Question

和在 15 章中讨论的一样，社会工程师利用心理影响引导目标答应他的请求。熟练的社会工程师擅长于刺激情感，比如害怕、兴奋或内疚。他们利用心理自动触发机制，使人们未经分析就响应请求。

我们想让自己和他人都避免陷入困境，正因为如此，攻击者可以利用人们的同情心，让他的目标感到内疚，或者把威胁当成武器。

下面是一些如何利用情绪的热门课程。

8.1 电影制片厂的访客

你有没有注意过一些人是怎样溜进有守卫的地方（比如，会议室、私人派对或者图书发布会），而没有被询问是否有入场券或通行证？

同样，一个社会工程师可以在你没有想过可能性的地方谈论他的方法 - 就像下面这个电影行业的故事一样。

8.1.1 电话响了

“罗恩·希亚德（Ron Hillyard）办公室，我是多罗茜（Dorothy）。”

“多罗茜，你好，我叫凯尔·贝拉米（Kyle Bellamy）。我刚刚加入动画开发部成为布莱恩·格拉斯曼（Brian Glassman）的职员，你们对这里的事情很了解吧。”

“我想，我没有在其它部门工作过，所以我也不是很了解，我能帮你做什么？”

“说实话，我觉得自己有点笨，今天下午为稿件会议约了名作家过来，但我不知道该和谁说让他进来。布莱恩办公室里的人都非常好，但是我不想再麻烦他们教我这件事我该怎么做，那件事我该怎么做，就像我刚刚从大学出来找不到去洗手间的路。你明白我的意思吗？”

多罗茜笑了。

“你可以和安全部门的人说，拨号 7，然后 6138。如果你联系上了劳伦（Lauren），告诉她多罗茜说她能够帮助你。”

“谢谢，多罗茜。如果我找不到男洗手间，我会再打电话给你！”

他们都为这个想法暗自发笑，然后挂了电话。

8.1.2 大卫·哈罗德（David Harold）的故事

我热爱电影。当我搬到洛杉矶时，我以为我可以和各种各样的电影商业人士见面，他们会邀请我参加聚会并在摄影棚里吃午饭。好，我在这里已经一年了，现在 26 岁，最近的一次是在环球电影公司遇到了从菲尼克斯和克里夫兰（译者注：均为美国城市）来的一些好人。所以最后我开始记录电话号码，如果他们不邀请我，我就邀请我自己。我就是这样做的。

我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏，写下不同电影公司的制片人的名字。我首先确定了一个偶然发现的大型制片厂，然后打电话给接线总机，请她转接我在报纸上找到名字的这个制片人。接线员的声音很亲切，我很幸运，如果是一个只在那里盼望着被提拔的年轻女孩，她也许不会给我时间。

然后是多罗茜，她就像是在接待一只迷路的小猫，她很同情被新工作打击了的新人。我肯定很好的触动了她，当你去骗人的时候，他们可不是每次都会给你比你想要的更多的东西。出于同情，她不仅给了我一个安全部门的人的名字，还说我可以告诉那位女士多罗茜希望她帮助我。

当然我计划过无论如何要利用多罗茜的名字，劳伦都没查找我提供的名字是否真的在员工数据库里就信任了我，这让我的目标更好实现。

当我那个下午开车进入大门时，他们不仅把我的名字放到了访客名单里，还为我准备了一个停车位。我在内部餐厅吃了一顿迟了的午饭，然后在这个地方散步直到一天结束。我甚至偷偷摸摸地到了几个摄影棚，看他们拍电影直到 7 点才离开。那是我经历的令人激动的一天。

8.1.3 过程分析

每个人都曾是新员工。我们对上班第一天的事情记忆犹新，尤其是当我们没有经验，对工作不熟练的时候。所以当一个新员工求助时，他会希望很多人 - 特别是登记处的人 - 可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些，他知道可以利用目标的同情心来办到。

我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划，即使在入口处有守卫并对每一个非员工实行签名程序，任意变化一个在这个故事里使用的诡计，都能让一个入侵者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢？这是个好规定，但是它只在这种假设下才有效 - 你的员工们真正尽责的拦住任何有或没有访客认证的人并询问他，然后如果对回答不满意你的员工们会联系安全部门。

攻击者进入你的公司获取敏感信息，这对他们来说很容易。当今世界，恐怖分子攻击的威胁笼罩着我们的社会，比陷入危险中的信息多得多。

8.2 “现在就做”

不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部信息的人都变得危险，即使任何公司的经理对员工的所有个人信息文件和数据库进行限制（当然，大部分公司都会这样做），危险依然存在。

当不培训员工如何防御社会工程学攻击时，心意已决的人，就像接下来的故事里那位被抛弃了的女士一样，会做出一些大多数老实人认为不可能的事情。

8.2.1 道格(Doug) 的故事

总之，和琳达(Linda) 的事情不是很顺利，当我看到艾瑞(Erin) 时，我就确定她是我的唯一。琳达是，像是，有一点……好吧，有些不确切，不稳定，当她烦恼时她会不经过大脑就行事。

我尽量温和地告诉她必须从我家搬出去，并且帮她整理东西，甚至让她拿走了几张属于我的 Queensryche CD。等她一走我马上到五金店买了一把新的 Medico 锁，把它装在了前门并在当天晚上锁好。第二天上午我打了一个电话给电话公司，让他们更改我的电话号码，并对其保密。

我可以自由地追求艾瑞了。

8.2.2 琳达的故事

我准备离开了，无论如何，那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。所以只有一个问题，我该怎样让他知道他有多么负心？

