皮蓬 罗德曼 刷板:欺骗的艺术

前言

一些黑客毁坏别人的文件甚至整个硬盘，他们被称为电脑狂人（crackers）或计算机破坏者（vandals）。另一些新手省去学习技术的麻烦，直接下载黑客工具侵入别人的计算机，这些人被称为脚本小子（scriptkiddies）。而真正有着丰富经验和编程技巧的黑客，则开发黑客程序发布到网站或论坛（BBS）。还有一些人对黑客技术没有丝毫兴趣，他们把计算机仅仅当做窃取金钱、商品和服务的辅助工具。

　　尽管媒体神话了凯文·米特尼克，但我并不是一个用心险恶的黑客，我只是喜欢不断地超越自己。

　　人之初

　　我的人生之路，也许在我很小的时候就注定了。三岁时，由于父亲的离去，使我无忧无虑的生活发生变故。做招待的母亲支撑着家庭。那时的我（一个由深受没有工作规律之苦的母亲养活着的独生子），除了睡觉以外，大部位时间都没人管，我就是我自己的保姆。

　　在圣费尔南多谷（SanFernanadoValley）的成长经历给予我探索整个洛杉矶的机会，十二岁时，我发现了一个可以免费周游洛杉矶的方法。我发现到坐公车时购买的换乘券，是由一种非常规的打孔机打出来的，公车司机用它来在换乘券上标记日期、时间和路线。一位司机友好地回答了我精心准备的问题，于是我知道了在哪里可以买到这种特殊的打孔机。换乘券用来改乘车次从而到达目的地，但是我想出的方法，可以让我使用换乘券免费到达我想去的任何地方。

　　获得空白换乘券很容易，如同去公园散步般简单，因为公车终点站的废物箱中总是充斥着公车司机换班时未用完的换乘券本子。用一叠空白换乘券加上打孔机，我可以制作出我自己的换乘券，并用它行遍全洛杉机公车能够到达的任何地方。很快，我就差不多记住了整个公交系统的公车时刻表。（我对某种信息的记忆力总是让人惊讶，这一个较早的例子。直到现在，我还能记住远在童年时的电话号码、口令以及其它一些看上去十分琐碎的事情。）

　　另一个在小时候就显露出来的个人兴趣是对魔术的迷恋。一旦我知道了某个魔术的变法，我就会不断的练习、练习，再练习，直到我完全掌握。从某种程度上说，正是由于魔术，才让我发现获取秘密信息的乐趣。

　　从盗打电话到黑客

　　我首次接触社会工程学的时候是在中学时期，那时我遇到了一位喜欢盗打电话的同学。“电话盗打”是一种利用电话公司雇员和电话系统来探测电话网络的黑客行为。他向我展示了使用电话的高级窍门，比如从电话公司获取任何一位客户的资料，以及使用秘密测试号码拔打免费长途电话。实际上这只是对我们来说免费，因为我后来发现这根本就不是一个秘密测试号码，那些话费事实上从某些倒霉公司的MCI（译者注：美国著名通讯公司）帐户上划出了。

　　这就是我对社会工程学的入门，也可以说是我的启蒙阶段。我的朋友还有后来认识的另外一个盗打电话的人，他们在给电话公司打电话时让我在旁边听，他们是如何让电话公司相信他们所说的话。于是，我知道了许多电话公司的办公地点，他们的业内用语，还有办公程序。这种“训练”并没有花多长时间，不久我便可以完全自己来做这些事情，甚至比我的启蒙老师们做的还要好。

　　我生命中下一个15年的生活已经注定。
　　在中学，我最为喜欢的恶作剧就是获得对电话交换机未授权的访问，然后改变某个电话盗打者的话费设置。当他从家里打电话时，他的电话就会告诉他需要投入一角硬币，因为电话公司交换机的记录被我更改，从而认为他拔打的是一个投币电话。

　　我开始关注有关电话的任何事情，不只是电子学、交换机和计算机，还有公司组织、业务手续和行业术语。不久之后，我就比任何一个电话公司的雇员都更加了解电话系统。我对社会工程学的运用也达到了娴熟的阶段，十七岁时，我就能与大多数电信公司的员工谈论几乎任何事情，无论是当面聊还是打电话。

　　实际上我较为公开化的黑客之路，始于中学。尽管在这里我无法说清原委，但其实一句话也能表达了。在我黑客生涯的早期，一个驱使我的动力就是被黑客圈子的人所接受。在那时，黑客这个词是指一个花费大量的时间调置软硬件的人，或是开发更有效的程序，或是绕过不必要的步骤来更快的完成工作。这个词如今已经是一个带有贬义的“恶意犯法者”的意思了，但在本书中，我仍然按原来对它更为善意的理解使用这个词汇。

　　中学之后，我在洛杉矶计算机学习中心攻读计算机。没几个月的时间，学校的计算机管理人员就意识到我发现了操作系统的漏洞，并取得了管理员权限，但是在学校的教学人员中，最好的计算机专家也无法弄清我是如何这样做的。这也许是最早雇佣黑客的例子之一吧，他们给了我一个无法拒绝的提议：要么做出一个荣誉学位的毕业设计来加强学校的计算机安全，要么由于黑客行为而中止学业。当然，我选择了前者，以本科优等成绩荣誉学士毕业。

　　成为社会工程师

　　每天早晨，许多人从床上一爬起来，便开始对千篇一律的繁重工作犯愁。我却很幸运，因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。我的天份在称为社会工程学（使人们做在通常情况下不会为陌生人做的事情）的表演艺术中得到磨练和回报。

　　对我来说，成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域，因此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时，这就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种，一种是通过诈骗、欺骗来获得钱财，这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的，这就是社会工程师。从我使用诡计免费乘车的时候（我那时还小，并没有认识到这样做有什么不对），就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了解术语和培养良好的操纵技巧，更为加强了这种天份。一个用来发展我的专业技艺（如果这可以称为一个专业的话）的方法就是看我是否能与电话另一端的人攀谈，并获得相关信息，即便这些信息对我毫无用处，这样做只是为了证明我的专业技巧。同样，我还用此种方法，练习奇巧的计谋、托辞，不久我发现我可以取得我想关注的任何信息。正如我在数年后的国会听证会上，在利伯曼（Lieberman）和汤姆森（Tompson）参议员面前所做的证词中描述的那样：

　　“我未经授权进入了世界上最大的几家公司的计算机系统，并成功渗透了一些防范最好的电脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码，以研究它们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么，并发现其中的秘密，比如操作系统、移动电话以及任何能引起我好奇心的东西。”

　　最后的想法

　　自从被捕以后，我已经承认了自己这些行为的非法，侵犯了他人的秘密。我的错误行为是由于好奇心引起的，我抑制不住的想知道电话网络是如何运转的，以及了解计算机安全的每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。当我反省过去的这30年时，我承认自己做出了极其拙劣的选择，被好奇心驱使，被学习技术的欲望和智力挑战的虚荣所驾驭。

　　但我现在已经转变，我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他人，以避免那些怀有恶意的信息盗贼可能带来的危害。我相信，你将会从本书中得到乐趣、教育和启发。

第一章　安全软肋

某公司也许购置了能用钱买到的最好的安全技术，员工们也训练有素，每晚回家前把所有的秘密都锁起来，并从业内最好的保安公司雇用了保安，但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议，安装了各种受推荐的安全产品，并十分谨慎的处理系统配置以及应用安全补丁，但他们仍然很不安全。

　　人为因素

　　在国会听证会前的一次证言中，我解释到我经常可以从企业获得密码口令或其他类似的敏感信息，只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主，他有一套麦迪科（译者注：Medico,知名品牌、价格昂贵）防撬锁装在屋子的大门上，以保护他的妻子、孩子和他的家。他觉得很心安，因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢？再安装一套强壮的安全系统么？虽然有用，但还是不够安全。无论防盗锁是昂贵还是便宜，屋主的安全仍然难以保障。为什么？因为人为因素才是安全的软肋。

　　安全，通常情况下仅仅是个幻想，由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道：“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者，我不敢确定。”最终，社会工程学的攻击，成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。

　　与这位屋主一样，有许多信息技术（IT）从业者都有着类似的错误观念。他们认为自己的公司固若金汤，因为其配置了精良的安全设备――防火墙、入侵检测，或是更为保险的身份认证系统，如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中，这就是一个生活在幻想世界中的例子，他们迟早会不可避免的遭遇安全事故。

　　正如著名的安全顾问布鲁斯·施尼尔（BruceSchneier）所说：“安全不是一件产品，它是一个过程。”近一步说，安全不是技术问题，它是人和管理的问题。由于开发商不断地创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越来越困难。于是，越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易，只需打一个电话的成本和冒最小的风险。

　　一个欺骗的经典案例

　　企业资产安全最大的威胁是什么？很简单，社会工程师。一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子：

　　许多人都已记不起一个叫斯坦利·马克·瑞夫金（StanleyMarkRifkin）的年轻人，和他在洛杉矶的美国保险太平洋银行（SecurityPacificNationalBank）的冒险小故事了。他的劣迹很多，瑞夫金（同我一样）从未把自己的事情告诉过别人，因此下面的叙述基于公开的报道。

　　获得密码

　　1978的一天，瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室，这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统，这给了他了解转账程序的机会，包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码，用来进行电话转帐交易。

　　电汇室里的交易员为了记住每天的密码，图省事把密码记到一张纸片上，并把它贴到很容易看得见的地方。11月的一天，瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后，他做了一些操作过程的记录，装做在确定备份系统的正常工作。借此机会偷看纸片上的密码，并用脑子记了下来，几分钟后走出电汇室。瑞夫金后来回忆道：“感觉就像中了大奖”。

　　转款入户

　　瑞夫金约在下午3点离开电汇室，径直走到大厦前厅的付费电话旁，塞入一枚硬币，打给电汇室。此时，他改变身份，装扮成一名银行职员――工作于国际部的麦克·汉森（MikeHansen）。那次对话大概是这样的：

　　“喂，我是国际部的麦克·汉森。”他对接听电话的小姐说，小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说：“好的，密码是多少？”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司（IrvingTrustCompany）贷一千零二十万美元到瑞士苏黎士某银行（WozchodHandelsBank），他已经建立好的账户上。对方说：“好的，我知道了，现在请告诉我转账号。”

　　瑞夫金吓出一身冷汗，这个问题事先没有考虑到，他的骗钱方案出现了纰漏。但他尽量保持自己的角色，十分沉稳，并立刻回答对方：“我看一下，马上给你打过来。”这次，他装扮成电汇室的工作人员，打给银行的另一个部门，拿到帐号后打回电话。对方收到后说：“谢谢。”（在这种情况下说“谢谢”，真是莫大的讽刺。）

　　成功结束

　　几天后，瑞夫金乘飞机来到瑞士提取了现金，他拿出八百万通过俄罗斯一家代理处购置了一些钻石，然后把钻石封在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历史上最大的银行劫案，他没有使用武器，甚至勿需计算机的协助。奇怪的是，这一事件以“最大的计算机诈骗案”为名，收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术，这种技巧和能力我们现在把它称为——社会工程学。

　　威胁的天然性

　　瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件（也许到不了一千万美元，但终归有所损失）每天都在发生，你的资金可能正在流失，新产品方案正在被窃取，而你却一无所知。即使你的公司还没有这样的事情出现，那也会终将出现。但它何时出现呢？

　　日益增长的安全事件

　　美国计算机安全协会在2001年计算机犯罪调查报告中声称，在接受调查的组织机构中，有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字，只有15%的机构在过去的一年中没有发现安全事件。另一个数字同样惊人，有64%的机构由于计算机的问题而导致财务损失，超过一年中遭受财务损失企业的二分之一强。

　　我的经验告诉我这个数字有些夸大，并对这项调查的研究结果表示怀疑。但这并不是说安全事件的危害面不大，相反，它很大。那些未把安全事件考虑在内的人，迟早会出问题。大多数公司配置的安全产品主是应付业余入侵者的，比如被称为“脚本小子”的年轻人。实际上，这些利用别人的软件，并憧憬着成为真正黑客的人，大多数情况下只能引起一些麻烦。真正的损失和威胁，来自于经验丰富、目标清晰，受商业利益驱动的攻击者。这些人一次只盯准一个目标，而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量，而职业黑客在乎的是信息的质量和价值。

　　认证设备（身份认证）、访问控制（对文件和系统资源的控制管理）和入侵检测系统（计算机化的防盗器）等技术，对公司的安全防护是十分必要的。然而，现在的公司在布置保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。

　　正如同罪恶的心无法抵制诱惑，黑客们一心要找出功能强大的安全系统的弱点。在许多时候，他们把这种心思放在了人的身上。

　　欺骗的使用

　　许多人都说，关掉了的计算机才是安全的计算机，但这是错误的，找个借口让人去办公室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息，这只是时间的问题。耐心、个性和坚持，这正是欺骗的艺术的切入点。

　　要击败安全措施，一个攻击者、入侵者，或是社会工程师，必须找到一个方法，从可信用户那里骗取信息，或是不露痕迹的获得访问权。当可信用户被欺骗、影响，并被操纵而吐露出敏感信息时，或是做出了不当的举动，从而让攻击者有漏洞可钻时，什么样的安全技术也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样，社会工程师通过欺骗你的雇员来绕过安全技术。

　　信任的弊端

　　大多数情况下，成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢，并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师，使用他自已的战略、战术，几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险，然而却没有解决最大的漏洞――人为因素。尽管我们很聪明，但对我们人类——你、我、他的安全最严重的威胁，来自于我们彼此之间。

　　我们的国民性格

　　我们对危险漠不关心，尤其在西方，美国则更甚。我们没有受到要对别人保有怀疑态度的训练，我们接受的是“爱汝之邻”（译者注：此句引自《圣经》）的教育，人与人之间要相互信任和忠实，试想一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是很明显的，却似乎被许多宁愿活在理想世界里的人忽略，直至受到伤害。

　　我们知道，并不是所有的人都诚实善良、友爱可亲，可我们在生活中却经常把他人想像成这样。这种可爱的无知一直都是美国人的生活方式，放弃这种习惯十分不易。做为美国人，自由和最适宜居住的地方就是锁和钥匙最没必要的地方，这种理念已经深入人心。大多数人持有不会被欺骗的想法是觉得被骗的可能性很低，而攻击者利用这种心理，编出不会引起怀疑的听上去十分合理的理由，充分的利用了受骗者的信任。

　　机构的无知
　　
　　无知是我们国民性格的一部分，这可以在回溯计算机首次远程联接时轻易的看出。APPANet（美国国防部高级研究项目署网络），互联网的前身，用来在政府、科研和教育机构之间共享信息，其目标是信息共享和科技进步，许多教育机构因此建立了几乎没有任何安全措施的早期计算机系统。一个著名的软件开发自由主义者，理查德·斯托曼，甚至拒绝为他的账号设置口令。但随着互联网电子商务的兴起，由于互联网脆弱的安全措施导致的危害性发生了极大的变化。

　　使用再多的安全技术也不能解决人为的安全因素，拿今天的机场为例，安全已经成为首要措施，然而我们仍然被媒体的报道所警告，还是有人可以避开安全措施、携带潜在性武器通过检测。在一个机场时刻处于警戒状态下的时期，这种事情又是怎么发生的呢？是那些金属仪器失效了么？不，问题不在机器，问题在于人，机器是由人操纵的。机场的官员虽然可以布署国民警卫队并安装检测器和面部识别系统，但如何培训一线保卫人员正确地检查旅客则更为重要。全世界的政府、商业、教育机构都有同样的问题，虽然各个地方的职业安全人员不敢懈怠，但信息仍然易受攻击，并被具备社会工程学技巧的攻击者视为可摘之果，除非安全链中最薄弱的环节——人为因素，被加固强化。

　　现在，我们比任何时候都需要停止幻想，同时对攻击计算机系统和网络机密性、完整性以及实用性的技术加深认识。我们已经认识到主动防御的必要，是接受和学习安全防护的时候了。

　　对你的隐私、思想和公司信息系统的非法入侵似乎很遥远，直到它真的发生。为了避免付出昂贵的代价，我们所有的人都需加深认识、富有经验、保持警醒，并主动防卫我们的信息资产、个人信息，以及国家的关健基础设施。现在，我们必须实行严谨、周密的设防。
欺骗与恐怖分子

　　当然，欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件，我们前所未有地意识到我们居住的世界充满了危险。文明，终归只是一层脆弱的薄板。2001年，发生在纽约的911事件把悲伤和恐惧植入每一个人的心中，不只是美国人，还有世界上所有善良的人们。我们已经开始警觉，因为这个世界上还分布着受到良好训练的极端恐怖分子，伺机再次发动对我们的攻击。

　　政府最近的强化努力已经提升了大众的安全意识，我们需要保持警醒，警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份，假扮学生、邻居而混入人群的，他们掩饰住自己真实的思想以密谋恐怖行动，而他们使用的就是类似于本书中介绍的欺骗手法。

　　然而，就我所认为，恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂，或其它关系国计民生的基础设施中，但可能性依然存在，这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强，因为这本书恰逢其时。

　　关于此书

　　企业安全是一个平衡问题，安全性太差公司易受攻击，但过多的强调安全又会妨碍业务管理和公司的发展，其难点在于达到生产效率和安全之间的平衡。

　　其它关于企业信息安全的书都把重点放在硬、软件技术上，而忽略了最重要的安全威胁——对人的欺骗。与之相反，此书的目的，就是要帮助大家理解自己、同事，和公司其他人员是如何被操纵的，并帮助大家建立屏障，谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上，它能够对看似安全的信息完整性产生威胁，甚至破坏公司的工作成果。

　　我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着，他们有办法（比如：“这是为了你好”）让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法，巧妙的编出看似有理的故事、理由以及借口，来达到他们的目的。是的，我们都被我们的父母所引导——那些乐善好施的（偶尔也不完全如此）社会工程师们。

　　由于这种生长环境，导致我们软弱而容易被操纵。可总是对他人怀有戒心，担心上当受骗，会活得很累。在理想的世界里我们应对他人给予绝对信任，每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中，我们必须锻炼我们的防欺诈能力以对付我们的敌人。

　　这本书的主要内容——第二和第三部分，讲述社会工程师如何实施欺骗的故事。在这两部分中，大家将会看到如下内容：

·电话盗打者早就发现的，一个从电话公司弄到未刊登电话号码的方法；
·几个不同的社会工程学方法，甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令；
·信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息；
·隐私调查者是如何弄到你的企业、你本人的隐密信息的，我可以保证，这会让你脊背发凉。

　　你也许会认为这两部分中讲述的故事实际上不可能发生，没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上，在每个案例中，这些故事都是可以成为现实而且已经成为现实的，这些事情每天都在世界的某个地方发生，甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪，还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。

　　在本书的第四部分，我转变了方向。在这里我想帮助大家建立企业必要的安全策略和安全意识培训，以期将员工被社会工程师利用的可能性降到最低。了解社会工程师的策略、方法和技巧，在不会降低公司的生产效率的同时，帮助你布置合理的控制策略来保护企业的信息资产。

　　简而言之，我写此书的目的就是要提升大家的安全意识，以应对来自社会工程师的严重威胁，并帮助你的公司和公司员工尽可能的不被利用。或者我应该这样说，不再被利用。

第二章　无害信息的价值

对大多数人来说，社会工程师的真正威胁在哪里？又该如何保持警惕？

　　如果社会工程师的目标是“最有价值奖”——比如，企业智力资产的核心组成。那么也许需要的是更坚固的保险库和全副武装的保安，对么？

　　但在现实中，坏人渗透企业安全的第一步就是获得某些似乎无利害关系的信息和文件，这些信息和文件看起来十分平常，也不重要，公司里的人大都不明白为什么这些东西会被限制和保护。

　　信息的隐藏价值

　　社会工程师十分重视企业中许多表面上看去无利害关系的信息，因为这些信息是他能否披上可信外衣的至关重要的因素。

　　在这一章里，我将通过让读者“亲身”经历攻击过程，来展示社会工程师的攻击手段。有时从受害人的角度来表现情节，让读者以当事人的身份估计自己（或是你的同事和员工）可能会做出的反应。而更多的时候，让读者从社会工程师的角度来经历攻击过程。

　　第一个故事着眼于金融行业的一个漏洞。

　　信誉支票(CREDITCHEX)

　　曾经有一段很长的时期，英国的银行系统十分闭塞，大街上一位诚实普通的市民并不能随便走进银行而直接申请一个银行帐户。银行不会把他当做客户，除非他带有某位正式银行客户的推荐信。

　　当然，这与如今的表面上人人平等的银行机构大不一样。如今办理银行业务没什么地方比友善、平等的美国更方便了，任何人都可以走进银行轻松的建立一个日常账户，是这样么？

　　并非如此。事实上可以理解，银行很难为一个才开过空头支票的人建立账户，这很自然，同样还有那些有着抢劫银行和挪用账款记录的人。这就是一个银行对其潜在客户瞬间做出好坏判断的实际例子。

　　与银行有着重要业务联系的公司中，有一种机构专门为银行提供这类信息，我们把这种机构称之为“信誉支票”。它为客户提优质的服务，但同许多公司一样，它也会“无心”的为“有心”的社会工程师们提供便利的服务。

　　第一个电话：吉姆·安德鲁斯(Kim Andrews)

　　“国家银行，我是吉姆，您是想要开一个帐户么？”
　　“嗨，吉姆，我想请教个问题。你们与信誉支票打交道么？”
　　“是的。”
　　“你们给信誉支票打电话时，怎么称呼你们提供的号码？是叫'交易号’(Merchant ID)么？”短暂的沉默，基姆在衡量这个问题，对方是什么意图，她是否应该回答。打电话的人不容对方思考接着问：“是这样，吉姆，我在写一本涉及私人调查的书。”
　　“是的。”她有了回答的信心，因为她还是愿意帮助一个作家的。
　　“就叫“交易号”，对么？”
　　“啊，嗯。”
　　“好的，很好。我是想确认我的书中使用了正确的专业用语，谢谢你的帮忙，再见，吉姆。”

