迪迪并不知道这是指哪个部门或工作组,但这并不重要,她回答道:
迪:9WC。
派:那一般是四位数字。你说你在哪里?
迪:橡木城总部。
派:哦,这里有橡木城的代码。 1A5N,N是Nancy的N。
仅仅与愿意帮忙的人打交道到足够时间,迪迪便得到了她需要的代码,这个代码就是所谓的被人认为是无需保护的信息,因为它对企业外面的人来讲,似乎没有任何价值。
第三个电话:有用的错误号码
迪迪的下一步是把成本中心的代码当做筹码来开发更大的价值。她先给资产部打电话,假装是故意拔错的电话。以“不好意思,但……”做为话头,她声称自己丢失了公司的通讯录,看看对方可不可以帮她弄一个新的。对方说公司已将通讯录放在内部网站上,打印出来的已经过期了。迪迪说她还是想要一份复印件,对方让她打刊印部的电话,并主动查到刊印部的电话(也许是想让这位声音性感的女士多在电话上呆一会儿吧)然后告诉了她。
第四个电话:刊印部的巴特
在刊印部,她与一个叫巴特的人谈上了话。迪迪说她是橡木城的,他们新来了一位顾问,需要一份公司的通讯录。她告诉巴特,对于这位顾问来说,一份复印件会让工作更顺利些,即便有些过期。巴特告诉她需要填一份申请单然后再寄给他。迪迪说她手头没有申请单,而且事情很急,她甜言蜜语地问巴特是否能发个善心帮她填这个单子?他有些过分热心地同意了,接着迪迪报出单子上的各项内容。在报出虚构的签单人地址时,她慢慢地说出了一个被社会工程师称为“秘密通信地”的号码,在这里是一个邮箱号,商用的,她的公司为类似这种情况而租用的邮箱。这时,早先的准备工作派上了用场。邮递这份目录会产生费用,迪迪给出了橡木城成本中心的成本核算代码:“1A5N,N是Nancy的N。”
几天后,企业通讯录寄到,迪迪发现比她期望的还要好。上面不仅有名字和电话号码,还有人员之间的工作关系,整个企业的组织结构。
这位有着磁性嗓音的女士可以通过拔打人员电话开始她的猎头行动了。她使用社会工程师久经磨练的谈话技巧,骗取了开始行动所需的信息,她现在已经准备好收获了。
专业术语
秘密通信地(Mail Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字租用的,用来接收受骗者发来的文件和包裹。
米特尼克信箱
犹如拼图游戏,每条信息本身并没有什么联系。然而,当把它们放在一起时,一个清晰的画面便出现了。在这个案例中,社会工程师看到的画面就是那家公司的整个内部结构。
过程分析
在这次社会工程学的攻击中,迪迪以获得目标企业的三个部门电话为开始。这很容易,因为她询问的电话号码并不是秘密,尤其是对于内部工作人员。一个社会工程师要听起来像一个内部人员,此例中的迪迪就很善此道。一个电话号码帮她弄到成本中心的核算代码,而后者用来获取公司职员的通讯录。她使用的主要工具是:友善的语气、企业专业用语,以及对那个最后的上当者抛一个口头上的媚眼。还有一件无法轻易得到的必不可少的工具――社会工程师的操纵能力,它来自于广泛的实践,和老一辈骗子们口头传下来的经验。
更多的“无价值”信息
除了成本核算代码和内部分机电话,还有哪些看似无用但对你的敌人来说非常有价值的信息?
皮特?艾伯尔(Peter Abel)的电话
“嗨,”电话的另一端说:“我是帕克斯特(Parkhurst)旅行社的汤姆,您去往旧金山的机票已订好,您要寄过去还是您来拿?”
“旧金山?”皮特说:“我没打算去旧金山。”
“您是皮特?艾伯尔么?”
“是的,但我没有任何旅行的安排。”
“嗯,”对方友好的笑笑,“您确定您不想去旧金山么?”
“如果你认为你能跟我老板谈谈此事的话……”皮特对这次友好的谈话开起玩笑。
“这听起来有些乱,”对方说:“我们的系统依照员工号码登记旅行安排,也许有人把号码弄错了,你的员工号码是多少?”
皮特欣然报出他的号码。为什么?因为这如同他平时所填的公司里很多人都会看到的人员登记表,人事部、工资名单,很明显,还有外面的旅行社。没人把员工号码当做秘密。这会有什么影响吗?
