Question

这些故事可能会导致你认为我把业务中接触到的每一个人都看成十足的傻瓜，都很乐意地、甚至是渴望着把他或她所拥有的每一个秘密泄露出去。社会工程师知道，这是不可能的。为什么社会工程的攻击容易得手呢？这不是因为人们的愚蠢或是缺乏常识，而是因为，我们人类很容易被操纵而把信任用错了地方，因此被欺骗。社会工程师早已料到会受到阻力和怀疑，他随时准备着把人们对他的怀疑扭转。一个优秀的社会工程师策划攻击时如同下象棋，预先想到对方可能会提出什么样的问题，从而把合适的答案准备好。他的一个很常用的技巧就是给受骗者建立信任感，一个骗子如何才能获得你的信任呢？相信我，他能够。

4.1 信任：欺骗的关健

社会工程师越把情况营造得像普通的业务联系，就越能减少怀疑。当人们没有疑心时，得到他们的信任就很容易了。一旦取得你的信任，如同吊桥放下，城门打开，他就可以入内随心所欲地取得他所需的信息。

注：

你也许注意到我在提及社会工程师、电话盗打者和设计骗局的人时，大多数情况下用的是“他”。这不是偏见，这只是反应了一个事实 - 从事这些领域的人大都是男性。但尽管女社会工程师很少，可这个数字正在增长。不要仅仅因为听到了一位女性的声音而放松了你的警觉，女社会工程师还是有的。事实上，女社会工程师有着独特的优势，利用她们的女性特征来得到对方的配合。本书以后的内容中将会出现少量的女性社会工程师。

第一个电话：安德瑞亚·洛偑兹（Andrea Lopez）

安德瑞亚·洛偑兹在她工作的音像店接到了一个电话，她立刻微笑起来（当一位客户特意打来电话对服务表示满意时，总会让人高兴）。打电话的人说，在他们店里得到了非常好的服务，他想给写封信告诉他们的经理。他询问经理的名字和通信地址，她告诉他名字是汤米·艾里森（Tommy Allison），并把通信地址也给了他。就在要挂电话时，他又有了一个想法，他说：“我还想写给你们公司总部，那儿的电话是多少？”她也告诉了他。他道了谢谢，并说了些她的服务十分让人满意之类的话，然后再见了。“像这样的电话，”她想，“总能让上班的时间过的快些，如果多有些这样的人就好了。”

第二个电话：吉妮

“欢迎致电音像工作室，我是吉妮，需要帮忙么？”

“嗨，吉妮，”打电话者热情的打招呼，听起来就像每个星期都给吉妮通话似的。“我是汤米·艾里森”，863 店森林公园的经理。我这儿有一位客户，想租《洛奇 5》，可我们这儿已经没有拷贝了，你能查一下你们那儿有么？”

过了一会儿，她回答：“是的，我们还有三个拷贝。”

“好的，我问一下客户是否愿意过去，谢谢你。如果有任何需要，请致电汤米，我很乐意为你效劳。”

接下来的几个星期，吉妮又接到过三、四次汤米寻求帮助的电话，这些要求似乎都很正常，他总是十分友善，没有故意接近她的意思。同时，稍稍有些唠叨。如“你听说橡树园的大火了么？一连串的街道都封掉了，”类似的话。对于日常工作来说，这些电话可以让人得到片刻的休息，吉妮总是乐意接到他的电话。

一天，汤米打来电话，听上去有些焦虑，他说：“你们的计算机出过问题么？”

“没有，”吉妮回答。“怎么了？”

“有个人开车把电线杆撞了，电话公司的修理人员说城市的一部分地区没办法打电话和上网，直到他们修好。”

“哦，不会吧。那个人受伤了么？”

“他们把他送到救护车上了。别管这些了，我需要你帮个忙。我这儿有一个你们的客户，想租《教父 2》，但他没带租片卡，你能帮我确认一下他的信息吗？”

“是的，当然。”

汤米说出客户的名字和地址，吉妮在计算机中找到，然后告诉汤米客户的账号。

“有过期未还和欠款记录么？”汤米问。

“没有。”

“好的，很好。我手工给他登记一下账户，计算机故障恢复之后再录入数据库。而且，客户还想用在你们店使用的维萨卡（Visa）付账，但他也没带。他的卡号和有效期是多少？”

吉妮都告诉了他。汤米最后说：“嗨，谢谢帮忙，回聊！”