　　第二个电话：克瑞丝·塔伯特(Chris Talbert)

　　“国家银行，开户处，我是克瑞丝。”
　　“嗨，克瑞丝，我是阿莱克斯。”打电话的人说，“我是'信誉支票’的客服代表，我们在做一项改善服务质量的调查。能耽误您几分钟么？”克瑞丝表示愿意，打电话的人继续：“好的。你们部门营业时间是多少？”她给予回答，并接着回答下面的一系列问题。

　　“你们部门有多少人使用我们的服务？”
　　“大约多长时间给我们打一次咨询电话？”
　　“您用的是我们哪一个800免费电话号码？”
　　“我们的客服代表服务态度好么？”
　　“我们对业务的响应时间如何？”
　　“您在银行工作多长时间了？”
　　“您通常使用的交易号是多少？”
　　“您是否发现过我们提供过的信息不准确？”
　　“如果您对我们的服务有所建议，建议是什么呢？”最后：
　　“如果我们把定期调查表寄到你们部门，您会填写么？”

　　她表示同意，然后彼此简单对了几句话，电话挂掉，克瑞丝继续她的工作。

　　第三个电话：亨利·麦克金赛(Henry McKinsey)

　　“信誉支票，我是亨利·麦克金赛，需要帮忙么？”

　　打电话的人表明自己是国家银行的职员，并报出正确的交易号，以及他想查询的人的名字和社会保险号。亨利要求出生日期，他也报上。不一会儿，亨利看着自己的计算机屏幕读道：“韦尔斯·法果在1998年报过一次NSF”——客户账款不足（Non Sufficient Funds），支票已开出，账户里却没有足够钱支付的银行常用专业用语。

　　“自那之后，还有资金往来么？”
　　“没有了。”
　　“有没有申请其他账户？”
　　“我看一下。有的，两次，都在上个月。一次是在芝加哥第三联合信用会（Third United Credit Union of Chicago），”他断断续续地读出第二个地方，斯卡奈塔第共同投资（Schenectady Mutual Investments），他不得不逐字母的将名称拼出。“纽约州。”他最后补充道。

　　工作中的私人侦探

　　所有的这三个电话都是同一个人打的，一个私人侦探，我们且称他为奥斯卡·格瑞斯（Oscar Grace）吧。格瑞斯有了一位新客户，他的首批客户其中之一。几个月前还是名警察的格瑞斯发现他的新工作有些做起来易如反掌，有些则对他的智力和创造性是个挑战，这件案子无疑很具有挑战性。

　　小说中的冷面神探――塞姆·斯贝兹（Sam Spades）和菲利浦·马洛斯（Philip Marlowes），在漫长的夜晚久候在汽车里诱捕一位骗人的伴侣（译者注：塞姆和菲利浦都是著名小说和电影中的人物），现实中的私人侦探也做同样的事情。他们为相互敌对的伴侣之间打探消息，也许没小说中写得那么夸张，但重要性却一点不差。他们的方法主要是依靠社会工程学的技巧，而不是坐在车子里与守夜的困倦做斗争。

　　格瑞斯的新客户是一位看起来从不缺少衣服和珠宝的女士。一天，她走进他的办公室，在唯一的一把未堆着文件的皮椅上坐下来，把她的古琦（译者注：Gucci，意大利名牌）手包放到桌子上，商标冲着他的脸。这位女士告诉格瑞斯，她想跟他的丈夫离婚，但“有一点小麻烦。”

　　他的丈夫比她早了一步，已经从两人的储蓄帐户中把存款提了出来，并从代理公司（译者注：专门从事为客户买卖股票和债券的公司）的账户中提走了更大的款项。她想知道他们的钱到哪里去了，她的离婚律师对此无能为力。格瑞斯猜想她的律师是那种身居住宅区高楼大厦的法律顾问，才不会为这种“钱到哪里去了”的烂事自找麻烦。

　　格瑞斯有办法么？

　　他向她保证这是小事一桩，接着报出价格，列出费用，并收了一张支票做为第一笔佣金。接下来，他要面对此事了。如果你以前从未处理过这样的事情，并根本不知道如何跟踪一笔资金的来龙去脉，你该从何做起呢？一步一步地往前挪？好吧，我们来讲格瑞斯的故事。

　　我知道信誉支票以及银行与其的联系，我的前妻曾在银行工作。但我并不知道那些专业术语和业务过程，而向我前妻打听则是浪费时间。

　　第一步：了解专业术语，设计出获取信息时所需要的对话，以便听起来不会露出马脚。我给银行打电话时，第一位年轻的小姐，吉姆，在我询问他们如何向信誉支票确定自己身份时就有所迟疑，她犹豫着，不知道是否应该告诉我。我被难住了么？才不。事实上，她的犹豫给了我一个重要的线索，提醒我必须给她提供一个可信的理由。当我骗她说为写一本书而做的调查时，便打消了她的怀疑。声称自己是一位作家或电影剧本作者，可以让人放松警惕。

　　她知道一些有用的信息，比如信誉支票如何确定打电话人的身份，你可以查询哪些信息，最重要的——吉姆所在银行的交易号。我已准备好提出这些问题，但她的犹豫造成了麻烦。吉姆相信了写书的故事，可她已经有所疑心。如果她更配合些，我就会多问些操作细节了。

　　专业术语

　　马克（MARK）：受骗者
　　激警（BURN THE SOURCE）：攻击者如果让对方看出来攻击的意图称为激警。一旦对方有所警觉并通知其他人员，以后再想套出类似的信息就十分困难了。

　　你必须依靠自己的感觉，仔细的倾听马克的说话内容和说话方式。这位小姐看起来就十分聪明，如果我提出很多的敏感问题，她一定会敲响警钟的。即使她不知道我是谁，我用哪个号码打过来，也不要让任何人注意到有人在打探消息而有所警觉。这是因为我们不想激警，有可能还需要给这个地方打电话的。

　　我总是留意那些能够帮助我了解一个人配合程度的微小迹象，其态度各异，从“你听起来真是一个好人，我相信你所说的每一句话”到“打电话给警察，通知国民警卫队，这小子要倒霉了。”

　　我发现了吉姆的警觉，于是我打电话给另一个人——克瑞丝。在我的第二个电话中，调查表的把戏很能迷惑人。我把重要的问题插进可以建立信任感的无关紧要的问题中，在信誉支票的交易号问题之前，我通过问她在这家银行工作多久了这样一个私人问题，做了一个最后的小测试。

　　私人问题就像一颗地雷，有些人会毫不注意的踩上去，有些人则知道它会爆炸，赶紧躲开。因此，如果我问及一个私人问题，她在回答的语气上没有变化，这就意味着她很可能没有对提问产生怀疑，我可以在她没有疑心的问题之下安全地提出关健问题。

　　一个好的私人侦探还知道，千万不要在得到关键信息后马上结束谈话。多问两三个问题，小聊一会儿，然后再说拜拜。如果对方稍后想起你提过的问题，很可能是你最后提出的问题，其它的通常会忘记。

　　这样，我从克瑞丝那里得到了他们的交易号和他们查询时所用的电话号码，如果当时我再多问些信誉支票的事，我会更高兴的。但没有进一步冒险，也许更好。

　　如同有了一张空白支票，无论什么时候我都可以从信誉支票那里获得我需要的信息，甚至不用付费。从前面的情况看出，信誉支票的客服代表十分愿意为我提供信息，于是我知道了我客户的丈夫最近在两个地方申请建立账户。那他将要离婚的妻子寻找的那笔资产在哪里呢？无论在哪家银行，信誉支票都会将其列出吧？

　　过程分析

　　整个过程都基于社会工程师的基本策略之一，获得公司职员认为无关紧要的信息（实际上它是有用的）。第一个银行职员肯定了打电话给信誉支票时确认身份的术语，第二个职员提供了电话号码和最至关重要的信息――交易号。透露这些信息对于她们来说似乎是无所谓的，毕竟她们认为与之交谈的是信誉支票的工作人员，把号码说出来又有什么不对呢？

　　前两个电话为第三个电话打下基础，格瑞斯已经具备给信誉支票打电话需要知道的一切信息，于是冒充信誉支票的客户——国家银行，轻松地查询信息。

　　格瑞斯窃取信息的技巧丝毫不逊于一个高超的骗子诈骗钱财时所用的手段，在了解人方面格瑞斯久经磨练。他懂得把关健信息藏在无关紧要的信息中，也知道在套出交易号之前用私人问题来测试对方的配合程度。

　　第一个银行职员在确认信誉支票专业术语上的错误几乎是最难防范的，这种专业用语在银行业几乎人人都知道，因此显得无关紧要――无害信息最普遍的表现形式。但第二个职员，克瑞丝，不应该在确定打电话人的身份真实与否之前，就非常乐意的回答问题。她至少应该询问对方的名字和电话号码并拔回，这样如果日后发生问题，她还有一个打电话人所使用电话号码的记录。在这个案例中，拔回这样的一个电话还会给攻击者假扮信誉支票服务人员造成很大的困难。

　　米特尼克信箱

　　这个案例中的交易号相当于一个密码，如果银行工作人员将其与自动取款机的个人识别码（PIN）一样看待，便会对它的敏感性给予重视。你所在的机构中有没有大家没有给予重视的编码和数字呢？

　　用以前记录的银行电话号码给信誉支票回拔一个电话（不要用对方提供的号码），以验证对方是否在那儿工作，信誉支票是否正在做一项客户调查，这样的电话还是有必要打的。现代社会人们的工作时间都很紧张，而且这样的确认电话会占用不少时间，考虑到现实中的实用性，建议工作人员在对对方的目的性有所怀疑时打回一个确认电话。
　　
　　工程师的圈套

　　很多人都知道，猎头公司使用社会工程学来扩大业务范围，这里有一个例子：

　　在90年代末，某个不怎么道德的职业介绍所签了一家新客户，一家正在寻找有通讯行业工作经验的电气工程师的公司。负责这个项目的经理是一位女士，有着有磁性的嗓音，和充满诱惑力的言谈举止，这使得她在电话里很容易获取别人的好感和信任。这位女士准备对移动电话服务提供商进行一次偷袭，以期找到一些可能会投奔到竞争对手那里的工程师。她当然不能直接给接线员打电话说：“我要找五年经验的工程师”，那样她的动机会立刻暴露的。她通过询问看上去无关紧要的信息，电话公司人人都可以告诉别人的信息，巧妙的发动了这次袭击。

　　第一个电话：接线员

　　攻击者使用迪迪·桑德斯这个名字给移动电话服务商的总机打了一个电话，对话情形大致如下：

　　接线员：下午好，我是玛丽，您有什么事情？
　　迪迪：请帮我接运输部好么？

　　接：我不一定能找到这个号码，我查一下目录，您是哪位？
　　迪：我是迪迪。
　　接：您在公司大楼里还是在……？
　　迪：不，我在外面。
　　接：你是迪迪……？
　　迪：迪迪·桑德斯，我以前知道运输部的分机号，但我现在忘了。
　　接：稍等。

　　为了减少怀疑，在这里迪迪设计了一次谈话，让对方认为她是内部人员，熟悉公司的情况。

　　接：您在哪里办公？主街商厦（Main Place）还是望湖大厦（Lakeview）？
　　迪：主街。（停顿一下）接：电话是805-555-6469。

　　有可能给运输部打电话后也得不到所需的信息，迪迪又要了资产部的电话，作为备用。接线员帮迪迪接到运输部，但线路正忙。于是，迪迪又问第三个电话，位于得克萨斯州首府奥斯丁的收款部号码。接线员让她等一会儿，并放下电话。接线员有所警觉了么？她在向保卫部门报告她接到一个可疑电话么？才不，迪迪一点都不担心。接线员只是有些不耐烦了，但这是她再平常不过的日常工作了。一分钟后，接线员拿起电话，查到收款部的号码，给迪迪接通。

　　第二个电话：派基（Peggy）

　　对话大致如下：

　　派基：收款部，我是派基。
　　迪迪：嗨，派基，我是橡木城（Thousand Oaks）的迪迪。
　　派：嗨，迪迪。
　　迪：你好吗？
　　派：还好。

　　迪迪接着使用企业内部的习惯用语来描述成本核算代码——给一个特定的机构或工作组分配费用的代码（译者注：常在报销费用时填写）。

　　迪：很好。我有个问题问你。我如何才能找到某个部门的成本中心（cost center）？
　　派：你必须联系到那个部门的预算师。
　　迪：你知道谁是橡木城总部的预算师么？我在填表，但我不知道该填哪个成本中心？
　　派：我只知道要找成本中心的代码时，打电话给预算师。
　　迪：你们部门在德克萨斯有成本中心么？
　　派：我们有自己的成本中心，但我们没有完整的成本中心列表。
　　迪：成本中心的代码是多少位？比如，你们的成本中心？
　　派：嗯，这样，你是9WC还是SAT？
　　迪迪并不知道这是指哪个部门或工作组，但这并不重要，她回答道：

　　迪：9WC。
　　派：那一般是四位数字。你说你在哪里？
　　迪：橡木城总部。
　　派：哦，这里有橡木城的代码。 1A5N，N是Nancy的N。

　　仅仅与愿意帮忙的人打交道到足够时间，迪迪便得到了她需要的代码，这个代码就是所谓的被人认为是无需保护的信息，因为它对企业外面的人来讲，似乎没有任何价值。

　　第三个电话：有用的错误号码

　　迪迪的下一步是把成本中心的代码当做筹码来开发更大的价值。她先给资产部打电话，假装是故意拔错的电话。以“不好意思，但……”做为话头，她声称自己丢失了公司的通讯录，看看对方可不可以帮她弄一个新的。对方说公司已将通讯录放在内部网站上，打印出来的已经过期了。迪迪说她还是想要一份复印件，对方让她打刊印部的电话，并主动查到刊印部的电话（也许是想让这位声音性感的女士多在电话上呆一会儿吧）然后告诉了她。

　　第四个电话：刊印部的巴特

　　在刊印部，她与一个叫巴特的人谈上了话。迪迪说她是橡木城的，他们新来了一位顾问，需要一份公司的通讯录。她告诉巴特，对于这位顾问来说，一份复印件会让工作更顺利些，即便有些过期。巴特告诉她需要填一份申请单然后再寄给他。迪迪说她手头没有申请单，而且事情很急，她甜言蜜语地问巴特是否能发个善心帮她填这个单子？他有些过分热心地同意了，接着迪迪报出单子上的各项内容。在报出虚构的签单人地址时，她慢慢地说出了一个被社会工程师称为“秘密通信地”的号码，在这里是一个邮箱号，商用的，她的公司为类似这种情况而租用的邮箱。这时，早先的准备工作派上了用场。邮递这份目录会产生费用，迪迪给出了橡木城成本中心的成本核算代码：“1A5N，N是Nancy的N。”

　　几天后，企业通讯录寄到，迪迪发现比她期望的还要好。上面不仅有名字和电话号码，还有人员之间的工作关系，整个企业的组织结构。

　　这位有着磁性嗓音的女士可以通过拔打人员电话开始她的猎头行动了。她使用社会工程师久经磨练的谈话技巧，骗取了开始行动所需的信息，她现在已经准备好收获了。

　　专业术语

　　秘密通信地（Mail Drop）：社会工程师把租来的邮箱称为秘密通信地，通常是用假名字租用的，用来接收受骗者发来的文件和包裹。

　　米特尼克信箱

　　犹如拼图游戏，每条信息本身并没有什么联系。然而，当把它们放在一起时，一个清晰的画面便出现了。在这个案例中，社会工程师看到的画面就是那家公司的整个内部结构。

　　过程分析

　　在这次社会工程学的攻击中，迪迪以获得目标企业的三个部门电话为开始。这很容易，因为她询问的电话号码并不是秘密，尤其是对于内部工作人员。一个社会工程师要听起来像一个内部人员，此例中的迪迪就很善此道。一个电话号码帮她弄到成本中心的核算代码，而后者用来获取公司职员的通讯录。她使用的主要工具是：友善的语气、企业专业用语，以及对那个最后的上当者抛一个口头上的媚眼。还有一件无法轻易得到的必不可少的工具——社会工程师的操纵能力，它来自于广泛的实践，和老一辈骗子们口头传下来的经验。

　　更多的“无价值”信息

　　除了成本核算代码和内部分机电话，还有哪些看似无用但对你的敌人来说非常有价值的信息？
　　
　　皮特·艾伯尔（Peter Abel）的电话

　　“嗨，”电话的另一端说：“我是帕克斯特（Parkhurst）旅行社的汤姆，您去往旧金山的机票已订好，您要寄过去还是您来拿？”
　　“旧金山？”皮特说：“我没打算去旧金山。”
　　“您是皮特·艾伯尔么？”
　　“是的，但我没有任何旅行的安排。”
　　“嗯，”对方友好的笑笑，“您确定您不想去旧金山么？”
　　“如果你认为你能跟我老板谈谈此事的话……”皮特对这次友好的谈话开起玩笑。
　　“这听起来有些乱，”对方说：“我们的系统依照员工号码登记旅行安排，也许有人把号码弄错了，你的员工号码是多少？”

　　皮特欣然报出他的号码。为什么？因为这如同他平时所填的公司里很多人都会看到的人员登记表，人事部、工资名单，很明显，还有外面的旅行社。没人把员工号码当做秘密。这会有什么影响吗？

　　这很难说清。两到三个信息也许就可以让社会工程师装扮成他人扮演一场好戏了。弄到一个工作人员的名字和他的电话号码，也许为了保险起见，再找到他上司的名字和电话号码。即使一个不怎么出色的社会工程师也会尽可能的搜集所需要的信息，以使他给下一个目标打电话时听起来可信。

　　如果昨天有人给你打过电话，声称他是公司另一个部门的职员，并给出一个含糊的理由来询问你的员工号码，你很轻易的就告诉他了么？

　　还有，你的社会保险号呢？（译者注：美国、加拿大居民的身份代码，类似于中国的身份证号。）

　　米特尼克信箱

　　这个故事的寓意在于，不要把任何个人和公司内部信息或是识别标识告诉他人，除非你听出她或他的声音是熟人，并确认对方有这些信息的知情权。

　　预防措施

　　公司有责任让员工意识到对非公共信息的管理不善会带来严重的后果。一个深思熟虑地信息安全策略，再加上正确的教育和培训，将会极大的提升员工正确处理企业内部信息的意识。资料数据的分类策略也将帮助你实施对信息使用的正确控制，如果没有分类策略，所有的内部信息都应被视为保密，除非另做指定。

　　采取以下步骤来防止公司看似无害信息的泄漏：

　　信息安全部门应操办意识培训来讲解社会工程师所使用的手段。其中一个方法，正如上文所提到的，就是获得看似不敏感的信息，然后把它当做筹码来取得短暂的信任。每一个员工都应该意识到，当一个知道公司办事程序、专业用语和内部标识的人打来电话时，并不意味着他或她就可以知道所查询的信息。对方可能是公司以前的员工或是知道公司内部一般情况的合同工（译者注：某些大公司将员工分为regular和contractor，前者类似事业单位的固定工，后者类似合同工）。因此，每个企业都有责任制定适当的验证方法，在员工与他们不认识的人通电话或当面交谈时使用。

　　负责制订资料分类政策的人应该仔细检查信息的分类，注意那些正式员工可以访问到的看似无害却可能会导致敏感信息泄漏的信息。尽管你从未把现金卡（ATM）的密码告诉过别人，但你曾把开发公司软件产品的服务器告诉过别人么？这个信息可不可以让一个人装扮成企业员工合法地访问企业网络呢？

　　有时仅仅知道内部的专用术语，就可以让社会工程师显得知道很多并可以信赖，攻击者常常利用这个普遍的错误观念来操纵受骗者。比如，交易码是银行开户处用工作人员每天都使用的认证标识，这个标识的意义与密码一模一样。如果每一个工作人员都认识到它的意义——唯一用来确认查询人身份，他们也许会更加谨慎的对待它。

　　米特尼克信箱

　　正如人所说——即使一个真正的妄想狂也可能有敌人，我们也必须假定每个企业都有它的敌人——以网络设施为目标危及商业秘密的攻击者。不要只把计算机犯罪视作一个统计数字，应尽早地布置深思熟虑的安全操作方案和策略，这样才能对企业进行正确的控制以加强防范。

　　没有公司或只有很少的公司，会将首席执行官或董事长的直拨电话告诉别人。尽管大多数公司并不在意在内部公开电话号码，尤其对于似乎是内部员工的人，实施这样一个政策还是必要的：禁止对外公开内部职员、合同工、顾问和临时雇员的电话号码。

　　部门或工作组的财务制度，还有企业通讯录（无论是复印件还是资料文件或是内网上的电子版），都是社会工程师常见的目标。每个企业对这类信息都要有一个成文的使用政策，并让所有的员工都知道。保安人员则应保留一份备查日志，用以记录敏感信息透露给企业外人员的情况。像员工号码这样的信息，它本身不能用做任何形式的验证，内部员工不仅要验证查询信息者的身份，还要确定对方是否具有相关信息的知情权。

　　在进行安全培训时，试一下这个方法：无论什么时候在接受一个陌生人询问时，首先要礼貌的拒绝，直到确认对方身份。然后，在做好心人之前，先遵循公司对非公共信息的验证和使用政策。这种工作方式也许违背了我们乐于助人的天性，但多一点有益的怀疑也许是必要的，以免成为社会工程师的下一个受骗者。

