欺骗的艺术 簡中.pdf

《欺骗的艺术 簡中.pdf》由会员分享，可在线阅读，更多相关《欺骗的艺术 簡中.pdf（230页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 欺骗的艺术 The Art of Deception 凯文米特尼克 著 1 目录目录 序 前言 内容介绍 第一部分 第一章 安全软肋1 第二部分 第二章 无害信息的价值 10 第三章 正面攻击直接索取 25 第四章 建立信任 34 第五章 我来帮你 46 第六章 你能帮我吗？ 67 第七章 假冒网站和危险附件 81 第八章 利用同情、内疚和胁迫 91 第九章 逆向骗局114 第三部分 入侵警报 第十章 进入内部126 第十一章 综合技术与社会工程学146 第十二章 攻击新进员工164 第十三章 聪明的骗局176 第十四章 商业间谍189 第四部分 加强防范 第十五章 信息安全知识与训练203

2、 第十六章 推荐的信息安全策略213 序序 人类天生就有一种探索周围环境的内在动力，作为年轻人，我和凯文米特尼克(Kevin Mitnick)对这个世界有着无比的好奇心并渴望证明自己的能力。我们努力学习新事物、解决 难题并赢得比赛， 但同时这个世界又告诉我们一个行为规则不要过于放任自己对探索自 由的强烈渴望。可对于最大胆的科学家和企业家，还有像凯文米特尼克这样的人来说，跟 随内心的这种渴望会带来极大的兴奋，并使他们完成别人认为是无法做到的事情。 凯文米特尼克是我认识的人中最杰出的一个。只要你问他，他便会坦率的告诉你他曾 经做过的事社会工程学包括骗人。 但凯文已经不再是一个社会工程师了， 即便在

3、他 曾经是的时候， 他的动机也绝不是发财和伤害他人。 这并不是说这个社会不存在利用社会工 程学而给他人带来真正伤害的危险的破坏者， 事实上， 凯文写这本书的目的就是要提醒大家 警惕这些罪犯。 欺骗的艺术将会展示政府、企业和我们每一个人，在社会工程师的入侵面前是多么 的脆弱和易受攻击。 在这个重视信息安全的时代， 我们在技术上投入大量的资金来保护我们 的计算机网络和数据， 而这本书会指出， 骗取内部人员的信任和绕过所有技术上的保护是多 么的轻而易举。无论你是在政府还是在企业，这本书都如同一个清晰、明确的路标，它将帮 助你弄清社会工程师的手段，并且挫败他们的阴谋。 以小说故事的形式展开叙述，不仅有

4、趣，还具有启发性，凯文和合著人比尔西蒙将把 社会工程学这一不为人知的地下世界展现在你的面前。 在每个故事叙述之后， 他们还将提供 一个实用的技术指南来帮助你提防他们在书中所描述的威胁和泄露。 技术上的安全防护会留下很大的漏洞， 凯文这样的人可以帮助我们去堵住它。 阅读此书， 你会发现我们所有的人都终将需要得到“米特尼克” （译者注：指凯文米特尼克这样的人） 的指导。 史蒂夫沃尼亚克 作者: KEVIN D.MITNICK & William L.Simon 译/王小瑞 jrocleeAT 龍之冰点 HhackerATH 前言前言 一些黑客毁坏别人的文件甚至整个硬盘，他们被称为电脑狂人（crac

5、kers）或计算机破 坏者（vandals） 。另一些新手省去学习技术的麻烦，直接下载黑客工具侵入别人的计算机， 这些人被称为脚本小子（script kiddies） 。而真正有着丰富经验和编程技巧的黑客，则开发黑 客程序发布到网站或论坛（BBS） 。还有一些人对黑客技术没有丝毫兴趣，他们把计算机仅 仅当做窃取金钱、商品和服务的辅助工具。 尽管媒体神话了凯文米特尼克，但我并不是一个用心险恶的黑客，我只是喜欢不断地 超越自己。 人之初人之初 我的人生之路，也许在我很小的时候就注定了。三岁时，由于父亲的离去，使我无忧无 虑的生活发生变故。做招待的母亲支撑着家庭。那时的我（一个由深受没有工作规律之苦