4.1.1 道伊尔·罗尼甘（Doyle Lonnegan）的故事

罗尼甘可不是一个普通的年轻人，他过去是一个收藏家，欠了不少赌债，如果不是这些赌债弄得他焦头烂额的话，他还会偶尔继续他的爱好。在这个故事里，他仅仅往一家音像店打了几个电话，就得了一笔现金。这听起相当不错，因为他的“客户”没有人知道如何设计这个骗局，他们需要像罗尼甘这类人的知识和才能。

每个人都知道，当他们在牌桌上运气差或是犯错误而输钱时，是不会用支票来代替赌资的。可为什么我的这些朋友们还要跟一个没带钞票的骗子赌钱呢？不要问了，也许他们的智商有点儿问题，但他们是我的朋友，我又能怎么办？

这个家伙没带钱，于是他们收了他的支票。让你说，他们应该开车把他带到自动柜员机那儿去吧？本应这样做的。但他们没有，他们收了一张支票，3230 美元。不用想，这是张空头支票。还有什么其它可能呢？于是，他们给我打电话，问我能帮忙么？我不再用门去挤别人的手指了（译者注：指暴力手段），而且，现在有更好的办法。我告诉他们，我要 30%的佣金，看我的本事吧。他们给了我他的名字和地址，我用计算机找到离他最近的音像店。我并不着急，先后打了四个电话来讨好音像店的经理，然后，我就得到了那个骗子的维萨卡号。我有一个朋友开了一间半裸吧（译者注：裸露半身的脱衣舞酒吧），用了 50 美元，把那个骗子所欠的赌资当做酒吧消费从他的维萨卡上划出，让他给老婆解释去吧。你认为他会找信息卡公司说他没有花这笔钱吗？好好想想。他知道我们知道他是谁，而且如果我们可以拿到他的维萨卡号，他会认为我们还可以做更多的事情，因此，这件事没什么可担心的。

4.1.2 过程分析

汤米打给吉妮的第一个电话仅仅是为了建立信任，当真正的攻击开始时，她已经放松了警惕并认同汤米所声称的身份 - 另一家连锁店的经理。有什么理由不接受他呢？她已经认识了他。当然，仅仅是通过电话联系，可他们已经建立了工作上的友谊，那是信任的基础。一旦她认为他是可以相信的人 - 同一家公司的一位经理，信任感就已经建立，剩下的事就顺其自然了。

米特尼克信箱

建立信任的欺骗技术是社会工程学最有效的策略之一，你务必要考虑你是否真正认识与你谈话的人。在一些不常见的情形下，对方很可能不是他自己声称的那个人。因此，我们必须学会观察、思考和提问。

4.2 主题变奏：攫取信用卡

建立信任感，不一定非得给受骗者打上一系列的电话，如上文中讲述的案例。我想起一个亲身经历的故事，它建立信任感只用了 5 分钟。

4.2.1 惊奇吧，爸爸

有一次，我与汉瑞（Henry）和他父亲坐在一家餐馆。谈话中，汉瑞责怪他父亲把信用卡号像电话号码一样随便泄露给别人。

“当然，买东西时必须使用信用卡号，”汉瑞说。“但是把你的卡号告诉一家商店，并让他们记录下来，那是非常不明智的。”

“我只在音像工作室这么做过，”康克林（Conklin）先生说，“但我每个月都会查看我的维萨卡记录，如果他们多收费用，我会知道的。”

“当然，”汉瑞说。“但他们一旦知道了你的卡号，别人就很容易弄到了。”

“你是指不怀好意的店员么？”

“不，我是指任何人，不仅仅是店员。”

“你在信口开河，”康克林先生说。

“我可以现在就打电话，让他们告诉我你的维萨卡号，”汉瑞立刻大声回应道。

“不，这不可能，”他父亲说。

“我可以在五分钟之内搞定这件事，就在你的面前，连桌子我都不会离开。”

康克林先生看起来有些紧张，他自己感觉到了这种紧张，但并不想让别人知道。“你根本就不知道你在说什么，”他急促地说，并掏出钱包拿出 50 美元甩到桌子上，“如果你能做到你说的话，这是你的了。”