　　正如本章故事中所叙述的，看似无害的信息也许会成为打开企业最有价值的秘密信息的钥匙。

第三章　正面攻击——直接索取

很多时候，社会工程学的攻击是十分复杂的，包括一系列的步骤和精心的策划，并同时具备操作技巧和透彻的背景知识。但令人惊奇的是一位技艺高超的社会工程师经常可以使用简单、直接、正面的攻击方式来达到目标。直接了当的开口要求所需的信息，也许仅此一点就已经足够，正如下文中你即将看到的。

　　快速搞定线路分配中心

　　想知道某人未登记的电话号码么？一个社会工程师可以告诉你半打的方法（你也可以在本书中的其它故事内容中看到），但最简单的办法就是拨出这样的一个电话……

　　请告诉我号码

　　攻击者拨打线路分配中心（Mechanized Line Assignment Center）未公开的电话公司号码，接听电话的是个女子，攻击者说道：“嗨，我是保罗·安东尼（Paul Anthony），我是线路员。是这样，这里有一个接线盒在火灾中烧毁，警察认为是有人故意烧掉自己的房子来骗保险。他们让我一个人来为二百对接线柱接线。现在，我真得需要帮忙了。南大街6723号的线路是怎样分配的？”

　　电话公司的人都知道，对于非公开的号码查询信息只能让已授权的电话公司知道，线路分配中心的的号码只能告诉本公司的职员。然而，即使他们从不会将这些信息公之于众，谁又能拒绝帮助一位身负繁重工作任务的公司员工呢？她对他保罗起了同情之心，她今天的工作也很不顺，于是她小小地破了个例，来帮助这个遇到麻烦的同事。她告诉他电缆线的配对，以及每个分配到相应地址的号码。

　　米特尼克信箱

　　人们都很容易相信自己的同事，尤其是在其要求满足合理的测试之后。社会工程师便利用这种知识从受骗者身上获取信息以达到他们的目标。

　　过程分析

　　正如你不断地在这些故事中看到的，企业专业术语的知识和它的结构组织——各个办公室和部门都是做什么的、具备什么样的信息，是一个优秀社会工程师的骗术箱中的必备品。

　　逃亡者

　　一个我们将称之为弗兰克·帕森斯（Frank Parsons）的人已经在逃多年，作为60年代地下反战组织的一分子，他仍然被联邦政府通辑。在餐馆里，他总面对着门口坐着，习惯于左顾右盼，偶尔会被人注意到神色紧张。

　　弗兰克每隔几年都会搬家。有一次，他来到一个陌生的城市，准备找个工作。对于弗兰克这样有着精湛计算机技术的人（同样，还有娴熟的社会工程学技术，即便他从不会把这写到应聘简历上），找到一个不错的工作还是很容易的。只要不是处于经济特别紧张的时期，具备良好计算机知识的人很容易得到施展才能的机会并摆脱困境。弗兰克很快的看中了一份薪资优厚的工作，一家庞大、高级的长期疗养院，而且离他住的地方很近。

　　他想，这真合适。但当他埋头苦干地填写申请表时，忽然碰到一个麻烦。雇用方要求应聘者提供一份犯罪历史记录的复印件，这份复印件他只能亲自去州警察局去拿。在工作申请表里就包含着一张需要这个复印件的表格，上面还有一个用来按指纹的地方。即便他们只需要右手食指的指纹，但如果把这个指纹与联邦调查局数据库中的指纹做比较的话，他可能很快就要到联邦政府资助的地方（译者注：指监狱）食堂工作了。

　　另一方面，对于弗兰克来说，还可能（仅仅是可能），仍然平安无事，州警察局也许根本不会把指纹样发到联邦调查局。但他如何获知这一点呢？

　　怎么办？他是一个社会工程师，你认为他会怎么做呢？

　　弗兰克往州警察局拨了一个电话：“嗨，我们正在为州司法部执手一项研究，调查是否有必要实施一个新的指纹认证系统。可以找一个你们内部熟悉此项工作的人帮我们一下么？”

　　当本地的专家拿起电话时，弗兰克询问了一系列有关他们使用的指纹系统的问题，以及检索和储存指纹数据的能力。他们的系统是否出过故障？他们在国家犯罪信息中心（NCIC）还是仅在本州进行指纹检索？这套系统对于每个人来说容易学习使用么？

　　狡猾的弗兰克悄悄地得到了其中的关键信息。答案对他来说如音乐般动听——不，他们不在NCIC检索，他们只在州犯罪信息索引（CII）中查询。
米特尼克信箱

　　精明的信息骗子想获悉法律执行程序方面的问题时，从不会迟疑于给联邦、州或是地方政府打电话。利用这些唾手可得的信息，社会工程师很可能会绕过企业的常规安全检查。

　　那就是弗兰克所需要知道的，他在这个州没有任何犯罪记录。因此，他提交了他的工作申请，并被录用。而且，一直也没有任何人出现在他的办公桌前对他说：“这些先生是联邦调查局的，他们想跟你谈谈。”

　　据弗兰克所说，他后来成为那家公司的一名模范雇员。

　　放到门口

　　尽管我们有美丽的无纸办公神话，但在企业，每天还是继续打印出大量的纸张，而纸上打印的企业内部信息很容易泄露，即使上面印着机密并采取了安全防范措施。这里有一个故事，它将显示社会工程师如何获取你最机密的文件。

　　“环回”欺骗

　　电话公司每年都要刊印一本叫做测试号码目录的电话册。至少以前是这样，由于我还处于监督释放期（译者注：类似假释），我并不打算去问电话公司是否还在这样做。电话盗打者十分重视这本电话册，因为它包含了一个列表，上面列出了所有企业工人、技师使用的受到严密保护的号码，以及其他一些总是处于忙音的中继线测试和检查号码。在这些测试号码当中，有一个术语称做“环回”（loop-around）的号码，尤其有用。电话盗打者用它做为一个找到其它同行聊天的方法，对他们来说这无需成本。电话盗打者还把它用来做为给予对方的回电号码，比如银行。一个社会工程师会告诉银行的人，打这个电话号码到他的办公室，当银行按这个号码（环回号码）打过来时，电话盗打者就可以接到，同时还很安全，因为依据这个号码无法追踪到他。

　　测试号码目录提供许多极其有用的信息，从而被对信息无比渴求、内分泌激素发达的电话盗打者所利用。因此，每当新的目录发布时，都会被大量的喜欢探究电话网络的年轻人所觊觎。

　　米特尼克信箱

　　为保护企业的信息资产，企业里的每个人都需要而进行安全培训，而不仅仅是那些通过电子线路或是物理接触而访问到企业信息资产的人。

　　史蒂夫的诡计

　　无疑，电话公司不会轻易地让人得到这些目录。因此，电话盗打者必须想出创造性的办法。他们怎么做呢？一个对目录有着强烈渴望的年轻人可能会设计这样一个场景……

　　某日，南加利福尼亚秋天的一个傍晚，一个我称之为史蒂夫（Stevie）的人给一家小电话公司的总机室打电话，这个总机室所在的大楼负责服务区内所有家庭及企业电话线路的连接。当值班的接线员拿起电话时，史蒂夫称自己是电话公司刊印和发行打印资料部门的人。“我们刊印了你们新的测试号码目录，”他说。“但出于安全考虑，如果我们没有收到旧的目录，就不能给你们发新的。可送目录的人迟到了，如果你们把旧的目录放到门口，他经过时就能取到，并放下新的，然后继续赶路。”

　　毫不怀疑的接线员似乎觉得这很合理，于是照做，把目录放到大楼门口，虽然目录的封皮上用红字清楚地印着“公司机密――无用时销毁。”

　　史蒂夫开车过来，小心的察看四周，是否有警察或电话公司的保安人员藏在树后或在停泊的汽车里监视。没有人。他装作不经意地拾起那本令人垂涎的目录，开车走了。

　　这就是社会工程师轻易得到他想要的东西的另一个例子，这里就使用了那个简单的原则――“直接索取”。

　　谎言攻击

　　不只是企业的资产处于社会工程师设置骗局的危险之下，有时，企业客户也会成为受害者。做为客服人员，不可避免的会受到挫折、讥笑和无辜的误解，有些人还会给企业的客户带来不良后果。

　　珍妮·爱克顿（Janie Acton）的故事

　　感恩节的一周，打来了一个不同寻常的电话。打电话的人说：“我是客户名单部的爱德华多（Eduardo），我正与一位女士通着电话，她是执行办公室一位副总裁的秘书，她需要知道一些信息，而我的计算机坏了。我接到了人力资源部一位姑娘发来的一封写着'我爱你’的邮件，当我打开附件时，就再也不能使用我的电脑了。病毒，我中了一个愚蠢的病毒。就是这样，你能帮我查一下客户信息么？”

　　“当然，”珍妮回答。“它毁了你的计算机么？真糟糕。”
　　“是啊。”
　　“我该如何帮你？”珍妮问。

　　在这里，攻击者为了使自己听起来可信，便对想知道的信息预先做了调查。他了解到他所需的信息存储在一个叫做“客户名单信息系统”（CBIS）的系统中，并且他还知道了工作人员与系统的关系。他问：“你能从CBIS中查一个账户么？”

“可以，账户号码是多少？”
“我不知道。我需要你用姓名来查。”
“好的，什么姓名？”
“希瑟·玛宁（Heather Marning）。”他拼出名字，珍妮把它输入。
“好的，我查到了。”
“很好。账户调出来了？”
“嗯哼，调出来了。”
“账户号码是什么？”他问。
“你有笔么？”
“准备好了。”
“账户号码，BAZ6573NR27Q。”
他重复了一遍号码，然后问：“服务地址是什么？”
她告诉他地址。
“电话呢？”
　　珍妮也欣然地读给他。打电话的人向她致谢，并说再见，然后挂线。珍妮继续下一个电话，再也不去想这件事情。

　　亚特·锡利（Art Sealy）的调查方案

　　亚特·锡利放弃了为那些小出版社做自由编辑的工作，他找到了一个更能赚钱的方法，为作者和相关业务做调查。不久，他发现他的工作内容越是接近非法与合法之间的模糊界限，他就越可以收取更高的费用。从没有想到过，当然也从不知道这就是社会工程，亚特使用着与每个信息经济人都使用着的类似方法和技术，成为了一名社会工程师。他最终证明自己有此方面的天分，懂得了大多数社会工程师必须从他人身上学来的技巧。不久，他就毫无罪恶感的跨过了非法与合法之间的界限。

　　一个位正在写一本尼克松年代时关于政府内阁方面的书的作家打电话给我，说他想找一个能够挖掘出威廉·西蒙（William E. Simon）内幕消息的调查人。威廉·西蒙，曾任尼克松时期的财政部长。西蒙先生现已去世，但这位作家知道他的一名女下属的名字，并确切的知道她仍然住在华盛顿特区，可不知道详细地址。她的名字也未登记电话，或者至少是没有列出她的电话，这就是他之所以联系我的原因。我告诉他，好的，没问题。

　　这就是那种通常一两个电话就可以完成的工作，如果你知道自已是在做什么的话。通常情况下，每个地方上的公共事业公司都有可能查到这样的信息，当然，这需要些小小的谎言，但偶尔撒一个小谎无所谓吧，对么？

　　我喜欢使用不同的方法，只为了让事情有趣些。“我是执行办公室的某某……”这样的开场白，一直都很好用。同样还有这次使用的“我正在与某副总裁办公室的人通话”也不错。

　　你必须充分发挥社会工程师的潜能，把握电话另一端将与之打交道的人的配合性。这次我幸运的碰到了一位友善、热心的女士，仅打了一个电话，就得到了地址和电话，任务完成。

　　米特尼克信箱

　　绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂，以防被人轻易识破。有些攻击来去匆匆、得手即逝，更简单的攻击仅仅是，直接索取。

　　过程分析

　　珍妮肯定知道客户信息属于敏感信息，她绝不会与一位客户谈论另一位客户的账户，也不会向外部泄露客户的私人信息。但是很自然地，当一个公司内部的人员打来电话时，情况便不同了。做为公司团队的一员，同事之间最重要的是互相帮助，以完成工作。那个客户名单部的工作人员，如果不是病毒把计算机搞坏，他自己完全可以查阅客户信息，她自然很乐意帮助一个同事。

　　亚特渐渐地接近了他真正想寻求的关健信息，在这一过程中他还提出了他不必知道的问题，如账户号码。然而，这个账户号码也为他提供了一个退路。万一珍妮有所警觉，他再打第二个电话时，成功的可能性便大大的增加了。因为，这个账户号码会让他给下一个工作人员打电话时，听起来更加可信。

　　从未有人向珍妮撒过这样的谎，打电话的人根本就不是客户名单部门的人。当然，珍妮也不应被责怪。她并不熟悉那条“在谈论客户档案信息之前，一定要知道与之谈话的人是谁”的规则，没有人告诉过她象亚特这样打来电话的危险性，公司里也没有制定这样的政策，她也从来没有培训过这方面的内容，而且她的主管也从未提及过。

　　预防措施

　　企业安全培训的一个要点就是：如果一个来访者或是打电话的人知道公司某人的名字，或是知道一些内部用语或业务程序，并不意味着他的身份不值得怀疑。而且绝对不要认为他是可信任的，从而把内部信息泄露给他，或是让他访问到你的计算机系统和内部网络。在安全培训中需要反复强调：一旦有所怀疑，必须确认、确认，再确认。

　　在过去，能够访问到企业内部信息是拥有权力和级别的标志。工人们往熔炉里添燃料、运转机器，员工们打字、填写报告，工头或是上司告诉他们做什么，何时做，如何做。只有工头或上司才知道一个班上的每个员工生产多少零件，工厂这个星期、下个星期、这个月底需要生产出什么颜色、什么尺寸、什么数目的产品来。

　　工人们负责机器、工具和原材料，老板们负责处理信息。工人只需要知道与本职工作有关的信息。

　　那时的情况与现在有所不同，不是么？现在，许多工厂的员工都使用某种计算机或是由计算机控制的机器。对大多数人来说，重要的信息都直接放在使用者的桌子上，以便于他们履行自己的职责来完成工作。在现代社会，几乎每一名员工都离不开处理信息的工作。因此，企业的安全策略应遍布企业的各个地方，而无所谓职位的高低不同。每个人都应该认识到，不仅是上司或管理人员拥有攻击者想追寻的信息。今天，每个层次级别上的职员，甚至是不使用计算机的人，都有可能成为攻击者的目标。而公司新近雇用的客服人员则是社会工程师最容易突破的薄弱环节，企业的安全培训和安全策略务必要加强这方面的注意。

第四章　建立信任

这些故事可能会导致你认为我把业务中接触到的每一个人都看成十足的傻瓜，都很乐意地、甚至是渴望着把他或她所拥有的每一个秘密泄露出去。社会工程师知道，这是不可能的。为什么社会工程的攻击容易得手呢？这不是因为人们的愚蠢或是缺乏常识，而是因为，我们人类很容易被操纵而把信任用错了地方，因此被欺骗。社会工程师早已料到会受到阻力和怀疑，他随时准备着把人们对他的怀疑扭转。一个优秀的社会工程师策划攻击时如同下象棋，预先想到对方可能会提出什么样的问题，从而把合适的答案准备好。他的一个很常用的技巧就是给受骗者建立信任感，一个骗子如何才能获得你的信任呢？相信我，他能够。

　　信任：欺骗的关健

　　社会工程师越把情况营造得像普通的业务联系，就越能减少怀疑。当人们没有疑心时，得到他们的信任就很容易了。一旦取得你的信任，如同吊桥放下，城门打开，他就可以入内随心所欲地取得他所需的信息。

　　注：你也许注意到我在提及社会工程师、电话盗打者和设计骗局的人时，大多数情况下用的是“他”。这不是偏见，这只是反应了一个事实——从事这些领域的人大都是男性。但尽管女社会工程师很少，可这个数字正在增长。不要仅仅因为听到了一位女性的声音而放松了你的警觉，女社会工程师还是有的。事实上，女社会工程师有着独特的优势，利用她们的女性特征来得到对方的配合。本书以后的内容中将会出现少量的女性社会工程师。

　　第一个电话：安德瑞亚·洛偑兹（Andrea Lopez）

　　安德瑞亚·洛偑兹在她工作的音像店接到了一个电话，她立刻微笑起来（当一位客户特意打来电话对服务表示满意时，总会让人高兴）。打电话的人说，在他们店里得到了非常好的服务，他想给写封信告诉他们的经理。他询问经理的名字和通信地址，她告诉他名字是汤米·艾里森（Tommy Allison），并把通信地址也给了他。就在要挂电话时，他又有了一个想法，他说：“我还想写给你们公司总部，那儿的电话是多少？”她也告诉了他。他道了谢谢，并说了些她的服务十分让人满意之类的话，然后再见了。“像这样的电话，”她想，“总能让上班的时间过的快些，如果多有些这样的人就好了。”

　　第二个电话：吉妮

　　“欢迎致电音像工作室，我是吉妮，需要帮忙么？”
　　“嗨，吉妮，”打电话者热情的打招呼，听起来就像每个星期都给吉妮通话似的。“我是汤米·艾里森”，863店森林公园的经理。我这儿有一位客户，想租《洛奇5》，可我们这儿已经没有拷贝了，你能查一下你们那儿有么？”
　　过了一会儿，她回答：“是的，我们还有三个拷贝。”
　　“好的，我问一下客户是否愿意过去，谢谢你。如果有任何需要，请致电汤米，我很乐意为你效劳。”

　　接下来的几个星期，吉妮又接到过三、四次汤米寻求帮助的电话，这些要求似乎都很正常，他总是十分友善，没有故意接近她的意思。同时，稍稍有些唠叨。如“你听说橡树园的大火了么？一连串的街道都封掉了，”类似的话。对于日常工作来说，这些电话可以让人得到片刻的休息，吉妮总是乐意接到他的电话。

　　一天，汤米打来电话，听上去有些焦虑，他说：“你们的计算机出过问题么？”
　　“没有，”吉妮回答。“怎么了？”
　　“有个人开车把电线杆撞了，电话公司的修理人员说城市的一部分地区没办法打电话和上网，直到他们修好。”
　　“哦，不会吧。那个人受伤了么？”
　　“他们把他送到救护车上了。别管这些了，我需要你帮个忙。我这儿有一个你们的客户，想租《教父2》，但他没带租片卡，你能帮我确认一下他的信息吗？”
　　“是的，当然。”

　　汤米说出客户的名字和地址，吉妮在计算机中找到，然后告诉汤米客户的账号。
　　“有过期未还和欠款记录么？”汤米问。
　　“没有。”
　　“好的，很好。我手工给他登记一下账户，计算机故障恢复之后再录入数据库。而且，客户还想用在你们店使用的维萨卡（Visa）付账，但他也没带。他的卡号和有效期是多少？”
　　吉妮都告诉了他。汤米最后说：“嗨，谢谢帮忙，回聊！”

 　 道伊尔·罗尼甘（Doyle Lonnegan）的故事

　　罗尼甘可不是一个普通的年轻人，他过去是一个收藏家，欠了不少赌债，如果不是这些赌债弄得他焦头烂额的话，他还会偶尔继续他的爱好。在这个故事里，他仅仅往一家音像店打了几个电话，就得了一笔现金。这听起相当不错，因为他的“客户”没有人知道如何设计这个骗局，他们需要像罗尼甘这类人的知识和才能。

　　每个人都知道，当他们在牌桌上运气差或是犯错误而输钱时，是不会用支票来代替赌资的。可为什么我的这些朋友们还要跟一个没带钞票的骗子赌钱呢？不要问了，也许他们的智商有点儿问题，但他们是我的朋友，我又能怎么办？

　　这个家伙没带钱，于是他们收了他的支票。让你说，他们应该开车把他带到自动柜员机那儿去吧？本应这样做的。但他们没有，他们收了一张支票，3230美元。不用想，这是张空头支票。还有什么其它可能呢？于是，他们给我打电话，问我能帮忙么？我不再用门去挤别人的手指了（译者注：指暴力手段），而且，现在有更好的办法。我告诉他们，我要30%的佣金，看我的本事吧。他们给了我他的名字和地址，我用计算机找到离他最近的音像店。我并不着急，先后打了四个电话来讨好音像店的经理，然后，我就得到了那个骗子的维萨卡号。我有一个朋友开了一间半裸吧（译者注：裸露半身的脱衣舞酒吧），用了50美元，把那个骗子所欠的赌资当做酒吧消费从他的维萨卡上划出，让他给老婆解释去吧。你认为他会找信息卡公司说他没有花这笔钱吗？好好想想。他知道我们知道他是谁，而且如果我们可以拿到他的维萨卡号，他会认为我们还可以做更多的事情，因此，这件事没什么可担心的。

　　过程分析

　　汤米打给吉妮的第一个电话仅仅是为了建立信任，当真正的攻击开始时，她已经放松了警惕并认同汤米所声称的身份——另一家连锁店的经理。有什么理由不接受他呢？她已经认识了他。当然，仅仅是通过电话联系，可他们已经建立了工作上的友谊，那是信任的基础。一旦她认为他是可以相信的人——同一家公司的一位经理，信任感就已经建立，剩下的事就顺其自然了。

　　米特尼克信箱

　　建立信任的欺骗技术是社会工程学最有效的策略之一，你务必要考虑你是否真正认识与你谈话的人。在一些不常见的情形下，对方很可能不是他自己声称的那个人。因此，我们必须学会观察、思考和提问。