想都不用想，他肯定是有了别的女孩，不然不会这样仓促地和我分手。所以我只要稍等一下，然后在晚上很晚的时候开始打电话给他。你知道的，在这段时间他们最不想接电话。

我等到第二个星期才在星期六的晚上 11 点钟打电话给他，可是他更改了他的电话号码，新号码又没有在电话表里列出来，这正证明了他是一个 SOB（译者注：son of a bitch）。

没有关系，我开始在一些文件里四处寻找，那是我在辞去电话公司的工作之前设法带到家里的。就是它 - 我保存的一张维修票，道格的电话线路有一次出现了故障，这上面列出了他的电话线路。看吧，你可以尽你想要的修改你的电话号码，但你的电话线依然连接在你的房子和电话公司的中继局之间，接通着电话总机办公室(Central Office，或者说 CO)。电话线路的设置被这些接通着线路的号码所确认，如果你知道电话公司是怎么样做这些事情的，像我做的那样，找到电话号码只需要获得目标的电话线路设置。

我有一张这个城市所有 CO 的列表，里面有他们的地址和电话号码，我找到了我以前和道格这个负心汉住的地方附近的 CO 号码，然后打了过去，但是没有人接。转接员在你需要他的时候在哪里？足足用了 20 分钟我才计划好，开始打电话给附近的其他 CO，最终锁定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按照我想的去做，但是我已经有了计划。

“我是琳达，维修中心，”我说，“我们遇到了紧急情况。一台医疗机构的服务器当机了。我们使用技术手段尝试重新启动服务器，但是找不到问题所在。我们需要你马上开车到韦伯斯特(Webster) 的 CO，看我们离开电话总机办公室能否拨通。”

然后我告诉他，“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中心找我。

我知道他不愿意离开舒适的电话总机办公室，穿得厚厚实实的，擦掉挡风玻璃上的积雪，深夜在烂泥地上开车。但这是紧急事件，他没理由说自己很忙。

当我四十分钟后在韦伯斯特的 CO 里见到他时，我告诉他检查 29 线 2481 路，然后他热情地检查了，并说，是的，线路是通的。当然这我早知道了。

所以我说，“好的，我需要你进行 LV（line verification 线路排查）。”那需要他确认电话号码，他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话表里的号码，或者是这个号码刚刚被修改过。所以他按我要求的做了，并且展示了他的线路工人的测试设置。很好，所有的事情像有魔力一般完成了。

我告诉他，“好的，故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他并告诉他我们要继续工作，然后说，晚安。

米特尼克信箱

一旦一个社会工程师了解了目标公司的内部工作流程，用这些信息认识一个正式员工将变得相当简单。所有的公司都需要预防这些来自现在或以前的别有企图的员工的社会工程学攻击。后台检查可以帮助查找有这些行为倾向的人。但是在大多数案例中，发现这些人是非常困难的。在这些案例中唯一合理的安全措施就是执行并审核身份验证程序，包括员工身份和之前有无透漏公司的内部信息给任何人。

道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。

好戏开始了。

8.2.3 过程分析

这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划，是因为她拥有内部知识：那些电话号码、程序和电话公司的行话。有了它们她不仅可以找到一个新的、未公布的电话号码，而且可以在冬季的晚上，让一个电话转接员为了她而穿过整个城镇。

8.3 “这是比格(BIGG) 先生想要的”

一个流行的非常有效的威胁方式 - 因为它太简单了 - 利用权威来影响人们的行为。

只是 CEO 办公室助手这个名字就很有价值。私人侦探，甚至猎头公司都始终在做这些事情，他们打电话给接线员，说他们想要联系 CEO 的办公室。当秘书或者助理经理回应时，他们就说他们有一个文件或者包裹给 CEO，或者说他们发送了一份 email 附件，她能把它打印出来吗？或者他们会问，传真号码是多少？顺便问一下，你叫什么名字？

然后他们打电话给下一个人，说，“比格先生办公室的琼尼(Jeannie) 要我打电话给你，他说你能帮我。”

这个技巧是打电话时略提权威人士以示相识而提高自己的身份，它通常是个惯用的方法，通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系，大多数目标对这些人有好感，因为他们认识他认识的人。

如果攻击者着眼于获取高度敏感的信息，他可以使用这些方法激起受害人有用的情绪，例如害怕和上司之间陷入麻烦。下面是一个例子。

8.3.1 斯科特(Scott) 的故事

“斯科特·艾布拉姆(Scott Abrams)。”

“斯科特，我是克里斯多佛·道布瑞 (Christopher Dalbridg)，我刚刚和比格雷(Biggley) 先生结束通话，他有些不高兴。他说他 10 天前发了一条短信给你，想要你把市场调查报告拿给我们分析。但我们没有拿到任何东西。

“市场调查报告？怎么没有人和我提过，你是哪个部门的？”

“我们是他请来的顾问团，我们已经落后于预定计划了。”

“听着，我在去开会的路上，告诉我你的电话号码……”

听上去攻击者现在真的有些失望：“你想让我告诉比格雷先生吗？！听着，他希望明天早上拿到我们的分析，我们不得不整晚都为它工作。现在，你希望我告诉他我们不能完成，因为我们没有没有从你那里拿到报告，或者你想亲自告诉他呢？”

一个生气的 CEO 可以摧毁你的一个星期，目标可能会决定在去开会之前较好的解决这些事情。再一次，社会工程师按下了正确的按钮获得了他想要的回应。

8.3.2 过程分析

如果一个人在公司里地位相当低，通过提及权威人士工作的威胁方式很有效，利用重要人物的名字不仅可以消除正常的不愿和怀疑，而且经常让人热情的满足要求。当你认为你帮助的这个人是重要的或有权势的，自然会希望自己变得更加有用。