6、的 母亲养活着的独生子） ，除了睡觉以外，大部位时间都没人管，我就是我自己的保姆。 在圣费尔南多谷（San Fernanado Valley）的成长经历给予我探索整个洛杉矶的机会，十 二岁时，我发现了一个可以免费周游洛杉矶的方法。我发现到坐公车时购买的换乘券，是由 一种非常规的打孔机打出来的，公车司机用它来在换乘券上标记日期、时间和路线。一位司 机友好地回答了我精心准备的问题， 于是我知道了在哪里可以买到这种特殊的打孔机。 换乘 券用来改乘车次从而到达目的地， 但是我想出的方法， 可以让我使用换乘券免费到达我想去 的任何地方。 获得空白换乘券很容易， 如同去公园散步般简单， 因为公车终点站的废

7、物箱中总是充斥 着公车司机换班时未用完的换乘券本子。 用一叠空白换乘券加上打孔机， 我可以制作出我自 己的换乘券，并用它行遍全洛杉机公车能够到达的任何地方。很快，我就差不多记住了整个 公交系统的公车时刻表。 （我对某种信息的记忆力总是让人惊讶，这一个较早的例子。直到 现在，我还能记住远在童年时的电话号码、口令以及其它一些看上去十分琐碎的事情。 ） 另一个在小时候就显露出来的个人兴趣是对魔术的迷恋。一旦我知道了某个魔术的变 法，我就会不断的练习、练习，再练习，直到我完全掌握。从某种程度上说，正是由于魔术， 才让我发现获取秘密信息的乐趣。 从盗打电话到黑客从盗打电话到黑客 我首次接触社会工程学的时

8、候是在中学时期，那时我遇到了一位喜欢盗打电话的同学。 “电话盗打” 是一种利用电话公司雇员和电话系统来探测电话网络的黑客行为。 他向我展示 了使用电话的高级窍门， 比如从电话公司获取任何一位客户的资料， 以及使用秘密测试号码 拔打免费长途电话。 实际上这只是对我们来说免费， 因为我后来发现这根本就不是一个秘密 测试号码，那些话费事实上从某些倒霉公司的 MCI（译者注：美国著名通讯公司）帐户上 划出了。 这就是我对社会工程学的入门， 也可以说是我的启蒙阶段。 我的朋友还有后来认识的另 外一个盗打电话的人， 他们在给电话公司打电话时让我在旁边听， 他们是如何让电话公司相 信他们所说的话。于是，我知

9、道了许多电话公司的办公地点，他们的业内用语，还有办公程 序。这种“训练”并没有花多长时间，不久我便可以完全自己来做这些事情，甚至比我的启 蒙老师们做的还要好。 我生命中下一个 15 年的生活已经注定。 在中学， 我最为喜欢的恶作剧就是获得对电话交换机未授权的访问， 然后改变某个电话 盗打者的话费设置。当他从家里打电话时，他的电话就会告诉他需要投入一角硬币，因为电 话公司交换机的记录被我更改，从而认为他拔打的是一个投币电话。 我开始关注有关电话的任何事情，不只是电子学、交换机和计算机，还有公司组织、业 务手续和行业术语。不久之后，我就比任何一个电话公司的雇员都更加了解电话系统。我对 社会工程学的

10、运用也达到了娴熟的阶段， 十七岁时， 我就能与大多数电信公司的员工谈论几 乎任何事情，无论是当面聊还是打电话。 实际上我较为公开化的黑客之路，始于中学。尽管在这里我无法说清原委，但其实一句 话也能表达了。在我黑客生涯的早期，一个驱使我的动力就是被黑客圈子的人所接受。在那 时，黑客这个词是指一个花费大量的时间调置软硬件的人，或是开发更有效的程序，或是绕 过不必要的步骤来更快的完成工作。这个词如今已经是一个带有贬义的“恶意犯法者”的意 思了，但在本书中，我仍然按原来对它更为善意的理解使用这个词汇。 中学之后，我在洛杉矶计算机学习中心攻读计算机。没几个月的时间，学校的计算机管 理人员就意识到我发现了

11、操作系统的漏洞， 并取得了管理员权限， 但是在学校的教学人员中， 最好的计算机专家也无法弄清我是如何这样做的。 这也许是最早雇佣黑客的例子之一吧， 他 们给了我一个无法拒绝的提议：要么做出一个荣誉学位的毕业设计来加强学校的计算机安 全，要么由于黑客行为而中止学业。当然，我选择了前者，以本科优等成绩荣誉学士毕业。 成为社会工程师成为社会工程师 每天早晨，许多人从床上一爬起来，便开始对千篇一律的繁重工作犯愁。我却很幸运， 因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。 我的天份在称为社会工程学 （使人们做在通常情况下不会为陌生人做的事情） 的表演艺术中 得到磨练和