　　主题变奏：攫取信用卡

　　建立信任感，不一定非得给受骗者打上一系列的电话，如上文中讲述的案例。我想起一个亲身经历的故事，它建立信任感只用了5分钟。

　　惊奇吧，爸爸

　　有一次，我与汉瑞（Henry）和他父亲坐在一家餐馆。谈话中，汉瑞责怪他父亲把信用卡号像电话号码一样随便泄露给别人。
　　“当然，买东西时必须使用信用卡号，”汉瑞说。“但是把你的卡号告诉一家商店，并让他们记录下来，那是非常不明智的。”
　　“我只在音像工作室这么做过，”康克林（Conklin）先生说，“但我每个月都会查看我的维萨卡记录，如果他们多收费用，我会知道的。”
　　“当然，”汉瑞说。“但他们一旦知道了你的卡号，别人就很容易弄到了。”
　　“你是指不怀好意的店员么？”
　　“不，我是指任何人，不仅仅是店员。”
　　“你在信口开河，”康克林先生说。
　　“我可以现在就打电话，让他们告诉我你的维萨卡号，”汉瑞立刻大声回应道。
　　“不，这不可能，”他父亲说。
　　“我可以在五分钟之内搞定这件事，就在你的面前，连桌子我都不会离开。”
　　康克林先生看起来有些紧张，他自己感觉到了这种紧张，但并不想让别人知道。“你根本就不知道你在说什么，”他急促地说，并掏出钱包拿出50美元甩到桌子上，“如果你能做到你说的话，这是你的了。”

　　“我不想要你的钱，爸爸。”汉瑞拿出手机，询问他父亲是哪一个音像店分店，然后打电话给查号台找到分店的电话号码以及谢尔曼橡树园（Sherman Oaks）分店的电话号码。接着，他打电话给谢尔曼·奥克分店，几乎用了跟上一个故事完全一样的方法，很快得到了经理的名字和分店的店号（译者注：如上文中提到的863分店）。然后，他打电话给登记着他父亲账户的分店，利用刚刚得到的名字和分店店号来假扮分店经理。接着使用相同的手法：“你们的计算机没出问题吧？我们这儿的计算机时好时坏。”听到了她的回答后他接着说，“嗯，是这样，我这儿有一位你们的客户想租一部片子，可我们的计算机现在坏掉了，我需要你帮忙查一下客户的账号以确定他就是你们店的客户。”
　　汉瑞给出他父亲的名字，使用了一个稍有不同的方法，他请求对方把账户信息读出来：地址、电话，开户日期，然后说：“嗨，是这样，我这儿有一大堆等着的客户，他的信用卡和有效期是多少？”汉瑞一支手在耳边拿着手机，另一支手在餐巾纸上写。打完电话，他把餐巾纸推到瞪着眼睛、张着嘴巴的父亲面前，可怜的父亲看上去完全震惊了，似乎他的信任系统已被完全颠覆。

　　过程分析

　　当某个不认识的人询问你某事时，想想自己是什么态度。如果一个衣衫褴褛的陌生人来到你门前，很可能你不会让他进去。如果是一位衣着得体、皮鞋明亮、发型完美，举止优雅并面带微笑的陌生人，你可能就会放松警觉。也许他就是现实生活中的占森（译者注：电影《十三号星期五》中的杀人狂）呢？但你仍然愿意相信他，只要他看起来正当，手里也没有握着餐刀。

　　米特尼克信箱

　　人们习惯的认为自己在任何特定的事务中不大可能走进骗局，否则至少也得有理由相信这是个骗局。大多数情况下，我们权衡风险，然后假定别人没有恶意。这就是有教养人的一般行为，至少那些没有被操纵、利用或被骗过一大笔钱的有教养的人这样认为。在儿时，我们的父母告诫我们不要相信陌生人，也许在当今的工作环境下，我们所有的人都就应谨记这个陈旧的规则。　

　　工作中，人们总是会有各种各样的请求。你有这个人的电子邮件地址么？最新的客户名单在哪儿？谁是这个项目本部分的分包商？请发给我最新的计划更新。我需要新版本的源代码。有时，做出这些请求的人你并不直接认识，或是公司其他部门的人，或是他们自己说是其他部门的人。但如果他们提供的信息是正确的，并且看来熟悉公司内情（“玛丽安说……”、“这里是K16服务器”、“……新产计划第26次修订版”），我们便把信任圈扩大他们身上，轻率的满足了他们的请求。

　　当然，我们也许会有些困惑的问自己：“为什么这个达拉斯（Dallas）分厂的人想知道新的产品计划？”或是“说出服务器的名称会有害处么？”等等这类问题，如果答案看上去合情合理，对方的言行也比较可靠，我们便会放松警惕，恢复相信同事的习惯，并满足（有理由的）对方的请求。

　　绝不要认为攻击者只会把目标锁定到使用计算机的人身上，收发室的人也可能是目标。“能帮个忙么？把这个放到公司内部的邮袋。”收发室的人可不知道它是一张带有特殊程序的针对首席执行官秘书的软盘。这样，攻击者本人就拥有了首席执行官的邮件拷贝。不会吧？这事情真得会在企业中发生么？答案是，绝对可能。

　　一美分的手机

　　许多人都在寻找好的机会，不达目的不罢休。社会工程师不然，他们找到办法使机会变得更好。比如，某公司进行一项诱人的市场优惠活动，社会工程师就会想办法扩大他的利益。

　　不久以前，一家全国性的无线通讯公司发起了一个大规模的促销活动，只要你登记接受一种资费方式，便可以得到一部全新的手机，只收一美分。对于一个精明的消费者来说，在登记一种资费方式之前，有好多问题要问清楚。通讯服务是模拟还是数字的，或是两者结合？每个月的免费通话时间是多少？是否包含漫游费……等等，等等，尤其重要的是资费合同时限——你承诺的资费方式是多长时间，几个月还是几年？

　　想像一个这样的情景，一位费城（Philadelphia）的社会工程师被通讯公司提供的一款十分便宜的手机所打动，但他讨厌与其捆绑的资费方式。没什么大不了的，他也许使用下面的方法来解决此事……

　　第一个电话：泰德（Ted）

　　他首先打给位于西吉拉德（West Girard）的一家电器连锁店。

　　“电子商城，我是泰德。”
　　“嗨，泰德，我叫亚当。是这样，我在前几天晚上，跟你们的一个男销售员谈到一个手机，我说一旦决定了就给他打电话。可我忘了他的名字，你们值夜班的人是谁？”
　　“不只一位，是威廉么？”
　　“不知道，也许是吧。他长什么样？”
　　“高个子，瘦瘦的。”
　　“我想是他吧，他姓什么来着？”
　　“哈德利。哈－德－利（H--A--D--L--E-- Y.）”
　　“是的，是他。他什么时候上班？”
　　“我不知道他这星期的排班，但上夜班的人5点到。”
　　“好的，那我试试晚上找他。谢谢，泰德。”

　　第二个电话：凯蒂（Katie）

　　第二个电话打给位于北广街（North Broad Street）的连锁店。

　　“嗨，电器商城。我是凯蒂，需要帮忙么？”
　　“凯蒂，嗨！我是威廉·哈德利，西吉拉德店的。今天过得怎么样？”
　　“有点儿忙，什么事？”
　　“我有一位顾客想购买那个一美分的手机，你知道这个手机的资费捆绑吧？”
　　“是的，上星期我售出了一些。”
　　“你那儿还有这种资费捆绑的手机么？”
　　“还有一堆呢。”
　　“很好。我刚售出了一个这种手机的资费，顾客通过了信用记录（译者注：美国通讯公司会查询手机用户过去的使用记录，以确定用户是否具备享受某一资费方式的资格），我们也签了资费合同。我查了一下该死的存货记录，却没有这种手机了。这让我很难做，你能帮个忙么？我让他到你们店去买一美分的手机，你卖给他后开张发票。他买到手机后会给我打电话，然后我再告诉他怎么用。”
　　“好的，当然可以。让他来吧。”
　　“太好了，他叫泰德，泰德·岩西（Ted Yancy）。”

　　一个自称泰德·岩西的人来到北广街连锁店，凯蒂开了一张发票，把一美分的手机卖给他，完全依照她的“同事”交待给她的事情，从而彻底地掉入骗局。付钱时，这个顾客的钱包里一枚硬币也没有，于是他到收款台的零钱碟中拿了一枚，交给她完成登记。他甚至一分钱都没有花就得到了那部手机。

　　过程分析

　　人们会很自然地相信熟悉公司内部的业务流程和专业用语，并声称自己是公司同事的人。这个故事中的社会工程师就是利用了这一点，通过了解促销活动的细节，扮做公司的职员，并要求另一个分店人员的帮助。这种事情在各零售店之间以及一个公司的各部门之间经常发生，这是因为人们没有机会接触，天天与从未见过面的同事打交道。

　　入侵FBI

　　人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目，节目制作者在网上做了一次搜索，发现了一份访问国家犯罪信息中心（NCIC）的操作说明拷贝。不久他发现，真正的NCIC操作说明原件就在网上，这是一份相当敏感的文档，它记录着从FBI的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门，这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息，手册里包含了数据库中用来标明各种信息的代码，从各种各样的纹身到各式各样的轮船外壳，再到失窃纸币和债券的面额。

　　任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则，然后依据手册上的步骤指导，再加一点胆量，人人都可以从数据库中提取信息，而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。
　　FBI几乎肯定不知道如此敏感的资料暴露在网上，我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的，另一份是由得克萨斯州的执法机构传到网上。为什么？这都是因为，也许某人觉得这些信息可能没什么价值，放到网上也不会有什么害处。也许有人为了内部人员使用上的方便，而它放到内网上，却从未想到会被在网上使用搜索引擎（如Google）的人找到，包括仅仅是好奇的人、还有想当警察的人、黑客，以及有组织的犯罪团伙。

　　接入系统

　　利用这样的信息来欺骗有政府或企业背景的人，使用的准则是相同的：由于社会工程师知道如何访问特定的数据库或应用程序，或是知道公司的服务器名称等类似的事情，他因此具备可信性，这种可信导致信任。一旦社会工程师拥有了这样的代码，获得所需信息就十分简单。在这个例子中，他首先给当地的州警察局电讯室打电话，针对手册上的一个代码，提出问题。比如，犯罪代码。他可能这样说，“我在NCIC做犯罪记录查询时，碰到'系统发生问题’的错误提示。你做记录查询时碰到过这种情况么？能帮我试一下么？”或者他会说正在查询WPF（警方用语，被通辑人的档案）。电话另一端，电讯室的工作人员就会意识到对方熟悉查询NCIC数据库的操作程序和命令，除了受过训练的人，谁会知道这些操作程序呢？

　　工作人员确定她的系统运行正常后，谈话可能像这样进行：

　　“我可以帮点儿忙。你要查什么？”
　　“我要查瑞尔顿·马丁的犯罪记录，出生日期66年10月18日。”
　　“索什（SOSH，执行部门的人有时把社会保险号简称为索什）是多少？”
　　“700-14-7435。”
　　找到名单后，她可能这样说：“他的犯罪记录代码是2602。”

　　现在，攻击者只需到NCIC的网站上查一下这个号码的含义了——这个人有一桩诈骗的犯罪记录。

　　过程分析

　　一个出色的社会工程师一刻也不会停止思考闯入NCIC数据库的办法，往当地警察局打上一个电话，花言巧语一番让对方认为自己是内部人员，这就足以能够得到他所需的信息。下一次，他只需使用相同的借口往另一个警察局打电话就是了。

　　你也许会吃惊，往警察局或是州政府打电话不危险吗？那攻击者不是冒了很大的风险？
　　答案是不……因为一个特殊的理由。执法人员像军人一样，从他们第一天到学院开始等级制度观念就已经根深蒂固了。只要社会工程师伪装成一个警官或助理官员——比和他谈话的人等级更高——受骗者将被精心学习的课程支配，不要怀疑比你职位更高的人。等级，换句话说就是拥有特权，特权不会被等级低的人挑战。
　　但是不要认为执法部门和军事部门是社会工程师唯一可以利用等级制度的地方，社会工程师经常在商业攻击中像使用武器一样利用公司的职权或等级——就像这一章的许多故事所示范的那样。

　　预防措施

　　保护你的消费者

　　在这个电子时代许多公司出售商品给消费者时将信用卡信息存档。理由是：解决了消费者每次进入商店或Web站点购物时都要输入信用卡信息的麻烦。然而，这种做法应该避免。
　　如果你必须将信用卡号存档，使用复杂的编码或者存取控制来进行安全防范必不可少。员工需要培训识别像这一章中社会工程师的一些诡计。那些从没亲眼见过但在电话里成为朋友的同事可能并不像他或她声称的那样。他也许并不“需要知道”客户的敏感信息，因为他可能根本就不在这家公司工作。

　　米特尼克信箱

　　每个人都应该知道社会工程师的一贯手法：尽可能地搜集一些关于目标的信息，利用这些信息增加内部人员的信任。然后直取要害！

　　聪明的信任

　　不只是有明显的敏感信息的人——软件工程师，研究与开发（R&D）人员，等等——需要防范入侵者攻击。你的公司的几乎所有人都需要训练保护企业防范商业间谍和信息窃贼。
　　一切的基础应该从一个企业信息资产调查开始，分离地看待每一个敏感的，关键的或贵重的资产，并寻找攻击者使用社会工程学策略可能危及这些资料安全的方法。对有权访问这些信息的人进行的适当培训应该有计划地围绕这些问题的答案。
　　当一个你不认识的人请求获得一些信息或材料，或要求你在你的电脑上完成任何操作时，让你的员工问他们自己一些问题。如果我把这些信息给了我最坏的敌人，它会被用来伤害我或我的公司吗？我十分了解被要求输入到我的电脑的这些命令的潜在影响吗？
　　我们不想抱着对我们遇到的每一个陌生人的怀疑度过一生。但是我们的信任越多，下一个看上去十分友好的社会工程师就会来到我们的城市里，欺骗我们，获得我们公司的所有信息。

　　什么属于你的Intranet（企业内部互联网）？

　　你的Intranet的一部分可能开放到了外部世界中，而另一部分则限制只有员工能使用。你的公司有没有仔细地确认受保护的敏感信息没有被放到访客易接近的地方？当上次公司的一个人在Intranet上查看到任何敏感信息并不经意地提交到了Web站点的公共访问空间的时候？
　　如果你的公司执行代理服务保护企业应对信息安全威胁，这些服务在最近的检查中确认被适当的配置了吗？
　　事实上，有人检查过他们的Intranet安全性吗？

第五章　我来帮你

当我们遇到头痛的事情时，如果有个经验丰富、技术高超的人来帮忙，我们一定会很感激。社会工程师了解这一点，并懂得如何利用它。他还知道如何制造一个麻烦，然后帮你解决以获得你的感激，最后利用你的感激之情来获取信息或得到你的一些小关照，这将把你的公司或是你个人置于不利的地步，而你可能永远不知道你已经遭受损失。下面是一些社会   工程师“帮忙”的典型方法。

　　网络故障

　　日期/时间：2月12日星期一，15:25
　　地点：斯达伯德（Starboard）造船厂办公室

　　第一个电话：汤姆·狄雷（Tom Delay）

　　“簿记处，汤姆·狄雷。”
　　“嗨，汤姆，我是服务中心的艾迪·马丁（Eddie Martin）。我们正在检修计算机网络，你们部门有人在线时遇到问题了么？”
　　“嗯，据我所知没有人。”
　　“你这儿也没什么麻烦吧？”
　　“没有，还算正常。”
　　“好的，很好。是这样，我们正在给可能发生网络问题的人打电话，如果你的网络连接中断请立即告诉我们，这很重要。”
　　“听起来可不妙，你觉得它可能出问题么？”
　　“我们希望不会，但一旦有情况，请打电话好么？”
　　“这你放心。”
　　“是这样，如果你们的网络连接掉线，很可能是你这儿的问题……”
　　“那可没准儿。”
　　“所以我们会检修你这里的网络，我把我的手机号留给你，如果有需要你可以直接找到我。”
　　“太好了，请说。”
　　“555 867 5309。”
　　“555 867 5309，好了，谢谢。你叫什么来着？”
　　“艾迪。听着，还有一件事。我需要检测一下你的计算机连接端口，看一下你的计算机哪里贴着一个大概写着“端口号”字样的标签？”
　　“稍等，没有，我看不到有这样的东西。”
　　“好吧，这样，你再看计算机的后面，能找到网线么？”
　　“是的。”
　　“顺着线找到它的插头，看看它的插口上是否有一个标签。”
　　“稍等一下，再等等，我必须蹲下离近些才能看清楚。好的，上面写着6杠47（6-47）。”
　　“很好，那就是我们记录的端口号，只是为了确认一下。”

　　第二个电话：技术支持

　　两天后，一个电话打到该厂的网络管理中心。

　　“嗨，我是鲍勃（Bob），我现在簿记处汤姆·狄雷的办公室。我们正在检修网线故障，请你封掉6-47的端口。”

　　技术支持人员回答说很快就封掉，并说可以恢复的时候再通知他们。

　　第三个电话：敌人的帮助

　　一个小时后，一位自称艾迪·马丁的人在Circuit City购物时，他的手机响了。他发现是造船厂的号码，便迅速地转到一个安静的角落接听手机。

　　“服务中心，艾迪。”
　　“哦，嗨，艾迪。有事找你，你在哪儿？”
　　“我么，嗯，我在机房，你是？”
　　“我是汤姆·狄雷。伙计，很高兴能找到你。或许你还记得前两天给我打过电话吧？我的网络连接可能像你说的那样断掉了，我有点不知道怎么办。”
　　“是的，刚刚好几个人都说掉线了，我们在今天晚上会处理此事，好么？”
　　“不！见鬼！如果断线那么长时间，就要耽误事了。能尽量帮帮我么？”
　　“事情很紧？”
　　“我有事得赶紧弄，有没有可能在半个小时之内处理好？”
　　“半个小时？你也太着急了。嗯，这样，我放下手里的活，看看能不能帮你解决。”
　　“嗨，艾迪，真是谢谢你了。”

　　第四个电话：搞定

　　45分钟后……

　　“汤姆？我是艾迪，去看看你的网络连接。”
　　不一会儿：
　　“噢，好了，它好了，太棒了！”
　　“很好，很高兴为你解决了。”
　　“是啊，十分感谢！”
　　“听着，如果你不想让它再出毛病，要安装一个软件，几分钟就可以了。”
　　“可现在不太合适。”
　　“我理解，但如果下次网络连接再出毛病，这会让我们都省心的。”
　　“好吧，如果只需几分钟的话。”
　　“你照这样做……”

　　艾迪指导汤姆从一个网站下载一个小程序，下完之后，艾迪叫汤姆双击它。汤姆照做，但反馈说：“不行，什么反应都没有。”
　　“噢，真讨厌。程序一定有什么地方出错了，算了吧，我们可以下次再试。”接着他指导汤姆删除掉程序，以使其不能恢复。

　　整个过程花费时间，十二分钟。

　　攻击者的故事

　　每当鲍比·华莱士（Bobby Wallace）接到这样的一项任务时总觉得很可笑，他的客户总是在为什么需要这种信息的问题上闪烁其词。这件案例中，他只想到两个原因：也许他们代表某个意图收购斯达伯德造船厂的组织，因而想知道造船厂真正的财务现状，尤其是被收购方想对潜在购买者刻意隐瞒的东西。或者，他们代表投资方，认为他们的资金在使用上有些可疑，并想知道是否有些管理人员私自开设了小金库。

　　也许他的客户并不想让他知道真正的原因，因为如果鲍比知道了那些信息的价值，他可能会索要更多的酬金。

　　有许多破解企业最机密文档的方法，鲍比在制定计划前花了几天时间做选择并进行了小小的测试。他决定使用一个称为“接近”的他尤其喜欢的方法，让对方自己落入圈套，他会自动请求攻击者的帮助。

　　首先，鲍比花39.95美元在便利店买了一部手机，然后打电话给那个他选做目标的人，冒充公司服务中心的人哄骗对方在网络连接出问题时给他打电话。为了使事情看上去不那么明显，他故意等了两天才给网络管理中心（NOC）打电话。他声称在为汤姆（他的目标）检修网络问题，并要求NOC把网络连接禁止掉，鲍比知道这是整个计划中最棘手的部分。在许多企业，服务中心与NOC有着紧密的工作关系，实际上他知道服务中心通常就是IT部门的一个分部。但NOC接电话的人懒得问那个解决网络问题的服务中心人的名字，并同意禁止掉对方要求的网络端口。这一切搞定之后，汤姆就被完全的从企业内网上隔离了，不能从服务器上检索文件，也不能与同事交换文件、下载邮件，或甚至不能把数据传到打印机。在当今的世界，这如同居住在一个洞穴中。

　　正如鲍比所预想的，他的手机很快就响了。当然，他尽量使自己听上去十分愿意帮助这个不幸的同事，然后给NOC接电话把网络连接恢复。最后，他打给汤姆再次控制了他，这一次由于帮他解决了问题，令对方心存感激，于是汤姆同意下载一个软件到他的计算机上。当然，他同意下载的软件并不是鲍比所说的那样，是为了防止网络连接的再次中断，它实际上是一个特洛伊木马，一个用来对付汤姆的计算机的应用程序（特洛伊是一种原始的把敌人带到对方内部的欺骗方法）。汤姆回复说双击程序后没有任何反应，这是故意让他看不到发生任何事情的，实际上这个小巧的应用程序正在安装一个允许渗透者悄悄访问汤姆计算机的秘密软件。利用这个软件，鲍比可以完全的控制汤姆的计算机，这称为远程命令行解释器。当鲍比访问汤姆的计算机时，他可以查找他感兴趣的财务文件并拷贝下来，然后，在方便时检查它们是否包含他的客户寻求的信息。

　　专业术语

　　特洛伊木马：一种包含恶意或会造成危害的代码，用来损坏受害者的计算机或文件，或是从受害者的计算机和网络上获取信息。某些特洛伊木马会隐藏在操作系统中暗中监视击键或操作，或者通过网络连接来执行一些入侵命令，而这一切是在受害者意识不到的情况下进行的。这还不是全部，入侵者还可以在任何时候回到这台计算机上搜索电子邮件和私人备忘录，并对可能揭示出敏感信息的词进行文本查找。