“我不想要你的钱，爸爸。”汉瑞拿出手机，询问他父亲是哪一个音像店分店，然后打电话给查号台找到分店的电话号码以及谢尔曼橡树园（Sherman Oaks）分店的电话号码。接着，他打电话给谢尔曼·奥克分店，几乎用了跟上一个故事完全一样的方法，很快得到了经理的名字和分店的店号（译者注：如上文中提到的 863 分店）。然后，他打电话给登记着他父亲账户的分店，利用刚刚得到的名字和分店店号来假扮分店经理。接着使用相同的手法：“你们的计算机没出问题吧？我们这儿的计算机时好时坏。”听到了她的回答后他接着说，“嗯，是这样，我这儿有一位你们的客户想租一部片子，可我们的计算机现在坏掉了，我需要你帮忙查一下客户的账号以确定他就是你们店的客户。”

汉瑞给出他父亲的名字，使用了一个稍有不同的方法，他请求对方把账户信息读出来：地址、电话，开户日期，然后说：“嗨，是这样，我这儿有一大堆等着的客户，他的信用卡和有效期是多少？”汉瑞一支手在耳边拿着手机，另一支手在餐巾纸上写。打完电话，他把餐巾纸推到瞪着眼睛、张着嘴巴的父亲面前，可怜的父亲看上去完全震惊了，似乎他的信任系统已被完全颠覆。

4.2.2 过程分析

当某个不认识的人询问你某事时，想想自己是什么态度。如果一个衣衫褴褛的陌生人来到你门前，很可能你不会让他进去。如果是一位衣着得体、皮鞋明亮、发型完美，举止优雅并面带微笑的陌生人，你可能就会放松警觉。也许他就是现实生活中的占森（译者注：电影《十三号星期五》中的杀人狂）呢？但你仍然愿意相信他，只要他看起来正当，手里也没有握着餐刀。

米特尼克信箱

人们习惯的认为自己在任何特定的事务中不大可能走进骗局，否则至少也得有理由相信这是个骗局。大多数情况下，我们权衡风险，然后假定别人没有恶意。这就是有教养人的一般行为，至少那些没有被操纵、利用或被骗过一大笔钱的有教养的人这样认为。在儿时，我们的父母告诫我们不要相信陌生人，也许在当今的工作环境下，我们所有的人都就应谨记这个陈旧的规则。

工作中，人们总是会有各种各样的请求。你有这个人的电子邮件地址么？最新的客户名单在哪儿？谁是这个项目本部分的分包商？请发给我最新的计划更新。我需要新版本的源代码。有时，做出这些请求的人你并不直接认识，或是公司其他部门的人，或是他们自己说是其他部门的人。但如果他们提供的信息是正确的，并且看来熟悉公司内情（“玛丽安说……”、“这里是 K16 服务器”、“……新产计划第 26 次修订版”），我们便把信任圈扩大他们身上，轻率的满足了他们的请求。

当然，我们也许会有些困惑的问自己：“为什么这个达拉斯（Dallas）分厂的人想知道新的产品计划？”或是“说出服务器的名称会有害处么？”等等这类问题，如果答案看上去合情合理，对方的言行也比较可靠，我们便会放松警惕，恢复相信同事的习惯，并满足（有理由的）对方的请求。

绝不要认为攻击者只会把目标锁定到使用计算机的人身上，收发室的人也可能是目标。“能帮个忙么？把这个放到公司内部的邮袋。”收发室的人可不知道它是一张带有特殊程序的针对首席执行官秘书的软盘。这样，攻击者本人就拥有了首席执行官的邮件拷贝。不会吧？这事情真得会在企业中发生么？答案是，绝对可能。

4.3 一美分的手机

许多人都在寻找好的机会，不达目的不罢休。社会工程师不然，他们找到办法使机会变得更好。比如，某公司进行一项诱人的市场优惠活动，社会工程师就会想办法扩大他的利益。

不久以前，一家全国性的无线通讯公司发起了一个大规模的促销活动，只要你登记接受一种资费方式，便可以得到一部全新的手机，只收一美分。对于一个精明的消费者来说，在登记一种资费方式之前，有好多问题要问清楚。通讯服务是模拟还是数字的，或是两者结合？每个月的免费通话时间是多少？是否包含漫游费……等等，等等，尤其重要的是资费合同时限 - 你承诺的资费方式是多长时间，几个月还是几年？

想像一个这样的情景，一位费城（Philadelphia）的社会工程师被通讯公司提供的一款十分便宜的手机所打动，但他讨厌与其捆绑的资费方式。没什么大不了的，他也许使用下面的方法来解决此事……