12、回报。 对我来说， 成为社会工程学的行家里手并不困难。 我父亲家一连好几代都从事销售领域， 因此家里人都有着说服和影响别人的家族特征。 当把这种特征与骗人的爱好结合起来时， 这 就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种，一种是通过诈骗、欺骗 来获得钱财，这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的， 这就是社会工程师。从我使用诡计免费乘车的时候（我那时还小，并没有认识到这样做有什 么不对） ，就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了 解术语和培养良好的操纵技巧，更为加强了这种天份。一个用来发展我的专业技艺（如果这 可以称为一

13、个专业的话）的方法就是看我是否能与电话另一端的人攀谈，并获得相关信息， 即便这些信息对我毫无用处，这样做只是为了证明我的专业技巧。同样，我还用此种方法， 练习奇巧的计谋、托辞，不久我发现我可以取得我想关注的任何信息。正如我在数年后的国 会听证会上，在利伯曼（Lieberman）和汤姆森（Tompson）参议员面前所做的证词中描述的 那样： “我未经授权进入了世界上最大的几家公司的计算机系统， 并成功渗透了一些防范最好 的电脑系统。 我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码， 以研究它 们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么，并 发现其中的

14、秘密，比如操作系统、移动电话以及任何能引起我好奇心的东西。 ” 最后的想法最后的想法 自从被捕以后，我已经承认了自己这些行为的非法，侵犯了他人的秘密。我的错误行为 是由于好奇心引起的， 我抑制不住的想知道电话网络是如何运转的， 以及了解计算机安全的 每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。 当我反省过去的这 30 年时，我承认自己做出了极其拙劣的选择，被好奇心驱使，被学习技 术的欲望和智力挑战的虚荣所驾驭。 但我现在已经转变， 我正在运用我的才能和信息安全、 社会工程学的许多有关知识来帮 助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的

15、经验较好地介绍 给他人，以避免那些怀有恶意的信息盗贼可能带来的危害。我相信，你将会从本书中得到乐 趣、教育和启发。 内容介绍内容介绍 本书包含丰富的信息安全与社会工程学的知识， 为有助阅览， 下面对本书内容做一个简 要介绍： 在本书的第一部分（第一章） ，我将展示信息安全的薄弱环节，并指出为什么你和你们 的企业处于社会工程师攻击的危险之下。 本书的第二部分（第二至九章） ，大家将会看到社会工程师是如何利用人们的信任、乐 于助人的愿望和同情心使你上当受骗， 从而获得他们想要的信息。 本书通过小说故事的形式 来叙述典型的攻击案例， 给读者演示社会工程师可以戴上许多面具并冒充各种身份。 如果你 认为

16、自己从来没有遇到过这种事情， 你很可能错了。 你能从本书的故事中认出自己似曾相识 的场景么？你想知道自己是否经历过社会工程学的攻击么？这些都极有可能。 但当你看完了 第二章到第九章时，便知道下一个社会工程师打来电话时你该如何占取主动了。 接下来的部分将展示一个社会工程师如何铤而走险， 进入企业内部， 盗取关健信息并越 过高级安全防控措施的过程。 此部分内容会让人意识到安全威胁存在于各个方面， 从普通员 工对企业的报复一直到电脑空间的网络恐怖主义。 如果你对保持公司业务运转的数据和秘密 信息十分重视并为之感到担心，请仔细的阅读本书第三部分（第十至第十四章） 。这里需要 注明的是： “除非另做声明

17、，本书中的故事情节纯属虚构。 ” 本书第四部分(第十五至十六章)我将谈到，在业务对话中如何成功的防止社会工程学给 企业带来的攻击。 第十五章提供一套有效的安全防范培训计划； 第十六章也许正解你的燃眉 之急它包含一个完整的安全策略， 你可以按公司的需要来立刻应用， 以保证企业的信息 安全。 最后，本书提供一个由列表、表格组成的“安全一瞥” ，用来概括说明一些关健信息， 以帮助员工在工作中阻止社会工程学带来的攻击。 这些方法还可以为你做出自己的信息安全 培训计划提供颇具价值的帮助。 纵览全书，你还可以发现一些非常有用的内容条目： “术语箱”提供社会工程学和计算 机黑客的术语； “米特尼克信箱”发出