　　在哄骗目标安装了特洛伊木马程序的当晚，鲍比就把手机扔到了垃圾桶里。当然，在扔之前他首先小心的删除了通话记录并拔出了电池。这是他最后要做的事情，让人再也拨不通这个电话号码。

　　过程分析

　　攻击者设计一个圈套来使对方认为自己的计算机存在问题，实际上，根本没有。或者，问题还未发生，但攻击者知道它会的，因为他将使之发生，然后他再假扮解决问题的人。这次攻击中的程序安装对于攻击者来说更是奖赏，他事先埋下了伏笔，当目标发现问题时，会自动打电话恳求帮助。攻击者只需坐在那儿等电话响就是了，可以把这次攻击看做是一次反向的社会工程学——攻击者迅速获得了信任，从而使目标主动打电话给他。如果你打电话给某个你认为是服务中心的人，你会要求对方证明自己的身份吗？这就是攻击者想制造的效果。

　　专业术语

　　远程命令行解释器：接受文本命令来执行某种功能或运行程序的非图形操作界面。通过利用漏洞或在目标计算机上安装木马，攻击者可以获得对命令行解释器的远程访问权。

　　反向社会工程学：攻击者设计的一种情形，受骗者碰到问题时会联系攻击者求助。另一种反向社会工程学是对付攻击者的，被攻击目标发现了对方是攻击者后，利用心理影响尽可能的从攻击者身上套出信息以保护企业的信息资产。

　　米特尼克信箱

　　如果某个陌生人帮了你的忙，然后要你帮他，不要不经过慎重考虑就回报他的帮助，要看对方要你做的是什么。在类似上面的这个骗局中，社会工程师找了一个计算机知识很少的人。他知道的越多，就越可能产生怀疑，或越能断定是被骗了。计算机白痴——对计算机操作和知识了解很少的人，则很容易遵从你的指示。他太容易掉入“只需下一个小程序”这样的陷井了，因为他对一个软件程序可能造成的损害一无所知。而且，他很可能不知道他冒着风险放到网络上的信息的价值。

　　给新来的女孩帮个小忙

　　攻击者喜欢把目标锁定在新来的雇员身上，他们认识的人很少，也不了解工作程序，什么该做，什么不该做。而且，一旦给其留下良好的第一印象，他们便会殷切地显示出对你的配合和快速地回应。

　　安德鲁的帮助

　　“人力资源部，安德鲁?卡尔霍恩（Andrea Calhoun）。”
　　“安德鲁，嗨，我是亚力克斯（Alex），企业安全顾问。”
　　“什么事？”
　　“今天好么？”
　　“还好。需要帮忙吗？”
　　“是这样，我们正在策划一个新员工的安全培训，需要集结一些人测试一下，我想要上个月所有新进员工的名单和电话号码。你能提供给我么？”
　　“要到今天下午我才能给你，可以么？你的分机是多少？”
　　“当然，可以。我的分机是52……，噢，嗯，我今天大部分时间要开会，我回到办公室后打给你吧，大约4点左右。”

　　亚力克斯4点30分打来电话，安德鲁已经把名单准备好，然后在电话中读出了名字和分机号。

　　罗丝玛丽的消息

　　罗丝玛丽?摩根（Rosemary Morgan）很满意她的新工作，以前她从未在杂志社做过，她发现这里的人比她想像中友善的多（大多数杂志社职员都是在没完没了的压力下，在每一次发行最后期限前出版杂志的），而星期二早晨的一个电话再次确认了她的这种印象。

　　“是罗丝玛丽?摩根吗？”
　　“是的。”
　　“嗨，罗丝玛丽，我是比尔?乔迪（Bill Jorday），信息安全部的。”
　　“有事吗？”
　　“我们部有人跟你谈过最佳安全操作规程么？”
　　“我想没有。”
　　“那好，我们开始。首先，我们不允许任何人安装从公司外部带来的软件，因为我们不想承担使用未经授权软件的责任。而且，也为了避免这些软件可能携带蠕虫或病毒的风险。”
　　“好的。”
　　“你了解我们的电子邮箱规则么？”
　　“不。”
　　“你现在的电子邮箱是什么？”
　　“Rosemary@ttrzine.net”
　　“你是用Rosemary做用户名登录的么？”
　　“不是，我用的是R_Morgan。”
　　“好的。我们想让所有的新员工都意识到，打开任何一个未知邮件的附件都是危险的。蠕虫、病毒四处泛滥，并通过你似乎认识的人的邮件发来。所以，如果你收到一封意料之外的带有附件的邮件，一定要向发信方确认此信真得是由其发出。你懂了么？”
　　“是的，这我已经知道了。”
　　“很好。我们的规定是每90天换一次密码。你上一次改变密码是什么时候？”
　　“我才来了三个星期，还用着一开始设置的密码。”
　　“好，很好，你可以等到90天后再换。但我们需要确定大家不使用很容易猜出的密码，你使用的密码是由字母和数字组成的么？”
　　“不是。”
　　“我们要确定一下，你现在用的密码是什么？”
　　“我女儿的名字——Annette（安妮特）。”
　　“那可真不是一个安全的密码，你不应该在密码里包含家庭信息。嗯，我看看……，你可以和我一样，使用你现在的密码做为新密码的开头，每当更换时加一个当前月份的数字。”
　　“那如果我现在换的话，现在是三月，就应该是three或是-three？”
　　“那随你便，你更愿意用哪一个？”
　　“我想用Annette-three.”
　　“好的。你想让我为你演示一下如何改密码的么？”
　　“不用，我知道。”
　　“好。还有一件事得说一下，你的计算机上装有防病毒软件，保持更新非常重要。千万不要禁止自动更新功能，即便在它每次运行时速度会变慢。好么？”
　　“好的。”
　　“很好。你有我们的电话号码么？如果计算机出问题可以打给我们。”

　　她没有。他告诉她号码，她认真的记了下来，然后继续工作，并再一次地为受到热心的关怀感到欣慰。

　　过程分析

　　这个故事继续加强了此书的基本主题，你也将看到在整本书中都包含着这一主题：尽管社会工程师的最终目标不是从对方身上获取最普通的信息，但这些信息却是其目标的信任书。利用企业关健岗位上的员工那里得来的某个账号和密码，攻击者可以成功打入内部并找到任何他想找的信息。有了这些信息，如同找到开门的钥匙，把它们握在手中，他可以自由地出入企业的各个地方并找到他寻觅的宝藏。

　　米特尼克信箱

　　在企业的新员工可以访问任何计算机系统之前，必须进行培训以遵从良好的安全操作规程，尤其是有关绝不要泄露口令的规则。

　　不象你认为的那样安全

　　“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说法。而生活如果简单易懂的话，这个世界就会更好。事实却是即便企业付出相当的努力来保护机密信息，可还是存在着严重的风险。下面的故事再一次举例证明，认为由经验丰富、胜任的职业安全人员布置的安全操作规程牢不可破的想法，只是在愚弄自己。

　　斯蒂夫?克莱默（Steve Cramer）的故事

　　这片草地不大，没有播撒昂贵的草种，也没人羡慕。当然，也就没有足够的理由买一台坐式割草机了，那一定很好使，毕竟他一次也没用过。斯蒂夫很乐意用手工割草机割草，因为花的时间会更长些，而这种家务事还给他提供了一个便利，使自己专注于自己的想法，而不是听安娜（Anna）讲述她工作的银行里那些人的故事或是解释为他所做的各种事情，他讨厌“夫妻表”（译者注：夫妻间为增进感情而做的一些小事，如聊天、下厨等）上的内容成为他周末的全部。当12岁的皮特绝顶聪明地加入游泳队的时候，他的心里一下子亮堂起来。现在，他每个星期六都要在训练场或是去接他，不用再陷入没完没了的家务事上了。
　　有些人可能认为斯蒂夫在双星医疗产品厂（GeminiMed Medical Product）的工作十分无聊，斯蒂夫却认为他在挽救生命，他知道自己从事的是具有创造性的工作。画家、音乐家、工程师，在斯蒂夫看来都有着与他相同的挑战性——他们都创造别人从未做过的东西。他最近所做的，是一件新型的智能心脏支架，迄今为止，可能是他最值得骄傲的成就。
　　在这个不寻常的周六，斯蒂夫十分苦恼，都快11点半了，草地也几乎清理完，但是在思考如何降低心脏支架的动力消耗方面却没有丝毫的进展。这是他最后的障碍，虽然锄草时最适合思考这样的问题，但他一点办法也没想出来。

　　安娜来到门口，头上围着打扫卫生时总戴着的佩斯利（paisley）牛仔头巾。“电话，”她冲着他喊。“你公司的电话。”
　　“是谁？”斯蒂夫回喊道。
　　“叫什么拉尔夫（Ralph）的，好像。”
　　拉尔夫？斯蒂夫想不起医疗厂有叫拉尔夫的人会在周末打电话给他，也许安娜把名字听错了吧。
　　“斯蒂夫，我是技术支持部的雷蒙?派瑞兹（Ramon Perez）。”
　　雷蒙？天知道安娜怎么会听成一个西班牙人的名字拉尔夫？斯蒂夫很奇怪。
　　“这是一个善意的来电，”雷蒙接着说。“有三台服务器当掉了，我们认为可能是蠕虫，必须清除驱动器，然后恢复备份文件。我们应该能够在星期三或星期四令你的文件正常使用，如果幸运的话。”
　　“这真让人无法接受，”斯蒂夫尽量平静的说，努力压制住自己的沮丧。这些人怎么如此愚蠢？他们真的认为他没有这些文件也可以在整个周末和下个星期的多半个星期工作么？“不行，我要用家里的电脑连线，只需两个小时，我要访问我的文件。你听明白我的意思了吗？”
　　“清楚，到现在为止我打的每一个电话，对方都要求先处理他们的事情。我放弃我的周末来弄这件事，却让每个我与之通话的人对我指手画脚，你觉得这很好笑么？”
　　“我现在的工作处于关健时期，公司对此十分重视，我今天下午要完成它，你还有什么不明白的？”
　　“在我开始恢复前还有很多电话要打，”雷蒙说。“我们说定星期二恢复你文件的使用，怎么样？”
　　“星期二不行，星期一也不行，要今天，现在！”斯蒂夫边说边考虑如果说不通这个大脑迟钝的家伙，他该向谁打电话。
　　“好吧，好吧，”雷蒙说，斯蒂夫还能听到他无奈的叹了口气。“我看看我该怎么让你连线，你使用RM22服务器，对么？”
　　“RM22和GM16两台。”
　　“好，很好，我可以绕过一些程序来节省些时间——我需要你的用户名和口令。”
　　什么？斯蒂夫想，这是怎么了？为什么他需要我的口令？为什么所有IT部门的人都这样？

　　“你刚才说你姓什么？谁是你的主管？”
　　“雷蒙?派瑞兹。听着，听我说，当你被雇用的时候，必须填一个表格来取得自己的用户名，同时写下密码。我可以在存档中找到这个文件，然后告诉你，好么？”
　　斯蒂夫考虑了一会儿，表示同意。他拿着电话尽量耐心的等着雷蒙从文件柜中取出文件，最终返回到电话前，斯蒂夫可以听到他在摆弄一堆文件。
　　“哈，找到了，”雷蒙说，“你写的密码是Janice。”
　　Janice，斯蒂夫想，是他母亲的名字，实际上有时他会用这个名字做密码，很可能在他填雇用登记表时就用它做密码了。
　　“是的，是这样。”他承认道。
　　“那好，我们正在浪费时间。你知道我是真的，你想让我走捷径帮你快速的取回文件，你就必须给予我帮助。”
　　“我的用户名是s d 下划线 cramer，c-r-a-m-e-r，密码是pelican1。”
　　“我会把它恢复正常，”雷蒙说，听上去还比较友好。“给我二三个小时。”

　　斯蒂夫清理完草坪，吃过午饭，到时间便来到他的计算机前，发现他的文件已经恢复了。他很满意自己强有力的说服了那个不太合作的IT小子，并希望安娜听到了他是多么的果断。最好对那个小子或是他的上司表示一下他的满意，但他知道他抽不出时间做这些事情。

　　克雷格?科格伯恩的故事

　　克雷格?科格伯恩（Craig Cogburne）曾是一家高科技公司的销售，业绩良好。一段时间后，他逐渐意识到自己有一种读懂客户的能力，理解对方反对什么，以及利用对方的弱点和漏洞轻松完成销售任务。他开始思考这种才能的其他用途，和那条最终导致他获利颇丰的道路——商业间谍。

　　这是个紧急任务，不会花费很长时间，也不值得花钱去趟夏威夷，或是塔希提（Tahiti）。那个人雇用了我，他没说客户是谁。当然，不用说也是一些想一下子轻松、迅速地赶上竞争对手的公司。我的工作是拿到那个叫做心脏支架的小玩意的设计书和产品说明，管它是什么。对方公司叫做双星医疗，以前从没听说过，是一家500强企业，在不同的地方有六个分公司。对于我的工作来说，大公司比小公司容易得多。因为，在小公司里你很可能会被谈话的对方认出来不是自己所声称的那个人，而这种情况就像飞行员说发生空中碰撞一样，可以把你的一切都毁了。

　　客户发过来一封传真，说是一些医疗杂志上报道了双星医疗正在研究一种全新设计的心脏支架，可能叫做STH-100。由于事情炒得很热，记者们已经替我做了许多前期调查工作，包括我在开始工作前必须知道的事情，这个新产品的名字。

　　第一个问题：取得可能会看到这个设计的以及研究STH-100的那些人的名字。于是我打电话给接线员：“我答应与你们的一位工程师联系，但我记不起他姓什么了，只记得他的名字是以S开头。”接线员说：“有两个人，一个叫斯科特?亚谢尔（Scott Archer），一个叫塞姆?大卫森（Sam Davidson）。”我冒着风险问：“哪一个在STH-100工作组？”她不知道，我只好随意选了斯科特?亚谢尔，她帮我接通了电话。

　　对方拿起电话，我说：“嗨，我是麦克，收发室的。我们收到一个寄给STH-100心脏支架方案组的联邦快递，应该给谁？”他告诉我方案组长的名字，杰瑞?曼德尔（Jerry Mendel），我甚至还让他帮我查到了电话。

　　我打给曼德尔，没有在。但他的语音留言说他在度假，一直到13号，也就是说他还有一个星期的时间滑雪或者其它什么事情。在此期间，任何人有事的话打9137找米歇尔（Michelle）。太好了，这些信息太有用了。我挂了电话接着打给米歇尔，她接起电话，我说：“我是比尔?托玛斯（Bill Thomas），杰瑞说我一旦准备好产品说明书就打给你，他想让组里的人看看。你是心脏支架组的，对吧？”她回答是。

　　现在，我们到了整个布局的攻坚点了。如果她有所怀疑，我就打出预先准备好的牌，我会说是杰瑞让我帮他这个忙的。我问：“你们用哪个系统？”
　　“系统？”
　　“你们成员组使用哪些服务器？”
　　“哦，”她说：“RM22，组里有些人还会用GM16。”

　　很好，这正是我需要从她哪里得到的信息，并且没有引起她的怀疑。接下来，为了尽量麻痹她，我尽可能的令语气自然，“杰瑞说你可以给我一个研发组成员的电子邮件列表，”说完，我屏住呼吸。

　　“当然，这个表太长了，不便阅读，发邮件给你可以吗？”

　　坏了！任何一个不以GeminiMed.com结尾的邮箱都会带来无比的麻烦。“你能发传真给我么？”

　　她顺利的应允了。

　　“我们的传真机坏了，我得问问另一台的号码，一会打给你。”说完，我挂了电话。

　　现在，你可能认为我被这个问题难住了，其实这只是任务中的一项常规作业。我调整了一下，好让自己的声音令接线员听起来不那么熟悉，接着我打电话对她说：“嗨，我是比尔?汤玛斯，我们的传真机坏了，可以往你的机器上发一个传真么？”她说没问题，然后告诉我号码。接下来，我要去他们公司拿走传真，是这样么？当然不。

　　第一守则：除非万不得己，绝不与当事人见面。如果你只在电话上与之联系，他们很难认出来你。如果他们认不出你，就不能逮捕你。如何给声音带上手铐呢？

　　过了一会儿，我打回电话问我的传真到了么？“到了。”她说。
　　“是这样，”我说，“我还得把它发给我们的一个顾问，能帮我发一下么？”她同意了，为什么？你指望哪个接线员能识别出敏感信息来呢？

　　她把传真发给那位“顾问”的时候，我正做着当天的运动，迈步走向我附近的一家文具店。那个台头标着”Faxes Sent/Rcvd”（发送传真/已接收）的传真应该比我先到吧，不出所料，我走进文具店时，它已经在那里了。6页，每页1.75美元，我付了一张10元钞和一些零钱，就拥有了那个小组的成员名单和邮件列表。

　　打入内部

　　好了，现在我已经跟三、四个不同的人谈过话，并往进入公司计算机系统的方向迈了一大步，但在回家之前还有几件事情要做，首先要搞到从外部拨入工程服务器（译者注：某项目组共用的服务器）的电话号码。我再次打到双星医疗让接线员转到IT部门，然后问接电话的人是否能找一个人给予我计算机方面的帮助。他把电话转给别人，我装作对计算机技术一窍不通。“我在家里，我刚买了一个笔记本，需要设置一下，以便能从外面拨入服务器。”

　　设置很简单，但我耐心地让他一步一步地教我，直到拨入电话号码。他告诉我那个号码，就像说出其它的一些日常信息。然后，我让他等我试一下。没问题。

　　现在，我已经克服了连接网络的障碍。我拨号进入，发现他们的终端服务器允许拨入者连接到内网上所有的计算机。多次测试后，我偶然发现一台计算机上的来宾账号口令为空。有些操作系统在首次安装时，会指导用户建立一个账号和口令，同时给出一个来宾账号，用户可以对其设置口令或是禁用它，但多数人不懂这一点，或者是嫌麻烦。这个系统可能是刚安装不久，而主人也没花点儿功夫把来宾账户禁用掉。

　　专业术语

　　哈希密码（PASSWORD HASH）：对口令进行一次性的加密处理而形成的杂乱字符串，这个加密过程被认为是不可逆的，也就是说，人们认为从哈希串中是不可能还原出原口令的。（译者注：2004年，王小云教授在国际密码学大会上公布了破解HASH函数的关键技术。）

　　多亏这个来宾账号，我现在访问到了一台运行着旧版本UNIX的计算机。UNIX的操作系统备有一个密码文件，这个文件包含所有有权访问这台计算机的用户的加密口令，也就是一次性加密的哈希密码。经过一次性哈希加密，一个真正的口令，比如“justdoit”，会被加密后的哈希字符代替。在这个案例中，口令被转换成13个字符位的数字和字母。当有人访问计算机时，需要输入用户名和口令以确认身份，这时系统就会对输入的口令进行加密，然后把结果与密码文件中的哈希口令对比，两者如匹配，访问允许。由于文件中的口令是加密的，因此虽然在理论上文件本身对于任何用户都是有效的，但并没有已知的办法能够解密口令。

　　这真是笑话。我下载了这个文件，运行字典攻击（本书第十二章有更多的攻击方法），发现研发组的一个叫斯蒂文?克莱默的工程师，在这台计算机中拥有一个口令为“Janice”的账号。我试着在一台服务器上输入这个口令碰碰运气，如果有效，这不仅会节省我的时间，还会让我少冒些风险。但口令无效。这就意味着我不得不用些技巧来让这个人自己告诉我他的用户名和密码。于是，我一直等到周末。后面的事情，你们已经知道了。周六，我打电话给克莱默，用蠕虫和服务器必须从备份中恢复的理由打消他的怀疑。也许有人要问，他填写雇用登记表时的口令是怎么一回事？我指望他不会记着所有的事，一个新员工要填的表很多，几年之后，谁还会记得呢？而且，即使我在他身上的努力失败，那份长长的名单上还有其他人可以尝试。

　　利用他的用户名和口令，我进入服务器开始搜索，很快找到了STH-100的设计文档。但我不确定哪些是关键的，于是我把所有的文件传送到“秘点”，中国的一个FTP站点，文件存放在那里不会引起任何人的怀疑，让客户在这堆垃圾里寻找他们的宝贝吧。

　　专业术语

　　秘点（DEAD DROP）：很难被别人发现的存放信息的地方。在传统的间谍活动中，秘点可能是一堵墙壁上某块松动的石头。对于计算机黑客来说，一般都是位于遥远国度的互联网上的一个站点。

　　过程分析

　　那个我们称之为克雷格?科伯恩的人，或是任何像他一样具备熟练社会工程学（不总是以违法行为盗窃信息）能力的人，以上叙述的难题几乎都如例行公事般简单。克雷格的目标是在一台受到保护的企业计算机上找到并下载文件，这台计算机被防火墙和通常所有的安全技术保护着。他的大部分工作如探囊取物般简单。先是假扮收发室的工作人员，声称收到一封不知寄给谁的联邦快递包裹来增加紧迫感，这样他得到了心脏支架研发组组长的名字，这位组长正在渡假，可他却留下了助手的名字和电话——这大大地方便了试图窃取信息的社会工程师。克雷格打给这位助手，谎称响应项目组长的要求来打消她的怀疑。组长不在城里，米歇尔在无法证实他所言属实的情况下，相信了他的话，并把项目组成员名单毫无保留地提供给他。对于克雷格来说，这是一组十分必要和珍贵的信息。

　　当克雷格让他发传真而不是使用令双方都方便的电子邮件时，她甚至都没有怀疑。为什么她如此轻易的相信他人？如同许多工作人员那样，她可不想在上司回来时发现她拒绝了一个人的要求，而这个人所做的事是她的上司交待要做的。此外，对方并没有说上司明确批准了他的请求，只是需要他的协助。她之所以还把名单给他，是因为有些人有一种显示自己是团队一员的强烈愿望，而这种愿望使大多数人容易被骗。