社会工程师知道，虽然利用高层人士的名字会很有效，但是对小公司使用这种骗局要谨慎：攻击者不能他的目标有和商业副总裁交谈的机会。“我发送了一份产品销售计划给你，那个人跟我说的。”能轻易的引起这样的回答“什么销售计划？什么人？”这将导致公司发现自己被攻击了。

米特尼克信箱

威胁可以引起对惩罚的畏惧心理，使人们合作。威胁也可以引起人们对困境的畏惧心理或者害怕失去新的提升机会。

必须培训员工当安全受到威胁时，质疑权威不但是可以接受的而且是合理的。信息安全培训应当包括教育人们怎样通过友好的途径质疑权威，而不会破坏关系。此外，公司上下都应该支持这些行为。如果一个员工不支持不考虑身份地质疑权威，正常的反应是停止挑战 - 正好和你想的相反。

8.4 社会保险总署(Social Security Administration)

我们喜欢认为政府机构把我们的信息保护得很严密，只有可信的人才能知道。事实是甚至联邦政府都不像我们想象的那样对入侵免疫。

梅林(May Linn) 的电话

地点: 社会保险总署区域办公室

时间:星期四的早晨，上午 10:18

“三号 Mod,我是王梅林。”

电话另一端的声音听上去像是在道歉，几乎有些羞怯。

“王女士，我是艾伦戴尔·亚瑟，审查中心办公室。我能叫你‘梅’吗？”

“是‘梅林’”她说。

“好的，是这样的，梅林，我们这里来了个新人，他至今还没有电脑，马上他要有一个优先的任务，他就用了我的电脑。我们属于美国政府，我们大声的抱怨，但他们说他们的预算里没有足够的钱为这个人买一台电脑。现在我的上司认为我拖欠了工作并不想听到任何借口，你知道吗？”

“我懂你的意思，好的。”

“你能帮我快速查询一下 MCS 吗？”他说道，用到了查询纳税人信息的电脑系统的名字。

“当然，你要查什么？”

“首先我需要你对约瑟夫·詹森进行一次阿尔法查询(alphadent)，DOB 是 7/4/69。”（阿尔法查询的意思是在电脑里按字母顺序查询纳税人的名字，通过生日来确认身份。）

在简短的停顿后，她问道：

“你需要知道什么？”

“他的账户号码是多少？”他说，用到了社会保险号码的内部称呼。她把它读了出来。

“好的，我需要你对那个账户号码进行数据列表(numident)。”打电话的人说。

数据列表是请求她把纳税人的基本数据读出来。梅林回答了纳税人的出生地点、母亲的名字和父亲的名字。当她同样告诉他发行卡的年月和发行它的区域办公室时，打电话的人有耐心的听着。

下一步他请求进行一次 DEQY(显然“DECK-wee”是“详细收入查询”的简写。)

DEQY 的请求得到了这样的回应，“哪一年的？”

打电话的人回答，“2001 年。”

梅林说，“总计 190,286 美元，户头是詹森微技术公司。”

“还有其它收入吗？”

“没有。”

“谢谢，”他说，“你真是个好人。”

然后他试着和她商量当他需要信息并且不能使用他的电脑的时候能获得帮助，他再次使用了拿手的社会工程学欺骗，试图和同一个人保持联系，避免每次都要寻找新的目标。

“下个星期不行。”她告诉他，因为她要去肯塔基州参加她妹妹的婚礼，在其它的时间她可以帮他，只要她办得到。

当她挂上电话时，梅林感觉很好，因为她为一个未被赏识的公务员提供了帮助。

8.4.1 基思·卡特(Keith Carter) 的故事

从电影和畅销犯罪小说里可以得出结论，私人侦探缺乏道德规范，热衷于窥探人们的隐私。他们的行为违反了法律，就差被逮捕了。真相当然是，大部分 PI（译者注：private investigator 缩写，私人侦探。）的生意运作完全合法。自从他们中许多人开始在他们的工作中宣誓遵守法律，他们就已经完全知道什么是合法的，什么是不合法的，大部分人不会想越过这条线。

这里，仍然有例外。一些 PI - 比一些更多 - 所做的确实和犯罪小说里塑造的那些家伙一样。这些人在交易中充当信息经纪人是很出名的，一个要违反法律的人的教养有限。他们知道如果走捷径就可以更快更好地完成任何任务。这些捷径可能严重触犯了法律，那将使他们在高墙下度过数年的时光，不过似乎不能阻止一个肆无忌惮的人。

高消费阶层的 PI - 这些人在城镇高价出租屋里设计出独特的办公套房 - 不亲自做这些事情，他们只是雇用一些信息经纪人为他们工作。

我们称呼这个人为基思·卡特，一个不受道德规范限制的私人侦探。

一个典型的案例是:“他藏钱的地方在哪里？”或者有时候是:“她藏钱的地方在哪里？”有时候是一个有钱的女士，想知道她的丈夫把她的钱藏在哪里（虽然为什么一个有钱的女人曾经和一个家伙结婚是一个谜，但这不是基思·卡特现在想知道的，因此没有去找一个很好的答案)。

这个案例里的丈夫名字是乔·詹森，他把钱藏了起来。他“是一个非常聪明的人，他从他妻子家族借了一万美元创建了一家高科技公司，发展成了上亿美元的公司。”按照她的离婚律师所说，他做了一件高难度的事情隐藏了他的资产，这位律师想要一份完成的资产报告。

基思首先确定他的起点是社会保险总署，目标是他们关于詹森的文件，像这样的情形，那里装着非常有用的信息。有了相关信息的帮助，基思可以伪装成目标让银行、经济公司和风险投资公司告诉他任何事情。