18、精典短语，有助于加深安全策略的印象；注释与工具 条则带来一些有趣的背景知识等附加信息。 1 第一部 幕后的故事第一部 幕后的故事 第一章 安全软肋第一章 安全软肋 某公司也许购置了能用钱买到的最好的安全技术， 员工们也训练有素， 每晚回家前把所 有的秘密都锁起来，并从业内最好的保安公司雇用了保安，但这家公司仍然易受攻击。一些 人可能遵从了专家所有最好的安全建议， 安装了各种受推荐的安全产品， 并十分谨慎的处理 系统配置以及应用安全补丁，但他们仍然很不安全。 人为因素人为因素 在国会听证会前的一次证言中， 我解释到我经常可以从企业获得密码口令或其他类似的 敏感信息， 只需假扮某人直接开口要就是了

19、。 人们对于绝对安全的渴望常常导致他们满足于 虚假的安全感之中。想像一位负责任的可爱的屋主，他有一套麦迪科（译者注：Medico,知 名品牌、价格昂贵）防撬锁装在屋子的大门上，以保护他的妻子、孩子和他的家。他觉得很 心安， 因为他把家庭保护的很好。 但对于破窗而入和解开车库大门密码的闯入者呢？再安装 一套强壮的安全系统么？虽然有用，但还是不够安全。无论防盗锁是昂贵还是便宜，屋主的 安全仍然难以保障。为什么？因为人为因素才是安全的软肋。 安全，通常情况下仅仅是个幻想，由其是轻信、好奇和无知存在的时候。二十世纪最受 尊敬的科学家爱因斯坦这样说道： “只有两种事物是无穷尽的宇宙和人类的愚蠢。但对 于

20、前者，我不敢确定。 ”最终，社会工程学的攻击，成功于人们的愚蠢或更为普遍的对信息 安全实践上的无知。 与这位屋主一样，有许多信息技术（IT）从业者都有着类似的错误观念。他们认为自己 的公司固若金汤，因为其配置了精良的安全设备防火墙、入侵检测，或是更为保险的身 2 份认证系统， 如时间令牌和生物识别卡。 任何认为仅靠这些安全设备即可保证安全的人都会 满足于虚假的安全感之中， 这就是一个生活在幻想世界中的例子， 他们迟早会不可避免的遭 遇安全事故。 正如著名的安全顾问布鲁斯施尼尔（Bruce Schneier）所说： “安全不是一件产品，它 是一个过程。 ”近一步说，安全不是技术问题，它是人和管理

21、的问题。由于开发商不断地创 造出更好的安全科技产品，攻击者利用技术上的漏洞变得越来越困难。于是，越来越多的人 转向利用人为因素的手段来进行攻击。 穿越人这道防火墙十分容易， 只需打一个电话的成本 和冒最小的风险。 一个欺骗的经典案例一个欺骗的经典案例 企业资产安全最大的威胁是什么？很简单，社会工程师。一个无所顾忌的魔术师，用他 的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上 他是件荣幸的事情。我们来看一个社会工程学的例子： 许多人都已记不起一个叫斯坦利马克瑞夫金（Stanley Mark Rifkin）的年轻人，和 他在洛杉矶的美国保险太平洋银行（Securi

22、ty Pacific National Bank）的冒险小故事了。他的 劣迹很多，瑞夫金（同我一样）从未把自己的事情告诉过别人，因此下面的叙述基于公开的 报道。 获得密码获得密码 1978 的一天，瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室， 这里每天的转款额达到几十亿美元。 瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的 数据备份系统，这给了他了解转账程序的机会，包括银行职员拔出账款的步骤。他了解到被 授权进行电汇的交易员每天早晨都会收到一个严密保护的密码，用来进行电话转帐交易。 3 电汇室里的交易员为了记住每天的密码， 图省事把密码记到一张纸片上， 并把它贴到很 容易

23、看得见的地方。11 月的一天，瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后， 他做了一些操作过程的记录， 装做在确定备份系统的正常工作。 借此机会偷看纸片上的密码， 并用脑子记了下来，几分钟后走出电汇室。瑞夫金后来回忆道： “感觉就像中了大奖” 。 转款入户转款入户 瑞夫金约在下午 3 点离开电汇室，径直走到大厦前厅的付费电话旁，塞入一枚硬币，打 给电汇室。此时，他改变身份，装扮成一名银行职员工作于国际部的麦克汉森（Mike Hansen） 。那次对话大概是这样的： “喂，我是国际部的麦克汉森。 ”他对接听电话的小姐说，小姐按正常工作程序让他 报上办公电话。 “286。 ”他已有所准备。小