　　克雷格避免了亲自现身的风险，他让对方把传真发到接线员那里，他知道接线员会有帮助的。一般来说，接线员都有着温柔的性格和给人留下良好印象的素养，像收发传真这种在职责范围内的小忙，克雷格可以充分利用。虽然任何知道此信息价值的人看到她发出的信息都会引发警报，但你又如何指望一个接线员能分辨出无害信息和敏感信息的区别呢？

　　米特尼克信箱

　　每个人对工作的第一考虑就是完成工作，在此压力下，安全操作规程就放到了第二位并被遗漏和忽略，社会工程师就利用这一点来实施他们的诡计。

　　克雷格利用了一个从未改变过的默认口令，许多依靠防火墙的内部网络都存在着这种即明显又开放的漏洞。实际上，许多操作系统、路由器和其它产品，包括专用交换机的默认密码，在网上都有提供。任何一个社会工程师、黑客，或是商业间谍，还有那些仅仅是具有好奇心的人，都可以在http://www.phenoelit.de/dpl/dpl.html找到这个默认密码列表，简直令人难已置信，互联网把那些知道从哪里获取资源的人的生活变得如此轻松，现在，你也知道了。

　　然后，科伯恩竟然让一个行事谨慎怀有戒心的人透露了他的用户名和口令，从而访问到心脏支架研发组使用的服务器。这就如同在公司最严守的秘密上开了一扇门，克雷格可以任意浏览信息并下载新产品计划。

　　如果斯蒂文?克莱默继续他对克雷格的怀疑又会怎样？斯蒂文看来不大可能在他星期一早晨上班前报告此事，而到了星期一已经晚了。这个骗局最后部分的一个关键就是，克雷格先是显得对斯蒂夫所担心的事情漠不关心，接着换成一付让对方听起来是在帮助对方完成工作的口吻。许多时候，当受骗者认为你是在帮他或是在为他做事情时，往往会放开在其他情况下会坚守的秘密信息。

　　预防措施

　　社会工程师一个最强有力的技能就是扭转局面，这你已在本章中看到。社会工程师制造问题，然后魔术般地给予解决，然后从受骗者手中套出访问企业最严守的秘密的通道。你的员工会掉入这个圈套么？设计和实施这样一套防范攻击的安全规程，你会感到棘手么？

　　培训、培训，再培训……

　　有一则老故事，一个去往纽约的游客在街上叫住一个人问：“我怎样才能到达卡内基音乐殿堂？”那个人回答：“练习，练习，再练习。”每个人在社会工程师的攻击面前都很脆弱，而企业唯一有效的防范就是培养和训练员工，给予他们练习的机会，如何认出一名社会工程师。而且，要不断的始终如一的提醒他们在训练中学到的知识，否则很容易忘掉。

　　企业里的每一名员工人在与不是亲自认识的人打交道时，应具有适度的谨慎和警戒心，特别是访问计算机网络的有关事情要尤为注意。人类天性容易相信他人，但正如日本人所说“商场如战场”，公司在安全防护方面绝不能放松警惕，必须制定安全策略以清楚的区分哪些是不当的操作，哪些符合规程。安全措施不是千篇一律，企业员工通常都有着差别很大的任务和职责，而每个岗位都有着与之相关的漏洞。公司里的每个人都应完成一个基础培训，并加上依据他们的工作程序而设计的培训，以降低员工本人发生问题的可能性。而工作涉及敏感信息或身居关键职位的员工，更应给予专门的培训。
　　保持敏感信息的安全

　　如同本章中所讲的那样，当一个陌生人以提供帮助的名义与工作人员接近时，工作人员必须遵循为适合公司文化、业务需要而定制的合适的安全策略。

注：个人认为，并不是所有的企业都需要共享和交换密码，建立一个严格的规则来禁止员工共享和交换机密口令很容易，而且也更安全，但每个企业必须结合自己的工作环境和安全要点来做选择。

　　绝不要配合陌生人查询信息、在计算机上键入不熟悉的命令、改变软件设置，或是打开邮件的附件和下载未经检测的程序（这最有可能造成危害）。任何软件程序，即便是那些看上去无碍的程序，也很可能暗藏危险。

　　有些工作，无论我们的培训做得有多好，时间一长，我们就又粗心大意起来。接着便忘掉了非常时期的培训，因为那时正需要它。你可能认为不要泄露你的用户名和口令是一件无需提醒的事，任何人都知道或都应知道，这是一种普遍的认识。但实际上，每个员工都需要被经常提醒——泄露办公室计算机、家庭计算机、甚至是邮资机的用户名和口令与泄露ATM卡的个人身份识别码一样危险。

　　有时，在非常偶然的情况下，在有限的环境下，把机密信息透露给别人是必要，甚至可能是十分重要的。为此，制定“永远不要”的绝对规则是不合适的。然而，为特定环境制定相应的安全策略和规程十分必要，员工在非常时期可以把口令透露给别人，但对方必须被授权。

　　注意对方身份

　　在大多数机构中，安全规则要囊括所有可能给企业或工作人员带来损失的信息，只能是亲自认识的人，或是十分熟悉对方声音的情况下才能将信息透露。在高度防范的情况下，只有人员亲自在场的要求才被许可，或是通过一个强有力的认证模式，比如通过两个单独的检验条件，像共享密码和时间令牌。数据分类措施也必须指明公司敏感工作部门的信息不要透露给不认识的人或以某种形式担保的人。

注：很难让人相信，即使在企业员工数据库中查询打电话人的名字和电话号码并拨打回去，也不足已保证对方的身份。社会工程师懂得如何把名字放入数据库中和把电话转拨的方法。

　　那你又该如何处理公司的另外一名工作人员听起来十分合理的要求呢？比如，他需要你们部门的名单和电子邮件列表。实际上，对这种仅供内部使用，且明显没什么价值（这与新产品说明书的价值不可同日而语）的信息，很难对其提升安全意识。一个主要的解决方法就是，为每个部门指派一个负责处理对外发布信息的人，并给他们安排相应的培训，以使其明白应该遵循的确认程序。

　　勿有遗漏

　　任何人都可以对企业哪里需要高级别的安全防护以杜绝恶意攻击的事情夸夸其谈，可我们却经常忽略其它地方，这些地方并不明显，但极易受攻击。在上述的故事中，发传真到公司内部的一个号码似乎比较安全，没什么害处，但攻击者却利用了这一点。从这个例子中应该吸取如下教训：

　　公司的每一个人，从秘书、行政助理到执行人员和高层管理者都需要进行专门的安全培训，以使他们面对类似的欺骗手段时保持警醒。而且，别忘了看好前门——接线员，通常也是社会工程师的首要目标，必须让他们了解某些来访者和打电话人的骗术。企业安全部门应该建立一个单一的联系点，类似于情报中心，为那些认为自己可能成为社会工程师的攻击目标的员工汇报情况时所用。这样的一个情报中心会提供有效的预警系统，清晰化悄然发生的攻击，从而令任何破坏行动得到及时的控制。

第六章　你能帮我吗？

大家在前面已经看到社会工程师如何通过提供帮助来使人上当，他们的另一个惯用伎俩是假装需要别人的帮助，因为我们都会对处于困境的人施与同情，社会工程师便经常的利用这一方法来达到他的目的。

　　外地人

　　第三章中有个故事显示了攻击者如何通过对话令对方说出他的员工号码，下面的故事则运用不同的方法得到了相同的结果，并且这个故事还将展示攻击者如何利用这个号码。

　　硅谷有一家不太知名的全球企业，散落在世界各地的所有销售处和现场基站都是通过WAN――广域网，连接到公司总部。入侵者，一个叫布瑞恩?亚特拜（Brian Atterby）的狡猾的活跃分子，他知道入侵一个远程站点的网络总是要比总部的网络容易的多，由于前者的保护措施较为薄弱。

　　我找琼斯

　　他打电话到这家公司的芝加哥办公室，找琼斯（Jones）先生讲话，接线员问他是否知道琼斯先生的名字。

　　“我有他的名字，我正在找，你们那儿有几个叫琼斯的？”

　　“三个，你找的琼斯在哪个部门？”

　　“如果把他们的名字念一下，可能我就会想起来了。”

　　“拜瑞（Barry）、约瑟夫（Joseph）和格丹（Gordon）。”

　　“是乔（Joe，约瑟夫的昵称），肯定是他，他在，哪个部门？”

　　“商务拓展部。”

　　“很好，请帮我转过去好么？”

　　接线员将电话接通，琼斯接起电话，攻击者说：“琼斯先生？嗨，我是托尼，薪金发放专员（译者注：相当于管理工资发放的会计），我们刚刚依据你的要求，把薪金支票存入到你的信联账户上。”

　　“什么？？？你在开玩笑吧！我从来没这样要求过，我甚至在信联都没有账户！”

　　“哦，见鬼，我已经转过去了。”

　　一想到到薪金支票可能转到了别人的账户上，琼斯十分的心烦意乱，并开始怀疑电话另一端的小子是不是有些智力低下。他不知道该说些什么，这时攻击者说：“我得看看是怎么回事，薪金发放时要输入员工号码，你的号码是多少？”琼斯告诉了他。

　　“哦，不，你说得没错，发出请求的人不是你。”攻击者说。他们越来越蠢了，琼斯想。

　　“这样，我看一下谁负责此事，然后把错误马上改过来。请别担心，下次不会这样了。”

　　对方向他保证。

　　一次商务旅行

　　不久之后，这家公司在得克萨斯首府奥斯丁销售处的系统管理员接到了一个电话。

　　“我是约瑟夫?琼斯，商务拓展部的。这星期我要入住德斯基（Driskill Hotel）饭店，　　　我想让你帮我建立一个临时帐号，以免除远程拨号才能访问我的电子邮箱。”

　　“让我再确认一下你的名字，告诉我你的员工号码，”系统管理员说。假琼斯告诉了他，并说：“有没有速度很快的上网拨号？”

　　“请等一下，老兄。我得在数据库中确认一下。”不一会儿，系统管理员说：“好的，乔，你的楼牌号是多少？”攻击者对此早有准备，报上了备好的答案。

“好的，”系统管理员对他说：“验证通过。”

　　如此简单，系统管理员确认了约瑟夫?琼斯的名字，部门，还有员工号码，针对他的测试问题，“乔”也给出了正确的答案。

　　“你将使用的用户名与你在公司的一个用户名相同，jbjones，”系统管理告诉他说，“并且我将你的口令初设为changeme”。

　　米特尼克信箱

　　不要指望网络安全装置和防火墙来保护你的信息，要注意最薄弱的环节。通常，那就是你的员工。

　　过程分析

　　拨几个电话用上15分钟的时间，攻击者就可以访问这家企业的广域网了。有很多这样的企业，都属于我要提及的“软心糖安全”，这个概念最早是由贝尔实验室的两位研究人员提出的，斯蒂夫?贝劳文（Steve Bellovin）和斯蒂文?切斯威克（Steven Cheswick）。他们用这样的词语来描述这种安全防护：“坚硬生脆的外壳，核心却很柔软”，如同M＆M巧克力糖（一种驰名的糖果品牌），两位研究人员说，外壳即防火墙并不足以保证安全，因为一旦入侵者绕开它，内部的计算机系统便不堪一击。大部分情况下，这种保护措施是不够的。

　　上面的故事符合这个定义，利用得到的拨号和账户，攻击者甚至不用费力去攻击防火墙。而且，一旦他进入内部，内网的大部分系统就十分危险了。由于我我的经历，我知道这种骗局曾在世界最大的软件生产商身上起过作用。依据我的经验，在一个聪明的具有说服力的社会工程师面前，没有人是绝对安全的。

　　专业术语

　　软心糖安全：贝尔实验室的贝劳文和切斯威克提出的说法，用以描述一种安全状况。外部防御十分强壮，如防火墙，但其后面的设施却十分脆弱。这个说法来自于M＆M巧克力，这种糖果有着坚硬的外壳和柔软的糖心。

　　地下酒吧式的安全：知道自己想要的信息在哪里，并且使用一个词或是名称来获得对此信息或计算机系统的访问权的一种安全形式。

　　地下酒吧式的安全

　　对于早期的地下酒吧——那些在禁酒令时期提供自酿酒的夜总会，一个顾客需要走到门前敲门，然后门上会打开一个小口，伸出一张冷冰冰的脸。如果来人熟悉情况，他就会说出此地的老主顾（一句“乔让我来的”就可以了），看门的护卫就会打开门让他进来。

　　这个事情的关健在于知道地下酒吧的位置，门上没有标志，而酒吧老板也不会挂一盏霓虹灯在门口来表示这儿有个酒吧。通常，只要能找到地方就基本可以进入。很不幸，同样的安全措施在企业中广泛存在，这种没有任何保护的安全级别我称之为地下酒吧式的安全。

　　我在影片中见到过它

　　这儿有一个例子，来自一部许多人都会想起来的电影。《英雄不流泪》（Three Days of the Condor）中的主角，特纳（罗伯特?瑞德福特饰演）为一家与中央情报局签约的小调查公司工作。一天，他吃完午饭后回来发现他的同事们都被枪杀了，他决定找出凶手和真相，同时那些坏人也一直在找他。故事的后面部分，特纳（Turner）设法得到了其中一个坏人的电话号码，但这个人是谁？特纳又如何确定他的在哪儿呢？他很幸运。编剧大卫?瑞菲尔轻松的给了特纳一个美国陆军通讯兵的受训背景，使他在电话方面有着丰富的知识和经验。特纳当然知道该如何利用手中的电话号码，在剧本中，那幕场景是这样的：

　　特纳重新拿起电话拨出另一个号码

　　叮呤！

　　女性的声音从电话中传来：CNA，我是科尔曼（Coleman）夫人。

　　特纳：科尔曼夫人，我是哈罗德?托马斯，客户服务CNA202-555-7389，谢谢。

　　科尔曼夫人：请稍等。（几乎是同时）兰纳德?亚特伍德，马里兰州切维柴斯区麦克肯色街765号。

　　虽然编剧错误地把华盛顿特区的电话区号用到了马里兰州，但我们没必要注意这个细节。关健是弄明白刚才的对话是怎么一回事。

　　特纳由于有通讯兵的受训背景，他知道如何给电话公司的CNA部门（Customer Name and Address－客户名称与地址）打电话。CNA是为了方便电话安装员和其他得到授权的电话公司职员而成立的部门，电话安装员拨打CNA并提供一个电话号码时，CNA的服务人员就会报出电话所有者的名字和地址。

　　愚弄电话公司

　　在现实世界中，CNA的电话号码保护的十分严密。尽管当今的电话公司最终明白这一点，并不再轻易的泄露此类信息，但在当时他们却实行着地下酒吧式的安全，那时的安全专家们管这种安全叫做隐晦安全。他们假定任何给CAN打电话并知道其专业用语（如，客户服务CNA555-1234）的人都已被授权得到相应信息。

　　专业术语

　　隐晦安全：一种效率低下的计算机安全手段，通过对系统运转细节（协议、算法和内部系统）的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统，因此这种安全并不可靠。

　　米特尼克信箱

　　隐晦安全在社会工程师的面前毫无用处。在这个世界上，每一个计算机系统至少有一个人在使用。因此，如果社会工程师能够操纵这个使用系统的人，系统的隐晦就没有意义。不用亲自验证或确认，不用提供员工号码，也不用每天改变口令，只要你知道正确的电话号码并听起来可以信任，你就有权得到相关信息。对于电话公司来说，情况并不总是这样，他们还会定期的（至少一年一次）改变电话号码做为仅有的安全举措。即便这样，某个特定时期的号码还是在电话盗打者的圈子里传得很广，他们很高兴利用这个便利的信息资源，并乐于在同行中分享他们的所做所为。在我十几岁习惯盗打电话的时期，拨打CNA我最先学到的手段之一。

　　在全世界的政府和企业中，地下酒吧式的安全仍然很普遍。它可能是你公司的部门、员工和专业术语，有时连这些也用不着，一个内部电话号码就够了。

　　粗心的计算机管理者

　　尽管企业中的许多员工都对信息安全的危险或给予忽视或漠不关心，或是没有这方面的意识，但那些500强企业中计算机中心的管理者应该对安全操作了如指掌了吧，对吧？

　　不要期望一位计算机中心的管理者——负责公司IT部门的人，会掉入简单、明显的社会工程学圈套，尤其是还带有孩子气的、刚步入社会的年轻社会工程师。但有时，这样的想法是错误的。

　　收听

　　在以前，对许多人来说，把无线电调到地方警察局或消防队的频率收听正在进行中的银行抢劫、办公大楼起火、高速追击是一件很有趣的事情。执法部门和消防部门使用的无线电频率，曾经从街角书店的书中就可以查到。现在，在网上就有这些频率的列表，你还可以从Radio Shack（译者注：美国著名电子产品零售商）买到列有地方、郡、州有时甚至是联邦机构无线频率的书。

　　当然，不只是那些怀有好奇心的人，午夜抢劫店铺的窃贼会收听是否有警车派到附近，毒品贩子要始终关注的毒品缉查人员的行动，纵火犯则通过放火后收听消防队奋力灭火的情况来满足他的变态嗜好。

　　最近几年来，计算机技术的发展已经使声音信息的加密成为可能。在工程师们不断的找到方法把越来越多的计算能力塞进一块微芯片时，他们也开始制造小巧的加密无线设备，帮助执法部门来防范坏人和怀有好奇心的人窃听。

　　窃听者丹尼

　　一个我们称之为丹尼的扫描器爱好者，同时也是位技巧娴熟的黑客，他想看一下自己是否能够染指由安全无线系统顶级生产商开发的绝密的加密软件源代码。他希望通过这些代码了解如何对执法部门进行窃听，同时利用此技术令即便是最强有力的政府部门也很难监视他与朋友的通话。在朦胧的黑客世界中，丹尼这样的人属于特殊的一类，介于无恶意的好奇和完全的破坏之间。他们有着专家般的知识和极易引起麻烦的黑客想法，为了智力挑战和了解技术细节带来的满足感入侵系统和网络。但是他们惊人的电子入侵技术，也仅仅是一种特技。

　　这些人，这些无恶意的黑客，非法进入别人的网站纯粹是为了有趣并为能够证明自己的能力而感到满足。他们并不偷窃，也没有利用这种手段来赚钱。他们不会破坏文件、中断网络连接，或是摧毁计算机系统。他们的目的就是悄悄地捕获文件拷贝、搜索电子邮件、得到密码，以嘲弄那些网络管理员和对安全负责的工作人员，他们的满足感基本来自于这种胜人一筹的能力。

　　就这样，我们的丹尼为了满足自己强烈的好奇心并为了对生产商可能做出的惊人革新一看究竟，他将检验对方高度保护的产品信息细节。不用说，这种产品的设计是受到严密保护的，如同公司其他贵重的财产一样。丹尼知道这一点，但他并不怎么担心。毕竟，这只是一家没什么名气的大公司。但他如何得到软件的源代码呢？

　　正如我们最后将要看到的，从公司的保安通讯小组中猎取信息很容易，即使这家公司也使用了双因素认证（用户需两种单独的标识来证明身份）技术。这里有一个你可能已经熟悉的例子：当你的信用卡更换日期到了的时候，你需要给发行公司打电话，让他们知道信息卡还在持卡人的手中，并没有被人偷走。信息用卡上会说明在通常情况下要从家打电话，当打电话时，信用卡公司的软件程序就会分析ANI（自动号码认证），并被转到公司的免费电话上。信用卡公司的计算机使用ANI提供的呼叫方号码，与公司持卡人数据库中的号码做比较。公司的工作人员在接电话时，他或她就会看到数据库中显示的客户详细信息。这样，工作人员就知道了电话是客户从家中打来的，这就是一种形式的认证。

　　专业用语

　　双因素认证：用两种不同的验证方式对身份进行确认。比如，一个人必须从某个可确认的地方打来电话并知道口令来确认自已的身份，然后工作人员从你的信息中选出某个条目（通常为社会保险号码、出生日期或是母亲的姓氏）来询问你，如果你的答案正确，这就是第二次的验证――基于你应该知道的信息。我们故事中那家生产安全无线电系统的公司，每一名有权访问计算机的职员都有自己的账号和口令，并另外配备一个叫做安全ID的电子小设备，这就是时间令牌。它有两种型号：一种只有一张信用卡的一半大小，但稍厚些。另一种小到可以挂到钥匙链上。

　　这个特殊的装置由加密技术衍生而来，它的上面有一个显示六位数字的小窗口，每六十秒改变一次。当一位得到授权的用户从外部访问网络时，她首先必须输入她的PIN码和令牌上的数字，依此来确认自己的身份。内部系统一旦予以确认，她就可以输入用户名和口令进行认证。

　　对于觊觎着源代码的年轻黑客丹尼来说，他不仅要解决用户名和口令的问题（对于经验丰富的社会工程师来说这算不上什么难题）还要绕过时间令牌的检测。攻破基于时间令牌和用户PIN码的双因素认证听起来像是一个“不可能的任务”，但对于社会工程师来说，这种挑战类似于一个能够占尽对方优势的有着高超观察能力的牌手，再加上一点儿小运气，当他在桌子旁坐下来时，就知道别人口袋里的钱基本已是他的囊中之物了。

　　冲击堡垒

　　丹尼先是做准备工作，很快他就得到假扮一个真正的雇员所需的各种信息。姓名、部门、电话号码和员工号码，还有部门经理的姓名和电话号码。现在，是攻击前的平静期。按照计划，丹尼在采取下一步行动前还需要一个条件，而此事他毫无把握：丹尼需要大自然母亲的帮助，他需要一场暴风雪，一个阻止人们去办公室上班的恶劣天气。在南达科他州的冬季，那家生产商的所在地，一个恶劣气候从不会让希望它的人等太久。星期五晚，一场暴风雪到了。雪迅速的转成冰雨，到了早晨路面就会结一层薄薄的冰，十分危险。这对丹尼来说，简直太好了。