这很难说清。两到三个信息也许就可以让社会工程师装扮成他人扮演一场好戏了。弄到一个工作人员的名字和他的电话号码,也许为了保险起见,再找到他上司的名字和电话号码。即使一个不怎么出色的社会工程师也会尽可能的搜集所需要的信息,以使他给下一个目标打电话时听起来可信。
如果昨天有人给你打过电话,声称他是公司另一个部门的职员,并给出一个含糊的理由来询问你的员工号码,你很轻易的就告诉他了么?
还有,你的社会保险号呢?(译者注:美国、加拿大居民的身份代码,类似于中国的身份证号。)
米特尼克信箱
这个故事的寓意在于,不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
预防措施
公司有责任让员工意识到对非公共信息的管理不善会带来严重的后果。一个深思熟虑地信息安全策略,再加上正确的教育和培训,将会极大的提升员工正确处理企业内部信息的意识。资料数据的分类策略也将帮助你实施对信息使用的正确控制,如果没有分类策略,所有的内部信息都应被视为保密,除非另做指定。
采取以下步骤来防止公司看似无害信息的泄漏:
信息安全部门应操办意识培训来讲解社会工程师所使用的手段。其中一个方法,正如上文所提到的,就是获得看似不敏感的信息,然后把它当做筹码来取得短暂的信任。每一个员工都应该意识到,当一个知道公司办事程序、专业用语和内部标识的人打来电话时,并不意味着他或她就可以知道所查询的信息。对方可能是公司以前的员工或是知道公司内部一般情况的合同工(译者注:某些大公司将员工分为regular和contractor,前者类似事业单位的固定工,后者类似合同工)。因此,每个企业都有责任制定适当的验证方法,在员工与他们不认识的人通电话或当面交谈时使用。
负责制订资料分类政策的人应该仔细检查信息的分类,注意那些正式员工可以访问到的看似无害却可能会导致敏感信息泄漏的信息。尽管你从未把现金卡(ATM)的密码告诉过别人,但你曾把开发公司软件产品的服务器告诉过别人么?这个信息可不可以让一个人装扮成企业员工合法地访问企业网络呢?
有时仅仅知道内部的专用术语,就可以让社会工程师显得知道很多并可以信赖,攻击者常常利用这个普遍的错误观念来操纵受骗者。比如,交易码是银行开户处用工作人员每天都使用的认证标识,这个标识的意义与密码一模一样。如果每一个工作人员都认识到它的意义――唯一用来确认查询人身份,他们也许会更加谨慎的对待它。
米特尼克信箱
正如人所说――即使一个真正的妄想狂也可能有敌人,我们也必须假定每个企业都有它的敌人――以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字,应尽早地布置深思熟虑的安全操作方案和策略,这样才能对企业进行正确的控制以加强防范。
没有公司或只有很少的公司,会将首席执行官或董事长的直拨电话告诉别人。尽管大多数公司并不在意在内部公开电话号码,尤其对于似乎是内部员工的人,实施这样一个政策还是必要的:禁止对外公开内部职员、合同工、顾问和临时雇员的电话号码。
部门或工作组的财务制度,还有企业通讯录(无论是复印件还是资料文件或是内网上的电子版),都是社会工程师常见的目标。每个企业对这类信息都要有一个成文的使用政策,并让所有的员工都知道。保安人员则应保留一份备查日志,用以记录敏感信息透露给企业外人员的情况。像员工号码这样的信息,它本身不能用做任何形式的验证,内部员工不仅要验证查询信息者的身份,还要确定对方是否具有相关信息的知情权。
在进行安全培训时,试一下这个方法:无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。然后,在做好心人之前,先遵循公司对非公共信息的验证和使用政策。这种工作方式也许违背了我们乐于助人的天性,但多一点有益的怀疑也许是必要的,以免成为社会工程师的下一个受骗者。
正如本章故事中所叙述的,看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。
电话公司的人都知道,对于非公开的号码查询信息只能让已授权的电话公司知道,线路分配中心的的号码只能告诉本公司的职员。然而,即使他们从不会将这些信息公之于众,谁又能拒绝帮助一位身负繁重工作任务的公司员工呢?她对他保罗起了同情之心,她今天的工作也很不顺,于是她小小地破了个例,来帮助这个遇到麻烦的同事。
她告诉他电缆线的配对,以及每个分配到相应地址的号码。
评论留言