24、姐接着说： “好的，密码是多少？”瑞夫金曾回 忆到他那时的“兴奋异常” 。 “4789”他尽量平静地说出密码。接着他让对方从纽约欧文信 托公司（Irving Trust Company）贷一千零二十万美元到瑞士苏黎士某银行（Wozchod Handels Bank） ，他已经建立好的账户上。对方说： “好的，我知道了，现在请告诉我转账 号。 ” 瑞夫金吓出一身冷汗，这个问题事先没有考虑到，他的骗钱方案出现了纰漏。但他尽量 保持自己的角色，十分沉稳，并立刻回答对方： “我看一下，马上给你打过来。 ”这次，他装 扮成电汇室的工作人员， 打给银行的另一个部门， 拿到帐号后打回电话。 对方收到后说：

25、“谢 谢。 ” （在这种情况下说“谢谢” ，真是莫大的讽刺。 ） 成功结束成功结束 几天后， 瑞夫金乘飞机来到瑞士提取了现金， 他拿出八百万通过俄罗斯一家代理处购置 了一些钻石，然后把钻石封在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历史上最 大的银行劫案，他没有使用武器，甚至勿需计算机的协助。奇怪的是，这一事件以“最大的 4 计算机诈骗案”为名，收录在吉尼斯世界纪录中。斯坦利瑞夫金用的就是欺骗的艺术，这 种技巧和能力我们现在把它称为社会工程学。 威胁的天然性威胁的天然性 瑞夫金的故事确切的证明了我们的安全感是多么不可靠。 这样的事件 （也许到不了一千 万美元， 但终归有所损失） 每天都在

26、发生， 你的资金可能正在流失， 新产品方案正在被窃取， 而你却一无所知。 即使你的公司还没有这样的事情出现， 那也会终将出现。 但它何时出现呢？ 日益增长的安全事件日益增长的安全事件 美国计算机安全协会在 2001 年计算机犯罪调查报告中声称， 在接受调查的组织机构中， 有 85%的组织在过去的 12 个月中发现了计算机安全事件。这是一个惊人的数字，只有 15% 的机构在过去的一年中没有发现安全事件。 另一个数字同样惊人， 有 64%的机构由于计算机 的问题而导致财务损失，超过一年中遭受财务损失企业的二分之一强。 我的经验告诉我这个数字有些夸大， 并对这项调查的研究结果表示怀疑。 但这并不是说

27、 安全事件的危害面不大，相反，它很大。那些未把安全事件考虑在内的人，迟早会出问题。 大多数公司配置的安全产品主是应付业余入侵者的，比如被称为“脚本小子”的年轻人。实 际上， 这些利用别人的软件， 并憧憬着成为真正黑客的人， 大多数情况下只能引起一些麻烦。 真正的损失和威胁，来自于经验丰富、目标清晰，受商业利益驱动的攻击者。这些人一次只 盯准一个目标，而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量，而职业黑 客在乎的是信息的质量和价值。 认证设备 （身份认证） 、 访问控制 （对文件和系统资源的控制管理） 和入侵检测系统 （计 算机化的防盗器）等技术，对公司的安全防护是十分必要的。然而

28、，现在的公司在布置保护 企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。 5 正如同罪恶的心无法抵制诱惑，黑客们一心要找出功能强大的安全系统的弱点。在许 多时候，他们把这种心思放在了人的身上。 欺骗的使用欺骗的使用 许多人都说，关掉了的计算机才是安全的计算机，但这是错误的，找个借口让人去办公 室打开它就是了。 你的对手不仅仅有一种方法可以从你那里得到他想要的信息， 这只是时间 的问题。耐心、个性和坚持，这正是欺骗的艺术的切入点。 要击败安全措施，一个攻击者、入侵者，或是社会工程师，必须找到一个方法，从可信 用户那里骗取信息，或是不露痕迹的获得访问权。当可信用户被欺骗、影响，并被操纵而

29、吐 露出敏感信息时，或是做出了不当的举动，从而让攻击者有漏洞可钻时，什么样的安全技术 也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一 样，社会工程师通过欺骗你的雇员来绕过安全技术。 信任的弊端信任的弊端 大多数情况下，成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、 讨人喜欢，并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师，使用他自 已的战略、战术，几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安 全解决方案来最小化使用计算机的风险， 然而却没有解决最大的漏洞人为因素。 尽管我 们很聪明，但对我们人类你、我、他的安全最

