们往熔炉里添燃料、运转机器，员工们打字、填写报告，工头或是上司告诉他们做什么，何时做，如何做。只有工头或上司才知道一个班上的每个员工生产多少零件，工厂这个星期、下个星期、这个月底需要生产出什么颜色、什么尺寸、什么数目的产品来。
　
工人们负责机器、工具和原材料，老板们负责处理信息。工人只需要知道与本职工作有关的信息。
　
那时的情况与现在有所不同，不是么？现在，许多工厂的员工都使用某种计算机或是由计算机控制的机器。对大多数人来说，重要的信息都直接放在使用者的桌子上，以便于他们履行自己的职责来完成工作。在现代社会，几乎每一名员工都离不开处理信息的工作。因此，企业的安全策略应遍布企业的各个地方，而无所谓职位的高低不同。每个人都应该认识到，不仅是上司或管理人员拥有攻击者想追寻的信息。今天，每个层次级别上的职员，甚至是不使用计算机的人，都有可能成为攻击者的目标。而公司新近雇用的客服人员则是社会工程师最容易突破的薄弱环节，企业的安全培训和安全策略务必要加强这方面的注意。

















第四章　建立信任

这些故事可能会导致你认为我把业务中接触到的每一个人都看成十足的傻瓜，都很乐意地、甚至是渴望着把他或她所拥有的每一个秘密泄露出去。社会工程师知道，这是不可能的。为什么社会工程的攻击容易得手呢？这不是因为人们的愚蠢或是缺乏常识，而是因为，我们人类很容易被操纵而把信任用错了地方，因此被欺骗。社会工程师早已料到会受到阻力和怀疑，他随时准备着把人们对他的怀疑扭转。一个优秀的社会工程师策划攻击时如同下象棋，预先想到对方可能会提出什么样的问题，从而把合适的答案准备好。他的一个很常用的技巧就是给受骗者建立信任感，一个骗子如何才能获得你的信任呢？相信我，他能够。
　　
信任：欺骗的关健
　
社会工程师越把情况营造得像普通的业务联系，就越能减少怀疑。当人们没有疑心时，得到他们的信任就很容易了。一旦取得你的信任，如同吊桥放下，城门打开，他就可以入内随心所欲地取得他所需的信息。
　
注：你也许注意到我在提及社会工程师、电话盗打者和设计骗局的人时，大多数情况下用的是“他”。这不是偏见，这只是反应了一个事实——从事这些领域的人大都是男性。但尽管女社会工程师很少，可这个数字正在增长。不要仅仅因为听到了一位女性的声音而放松了你的警觉，女社会工程师还是有的。事实上，女社会工程师有着独特的优势，利用她们的女性特征来得到对方的配合。本书以后的内容中将会出现少量的女性社会工程师。
　
第一个电话：安德瑞亚？洛偑兹（Andrea　Lopez）
　
安德瑞亚？洛偑兹在她工作的音像店接到了一个电话，她立刻微笑起来（当一位客户特意打来电话对服务表示满意时，总会让人高兴）。打电话的人说，在他们店里得到了非常好的服务，他想给写封信告诉他们的经理。他询问经理的名字和通信地址，她告诉他名字是汤米？艾里森（Tommy　Allison），并把通信地址也给了他。就在要挂电话时，他又有了一个想法，他说：“我还想写给你们公司总部，那儿的电话是多少？”她也告诉了他。他道了谢谢，并说了些她的服务十分让人满意之类的话，然后再见了。“像这样的电话，”她想，“总能让上班的时间过的快些，如果多有些这样的人就好了。”
　
第二个电话：吉妮
　
“欢迎致电音像工作室，我是吉妮，需要帮忙么？”
“嗨，吉妮，”打电话者热情的打招呼，听起来就像每个星期都给吉妮通话似的。“我是汤米？艾里森”，863店森林公园的经理。我这儿有一位客户，想租《洛奇5》，可我们这儿已经没有拷贝了，你能查一下你们那儿有么？”
过了一会儿，她回答：“是的，我们还有三个拷贝。”
“好的，我问一下客户是否愿意过去，谢谢你。如果有任何需要，请致电汤米，我很乐意为你效劳。”
　
接下来的几个星期，吉妮又接到过三、四次汤米寻求帮助的电话，这些要求似乎都很正常，他总是十分友善，没有故意接近她的意思。同时，稍稍有些唠叨。如“你听说橡树园的大火了么？一连串的街道都封掉了，”类似的话。对于日常工作来说，这些电话可以让人得到片刻的休息，吉妮总是乐意接到他的电话。
　
　　一天，汤米打来电话，听上去有些焦虑，他说：“你们的计算机出过问题么？”
“没有，”吉妮回答。“怎么了？”
“有个人开车把电线杆撞了，电话公司的修理人员说城市的一部分地区没办法打电话和上网，直到他们修好。”
“哦，不会吧。那个人受伤了么？”
“他们把他送到救护车上了。别管这些了，我需要你帮个忙。我这儿有一个你们的客户，想租《教父2》，但他没带租片卡，你能帮我确认一下他的信息吗？”
“是的，当然。”
　　
汤米说出客户的名字和地址，吉妮在计算机中找到，然后告诉汤米客户的账号。
“有过期未还和欠款记录么？”汤米问。
“没有。”
“好的，很好。我手工给他登记一下账户，计算机故障恢复之后再录入数据库。而且，客户还想用在你们店使用的维萨卡（Visa）付账，但他也没带。他的卡号和有效期是多少？”
吉妮都告诉了他。汤米最后说：“嗨，谢谢帮忙，回聊！”
　　道伊尔？罗尼甘（Doyle　Lonnegan）的故事