他的第一个电话打给了本地区域办公室，使用了任何公众都可以使用的一个的 800 号码，这个号码列在了本地电话本里。当办事员在线时，基思要求连线产权局的人。等待了一会儿，然后有了声音。然后基思变换了身份,“你好，”他说，“我是格热格瑞·亚当斯(Gregory Adams)，329 区域办公室。听着，我在设法联系一个产权调停者操作一个尾数为 329 的账户号码，我从传真机那里得到的这个号码。”

“那是 2 号 Mod。”这个人说，他查到了号码并告诉了基思。

下一个电话他打给了 2 号 Mod（译者注：上文中说的是三号 Mod，不知道为什么）。当梅林响应时，他更换了角色，成了审查中心办公室的一名进行常规审查的工作人员，碰到了问题，他的电脑不得不给别人使用。她把他要找的信息告诉了他，还同意在他将来需要帮助时找她帮忙。

8.4.2 过程分析

是什么使得利用员工的同情心如此有效？在这个故事里，别人用了他的电脑然后“我的上司对我不满了”。人们并不经常表达他们的情感，当他们这样做时，可以使目标再一次失去对社会工程学的本能防御。“我遇到了麻烦，你能帮我吗？”的情感策略是赢得这一天用到的所有东西。

8.4.3 不安全的社会

难以置信，社会保险总署把他们全部的程序操作手册放到了网上，这些信息里有很多对他们有用，但同样也对社会工程师有用。它包含了缩写、术语和怎样请求你想要的东西的指令，就像这个故事里描述的那样。

想要知道社会保险总署的更多内部信息？只要在 Google 里面搜索或者在你的浏览器里输入下面这个地址： http://policy.ssa.gov/poms.nsf/ 。除非这个机构已经阅读了这个故事并在你阅读这些以前移除了这个手册，你可以找到在线使用说明，它甚至详细地给出了哪些数据 SSA 办事员可以提供给执法部门。实际上，那一部门包含了任何可以使 SSA 办事员相信他来自执法部门的社会工程师。攻击者不能成功的从一个接到审查中心的电话的办事员那里获得这些信息。基思的攻击方式仅仅是使用一些公众难以获得的电话号码，接听的人因此认为打这个电话的人都是内部人员 - 另一个地下酒吧式安全的例子。协助此次攻击的元素如下：

知道 Mod 的电话号码。

知道他们使用的术语 - 阿尔法查询、数据列表和详细收入查询。

假装来自审查中心办公室，那是每一个联邦政府员工都知道的有很大权力的政府研究机构。这给了攻击者一个权威的光环。

一个有趣的事实是：社会工程师似乎知道怎么样进行请求，让一个从来没有想过“你为什么打电话给我。”认为这个电话来自一些完全不同的其它部门的人，可以建立更多的理解。也许他只是想帮助这个打电话的人，好让单调的日常工作能停顿一下，受害人不会去想这个电话有多么不寻常。

最后，这个故事里的攻击者，没有满足于这些到手的信息，他还想要和目标建立联系好让他可以有规律的打电话来。他可以使用普通的同情心攻击策略 - “我把咖啡撒在键盘上了。”可是，那在这里不适用，因为一个键盘可以在一天里面更换掉。

因此他使用了这个别人用了他的电脑的故事，他可以适当地将这些扩充：“是的，我想他在昨天就会有一台他自己的电脑，但是一个人进来和另一个家伙进行了一些交易把它给换了。所以这个爱开玩笑的人仍然出现在我的办公室里。”等等。

我很可怜，我需要帮助，像有魔力一般有效。

8.5 一个简单的电话

攻击者的一个主要障碍是让他的请求看上去很合理，就像是受害人在日常工作中碰到的常规请求，这些对受害人而言并不陌生。和一生中的其他许多事情一样，进行合理的请求有时候是个挑战，但是接下来，它就会变成小菜一碟。

8.5.1 玛丽·哈里斯(Mary Harris) 的电话

日期/时间：星期一，十一月 23 日，上午 7:49

地点：麦斯拜&火炬会计公司(Mauersby & Storch Accounting)，纽约

对于大多数的人而言，会计工作就是数字整理和账目计算，通常认为那些就像在小路上漫步一样惬意。幸运的是，不是每一个人都那样看这份工作。例如，玛丽·哈里斯认为她的工作像高级会计师一样有趣，一部分原因是她是这家公司最专注的会计员工之一。

在这个特殊的星期一，玛丽到得很早，开始了漫长的一天里她的首要工作，并吃惊地发现她的电话响了。她接了电话，报上了她的名字。

“你好，我是彼得·谢帕德(Peter Sheppard)。这里是奥布斯特(Arbuclde) 公司，我们为你的公司提供技术支持。我们在周末收到了几个这里的电脑有问题的投诉。我想我可以在早上所有人进来工作之前充当故障检修员。你的电脑有任何问题或者连接网络有任何问题吗？

她告诉他她还不知道。她打开了她的电脑，当电脑启动的时候，他解释了他要做的事情。

“我想在你的电脑上进行一些测试，”他说，“我能在我的屏幕上看见你键入的字，我想确认网络通顺。所以当你录入时，我想要你告诉我那是什么，然后我会检查这里是否是相同的文字或数字。好吗？”

梦魇一般的景象，她的电脑无法工作，失败的一天，不能完成任何工作。她很高兴这个人能帮她。过了一会儿，她告诉他：“我到了登陆屏幕，我要输入我的 ID。我现在键入它 - M...A...R...Y...D。”