　　他打电话给那家厂商，转到计算机机房，找到一名自称罗杰?科瓦斯基（Roger Kowalski）的计算机操作员。

　　丹尼：“我是安全通讯部的鲍伯?比林斯（Billings），我现在家中，因为冰雪的缘故我无法开车。我现在需要访问我的工作站和服务器，但我把安全ID忘到办公桌上了，你能帮我拿回来么？或者让别人帮一下忙，然后当我登录的时候给我念一下好么？我的工作任务有一个最后期限，我没有别的办法。而且，我也没办法去办公室，路况太糟糕了。

　　操作员科瓦斯基：“我不能离开计算机中心……”，

　　丹尼：“你自己有安全ID么？”

　　科瓦斯基：“计算机中心有一个，我们保留它是为了操作员应对紧急情况的。”

　　丹尼：“听着，你能帮我这个忙么？我拨号入网的时候，借用一下你的安全ID可以么？路况一能驾车就不用了。”

　　科瓦斯基：“你是谁来着？你的上司是谁？”

　　丹尼：“埃德?特伦顿（Ed Trenton）。”

　　科瓦斯基：“哦，我认识他。”

　　当事情比较棘手时，优秀的社会工程师会多做一些调查工作。“我就在二层，”丹尼说：“罗伊?塔克（Roy Tucker）的旁边。”科瓦斯基也知道这个人。丹尼接着重新建议他：“到我的办公桌取来安全ID很方便。”

　　丹尼完全断定对方不会听从他的建议。首先，对方不会在当班的时候离开岗位，穿走廊、爬楼梯到大楼的另一边。也不会到别人的办公桌上乱翻一通，打搅别人的私人空间。没错，这个赌注很安全。

　　科瓦斯基不想对一个需要帮助的人说“不”，当然他也不想擅自做主张而让自己陷入到麻烦中，于是他做了个折中的决定。“我得请示一下，稍等。”他放下电话，丹尼能听到他拿起另一个电话拨打并解释这件事。科瓦斯基这时做出了让人难以理解的陈述（他实际上已经认定了丹尼就是鲍伯?比林斯）。“我认识他，”他对他的主管说：“他的上司是埃德?特伦顿。我们能让他用一下计算机中心的安全ID吗？”

　　丹尼惊奇地偷听着科瓦斯基对他意乎寻常、意料之外的支持，他简直无法相信自己的耳朵。

　　又过了一会儿，科瓦斯基拿起丹尼的电话说：“我们经理想亲自跟你说话。”然后告诉丹尼经理的名字和手机号码。丹尼打过去又把整个故事重复了一遍，同时又添加了一些工作细节和他的工作为什么有一个最后期限。“如果有人拿回来我的安全ID就方便多了，”丹尼说：“我想桌子应该没锁住，它就在左上方的抽屉里。”

　　“嗯，正好是周末，”经理说：“我想你可以用计算机中心的ID，我让值班人员在你拨入的时候给你读一下随机访问码。”然后他把相应的PIN码告诉了丹尼。整个周末，丹尼只需打电话给计算机中心让有关人员念一下安全ID上的六位数字，便随时都可以进入这家企业的计算机系统。

　　内部任务

　　当丹尼进入这家企业的计算机系统后，又该怎么办？他如何找到那台放有他想要的加密软件的服务器呢？对此，他已有所准备。许多计算机用户都知道电子公告板形式的新闻组，人们可以把问题贴上来或者回答别人的问题，也有人用它来寻找拥有共同兴趣的虚拟伙伴，如音乐、计算机，或者是其他成百上千的主题。在新闻组站点上发布信息的时候，很少有人会想到这些信息会在网上保留数年之久。比如Google，目前保留着7亿条信息量的存档，某些信息已经有了二十年的历史。丹尼首先访问了http://groups.google.com这个网址，用“无线加密通讯”和那家企业的名称做为关健词进行搜索，结果发现了一条数年前某个职员贴出的信息，是在这家公司刚开始开发这个产品的时候贴出的，很可能是在警察部门和联邦机构考虑使用加密无线信号很久以前的事了。

　　这条信息包含了发送者的签名档，其中不仅有他的名字――斯科特?普瑞斯（Scott Press），还有他的电话号码，甚至他的工作组名称――安全通讯小组。丹尼发现这个电话后打了过去，这个机会似乎很渺茫。多年后他仍然还在这家公司么？在这个暴风雪的周末他还会在工作么？电话铃在响，一声、二声、三声，一个声音从电话另一端传来，“我是斯科特，”对方说。

　　丹尼介绍自己是公司IT部门的，从而操纵着普瑞斯（用前几章中大家已熟悉的方法）透露出研发部门所使用服务器的名称，这些服务器的上面可能存有这家企业无线安全产品固件和独有加密算法的源代码。

　　丹尼越来越接近目标，也越来越兴奋。他期待着那种快感，那种当他完成只有很少人才能达到的目标时所感到的狂喜。然而，他现在还不能放松。虽然由于计算机中心经理的支持，可以随时进入这家企业网络系统，同时也知道了需要访问的服务器。但是，在他拨入时他登录的终端服务器却不能连接到安全通讯小组的系统。一定是有内部防火墙或是路由器保护着研发组的计算机系统，丹尼必须找到其他的办法进入。

　　接下来的情况需要些胆量，丹尼再次给计算机中心的科瓦斯基打电话抱怨：“我的服务器不让连接，我需要你帮我建一个账号来telnet（远程登录）系统。”

　　既然部门经理已经同意告诉他时间令牌上的访问码，当然这个新的请求似乎也没什么不合理。科瓦斯基在计算机中心的计算机上建立了一个临时账号，然后告诉丹尼不再需要这个账号时通知他，好把它删除。有了这个临时账号，丹尼便可以连接到安全通讯小组的系统了。经过了一个小时的查找，丹尼中了个头彩，他找到了访问研发服务器的漏洞。很明显，系统管理员并没有时刻关注最新的系统远程安全漏洞，但丹尼关注了。

　　很快地，他就找到那些源代码文件，并把它们远远地发送到一个提供免费存储空间的商业站点。这样，即使这些文件被发现，也不会追查到丹尼。现在只剩下最后一步了：有条不紊的擦去他的痕迹。他在当晚的杰伊?里诺（译者注：Jay Leno，著名脱口秀节目主持人）的节目播完之前完成了这项工作。

　　丹尼极为得意他的这次杰作，在这次行动中，他从未把自己置于危险之中，这是一次令人陶醉的激情之旅，甚至比滑雪和跳伞都要过瘾。丹尼那天晚上喝醉了，不只是因为威士忌、杜松子、啤酒和清酒，在盗来的源代码文件中逐步地接近那绝密的无线软件时，他完全沉醉于自己的能力和成功感之中。

　　过程分析

　　在上面的故事中，骗局的成功归于那家企业的职员过于相信了打电话人表示身份的话语。这种帮助同事解决问题的热心一方面使工作顺利进展并获得更令人满意的合作认可，另一方面却是极易被社会工程师利用的重大漏洞。

　　在骗局中丹尼使用的一个小技巧值得注意：他在要求别人到他的办公桌上拿安全ID时，不断地说“拿回来”。这个用语经常做为让狗取东西的命令，没人会乐意为别人“拿回来”东西。由于这一点，丹尼更加的断定这个请求不会被接受，于是其他的解决方法便会自然而来，那正是他想要的结果。那个计算机操作员科瓦斯基，在丹尼随便的说出了一个自己碰巧认识的人名后便完全相信了他。但为什么科瓦斯基的经理（一个IT经理）竟然也同意让陌生人访问公司的内网？仅仅是因为这样的求助电话是社会工程师百宝囊中一个强大的说服工具么？

　　米特尼克信箱

　　这个故事表明时间令牌或是类似的认证方法并不能抵挡住一个诡计多端的社会工程师，真正有效的防范是一个尽职尽责职员，不仅严守公司的安全守则而且了解别有用心的人是如何影响他人的行为的。

　　预防措施

　　在上述所有的故事中有一点似乎经常提到，那就是攻击者从企业外部进入内部的计算机网络时，帮助他的工作人员都没有采取足够的措施来确认对方的合法身份，是否有权访问系统。为什么我会经常提及这一点呢？因为，这的确是许多社会工程师在攻击时所采用的手段。对于他们来说，这是达到目标最简单易用的方法。一个电话就能解决的事，还有必要再花上几个小时寻找技术上的漏洞么？

　　对于社会工程师来说，实施这种攻击最有力的手段就是假装需要帮助，这是攻击者经常采用的方法。既然我们不想禁止员工对同事或客户的帮助，因此特定详细的确认程序成为判断任何人是否有权使用计算机或接触机密信息的必要。这样，我们才可以帮助应该帮助的人，同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的各种不同的确认方法，第十七章提供这样的一个详细列表，但在这儿首先要考虑一些指南：一个确认对方的好办法就是拨打公司通讯录上的电话，如果对方实际上是个冒名顶替者，那么这个确认电话不是令你找到真正的人（被冒充者，而这时冒名顶替者还给你打着电话），就是可以听到被冒充者的语音信箱，从而你就可以与冒名顶替者的声音做比较。

　　如果企业使用员工号码确认身份，务必要把员工号当做企业的敏感信息，小心保护，不要泄露。此规则适用于所有的内部识别信息，如内部电话号码、部门单据，甚至电子邮件。在安全培训中应唤起每个人对陌生人的警惕，不要因为对方听起来熟悉内部或可信就认为他是真正的内部人员，仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认的理由。

　　安全管理人员和系统管理员不能只注意其他人员的安全意识，他们自己也需要提醒自己遵循守则、程序和操作规程。密码口令等信息绝不能共享，而对时间令牌或其他方式的认证来说，限制共用则更为重要。应该普遍认识到，这类事物的共享会危害到公司整个的系统布署。共享就意味着无责任，如果发生安全事件，或是其他问题时，就分不清是谁的责任了。

　　正如我在整本书中不断重申的，员工要熟悉社会工程师的策略和方法，仔细的分析对方的要求，考虑把角色扮演做为安全培训中的一个固定内容，以使员工能较好的理解社会工程师的手段。

第七章　假冒网站和危险附件

虽然有句老话说“不劳而获是不可能的”，但把免费当做幌子进行促销仍是许多商家愿意使用的方法，无所谓合理（“等一下，还有……，现在打电话，我们将免费奉送一套餐刀和一个长柄锅！”）或不太合理（“佛罗里达湿地，买一亩送一亩！”），而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心，出门不换”的警言，但在这里需要注意的是一另句话：“小心具有诱惑力的电子邮件附件和免费软件。”精明的攻击者会想方设法进入企业的网络，比如利用免费礼物对人们的吸引力。下面是几个例子：

　　你不想免费么？

　　就像病毒从一开始就给人类带来祸害，给医生带来麻烦一样，计算机病毒给其使用者带来同样的苦难。如今，计算机病毒以其巨大的破坏力受到很多人的关注，它们是由计算机破坏者制造出来的。计算机痴迷者逐渐存心不良，计算机破坏者在卖力的炫耀他们是多么的聪明过人。有时他们的行为像是入门仪式，为了给具有老资格和经验丰富的黑客前辈留下印象，他们攒着劲的制造出会带来危害的蠕虫或病毒。一旦这些“成果”破坏了文件，毁掉整个硬盘，并把自身发给成千上万的毫无防备的人，破坏者便会因此而沾沾自喜。如果这些病毒带来的危害足以成为报纸的新闻和网络上的病毒警告，他们便更加得意洋洋了。

　　有很多文章来描写这些破坏者和他们制造的病毒，还有防病毒的软件程序和专门的安全企业，但我们在这里并不想过多的讨论如何在技术上防范他们的攻击，以及他们的破坏行为，我们的话题将更多的关注他们的远亲――社会工程师。

　　来自电子邮件

　　你也许每天都能接到不请自来的邮件，有广告还有提供免费品之类的邮件，这些东西你既不需要也不想要。你知道那无非是些投资建议、电器、维生素或旅游打折之类的东西，还有你并不需要的信用卡、可以免费观看收费电视频道的设备、增进健康或改进性生活的方法，等等等等。

　　但每当这样的邮件从你的电子邮箱弹出来的时候都会引起你的注目，也许是一个免费游戏、一副你喜欢的名星的照片、一个免费日历软件或是用来保护你的计算机免受病毒侵害的便宜的共享软件。无论是什么，它都会引导你去下载你想去尝试的文件。

　　所有的这些行为，包括下载从广告邮件中得知的软件、点击一个你从未听说过的网站链接、打开陌生人发过来的附件，都可能会惹来麻烦。当然，很多时候你得到的也正是你想要的，或者运气很差，令你失望和生气，但至少无害。可有些时候，你会碰到计算机破坏者制造的程序。发送恶意代码到你的计算机上只是攻击的一小步，攻击者会诱导你下载完成攻击所需的附件。

　　注：　

　　有一种在计算机上悄悄运行的程序叫RAT（Remote Access Trojan）――远程访问控制木马，它给予攻击者充分访问你的计算机的权限，如同坐在你的键盘前。最具有破坏力的恶意代码病毒，像爱虫（Love Letter）、SirCam和Kournikiva等等，都依赖于社会工程师欺骗的艺术，并利用人们不劳而获的心理传播。它时常作为一个具有引诱力的邮件附件而出现，像机密信息、免费色情资料，或者一个更加诡诈的方法――一条你可能定购了某昂贵物品的信息。最后这种方法，利用你害怕信用卡可能被消费的心理，令你打开这些危险的附件。

　　令人震惊的是，有太多的人因此而上当，即使在一次又一次的被告知打开附件的危险性之后。随着时间的过去，逐渐削弱的危险意识，让我们每一个人都易受攻击。

　　识别恶意软件

　　另一种恶意软件在你不知道或未认可的情况下进入你的计算机运行，这种软件伪装的很好，甚至有时它会表现为一个word文档或是powerPoint文件，或含有宏命令，它将悄悄的安装一个未经许可的程序。比如，它可能是一个在第六章谈到过的木马。一旦这个软件安装到你的计算机上，它能够将你每一次敲击键盘的情况反馈给攻击者，包括你的口令和信用卡号。

　　还有两种恶意软件，听起来些难以置信。一种可以把你说的每一句话都传送给攻击者，即使你认为你的麦克风是关着的。另一种更加恶劣，如果你的计算机配有摄像头，攻击者可以利用它捕获在你计算机前发生的任何画面，即便你认为你的摄像头是关着的，无论白天或黑夜。

　　专业术语

　　恶意软件：一种危害性的程序，例如病毒、蠕虫，或是木马。

　　米特尼克信箱

　　小心那些提供礼物的伪装者，否则你的公司很可能会遭受与特洛伊城相同的命运。一旦发现可疑迹象，一定要采取保护措施。有些喜欢恶作剧的黑客可能会在你的计算机上运行一些骚扰程序，如弹开你的光驱、最小化你的当前窗口，或者用最大的音量在半夜播放一声尖叫。虽然这样的伎俩没有什么意思，尤其当你完成工作或准备睡觉时，但至少这些恶作剧不会带来真正的损失。

　　朋友的消息

　　也许情况会变得更糟，尽管你已经处处小心。想像一下：你已经决定不再冒险，不再从你不知道和信任的站点下载文件，除了那些可靠的站点，如安全焦点(SecurityFocus.com)和亚马逊(Amazon)。你不再点击不知其来源的邮件链接，不再打开陌生的邮件附件，并检查你浏览器的安全标志，以确定你访问的电子商务或交换秘密信息的站点的安全性。

　　这样，有一天，你收到一封朋友或商业合作伙伴的带着附件的邮件。这封来自熟人的信不会有危险吧？即使有危险，你也知道该找谁承担。于是，你打开了附件……轰！你又中了蠕虫或是木马。为什么你的熟人会这样做呢？事情并不象表面上那样。事实是，进入到某人计算机上的蠕虫会根据所进入计算机上的地址薄，自动的把自身发给地址薄中的每一个人。这样，每一个中了此蠕虫的计算机都会传给其地址薄上的所有熟人，蠕虫就这样不断地繁殖，如同在水塘中掷下一块石头而产生的波纹。

　　这种手段之所以有效在于它结合了两个方法：一是在没有戒心的受害者中传播，二是以熟人的面目出现。

　　米特尼克信箱

　　人类发明了许多奇妙的方法，以改变世界和我们的生活方式。但每一种带来的进步的科技，无论是计算机、电话还是互联网，总会有人利用它做坏事，以满足自己的私欲。目前的科学技术处于这样一种状态，你在收到熟人的邮件之后仍然要确定它是否安全，是否可以打开，这真是一件令人悲哀的事。

　　主题变奏

　　在这个互联网时代，有一种骗局可以诱使你进入一个你并不想去的站点，这经常发生，并且有很多种方法。这个典型例子基于一个发生在互联网上的真实故事。

　　圣诞快乐

　　埃德加（Edgar）是一个已退休的保险销售商，一天他收到一封来自贝宝（PayPal，提供方便快捷的在线支付公司）的邮件。这种服务对于一个在某地或是某个国家从不熟悉的商家购物时，尤其方便。贝宝会直接把从买家的信息卡中把钱转到卖家的账户。埃德加是一个古董瓶的收藏者，通过在线拍卖公司eBay做过许多网上交易。他经常使用贝宝，有时一个星期就用数次。于是，埃德加对这封2001年圣诞节期间，像是来自贝宝公司的邮件很感兴趣，这封邮件是一封升级他的贝宝账户的奖励邮件。信中写道：

　　节日问候！贝宝高级用户：

　　新年将至，贝宝将往您的账户上划入5美元，你只需在2002年1月1日前，到贝宝安全站点确认这5美元是做为升级你的账户信息所用即可。新年新气象，升级您的账户，以延续您在贝宝的记录，同时方便我们以优质的服务继续为您提供有价值的客户服务。立即升级账户并马上接收5美元，请点击：http://www. Paypa1 -secure. com/cgi bin　谢谢您使用贝宝和对我们的支持！圣诞快乐，新年愉快！

　　贝宝

　　电子商务网站

　　你也许知道，人们不大愿意在网上购物，即便是亚马逊、eBay，或象老海军（Old Navy）、塔吉特(Target)、耐克这样的这样名牌公司和网站。从某方面来看，他们的戒心无可非议。如果你的浏览器使用现在的128位加密标准，那么你从计算机上发往任意一个安全站点的信息都是经过加密的。这些数据经过大量的努力理论上可以被解密，但更可能的是在正常的时间内无法解密，除非是国家安全部（但谁也没听说过，国家安全部对盗窃美国公民的信息卡号以及谁定购了色情录像或情趣内衣感兴趣）。

　　这些加密信息实际上可以被任何有时间有才智的人所破解。但是，许多电子商务公司把他们的客户信息未经加密的存储在数据库中，在这种情况下，再去耗费巨大的精力去破解一个信用卡号会是多么的愚蠢。更糟糕的是，有许多使用特定SQL数据库软件的电子商务公司都会犯这样的错误：他们从未改变过数据库系统管理员的默认口令。他们安装数据库时，系统口令默认是空口令，于是它就一直空着。所以，这个数据库里面的内容，对于互联网上任何尝试连接这个数据库服务器的人都是唾手可得的。

　　这些站点始终都处在被攻击并且信息会被窃取的危险下，而无需复杂的手段。另一方面，那些不愿在网上购物的人担心他们的信用卡信息被盗。但他们却不在意去真实的商店购物，吃午饭、晚饭，甚至去偏僻街道的小酒馆等一样可以用信用卡付费的地方，即便这些地方总是有人偷取信用卡的收据，有时收据还会从垃圾箱中被人找出。还有一些道德败坏的店员服务生会偷偷记下你的名字和卡号，或使用很容易就在网上买到的盗卡装置，来存储在它上面刷过的信用卡数据，以备日后使用。

　　在线购物有些冒险，但也可能和在真实的商店购物一样安全。当你在网上使用信用卡时，信用卡公司为你提供相同的保护。如果发生欺诈性收费，你的账户只会损失头一笔交易的50美元。因此我认为，对网上购物的恐惧只是另一种错误的担心。

　　埃德加没有注意到邮件中的几个不对劲的地方，如抬头的分号，混乱的用词（我们以优质的服务继续为您提供有价值的客户服务）。他点击了链接，输入姓名、地址、电话号码和信用卡等信息，然后静静地等待5美元的到来。但他等来的只会是一堆他从未购买过的商品账单。

　　过程分析

　　埃德加被互联网上司空见惯的骗局所欺骗，这种骗局有多种形式，其中一种（详见第九章）有着与真正网站一样的界面，看起来真实可信。不同之处在于冒充的页面不会到达用户真正想访问的系统，而是会把他的用户名和口令发给黑客。埃德加被骗了，对方注册了一个域名为paypal-secure.com的网站，看上去如同贝宝的一个安全页面。当他在这个页面输入个人信息时，黑客们便得逞了。

　　米特尼克信箱

　　当没有安全保证时，无论什么时候访问一个需要输入个人信息的网站时，一定要确认当前链接是可信和加密的。更需注意的是，不要顺其自然地点击对话框中的“yes”，尤其是有安全提示的对话框，比如无效、过期或废除的数字证书的提示。

　　变奏之变奏

　　究竟有多少多种方法可以骗取人们在假冒的网站输入他们的机密信息？我不认为大家对此有一个统一的答案，但无疑是越来越多。

　　不明链接

　　一种常见的手法：发送一封具有诱惑力的邮件，提供一个链接。它并不会带你到想去的站点，它只是看起来像那个的站点的链接。另一个已经在互联网上应用的例子是，用paypa1模仿paypal。