30、严重的威胁，来自于我们彼此之间。 我们的国民性格我们的国民性格 我们对危险漠不关心，尤其在西方，美国则更甚。我们没有受到要对别人保有怀疑态度 的训练，我们接受的是“爱汝之邻” （译者注：此句引自圣经 ）的教育，人与人之间要相 互信任和忠实， 试想一下小区的保安机构让人们锁上家门和车门是多么的困难。 这种情形是 6 很明显的，却似乎被许多宁愿活在理想世界里的人忽略，直至受到伤害。 我们知道，并不是所有的人都诚实善良、友爱可亲，可我们在生活中却经常把他人想像 成这样。 这种可爱的无知一直都是美国人的生活方式， 放弃这种习惯十分不易。 做为美国人， 自由和最适宜居住的地方就是锁和钥匙最没必要的地方，

31、 这种理念已经深入人心。 大多数人 持有不会被欺骗的想法是觉得被骗的可能性很低， 而攻击者利用这种心理， 编出不会引起怀 疑的听上去十分合理的理由，充分的利用了受骗者的信任。 机构的无知机构的无知 无知是我们国民性格的一部分，这可以在回溯计算机首次远程联接时轻易的看出。 APPANet（美国国防部高级研究项目署网络） ，互联网的前身，用来在政府、科研和教育机 构之间共享信息， 其目标是信息共享和科技进步， 许多教育机构因此建立了几乎没有任何安 全措施的早期计算机系统。一个著名的软件开发自由主义者，理查德斯托曼，甚至拒绝为 他的账号设置口令。 但随着互联网电子商务的兴起， 由于互联网脆弱的安全措

32、施导致的危害 性发生了极大的变化。 使用再多的安全技术也不能解决人为的安全因素， 拿今天的机场为例， 安全已经成为首 要措施，然而我们仍然被媒体的报道所警告，还是有人可以避开安全措施、携带潜在性武器 通过检测。 在一个机场时刻处于警戒状态下的时期， 这种事情又是怎么发生的呢？是那些金 属仪器失效了么？不，问题不在机器，问题在于人，机器是由人操纵的。机场的官员虽然可 以布署国民警卫队并安装检测器和面部识别系统， 但如何培训一线保卫人员正确地检查旅客 则更为重要。全世界的政府、商业、教育机构都有同样的问题，虽然各个地方的职业安全人 员不敢懈怠，但信息仍然易受攻击，并被具备社会工程学技巧的攻击者视为

33、可摘之果，除非 安全链中最薄弱的环节人为因素，被加固强化。 现在，我们比任何时候都需要停止幻想，同时对攻击计算机系统和网络机密性、完整性 以及实用性的技术加深认识。 我们已经认识到主动防御的必要， 是接受和学习安全防护的时 7 候了。 对你的隐私、思想和公司信息系统的非法入侵似乎很遥远，直到它真的发生。为了避免 付出昂贵的代价，我们所有的人都需加深认识、富有经验、保持警醒，并主动防卫我们的信 息资产、个人信息，以及国家的关健基础设施。现在，我们必须实行严谨、周密的设防。 欺骗与恐怖分子欺骗与恐怖分子 当然， 欺骗并不是社会工程师的专用工具。 暴戾的恐怖主义制造了耸人听闻的新闻事件， 我们前所未

34、有地意识到我们居住的世界充满了危险。文明，终归只是一层脆弱的薄板。2001 年，发生在纽约的 911 事件把悲伤和恐惧植入每一个人的心中，不只是美国人，还有世界上 所有善良的人们。 我们已经开始警觉， 因为这个世界上还分布着受到良好训练的极端恐怖分 子，伺机再次发动对我们的攻击。 政府最近的强化努力已经提升了大众的安全意识， 我们需要保持警醒， 警惕各种形式的 恐怖主义。我们需要了解恐怖分子是如何伪造各种身份，假扮学生、邻居而混入人群的，他 们掩饰住自己真实的思想以密谋恐怖行动，而他们使用的就是类似于本书中介绍的欺骗手 法。 然而， 就我所认为， 恐怖分子目前尚未利用社会工程学的手法渗透到水处

35、理厂、 发电厂， 或其它关系国计民生的基础设施中，但可能性依然存在，这毕竟太容易做到了。我希望安全 意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强， 因为这本书恰逢其 时。 关于此书关于此书 企业安全是一个平衡问题， 安全性太差公司易受攻击， 但过多的强调安全又会妨碍业务 管理和公司的发展，其难点在于达到生产效率和安全之间的平衡。 8 其它关于企业信息安全的书都把重点放在硬、 软件技术上， 而忽略了最重要的安全威胁 对人的欺骗。与之相反，此书的目的，就是要帮助大家理解自己、同事，和公司其他 人员是如何被操纵的，并帮助大家建立屏障，谨防成为受害者。本书的重点放在入侵者用来 盗取信