“到现在为止很好，”他说，“我看到了。现在，前进并输入你的密码但不要把它告诉我。不要把你的密码告诉任何人，甚至技术支持部门都不可以。我在这里只会看见星号 - 你的密码受到了保护所以我无法看到它。”这些都不是真的，但这对玛丽有意义。然后他说：“当你的电脑启动时告诉我。”

当她说它启动了时，他要她打开两个应用程序，然后她报告说他们运行得“很好”。

玛丽看到所有东西都运行正常，放心了。彼得说，“我很高兴可以确定你的电脑工作正常。听着，”他继续道，“我们刚才安装了一个更新程序，允许人们更改他们的密码，你可以给我几分钟时间让我能检查它是否工作正常吗？”

她对他的帮助很感激于是欣然答应了。彼得告诉她运行这个程序的步骤，允许用户修改密码，这是 Windows2000 操作系统的标准组件。“前进并输入你的密码，”他告诉她，“但是记住不要大声地说出来。”

当她完成这些时，彼得说：“只是为了这个快速测试，当它请求你的新密码时，输入‘test123’，然后在确认栏里再次输入它，点击确定。”

他告诉她从服务器断开的方法。他让她等待几分钟，然后再连接，这次试着用她的新密码登陆。它像有魔力一样工作着，彼得似乎很高兴，然后告诉她用初始密码改回去或者选择一个新的密码 - 再一次提醒她不要把密码大声地说出来。

“好了，玛丽，”彼得告诉她，“我们找不到任何错误，那很好。听着，如果有了任何问题，只要打电话到奥布斯特公司我们这里，我通常有特殊任务，但是这里的任何人都可以帮助你。”她感谢了他然后他们互相说了再见。

8.5.2 彼得的故事

彼得这个名字传播得很广 - 在他的学校里许多和他一起去学校的人听说他可以进行一些电脑风啸获得其他人不能获得的有用信息。当艾丽丝·康拉德找到他并寻求帮助时，他首先说的是不。为什么他要帮忙？当他第一次遇见她并试着和她约会时，她的拒绝让他倍受打击。

但是他拒绝帮忙似乎并没有让她吃惊。她说她认为一些事情他无论如何也办不到。那可能是个挑战，因为他当然确定他能办得到，那是他同意的理由。

艾丽丝拿出了一份关于一家交易公司的一些顾问工作的合同，但是这份合同的条款似乎不是很好。在她回去请求获得更好的待遇以前，她想要知道其他顾问他们的合同条款都有些什么。

下面是彼得讲述这个故事。

当我知道它很容易时，我不想告诉艾丽丝任何事情，除了我可以做到人们认为我做不到的事情。好的，不容易，准确点，这次不容易，要做一系列的事情，但是还好。

我要给她展示这真实的一切，多潇洒。

星期一早上 7：30 之后一点点，我打电话给交易公司办公室并联系上了接待员，说我是这家公司处理他们退休金计划的人，想要和会计公司的人谈话。她有没有注意到会计公司的人还没有上班？她说：“我想我几分钟之前见到过玛丽，我帮你联系她。”

当玛丽拿起电话时，我告诉她关于电脑故障的一些故事，那让她有些神经过敏，所以她很高兴的合作了。当我告诉她怎样修改她的密码时，我用同样的临时密码（我要她使用的：test123）快速登陆了系统。

进入并掌握了这里 - 我安装了一个小型程序允许我无论何时只要我想要就能访问这家公司的电脑系统，使用了一个我自己的秘密的密码。当我挂断玛丽的电话时，我的第一个步骤是清除登陆纪录，这样就没有人知道我曾经登陆过他（或她）的系统。这很容易。在我提升了我的系统权限之后，我下载了一个叫做 clearlogs 的免费的程序，我是在一个安全类的网站 www.ntsecurity.nu 找到它的。

到真正的工作时间了。我在所有文件里查找文件名带有“contract（译者注：合同）”关键字的文件，然后把它下载下来。我还在根目录里找到了更多 - 这些目录里包含了所有的顾问工资报告。所以我整理了所有的合同文件和一张工资清单。

艾丽丝可以细读这些合同看他们支付多少钱给其他顾问。让她辛苦地细读所有这些文件吧，我做到了她要我做的。

从我存放这些数据的磁盘里，我打印了一些文件当作证据给她看。我要她和我约会并请我吃午饭，当她翻阅这一堆纸时你可以看见她的表情。“没门，”她说，“决不。”

我没有拿出这些磁盘，它们是诱饵。我说过她不得不过来拿，希望也许她会对我的帮助表示感谢。

米特尼克信箱

这很令人惊讶，那些精心构造的请求可以轻易地让人们帮社会工程师做事。前提是引起基于心理作用的自动响应，这依赖于当他们觉得这个打电话的人是盟友时人们的心理捷径。

8.5.3 过程分析

彼得打给交易公司的电话表现的是社会工程学攻击的最基本的形式 - 一个简单的尝试，只需要一点点准备，首次尝试的工作，只用几分钟就能完成。

效果很好，玛丽，这个受害人，没有认为那是一些对她的欺骗或诡计，也没有提交报告或引起骚动。

彼得的计划使用了三种社会工程学策略。首先他让玛丽因为害怕而合作 - 让她认为她的电脑不能用了。然后他花时间让她打开了两个应用程序，这样她确定了她的电脑工作正常，让他们之间的好感增加了，感觉有了同盟一样。最终，他按照计划的一部分利用她的感激（他帮助她确认了她的电脑工作正常）让她进一步地合作。

通过告诉她在任何时候都不能说出她的密码，甚至不能告诉他，彼得彻底地完成了这一微妙的工作，让她觉得他是在关心她的公司文件的安全。这促进了她的信心，他肯定是合法的，因为他在保护她和她的公司。

