第 15 节
作者:
做男人挺好的 更新:2022-10-30 13:52 字数:4876
“我想,我从没在其它电影公司工作过,所以我真的不知道,我能帮你做什么?”
“说实话,我觉得自己有点笨,今天下午为稿件会议约了名作家过来,不知道该和谁讨论让他参与哪一部分。布莱恩办公室里的人都非常好;但是我不想再麻烦他们教我这件事我该怎么做,那件事我该怎么做;就像我刚刚从大学出来找不到去洗手间的路。你明白我的意思吗?”
多罗茜笑了。
“你要和Security里的人讨论,拨号7,然后6138。如果你联系上了劳伦(Lauren),告诉她多罗茜说她能够帮助你。”
“谢谢,多罗茜。如果我找不到男洗手间,我会再打电话给你!”
他们都为这个想法暗自发笑,然后挂了电话。
大卫·哈罗德(David Harold)的故事
我热爱电影。当我搬到洛杉矶时,我想我可以和各种各样的电影商业人士见面,他们会邀请我参加聚会并在摄影棚里吃午饭。好,我在这里已经一年了,现在26岁,最靠近的一次是在菲尼克斯和克里夫兰(译者注:均为美国城市)遇到了环球电影公司的一些友好的人。所以最后我开始记录电话号码,如果他们不邀请我,我就邀请我自己。我就是这样做的。
我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏,写下不同电影公司的制片人的名字。我首先确定了一个偶然发现大型制片厂,然后打电话给接线总机请求接通我在报纸上找到名字的这个制片人。接线员的回答很亲切,所以我很幸运,如果是一个只在那里盼望着着被提拔的年轻女孩,她也许不会给我时间。
但是这个多罗茜,她听上去像是在接待一个迷路的小猫,有人同情这个被新工作打击了的新人。并且我肯定很好的触动了她,不是每天你设法欺骗一些人他们就会给你比你请求的更多的东西。出于同情,她不仅给了我一个在Security的人的名字,还说我可以告诉那位女士多罗茜希望她帮助我。
当然我计划过无论如何要利用多罗茜的名字,劳伦都没查找我提供的名字是否真的在员工数据库里就信任了我,这让我的目标更好实现。
当我那个下午开车进入大门时,他们不仅把我的名字放到了访客名单里,还为我准备了一个停车位。我在内部餐厅吃了一顿迟了的午饭,然后在这个地方散步直到一天结束。我甚至偷偷摸摸地到了几个摄影棚,看他们拍电影直到7点才离开。那是我经历的令人激动的一天。
过程分析
每个人都曾是新员工。我们对上班第一天的事情记忆犹新,尤其是当我们没有经验,对工作不熟练的时候。所以当一个新员工求助时,他可以盼望许多人——尤其是登记处的人——可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些,他知道可以利用目标的同情心来办到。
我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划,即使在入口处有守卫并对每一个非员工实行签名程序,任意变化一个在这个故事里使用的诡计,都能让一个入侵者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢?这是个好规定,但是它只在这种假设下才有效——你的员工们真正尽责的拦住任何有或没有访客认证的人并询问他,然后如果对回答不满意你的员工们会联系安全部门。
攻击者谈论进入你的公司危及敏感信息的方法,这对他们来说很容易。当今世界,恐怖分子攻击的威胁笼罩着我们的社会,比陷入危险中的信息多得多。
“现在就做”
不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部信息的人都变得危险,即使任何公司的经理对员工的所有个人信息文件和数据库进行限制(当然,大部分公司都会这样做),危险依然存在。
当不对职工们进行教育和培训如何防御社会工程学攻击时,坚决的人,就像接下来的故事里那位被抛弃了的女士一样,所做的事情大多数诚实的人会认为不可能。
道格(Doug)的故事
总之,和琳达(Linda)的事情不是很顺利,当我看到艾瑞(Erin)时,我就确定她是我的唯一。琳达是,像是,有一点……好吧,有些不确切,不稳定,当她烦恼时她会不经过大脑就行事。
我尽量温和地告诉她必须从我家搬出去,并且帮她整理东西,甚至让她拿走了几张属于我的Queensryche CD。等她一走我马上到五金店买了一把新的Medico锁,把它装在了前门并在当天晚上锁好。第二天上午我打了一个电话给电话公司,让他们更改我的电话号码,并对其保密。
我可以自由地追求艾瑞了。
琳达的故事
我准备离开了,无论如何,那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。所以只有一个问题,我该怎样让他知道他有多么负心?