第一个电话：泰德（Ted）

他首先打给位于西吉拉德（West Girard）的一家电器连锁店。

“电子商城，我是泰德。”

“嗨，泰德，我叫亚当。是这样，我在前几天晚上，跟你们的一个男销售员谈到一个手机，我说一旦决定了就给他打电话。可我忘了他的名字，你们值夜班的人是谁？”

“不只一位，是威廉么？”

“不知道，也许是吧。他长什么样？”

“高个子，瘦瘦的。”

“我想是他吧，他姓什么来着？”

“哈德利。哈－德－利（H--A--D--L--E-- Y.）”

“是的，是他。他什么时候上班？”

“我不知道他这星期的排班，但上夜班的人 5 点到。”

“好的，那我试试晚上找他。谢谢，泰德。”

第二个电话：凯蒂（Katie）

第二个电话打给位于北广街（North Broad Street）的连锁店。

“嗨，电器商城。我是凯蒂，需要帮忙么？”

“凯蒂，嗨！我是威廉·哈德利，西吉拉德店的。今天过得怎么样？”

“有点儿忙，什么事？”

“我有一位顾客想购买那个一美分的手机，你知道这个手机的资费捆绑吧？”

“是的，上星期我售出了一些。”

“你那儿还有这种资费捆绑的手机么？”

“还有一堆呢。”

“很好。我刚售出了一个这种手机的资费，顾客通过了信用记录（译者注：美国通讯公司会查询手机用户过去的使用记录，以确定用户是否具备享受某一资费方式的资格），我们也签了资费合同。我查了一下该死的存货记录，却没有这种手机了。这让我很难做，你能帮个忙么？我让他到你们店去买一美分的手机，你卖给他后开张发票。他买到手机后会给我打电话，然后我再告诉他怎么用。”

“好的，当然可以。让他来吧。”

“太好了，他叫泰德，泰德·岩西（Ted Yancy）。”

一个自称泰德·岩西的人来到北广街连锁店，凯蒂开了一张发票，把一美分的手机卖给他，完全依照她的“同事”交待给她的事情，从而彻底地掉入骗局。付钱时，这个顾客的钱包里一枚硬币也没有，于是他到收款台的零钱碟中拿了一枚，交给她完成登记。他甚至一分钱都没有花就得到了那部手机。

过程分析

人们会很自然地相信熟悉公司内部的业务流程和专业用语，并声称自己是公司同事的人。这个故事中的社会工程师就是利用了这一点，通过了解促销活动的细节，扮做公司的职员，并要求另一个分店人员的帮助。这种事情在各零售店之间以及一个公司的各部门之间经常发生，这是因为人们没有机会接触，天天与从未见过面的同事打交道。

4.4 入侵 FBI

人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目，节目制作者在网上做了一次搜索，发现了一份访问国家犯罪信息中心（NCIC）的操作说明拷贝。不久他发现，真正的 NCIC 操作说明原件就在网上，这是一份相当敏感的文档，它记录着从 FBI 的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门，这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息，手册里包含了数据库中用来标明各种信息的代码，从各种各样的纹身到各式各样的轮船外壳，再到失窃纸币和债券的面额。

任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则，然后依据手册上的步骤指导，再加一点胆量，人人都可以从数据库中提取信息，而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。

FBI 几乎肯定不知道如此敏感的资料暴露在网上，我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的，另一份是由得克萨斯州的执法机构传到网上。为什么？这都是因为，也许某人觉得这些信息可能没什么价值，放到网上也不会有什么害处。也许有人为了内部人员使用上的方便，而它放到内网上，却从未想到会被在网上使用搜索引擎（如 Google）的人找到，包括仅仅是好奇的人、还有想当警察的人、黑客，以及有组织的犯罪团伙。

4.4.1 接入系统

利用这样的信息来欺骗有政府或企业背景的人，使用的准则是相同的：由于社会工程师知道如何访问特定的数据库或应用程序，或是知道公司的服务器名称等类似的事情，他因此具备可信性，这种可信导致信任。一旦社会工程师拥有了这样的代码，获得所需信息就十分简单。在这个例子中，他首先给当地的州警察局电讯室打电话，针对手册上的一个代码，提出问题。比如，犯罪代码。他可能这样说，“我在 NCIC 做犯罪记录查询时，碰到‘系统发生问题’的错误提示。你做记录查询时碰到过这种情况么？能帮我试一下么？”或者他会说正在查询 WPF（警方用语，被通辑人的档案）。电话另一端，电讯室的工作人员就会意识到对方熟悉查询 NCIC 数据库的操作程序和命令，除了受过训练的人，谁会知道这些操作程序呢？