8.6 警察的搜捕行动

想象一下这样一个情景：政府准备对一个叫做阿图若·森彻(Arturo Sanchez) 的人展开行动，他在互联网上免费发布电影，好莱坞制片厂说他侵犯了他们的版权，他说他只是推动他们承认一个不可以避免的交易方式，所以他们开始做些事情让新电影可以免费下载。他指出（正确地）这是电影公司完全忽视的巨大的收入来源。

8.6.1 搜索证，谢谢

一天晚上回家迟了，他穿过街道查看了一下他家的窗户，即使他出去了也总是会留下一盏灯，但是现在，灯灭了。

他用力敲着邻居家的门直到他把人叫醒了，然后了解到确实有警察搜索了这座建筑。但是他们让邻居们待在楼下，所以他不能确定他们进入了哪个房间，他只知道他们离开时带走了一些很重的东西，可是他们把它掩盖了起来，他也说不出那些是什么，他们没有逮捕任何人。

阿图若检查了他的房间，坏消息是警察留下了一张纸条要求他马上打电话并在三天之内确定一次会面，更坏的消息是他的电脑不见了。

阿图若这天晚上消失了，他和一个朋友待在一起。但是一些不确定的东西困扰着他，警察知道了多少？他们最后会不会逮捕他，不给他任何逃走的机会？或者也不完全是这样，他可以解决这些事情而不用离开这里？

在你继续阅读之前，停下来思考几分钟：你能想象出任何途径去找出警察知道你的哪些事情吗？傲慢的你没有任何政治上的联系或有朋友在警察局或者司法办公室，你可以想象任何途径，像一个普通公民一样，去获得这些信息吗？或者那只有一些有社会工程学技巧的人才能做到？

8.6.2 警察的故事

阿图若对他需要知道的这些很满意：首先，他拿到附近复印店的电话号码，打电话给他们请求使用他们的传真号码。然后他打电话给检察官办公室，找档案室。当他联系上档案办公室时，他介绍他自己是莱克镇的警官，说他需要和归档现行搜查证的办事员谈话。

“可以。”那位女士说。

“噢，好极了，”他回答，“因为我们昨晚搜捕了一个嫌疑犯，我想要了解宣誓书的位置。”

“我们用他们的地址归档。”她告诉他。

他说出了他的地址，她的声音几乎有些激动。“噢，是的，”她吐着泡沫，“我知道这个，‘版权侵犯’。”

“就是这个，”他说，“我在寻找宣誓书和许可证的副本。”

“哦，我这里正好有。”

“好极了，”他说，“听着，我现在在外面，有一个关于这件案子的秘密服务的十五分钟会议。我最近有点恍惚，把文件留在了家里，这里没有那些文件并且来不及回去拿了。我可以从你那里拿到副件吗？”

“当然，没问题。我把它复制一份，你可以到这里来拿它们。”

“好极了，”他说，“那真好。但是听着，我在镇子的另一边，你可以把它们传真给我吗？”

有了一个小麻烦，但是可以克服。“我们档案室没有传真机，”她说，“但是楼下的职员办公室有，他们可以让我用。”

他说：“我打电话到职员办公室问问看。”

职员办公室的女士说她乐意帮忙但是想要知道“谁来付钱？”，她需要知道账户代码。

“我拿到代码后再打电话给你。”他告诉她。

然后他打电话给 DA 办公室，再一次伪装成警官简单地询问了一下接线员，“DA 办公室的账户代码是多少？”

没有丝毫犹豫，她告诉了他。

他打电话回职员办公室，提供了账户代码，原谅他进一步利用了这位女士：他要她上楼去拿那些副件来传真。

注意

使用那些对他的攻击有用的东西，比如电话和电脑，一个社会工程师如何知道那么多操作的详细资料（警察部门、司法办公室、电话公司和特殊的公司机构）？把它找出来就是他的生意，这些知识是一个社会工程师在交易中的库存，因为信息可以在他的行骗中帮助他。

8.6.3 掩盖足迹

阿图若还有其它组合的步骤去拿传真。总是有可能被人察觉到一些异样，他可能会在复印店发现几个侦探，他们随意地说着话，看上去很忙碌直到有人露面拿那个特殊的传真。他等待了一会儿，然后打电话回职员办公室确认那位女士已经发送了传真。到目前为止一切都很好。

他打电话给镇子对面的另一家连锁复印店，略施小计，“我对你的工作处理很满意，想写一封信给经理表示祝贺，她的名字是？” 有了这一基本信息，他又打电话给第一个复印店说他想和经理说话。当那个人拿起电话时，阿图若说：“你好，我是哈特菲尔德 628 店的爱德华(Edward)。我的经理安娜(Anna) 要我打电话给你。我们有一个心烦意乱的顾客 - 有人把错误的复印店传真号码给了他，他在这里等一个重要的传真，可是他拿到的这个号码是你们复印店的。”这位经理答应马上叫一个人把这份传真发到哈特菲尔德的复印店。

当传真到了第二家复印店时阿图若早已经等在那里，他一把它拿到手，就打电话回职员办公室对那位女士表示感谢，还有“没必要把那些副件送回楼上了，你现在就可以把它们扔了。”然后他打电话给第一家复印店的经理，也告诉他把那些传真副件扔了。这样这里发生的事情就不会有任何纪录，只是有个人稍后回来问了些问题。社会工程师知道你决不会很细心的。

计划的这些方法，阿图若不需要支付第一家复印店收这些传真再把它发给第二家复印店的钱，并且如果露馅了警察先会找到第一家复印店，当他们安排去第二家复印店抓人时阿图若早已经拿到了他的传真。