36、息的非技术手段上， 它能够对看似安全的信息完整性产生威胁， 甚至破坏公司的工作 成果。 我的任务由于一个简单的事实而更加困难每个读者都一直被社会工程学高级专家 他们的父母所控制着，他们有办法（比如： “这是为了你好” ）让你去做他们认为最应 该做的事。父母们就是使用类似社会工程学的方法，巧妙的编出看似有理的故事、理由以及 借口，来达到他们的目的。是的，我们都被我们的父母所引导那些乐善好施的（偶尔 也不完全如此）社会工程师们。 由于这种生长环境，导致我们软弱而容易被操纵。可总是对他人怀有戒心，担心上当受 骗，会活得很累。在理想的世界里我们应对他人给予绝对信任，每个人都是诚实和值得信赖 的。但我们

37、并没有生活在理想世界中，我们必须锻炼我们的防欺诈能力以对付我们的敌人。 这本书的主要内容第二和第三部分，讲述社会工程师如何实施欺骗的故事。在这 两部分中，大家将会看到如下内容： 电话盗打者早就发现的，一个从电话公司弄到未刊登电话号码的方法； 几个不同的社会工程学方法， 甚至可以让有所警觉和怀疑的职员吐露出自己的用户名 和口令； 信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息； 隐私调查者是如何弄到你的企业、你本人的隐密信息的，我可以保证，这会让你脊背 发凉。 你也许会认为这两部分中讲述的故事实际上不可能发生，没有人能够使用书中的谎言、 卑鄙的方法和计划真正的达到目的。事实上，

38、在每个案例中，这些故事都是可以成为现实而 9 且已经成为现实的， 这些事情每天都在世界的某个地方发生， 甚至在你阅读此书的时候都有 可能。 本书中的内容不仅对你的商务信息保护上有所启迪， 还可以让你亲自阻挠社会工程师 的攻击以保护你的私有信息。 在本书的第四部分，我转变了方向。在这里我想帮助大家建立企业必要的安全策略和 安全意识培训，以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、 方法和技巧， 在不会降低公司的生产效率的同时， 帮助你布置合理的控制策略来保护企业的 信息资产。 简而言之，我写此书的目的就是要提升大家的安全意识，以应对来自社会工程师的严 重威胁，并帮助你的公司

39、和公司员工尽可能的不被利用。或者我应该这样说，不再被利用。 10 第二部 攻击者的手段 第二部 攻击者的手段 第二章 无害信息的价值第二章 无害信息的价值 对大多数人来说，社会工程师的真正威胁在哪里？又该如何保持警惕？ 如果社会工程师的目标是“最有价值奖”比如，企业智力资产的核心组成。那么 也许需要的是更坚固的保险库和全副武装的保安，对么？ 但在现实中，坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件， 这些信息和文件看起来十分平常， 也不重要， 公司里的人大都不明白为什么这些东西会被限 制和保护。 信息的隐藏价值信息的隐藏价值 社会工程师十分重视企业中许多表面上看去无利害关系的

40、信息， 因为这些信息是他能否 披上可信外衣的至关重要的因素。 在这一章里，我将通过让读者“亲身”经历攻击过程，来展示社会工程师的攻击手段。 有时从受害人的角度来表现情节，让读者以当事人的身份估计自己（或是你的同事和员工） 可能会做出的反应。而更多的时候，让读者从社会工程师的角度来经历攻击过程。 第一个故事着眼于金融行业的一个漏洞。 信誉支票信誉支票(CREDITCHEX) 曾经有一段很长的时期， 英国的银行系统十分闭塞， 大街上一位诚实普通的市民并不能 11 随便走进银行而直接申请一个银行帐户。 银行不会把他当做客户， 除非他带有某位正式银行 客户的推荐信。 当然， 这与如今的表面上人人平等的

41、银行机构大不一样。 如今办理银行业务没什么地方 比友善、 平等的美国更方便了， 任何人都可以走进银行轻松的建立一个日常账户， 是这样么？ 并非如此。 事实上可以理解， 银行很难为一个才开过空头支票的人建立账户， 这很自然， 同样还有那些有着抢劫银行和挪用账款记录的人。 这就是一个银行对其潜在客户瞬间做出好 坏判断的实际例子。 与银行有着重要业务联系的公司中， 有一种机构专门为银行提供这类信息， 我们把这种 机构称之为“信誉支票” 。它为客户提优质的服务，但同许多公司一样，它也会“无心”的 为“有心”的社会工程师们提供便利的服务。 第一个电话：吉姆安德鲁斯第一个电话：吉姆安德鲁斯(Kim And