　　罗尼甘可不是一个普通的年轻人，他过去是一个收藏家，欠了不少赌债，如果不是这些赌债弄得他焦头烂额的话，他还会偶尔继续他的爱好。在这个故事里，他仅仅往一家音像店打了几个电话，就得了一笔现金。这听起相当不错，因为他的“客户”没有人知道如何设计这个骗局，他们需要像罗尼甘这类人的知识和才能。

　　每个人都知道，当他们在牌桌上运气差或是犯错误而输钱时，是不会用支票来代替赌资的。可为什么我的这些朋友们还要跟一个没带钞票的骗子赌钱呢？不要问了，也许他们的智商有点儿问题，但他们是我的朋友，我又能怎么办？

　　这个家伙没带钱，于是他们收了他的支票。让你说，他们应该开车把他带到自动柜员机那儿去吧？本应这样做的。但他们没有，他们收了一张支票，3230美元。不用想，这是张空头支票。还有什么其它可能呢？于是，他们给我打电话，问我能帮忙么？我不再用门去挤别人的手指了（译者注：指暴力手段），而且，现在有更好的办法。我告诉他们，我要30％的佣金，看我的本事吧。他们给了我他的名字和地址，我用计算机找到离他最近的音像店。我并不着急，先后打了四个电话来讨好音像店的经理，然后，我就得到了那个骗子的维萨卡号。我有一个朋友开了一间半裸吧（译者注：裸露半身的脱衣舞酒吧），用了50美元，把那个骗子所欠的赌资当做酒吧消费从他的维萨卡上划出，让他给老婆解释去吧。你认为他会找信息卡公司说他没有花这笔钱吗？好好想想。他知道我们知道他是谁，而且如果我们可以拿到他的维萨卡号，他会认为我们还可以做更多的事情，因此，这件事没什么可担心的。

　　过程分析

　　汤米打给吉妮的第一个电话仅仅是为了建立信任，当真正的攻击开始时，她已经放松了警惕并认同汤米所声称的身份——另一家连锁店的经理。有什么理由不接受他呢？她已经认识了他。当然，仅仅是通过电话联系，可他们已经建立了工作上的友谊，那是信任的基础。一旦她认为他是可以相信的人——同一家公司的一位经理，信任感就已经建立，剩下的事就顺其自然了。

　　米特尼克信箱

　　建立信任的欺骗技术是社会工程学最有效的策略之一，你务必要考虑你是否真正认识与你谈话的人。在一些不常见的情形下，对方很可能不是他自己声称的那个人。因此，我们必须学会观察、思考和提问。

主题变奏：攫取信用卡

　　建立信任感，不一定非得给受骗者打上一系列的电话，如上文中讲述的案例。我想起一个亲身经历的故事，它建立信任感只用了5分钟。

　　惊奇吧，爸爸

　　有一次，我与汉瑞（Henry）和他父亲坐在一家餐馆。谈话中，汉瑞责怪他父亲把信用卡号像电话号码一样随便泄露给别人。
　　“当然，买东西时必须使用信用卡号，”汉瑞说。“但是把你的卡号告诉一家商店，并让他们记录下来，那是非常不明智的。”
　　“我只在音像工作室这么做过，”康克林（Conklin）先生说，“但我每个月都会查看我的维萨卡记录，如果他们多收费用，我会知道的。”
　　“当然，”汉瑞说。“但他们一旦知道了你的卡号，别人就很容易弄到了。”
　　“你是指不怀好意的店员么？”
　　“不，我是指任何人，不仅仅是店员。”
　　“你在信口开河，”康克林先生说。
　　“我可以现在就打电话，让他们告诉我你的维萨卡号，”汉瑞立刻大声回应道。
　　“不，这不可能，”他父亲说。
　　“我可以在五分钟之内搞定这件事，就在你的面前，连桌子我都不会离开。”
　　康克林先生看起来有些紧张，他自己感觉到了这种紧张，但并不想让别人知道。“你根本就不知道你在说什么，”他急促地说，并掏出钱包拿出50美元甩到桌子上，“如果你能做到你说的话，这是你的了。”

　　“我不想要你的钱，爸爸。”汉瑞拿出手机，询问他父亲是哪一个音像店分店，然后打电话给查号台找到分店的电话号码以及谢尔曼橡树园（Sherman　Oaks）分店的电话号码。接着，他打电话给谢尔曼？奥克分店，几乎用了跟上一个故事完全一样的方法，很快得到了经理的名字和分店的店号（译者注：如上文中提到的863分店）。然后，他打电话给登记着他父亲账户的分店，利用刚刚得到的名字和分店店号来假扮分店经理。接着使用相同的手法：“你们的计算机没出问题吧？我们这儿的计算机时好时坏。”听到了她的回答后他接着说，“嗯，是这样，我这儿有一位你们的客户想