故事的最后：宣誓书和许可证上显示警察已经有了阿图若盗版电影行为的充分证据。这就是他想要知道的。当天晚上，他穿过了州界线。阿图若开始了新的生活，在别的地方有了新的身份，准备再次开始他的活动。

8.6.4 过程分析

在任何检查官办公室工作的人，无论在哪里，总是免不了和执法部门的工作人员联系 - 回答问题、做好安排、获得讯息。任何足够勇敢的人都可以打电话声称自己是一名警官、代理州长或者任何由他的语言来决定的角色。除非他很明显不了解术语，或者他有些神经紧张结结巴巴地结束他的话，或者用一些听上去不可信的方法，他可能甚至不会被问一个问题确定他的身份。那确实发生在这里，和两个不同的工作人员。

米特尼克信箱

问题的实质是没有人会对一个优秀社会工程师的欺骗免疫。因为普通生活的节奏，我们并不经常有时间深思熟虑再作出判断，虽然事实上那对我们很重要。复杂的情形，缺乏的时间，情绪的波动，或者精神的疲劳，都可以轻易地使我们分心。所以我们使用了心理捷径，没有经过谨慎和全面的分析就作出判断，一个像自动应答一样的心理作用。这些甚至适用于联邦、州和本地执法部门办公室。我们是所有人。

通过一个简单的电话就可以获得一个必需的支付代码，然后阿图若用一个故事打出了同情牌，“有一个关于这件案子的秘密服务的十五分钟会议，我有点心不在焉，把文件忘在了家里。”她自然对他这件事感到遗憾，然后偏离了她的职责去帮忙。

然后通过利用两个复印店，阿图若去拿那份传真时他让自己非常安全。进行传真时这里的一个变化让追踪足迹更加困难：代替把这些文件发给另一家复印店，攻击者可以给一个公开的传真号码，通过一个真实的地址在因特网上的免费服务将你收到的传真自动转发到你的邮箱地址里，他不会在任何地方露脸，没有人会认出他，邮箱地址和电子传真号码在完成任务后就可以扔了。

8.7 转换表格

一个我叫他迈克尔·帕克(Michael Parker) 的年轻人，他是较晚完成 better-paying 论文的人之一，那通常是和大学学位挂钩的。他有一个机会参加一个本地大学的部分奖学金加教育贷款活动，但是那意味着要在晚上和周末工作才能支付他的租金、食物、汽油和汽车保险。迈克尔总是喜欢去找捷径，认为也许有另外的方法，一个只需要少量的努力就可以不用付钱的更快的方法。因为他从十岁第一次玩电脑时就开始学习计算机了，他着迷于发现它们是怎样工作的，他确信能更快看见自己的计算机科学学士学位，如果他可以“制造”它的话。

8.7.1 毕业生 - 没有荣誉

他可以入侵州立大学的计算机系统，找到成绩为 B+优秀或平均为 A-毕业的人的档案，复制，然后加入他自己的名字，把它添加到当年毕业班的档案里。通过思考这些，不知道怎么了他有些担心这个主意，然后他认识到肯定还有其它的在校生档案 - 学费支付档案，住房分配办公室，还有那些知道别的什么的人。仅仅建立课程和评分的档案会留下太多漏洞。

经过深入思考，他觉得这个方案只有在达到了他的目标时才能实现，学校里要有一个和他名字相同的毕业生，在任何适当范围的时间里获得过一个计算机科学学位。如果那样的话，他就可以在员工申请书里填写另一个迈克尔·帕克的社会保险号码，任何去大学核实姓名和社会保险号的公司都会被告知，是的，他有学位。（对大部分人而言不明显但是对他而言是显而易见的，他把一个社会保险号放在了工作申请里，然后如果被雇用了，就把他自己真实的号码填入新员工表格中。大部分公司都不会想去检查一个新员工在聘用时是否使用了一个不同的号码。）

8.7.2 登陆的麻烦

怎样在大学档案里找到一个迈克尔·帕克？他是这样着手的：

进入大学校园的主图书馆，他坐在一台电脑终端前，连入网络并访问大学的网站。然后他打电话给注册员办公室，当有人回应时，他运用了一个社会工程师耳熟能详的方法：“我从电脑中心打电话来，我们正在更改一些网络配置，我们想要确定我们没有使你的访问中断。你连接的哪个服务器？”

“服务器？什么意思？”他问。

“当你查询学生档案信息时连接的哪一台电脑。”

回答是：admin.rnu.edu，储存学生档案的电脑名称。这是难题的一小部分：他现在知道了他的目标机器。

专业术语

哑终端：一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。

他在电脑里输入了那个网址但是没有获得响应 - 和预期的一样，有防火墙阻止了访问。因此他运行了一个程序看看能不能连接上那台电脑的任何服务，然后发现了一个打开的端口运行着 Telnet 服务（允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它）。获取访问权限所必需的是一个标准用户 ID 和密码。

他打了另一个电话给注册员办公室，这一次他仔细地倾听并确定在和另一个人说话。他遇到了一位女士，然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统，仍处于测试阶段，想了解她是否可以正确访问学生档案。他给了她一个连接的 IP 地址并且告诉她怎样操作。

事实上，这个 IP 地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步骤，他创建了一个登陆蜜罐 - 一个登陆界面的圈套 - 看上去就像是当她登录学生档案系统时通常看到的一样。“它没工作，”她告诉他，“它持续说‘登陆不正确’。”

现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她：“哦，这台机器里的一些账户仍然不能用，让我配置一下你的用户，然后再打电话给你。”小心的绑好未扣牢的一端，就像所有社会工程师精通的那样，他强调稍后再打电话，说测试系统还没有工作正常，如果她能使用它了，他们会打电话给她或者这里的其他人。