42、rews) “国家银行，我是吉姆，您是想要开一个帐户么？” “嗨，吉姆，我想请教个问题。你们与信誉支票打交道么？” “是的。 ” “你们给信誉支票打电话时，怎么称呼你们提供的号码？是叫交易号(Merchant ID) 么？”短暂的沉默，基姆在衡量这个问题，对方是什么意图，她是否应该回答。打电话的人 不容对方思考接着问： “是这样，吉姆，我在写一本涉及私人调查的书。 ” “是的。 ”她有了回答的信心，因为她还是愿意帮助一个作家的。 “就叫“交易号” ，对么？” “啊，嗯。 ” “好的，很好。我是想确认我的书中使用了正确的专业用语，谢谢你的帮忙，再见，吉 姆。 ” 12 第二个电话：克瑞丝塔伯特第

43、二个电话：克瑞丝塔伯特(Chris Talbert) “国家银行，开户处，我是克瑞丝。 ” “嗨，克瑞丝，我是阿莱克斯。 ”打电话的人说， “我是信誉支票的客服代表，我们 在做一项改善服务质量的调查。能耽误您几分钟么？”克瑞丝表示愿意，打电话的人继续： “好的。你们部门营业时间是多少？”她给予回答，并接着回答下面的一系列问题。 “你们部门有多少人使用我们的服务？” “大约多长时间给我们打一次咨询电话？” “您用的是我们哪一个 800 免费电话号码？” “我们的客服代表服务态度好么？” “我们对业务的响应时间如何？” “您在银行工作多长时间了？” “您通常使用的交易号是多少？” “您是否发现过我

44、们提供过的信息不准确？” “如果您对我们的服务有所建议，建议是什么呢？”最后： “如果我们把定期调查表寄到你们部门，您会填写么？” 她表示同意，然后彼此简单对了几句话，电话挂掉，克瑞丝继续她的工作。 第三个电话：亨利麦克金赛第三个电话：亨利麦克金赛(Henry McKinsey) “信誉支票，我是亨利麦克金赛，需要帮忙么？” 打电话的人表明自己是国家银行的职员， 并报出正确的交易号， 以及他想查询的人的名 字和社会保险号。亨利要求出生日期，他也报上。不一会儿，亨利看着自己的计算机屏幕读 道： “韦尔斯法果在 1998 年报过一次 NSF”客户账款不足（Non Sufficient Funds）

45、 ， 支票已开出，账户里却没有足够钱支付的银行常用专业用语。 13 “自那之后，还有资金往来么？” “没有了。 ” “有没有申请其他账户？” “我看一下。有的，两次，都在上个月。一次是在芝加哥第三联合信用会（Third United Credit Union of Chicago） ， ” 他断断续续地读出第二个地方， 斯卡奈塔第共同投资 （Schenectady Mutual Investments） ，他不得不逐字母的将名称拼出。 “纽约州。 ”他最后补充道。 工作中的私人侦探工作中的私人侦探 所有的这三个电话都是同一个人打的，一个私人侦探，我们且称他为奥斯卡格瑞斯 （Oscar Grac

46、e）吧。格瑞斯有了一位新客户，他的首批客户其中之一。几个月前还是名警察 的格瑞斯发现他的新工作有些做起来易如反掌， 有些则对他的智力和创造性是个挑战， 这件 案子无疑很具有挑战性。 小说中的冷面神探塞姆 斯贝兹 （Sam Spades） 和菲利浦 马洛斯 （Philip Marlowes） ， 在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣 （译者注： 塞姆和菲利浦都是著名小说和电 影中的人物） ，现实中的私人侦探也做同样的事情。他们为相互敌对的伴侣之间打探消息， 也许没小说中写得那么夸张， 但重要性却一点不差。 他们的方法主要是依靠社会工程学的技 巧，而不是坐在车子里与守夜的困倦做斗争。 格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天，她走进他的办公室， 在唯一的一把未堆着文件的皮椅上坐下来，把她的古琦（译者注：Gucci，意大利名牌）手 包放到桌子上，商标冲着他的脸。这位女士告诉格瑞斯，她想跟他的丈夫离婚，但“有一点 小麻烦。 ” 他的丈夫比她早了一步，已经从两人的储蓄帐户中把存款提了出来，并从代理公司（译 者注：专门从事