没花费很多时间就可以断定他有了另一个女孩子,否则不会这样仓促地和我分手。所以我只要稍等一下,然后在晚上很晚的时候开始打电话给他。你知道的,在这段时间他们最不想接电话。
我等到第二个星期才在星期六晚上11点钟打电话给他,可是他更改了他的电话号码,新号码又没有在电话表里列出来,这有些像是SOB的人干的。
这不是个很大的挫折。我开始在一些文件里到处翻寻,那是我辞去电话公司的工作前设法带到家里的。就是它——我保存的一张维修票,道格的电话线路有一次出现故障,这上面列出了他的电话线路。看吧,你可以尽你想要的修改你的电话号码,但你的电话线依然连接在你的房子和电话公司的中继局之间,接通着电话总机办公室(Central Office,或者说CO)。电话线路的设置被这些接通着线路的号码所确认,如果你知道电话公司是怎么样做这些事情的,像我做的那样,找到电话号码只需要获得目标的电话线路设置。
我有一张这个城市所有CO的列表,里面有他们的地址和电话号码,我找到了一个在道格这个负心汉我以前住的地方旁边的CO号码,并且打过去,但是没有人在那里。转接员在你需要他的时候在哪里?实足用了20分钟我才拿出计划,开始打电话给附近的其他CO,最终锁定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按我需要的做,我已经计划好了。
“我是琳达,维修中心,”我说,“我们遇到了紧急情况。一台医疗机构的服务器当机了。我们使用技术手段尝试重新启动服务器,但是找不到问题所在。我们需要你马上开车到韦伯斯特(Webster) 的CO,看我们离开电话总机办公室能否拨通。”
然后我告诉他,“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中心找我。
我知道他不愿意离开舒适的电话总机办公室,穿得厚厚实实的,擦掉挡风玻璃上的积雪,深夜在烂泥地上开车。但这是紧急事件,他没理由说自己很忙。
当我四十分钟后在韦伯斯特的CO里见到他时,我告诉他检查29线2481路,然后他热情地检查了,并说,是的,线路是通的。当然这我早知道了。
所以我说,“好的,我需要你进行LV(line verification线路排查)。”那需要他确认电话号码,他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话表里的号码,或者是这个号码刚刚被修改过。所以他按我要求的做了,并且展示了他的线路工人的测试设置。很好,所有的事情像有魔力一般完成了。
我告诉他,“好的,故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他并告诉他我们要继续工作,然后说,晚安。
米特尼克信箱
一旦一个社会工程师了解了目标公司的内部工作流程,使用这些知识与一个正式员工相识将变得很容易。公司需要预防这些社会工程学攻击,来自现在的或以前的别有企图的员工。后台检查可以帮助清除有这些行为倾向的人。但是在大多数案例中,发现这些人是非常困难的。在这些案例中唯一合理的安全措施就是执行和审核身份验证程序,包括员工身份和之前有无透漏公司的任何内部信息给任何人。
道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。
好戏开始了。
过程分析
这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划,是因为她拥有内部知识:那些电话号码、程序和电话公司的行话。有了它们她不仅可以找到一个新的、未公布的电话号码,而且可以在冬季的晚上,让一个电话转接员为了她而穿过整个城镇。
“比格(BIGG)先生想要这个”
一个流行的非常有效的胁迫方式——因为它太简单了——依赖于利用权威来影响人们的行为。
仅CEO办公室助手的名字就很有价值,私人侦探,甚至猎头公司都始终在做这些事情。他们打电话给接线员;说他们想要联系CEO的办公室。当秘书或者助理经理回应时,他们就说他们有一个文件或者包裹给CEO,或者如果他们发送一份电子邮件附件,她能把它打印出来吗?或者他们会问,传真号码是多少?顺便问一下,你叫什么名字?
然后他们打电话给下一个人,说,“比格先生办公室的琼尼(Jeannie)要我打电话给你,他说你能帮我。”
这个技巧是打电话时略提权威人士以示相识而提高自己身份,它通常是个惯用的方法,通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系,目标大多对这些人有好感,他们认识他认识的人。
如果攻击者着眼于进攻高度敏感的信息,他可以使用这些方法激起受害人有用的情绪,例如害怕和上司之间陷入麻烦。下面是一个例子。
斯科特(Scott)的故事
“斯科特·艾布拉姆(Scott Abrams)。”
“斯科特,我是克里斯多佛·道布瑞 (Christopher Dalbridg),我刚刚和比格雷(Biggley)先生结束通话,他有些不高兴。他说他10天前发了一条短信给你,想要拿你的市场深入调查给我们分析。但我们没有拿到任何东西。
“市场深入调查?没有人和我说过和它有关的任何事情。你是哪个部门的?”
“我们是他请来的顾问团;我们已经落后于预定计划了。”
“听着,我在去开会的路上,告诉我你的电话号码……”
现在攻击者听上去有些失落:“你想让我告诉比格雷先生吗?!听着,他希望明天早上拿到我们的分析,我们不得不整晚都为它工作。现在,你希望我告诉他我们不能完成,因为我们没有没有从你那里拿到报告,或者你想亲自告诉他呢?”
一个生气的CEO可以摧毁你的一个星期,目标可能会决定在去开会之前较好的解决这些事情。再一次,社会工程师按下了正确的按钮获得了他想要的回应。
过程分析
如果一个人在公司里地位相当低,通过提及权威人士工作的胁迫方式很有效,利用重要人物的名字不仅可以消除正常的不愿和怀疑,而且经常让人热情的满足要求。当你认为这个你帮助的人是重要的或有权势的,自然希望自己变得更加有用。
社会工程师知道,虽然,运用这种特殊的欺骗是最好的,利用比目标上司等级更高的人的名字,但是小公司对这种开局很机警:攻击者不想他的目标有和商业副总裁交谈的机会。“我发送了一份产品销售计划给你,那个人跟我说的。”能轻易的引起这样的回答“什么销售计划?什么人?”这将导致公司发现自己被攻击了。
米特尼克信箱
胁迫可以引起对惩罚的畏惧心理,使人们合作。胁迫也可以引起人们对困境的畏惧心理或者害怕失去新的提升机会。
人们必须训练当陷入安全危机时,不但是可以接受的而且是合理的去挑战权威。信息安全训练应该包含教育人们如何通过友好用户途径挑战权威,而不会破坏关系。而且,应当落实这些期望。如果一个员工不支持不考虑身份的挑战权威,正常的反应是停止挑战——正好和你想的相反。
社会保险总署(Social Security Administration)了解你的哪些事情
我们喜欢认为政府机构把我们的信息保护得很严密,只有可信的人才能知道。事实是甚至联邦政府都不像我们想象的那样免疫入侵。
梅林(May Linn)的电话
地点: 社会保险总署区域办公室
时间:星期四的早晨; 上午10:18
“三号Mod