8.7.3 乐于助人的注册员

现在迈克尔知道了他要访问哪一个电脑系统，还有用户 ID 和密码。但是当他有了正确的名字和毕业时间时如何在文件里搜索这些信息？学生数据库是私有的，在学校建立它是为了对付大学特殊的需求和注册员办公室，并且有唯一的途径在数据库中访问信息。

首先清除这些最后的障碍：找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注册员办公室，这一次成了另一个不同的人。他来自迪安工程办公室，他告诉那位女士，然后他问道：“当我们访问学生档案出现问题时，我们该给谁打电话？”

几分钟以后他打电话给大学数据库管理员，上演了值得同情的一幕：“我是注册员办公室的马克·塞乐。你能同情一下一个新人吗？很抱歉打电话给你但是这个下午他们都在开会，没有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表，从 1990 年到 2000 年的。他们今天就需要它，如果我没有它的话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧？”帮助人们是这个数据库管理员要做的事的一部分，所以他特别耐心地告诉迈克尔一步一步的操作过程。

当他们挂断电话时，迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟，查找到了两个迈克尔·帕克，在他们中选择了一个，获得了这个人的社会保险号码和其它在数据库里的相关信息。

他就成了“迈克尔·帕克，B.S（译者注：Bachelor of Science 理科学士），计算机科学，光荣毕业，1998”。在这里，“B.S”是唯一恰当的。

8.7.4 过程分析

这次攻击使用了一个我之前没有谈到过的策略：攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格，相当于请求商店的所有者帮你搬运包含了消息的盒子，你只需要从他的架子上偷来放到你的车里就可以了。

米特尼克信箱

当电脑用户遇到社会工程学相关的威胁和攻击时，他们显得有些无能为力，那些技术存在于我们的世界中。他们有权使用信息，但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标，所以目标通常会答应陌生人的请求。

8.8 预防措施

同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制，这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢？

8.8.1 保护数据

这一章的一些故事强调了发送一份文件给你不认识的人有多么危险，即使当这个人是（或者表面上是）一名员工，这份文件是被发送到一个公司的电子邮件地址或传真机上。

需要制定非常详细的公司安全策略，保护贵重的数据不被发送给陌生人。需要制定严格的程序来传送有敏感信息的文件。当请求来自于陌生人时，必须有清晰的查证，要有依赖于敏感信息的不同的等级证明。

这里有一些可以考虑的方法：

建立知道需求（要求获得指定信息所有者的授权）。

保持一个处理这些事情的个人或者部门日志。

维护一张接受过特殊培训、被授权对外发送敏感信息的人员名单，要求只有这些人可以发送信息给工作组外部的人。

如果数据请求需要写入（电子邮件，传真，邮件），则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。

8.8.2 关于密码

所有可以访问任何敏感信息的员工 - 在今天那事实上意味着每一位使用电脑的工作人员 - 都需要了解一些简单的操作，比如修改你的密码，即使是一小会儿都能导致一个严重的安全漏洞。

安全培训需要包含密码主题，关注什么时候和怎么样改变你的密码，什么是合法的密码，和将任何其他人卷入程序的危险性。培训尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们密码的请求。

表面上看起来这是一条简单的传给员工们的信息，但不是，因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”，但是在这个小孩明白为什么那是重要的以前，你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。

注意：

密码是社会工程学攻击关注的中心，那是我们致力于第 16 章的单独的部分，那里你可以找到详细的管理密码的推荐方针。

8.8.3 中心报告点

你的安全方针应该指定一个人或组为报告可疑行为（企图渗透你的机构）的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的，报告这些的电话号码应该始终放置在眼前，这样当员工们怀疑发生了攻击时就不需要去发掘它。

8.8.4 保护你的网络

员工们需要了解电脑服务器或者网络的名称不是无价值的信息，它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。

特别的，像是数据库管理员之类的使用软件工作的人属于专业技术类别，他们需要在特殊的和非常限制性的规则下操作，验证打电话给他们请求信息的人的身份。

经常提供各种电脑帮助的人需要很好的培训识别哪些请求属于红色标记，暗示打电话的人可能试图进行社会工程学攻击。

这是有价值的笔记，可是来自这一章最后故事里的数据库管理员的观点，打电话的人是符合标准的：他是在校内打来的电话，并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证（对任何请求信息的人）程序的重要性，尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。

所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了，也不要惊讶于学生档案 - 有时候是全体教员档案 - 是一个诱人的目标。这一陋习如此的泛滥，一些公司甚至考虑把大学加入敌对的外界环境，创建防火墙规则阻止以.edu 结尾的教育机构地址访问。

我已经说清楚了，所有学生和职员的任何类型的档案都会是攻击的主要目标，应该得到很好的保护就像敏感信息一样。

8.8.5 训练技巧

大部分社会工程学攻击都可以轻易地被阻止，只要那个人知道自己掌握的是什么。

从公司的观点出发，有一些优秀培训的基本原则，但是同样需要另一些东西：多种途径提醒人们他们在学习什么。

使用屏幕溅射（splash screen，也叫程序启动画面的制作），当用户电脑启动时每天出现一个不同的安全消息。这条消息可以被设计为不能自动消失，要求用户点击这些消息确认他或她已经读过它了。

另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要，一个提示程序必须正在运行并且不能结束。在陈述的内容里，不应该在每一种情况里使用同样的措词。当他们变化措词或者使用不同的例子时，学习显示的这些消息更为有效。

一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏，虽然一个安全专栏的确有价值。另外，设计一个两或三栏宽的插入块，有点像是你们本地报纸的小型陈列广告。在每一次的时事通讯出版时，通过这个简短的注意力点呈现一个新的安全提示。