工作人员确定她的系统运行正常后，谈话可能像这样进行：

“我可以帮点儿忙。你要查什么？”

“我要查瑞尔顿·马丁的犯罪记录，出生日期 66 年 10 月 18 日。”

“索什（SOSH，执行部门的人有时把社会保险号简称为索什）是多少？”

“700-14-7435。”

找到名单后，她可能这样说：“他的犯罪记录代码是 2602。”

现在，攻击者只需到 NCIC 的网站上查一下这个号码的含义了 - 这个人有一桩诈骗的犯罪记录。

4.4.2 过程分析

一个出色的社会工程师一刻也不会停止思考闯入 NCIC 数据库的办法，往当地警察局打上一个电话，花言巧语一番让对方认为自己是内部人员，这就足以能够得到他所需的信息。下一次，他只需使用相同的借口往另一个警察局打电话就是了。

你也许会吃惊，往警察局或是州政府打电话不危险吗？那攻击者不是冒了很大的风险？

答案是不……因为一个特殊的理由。执法人员像军人一样，从他们第一天到学院开始等级制度观念就已经根深蒂固了。只要社会工程师伪装成一个警官或助理官员 - 比和他谈话的人等级更高 - 受骗者将被精心学习的课程支配，不要怀疑比你职位更高的人。等级，换句话说就是拥有特权，特权不会被等级低的人挑战。

但是不要认为执法部门和军事部门是社会工程师唯一可以利用等级制度的地方，社会工程师经常在商业攻击中像使用武器一样利用公司的职权或等级 - 就像这一章的许多故事所示范的那样。

4.5 预防措施

4.5.1 保护你的消费者

在这个电子时代许多公司出售商品给消费者时将信用卡信息存档。理由是：解决了消费者每次进入商店或 Web 站点购物时都要输入信用卡信息的麻烦。然而，这种做法应该避免。

如果你必须将信用卡号存档，使用复杂的编码或者存取控制来进行安全防范必不可少。员工需要培训识别像这一章中社会工程师的一些诡计。那些从没亲眼见过但在电话里成为朋友的同事可能并不像他或她声称的那样。他也许并不“需要知道”客户的敏感信息，因为他可能根本就不在这家公司工作。

米特尼克信箱

每个人都应该知道社会工程师的一贯手法：尽可能地搜集一些关于目标的信息，利用这些信息增加内部人员的信任。然后直取要害！

4.5.2 聪明的信任

不只是有明显的敏感信息的人 - 软件工程师，研究与开发（R&D）人员，等等 - 需要防范入侵者攻击。你的公司的几乎所有人都需要训练保护企业防范商业间谍和信息窃贼。

一切的基础应该从一个企业信息资产调查开始，分离地看待每一个敏感的，关键的或贵重的资产，并寻找攻击者使用社会工程学策略可能危及这些资料安全的方法。对有权访问这些信息的人进行的适当培训应该有计划地围绕这些问题的答案。

当一个你不认识的人请求获得一些信息或材料，或要求你在你的电脑上完成任何操作时，让你的员工问他们自己一些问题。如果我把这些信息给了我最坏的敌人，它会被用来伤害我或我的公司吗？我十分了解被要求输入到我的电脑的这些命令的潜在影响吗？

我们不想抱着对我们遇到的每一个陌生人的怀疑度过一生。但是我们的信任越多，下一个看上去十分友好的社会工程师就会来到我们的城市里，欺骗我们，获得我们公司的所有信息。

4.5.3 什么属于你的 Intranet（企业内部互联网）？

你的 Intranet 的一部分可能开放到了外部世界中，而另一部分则限制只有员工能使用。你的公司有没有仔细地确认受保护的敏感信息没有被放到访客易接近的地方？当上次公司的一个人在 Intranet 上查看到任何敏感信息并不经意地提交到了 Web 站点的公共访问空间的时候？

如果你的公司执行代理服务保护企业应对信息安全威胁，这些服务在最近的检查中确认被适当的配置了吗？

事实上，有人检查过他们的 Intranet 安全性吗？