　　乍一看来，像是贝宝的域名。即便受害人注意到这一点，他也可能会以为只是一个文本上的小错误，把1当成l了。而谁又会立刻注意到那是一个数字1而不是小写的L呢？就这样，有很多的人失去了信用卡上的钱，而这个诈骗手段得以继续。假冒网站做的跟真得一样，当人们访问时，便轻率地输入他们的信用卡上的信息。建立这样一种行骗的机制，攻击者只需注册一个用来冒充的域名，发出电子邮件，然后等待那些傻鸟们上钩。

　　2002年，我收到一封标着来自Ebay@ebay.com的邮件，很明显这是一个群发性质的邮件。见图8.1，（译者注：我的电子书中看不到这张图。）这样的链接应该注意。

-------------------

亲爱的eBay用户，很明显您的eBay账户被第三方所影响并违犯了我们下面的用户协定条款：

　　4.招投标

　　用户如果通过固定价格或成为最高价竞买人，并经销售方同意，则有义务与销售方一起完成此项交易，否则此项交易会被本协定或法律终止。

　　您之所以收到此通知是因为您当前账户服务的中断引起了我们的注意，eBay方面需要立刻验证你的账户，请验证您的账户以免账户被封。点击此处验证你的账户――http://error ebay.tripod.com　商标设计和标志为各自拥有者所有，eBay以及eBay图标为eBay有限公司的注册商标。

-----------------

　　点击这个链接的人会来到一个很像eBay网站的页面，设计精美，带有eBay的图标，令人可信。而且，如果点击页面上的“浏览”、“出售”等一些导航链接，可将访问者带到真正的eBay站点。页面的右下角也有一个安全的图标，为了防止精明的用户发现马脚，仿造者甚至使用HTML加密来掩盖用户信息的发送地。

　　这是一个极好的基于计算机进行社会工程学攻击的例子。然而，它也有着一些漏洞。内容上文笔较差，尤其是在最后一段的开头“您之所以收到此通知”，这即拗口也用词不当（实施这些骗局的人才不会雇用一个专业编辑人员来修饰这些内容）。此外，任何一个认真的人都会对eBay索取访问者的贝宝账户信息感到怀疑，eBay有什么理由能向用户索取用户在另外的公司中注册的私人信息呢。

　　而且如果对于互联网很熟悉的人来说，很可能会发现这个链接并不是eBay的域名，而是tripod.com（一个提供免费主页的网站），这无疑是一封非法的邮件。然而，我打赌还是会有很多人在这样的页面上输入他们的个人信息，包括信息卡号。

　　注：为什么人们可以注册欺骗性和不合适的域名？现行的法律和互联网政策规定，任何人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者，但结果并不理想。通用（美国著名汽车公司――generalmotors.com）对一个域名为fuckgeneralmotors.com的网站提出诉讼，通用败诉。

　　保持警觉

　　作为互联网的个人用户，我们所有的人都应该保持警觉，当键入个人信息，如口令、账户或PIN码等信息时，要对目前情况有清醒的认识。你的熟人当中，有多少人能保证他在浏览的页面是安全页面？你公司的员工又有多少人知道该如何做？

　　每个使用互联网的用户都应该认识那个经常出现在网页上的像一个小挂锁样的图标，当挂扣合上的时候，站点则是安全的。如果挂扣打开着，或是就没有挂锁图样，这个站点就不能被确认是可信的，在上面传送的任何信息都可能处于危险之中（信息未被加密）。

　　然而，一个危及计算机管理员权限的攻击者可能会更改操作系统代码，甚至为其打上补丁，以掩饰计算机已受到攻击的真相。比如，可以绕过浏览器中的程序对显示某站点的数字证书是否失效的检测。再比如，系统可能会被植入rootkit，安装一个或多个很难检测出来的系统级别的后门。

　　安全连接可以保证站点的真实性，并对传输的信息进行加密。因此，一个攻击者便无法利用他拦截的信息。可以信任一个已经使用加密连接的站点么？不，因为这个网站的站长并没有随时为网站打上必要的安全补丁，因此不能假定任何安全站点都可以对攻击免疫。

　　专业术语

　　后门：在用户不知道的情况下进入用房计算机的一个隐蔽入口。编程人员在开发软件时，也会用其来进入程序以解决问题。安全超文本传输协议（HTTP）或安全套接层协议（SSL）提供一个使用数字证书的自动机制，，不仅可以加密发送到远端站点的信息，还可以对其进行认证（保证所连接的站点是真实可信的）。然而，这种保护机制对于那些疏于检验地址栏中的网址是否为他们想访问站点的用户是无效的。

　　还有一个极容易被忽视的安全问题，弹出类似这样的消息框：“此站点非安全站点或安全证书已过期，您是否还要继续访问？”许多互联网用户并不清楚它的具体含义，于是他们直接点击“确定”或“是”来继续他们的访问，而没有意识到可能已处于危险之中。

　　警告：在没有使用安全协议的站点上，一定不要输入个人的敏感信息，如地址、电话、信息卡号或银行账号，或者是任何你不想泄露的私人信息。

　　托马斯?杰佛逊（译者注：Thomas Jefferson　美国第三任总统，《独立宣言》的起草人）说过，保持自由需要“永远的警惕”。在一个视信息为流通货币的社会，要保护个人隐私和安全同样如此。

　　了解病毒

　　一个对病毒软件的特殊提示：不仅是对企业内网的用户，而且对每一个计算机用户都是必要的。不要只是把防病毒软件装在机器上，还要让其时刻运行（许多人不喜欢这样做，因为会降低计算机的性能）。

　　另外一个需要谨记的是：保持病毒库的更新。除非你的企业负责为每个员工更新软件和病毒库，否则自己一定要承担起下载最新病毒库的义务。我个人建议每个人都对防病毒软件的更新功能进行设置，以使软件可以每天自动更新病毒库。

　　专业术语

　　安全套接层协议：网景开发的用于互联网上客户与服务器端的安全认证协议。经常性的更新病毒库可以基本保证计算机的安全性，但这并不足以完全保证安全，还有一些病毒或蠕虫是防病毒软件公司未知的，因此相应的保护程序也就没有发布。

　　所有有着远程访问权限的用户，至少要在笔记本电脑或家用电脑上升级防病毒软件和防火墙。老练的攻击者会从整个系统中寻找到最弱点而发起攻击，因此需要时常提醒那些有着远程访问权限的用户，激活防病毒软件、升级他们的防火墙是共同的安全防范责任，因为你无法指望一个工作人员、主管人员、销售人员，或其他IT部门的人会时刻记得如果他们的计算机没有保护而发生的危险性。

　　除此之外，我还强烈推荐不常使用但的确重要的防特洛伊木马的软件。在写作这本书期间，已经有两个为人所熟知的防木马程序，The Cleaner(www.moosoft.com)和Trojan Defense Sweep(www.diamondcs.com.au)。

　　最后，对于那些没有在企业网关上做危险邮件扫描的公司来说，可能是最重要的安全提醒：由于我们习惯于忘记或忽略那些与完成工作不直接相关的事，因此需要反复地以不同的方式提醒员工，不要打开陌生邮件的附件。管理部门也要提醒员工激活防病毒和防木马软件，以防范那些看似可以信任但实则会带来危害的邮件。

第八章　利用同情、内疚和胁迫

和在15章中讨论的一样，社会工程师利用心理影响引导目标答应他的请求。熟练的社会工程师非常擅长一个诡计：刺激情感，如畏惧、兴奋或内疚。他们利用心理触发——自动机制，引导人们未经深入分析有用的信息就回应请求。

　　我们想让自己和他人都避免陷入困境，基于此论断，攻击者可以利用人们的同情心，让他的目标感到内疚，或者像使用武器一样胁迫受害者。

　　下面是一些研究所的利用情绪的热门策略课程。

　　电影制片厂的访客

　　你有没有注意过一些人是怎样进入有守卫的地方（比如，会议室、私人派对或者图书发布仪式）而不用被询问是否有入场券或通行证？

　　有许多相同的方法，一个社会工程师能在你没有想过可能性的地方谈论他的方法——就像下面这个电影行业的故事一样。

　　电话响了

　　“罗恩·希亚德（Ron Hillyard）办公室，我是多罗茜（Dorothy）。”

　　“多罗茜，你好，我叫凯尔·贝拉米（Kyle Bellamy）。我刚刚加入Animation公司成为布莱恩·格拉斯曼（Brian Glassman）的职员，你应该对这里不同的事情很了解吧。”

　　“我想，我从没在其它电影公司工作过，所以我真的不知道，我能帮你做什么？”

　　“说实话，我觉得自己有点笨，今天下午为稿件会议约了名作家过来，不知道该和谁讨论让他参与哪一部分。布莱恩办公室里的人都非常好,但是我不想再麻烦他们教我这件事我该怎么做，那件事我该怎么做,就像我刚刚从大学出来找不到去洗手间的路。你明白我的意思吗？”

　　多罗茜笑了。

　　“你要和Security里的人讨论，拨号7，然后6138。如果你联系上了劳伦（Lauren），告诉她多罗茜说她能够帮助你。”

　　“谢谢，多罗茜。如果我找不到男洗手间，我会再打电话给你！”

　　他们都为这个想法暗自发笑，然后挂了电话。

　　大卫·哈罗德（David Harold）的故事

　　我热爱电影。当我搬到洛杉矶时，我想我可以和各种各样的电影商业人士见面，他们会邀请我参加聚会并在摄影棚里吃午饭。好，我在这里已经一年了，现在26岁，最靠近的一次是在菲尼克斯和克里夫兰（译者注：均为美国城市）遇到了环球电影公司的一些友好的人。所以最后我开始记录电话号码，如果他们不邀请我，我就邀请我自己。我就是这样做的。

　　我买了一份洛杉矶时报并花了几天时间阅读了里面的娱乐专栏，写下不同电影公司的制片人的名字。我首先确定了一个偶然发现大型制片厂，然后打电话给接线总机请求接通我在报纸上找到名字的这个制片人。接线员的回答很亲切，所以我很幸运，如果是一个只在那里盼望着着被提拔的年轻女孩，她也许不会给我时间。

　　但是这个多罗茜，她听上去像是在接待一个迷路的小猫，有人同情这个被新工作打击了的新人。并且我肯定很好的触动了她，不是每天你设法欺骗一些人他们就会给你比你请求的更多的东西。出于同情，她不仅给了我一个在Security的人的名字，还说我可以告诉那位女士多罗茜希望她帮助我。

　　当然我计划过无论如何要利用多罗茜的名字，劳伦都没查找我提供的名字是否真的在员工数据库里就信任了我，这让我的目标更好实现。

　　当我那个下午开车进入大门时，他们不仅把我的名字放到了访客名单里，还为我准备了一个停车位。我在内部餐厅吃了一顿迟了的午饭，然后在这个地方散步直到一天结束。我甚至偷偷摸摸地到了几个摄影棚，看他们拍电影直到7点才离开。那是我经历的令人激动的一天。

　　过程分析

　　每个人都曾是新员工。我们对上班第一天的事情记忆犹新，尤其是当我们没有经验，对工作不熟练的时候。所以当一个新员工求助时，他可以盼望许多人——尤其是登记处的人——可以记得他们自己是个新人时遇到困难的感觉并伸出援手。社会工程师了解这些，他知道可以利用目标的同情心来办到。

　　我们让攻击者轻易地进入我们公司的工作间和办公室实施他们的计划，即使在入口处有守卫并对每一个非员工实行签名程序，任意变化一个在这个故事里使用的诡计，都能让一个入侵者获得一个来宾的认证并光明正大地进入。如果你的公司要求访客被陪同呢？这是个好规定，但是它只在这种假设下才有效——你的员工们真正尽责的拦住任何有或没有访客认证的人并询问他，然后如果对回答不满意你的员工们会联系安全部门。

　　攻击者谈论进入你的公司危及敏感信息的方法，这对他们来说很容易。当今世界，恐怖分子攻击的威胁笼罩着我们的社会，比陷入危险中的信息多得多。

　　“现在就做”

　　 不是每一个使用社会工程学策略的人都是精练的社会工程师。任何掌握公司详细内部信息的人都变得危险，即使任何公司的经理对员工的所有个人信息文件和数据库进行限制（当然，大部分公司都会这样做），危险依然存在。

　　当不对职工们进行教育和培训如何防御社会工程学攻击时，坚决的人，就像接下来的故事里那位被抛弃了的女士一样，所做的事情大多数诚实的人会认为不可能。

　　道格(Doug)的故事

　　总之，和琳达(Linda)的事情不是很顺利，当我看到艾瑞(Erin)时，我就确定她是我的唯一。琳达是，像是，有一点……好吧，有些不确切，不稳定，当她烦恼时她会不经过大脑就行事。

　　我尽量温和地告诉她必须从我家搬出去，并且帮她整理东西，甚至让她拿走了几张属于我的Queensryche CD。等她一走我马上到五金店买了一把新的Medico锁，把它装在了前门并在当天晚上锁好。第二天上午我打了一个电话给电话公司，让他们更改我的电话号码，并对其保密。

　　我可以自由地追求艾瑞了。

　　琳达的故事

　　我准备离开了，无论如何，那时我还没有作出决定。但是没有人会喜欢被抛弃的感觉。所以只有一个问题，我该怎样让他知道他有多么负心？

　　没花费很多时间就可以断定他有了另一个女孩子，否则不会这样仓促地和我分手。所以我只要稍等一下，然后在晚上很晚的时候开始打电话给他。你知道的，在这段时间他们最不想接电话。

　　我等到第二个星期才在星期六晚上11点钟打电话给他，可是他更改了他的电话号码，新号码又没有在电话表里列出来，这有些像是SOB的人干的。

　　这不是个很大的挫折。我开始在一些文件里到处翻寻，那是我辞去电话公司的工作前设法带到家里的。就是它——我保存的一张维修票，道格的电话线路有一次出现故障，这上面列出了他的电话线路。看吧，你可以尽你想要的修改你的电话号码，但你的电话线依然连接在你的房子和电话公司的中继局之间，接通着电话总机办公室(Central Office，或者说CO)。电话线路的设置被这些接通着线路的号码所确认，如果你知道电话公司是怎么样做这些事情的，像我做的那样，找到电话号码只需要获得目标的电话线路设置。

　　我有一张这个城市所有CO的列表，里面有他们的地址和电话号码，我找到了一个在道格这个负心汉我以前住的地方旁边的CO号码，并且打过去，但是没有人在那里。转接员在你需要他的时候在哪里？实足用了20分钟我才拿出计划，开始打电话给附近的其他CO，最终锁定了一个人。但是他太远了并且他可能坐在那里什么事都不做。我知道他不会按我需要的做，我已经计划好了。

　　“我是琳达，维修中心，”我说，“我们遇到了紧急情况。一台医疗机构的服务器当机了。我们使用技术手段尝试重新启动服务器，但是找不到问题所在。我们需要你马上开车到韦伯斯特(Webster) 的CO，看我们离开电话总机办公室能否拨通。”

　　然后我告诉他，“当你到那里时我会打你电话的。”因为我当然不能让他打电话给维修中心找我。

　　我知道他不愿意离开舒适的电话总机办公室，穿得厚厚实实的，擦掉挡风玻璃上的积雪，深夜在烂泥地上开车。但这是紧急事件，他没理由说自己很忙。

　　当我四十分钟后在韦伯斯特的CO里见到他时，我告诉他检查29线2481路，然后他热情地检查了，并说，是的，线路是通的。当然这我早知道了。

　　所以我说，“好的，我需要你进行LV（line verification线路排查）。”那需要他确认电话号码，他打了一个重复号码给电话拨打者的特殊号码就做到了。他不知道这是个未列在电话表里的号码，或者是这个号码刚刚被修改过。所以他按我要求的做了，并且展示了他的线路工人的测试设置。很好，所有的事情像有魔力一般完成了。

　　我告诉他，“好的，故障肯定被排除了。”就像我一直都知道这个号码一样。我感谢了他并告诉他我们要继续工作，然后说，晚安。

　　米特尼克信箱

　　一旦一个社会工程师了解了目标公司的内部工作流程，使用这些知识与一个正式员工相识将变得很容易。公司需要预防这些社会工程学攻击，来自现在的或以前的别有企图的员工。后台检查可以帮助清除有这些行为倾向的人。但是在大多数案例中，发现这些人是非常困难的。在这些案例中唯一合理的安全措施就是执行和审核身份验证程序，包括员工身份和之前有无透漏公司的任何内部信息给任何人。

　　道格试图通过一个未公布的电话号码在我面前隐藏起来的故事到此为止。

　　好戏开始了。

　　过程分析

　　这个故事里的年轻女士之所以能获得她想要信息来实现她的复仇计划，是因为她拥有内部知识：那些电话号码、程序和电话公司的行话。有了它们她不仅可以找到一个新的、未公布的电话号码，而且可以在冬季的晚上，让一个电话转接员为了她而穿过整个城镇。

　　“比格(BIGG)先生想要这个”

　　一个流行的非常有效的胁迫方式——因为它太简单了——依赖于利用权威来影响人们的行为。

　　仅CEO办公室助手的名字就很有价值，私人侦探，甚至猎头公司都始终在做这些事情。他们打电话给接线员,说他们想要联系CEO的办公室。当秘书或者助理经理回应时，他们就说他们有一个文件或者包裹给CEO，或者如果他们发送一份电子邮件附件，她能把它打印出来吗？或者他们会问，传真号码是多少？顺便问一下，你叫什么名字？

　　然后他们打电话给下一个人，说，“比格先生办公室的琼尼(Jeannie)要我打电话给你，他说你能帮我。”

　　这个技巧是打电话时略提权威人士以示相识而提高自己身份，它通常是个惯用的方法，通过影响目标让他相信攻击者与权威人士有联系而迅速建立友好关系，目标大多对这些人有好感，他们认识他认识的人。

　　如果攻击者着眼于进攻高度敏感的信息，他可以使用这些方法激起受害人有用的情绪，例如害怕和上司之间陷入麻烦。下面是一个例子。

　　斯科特(Scott)的故事

　　“斯科特·艾布拉姆(Scott Abrams)。”

　　“斯科特，我是克里斯多佛·道布瑞 (Christopher Dalbridg)，我刚刚和比格雷(Biggley)先生结束通话，他有些不高兴。他说他10天前发了一条短信给你，想要拿你的市场深入调查给我们分析。但我们没有拿到任何东西。

　　“市场深入调查？没有人和我说过和它有关的任何事情。你是哪个部门的？”

　　“我们是他请来的顾问团,我们已经落后于预定计划了。”

　　“听着，我在去开会的路上，告诉我你的电话号码……”

　　现在攻击者听上去有些失落：“你想让我告诉比格雷先生吗？！听着，他希望明天早上拿到我们的分析，我们不得不整晚都为它工作。现在，你希望我告诉他我们不能完成，因为我们没有没有从你那里拿到报告，或者你想亲自告诉他呢？”

　　一个生气的CEO可以摧毁你的一个星期，目标可能会决定在去开会之前较好的解决这些事情。再一次，社会工程师按下了正确的按钮获得了他想要的回应。

　　过程分析

　　如果一个人在公司里地位相当低，通过提及权威人士工作的胁迫方式很有效，利用重要人物的名字不仅可以消除正常的不愿和怀疑，而且经常让人热情的满足要求。当你认为这个你帮助的人是重要的或有权势的，自然希望自己变得更加有用。

　　社会工程师知道，虽然，运用这种特殊的欺骗是最好的，利用比目标上司等级更高的人的名字，但是小公司对这种开局很机警：攻击者不想他的目标有和商业副总裁交谈的机会。“我发送了一份产品销售计划给你，那个人跟我说的。”能轻易的引起这样的回答“什么销售计划？什么人？”这将导致公司发现自己被攻击了。

　　米特尼克信箱

　　胁迫可以引起对惩罚的畏惧心理，使人们合作。胁迫也可以引起人们对困境的畏惧心理或者害怕失去新的提升机会。

　　人们必须训练当陷入安全危机时，不但是可以接受的而且是合理的去挑战权威。信息安全训练应该包含教育人们如何通过友好用户途径挑战权威，而不会破坏关系。而且，应当落实这些期望。如果一个员工不支持不考虑身份的挑战权威，正常的反应是停止挑战——正好和你想的相反。

　　社会保险总署(Social Security Administration)了解你的哪些事情

　　我们喜欢认为政府机构把我们的信息保护得很严密，只有可信的人才能知道。事实是甚至联邦政府都不像我们想象的那样免疫入侵。

　　梅林(May Linn)的电话

　　地点: 社会保险总署区域办公室

　　时间:星期四的早晨, 上午10:18

　　“三号Mod,我是王梅林。”

　　电话的另一端的声音听上去像是在道歉，几乎有些羞怯。

　　“王女士，我是艾伦戴尔·亚瑟，审查中心办公室。我能叫你'梅’吗？”

　　“是'梅林’”她说。

　　“好的，是这样的，梅林，我们这里来了个新人，他至今还没有电脑，马上他要有一个优先的任务，他就用了我的电脑。我们属于美国政府，我们大声的抱怨，但他们说他们的预算里没有足够的钱为这个人买一台电脑。现在我的上司认为我拖欠了工作并不想听到任何借口，你知道吗？”

　　“我懂你的意思，好的。”

　　“你能帮我快速查询一下MCS吗？”他请求道，用到了查询纳税人信息的电脑系统的名字。

　　“当然，你要查什么？”

　　“首先我需要你对约瑟夫·詹森进行一次阿尔法查询(alphadent)，DOB是7/4/69。”（阿尔法查询的意思是在电脑里按字母顺序查询纳税人的名字，通过生日来确认身份。）

　　在简短的停顿后，她问道：

　　“你需要知道什么？”

　　“他的账户号码是多少？”他说，用到了社会保险号码的内部称呼。她把它读了出来。

　　“好的，我需要你对那个账户号码进行数据列表(numident)。”打电话的人说。

　　数据列表是请求她把纳税人的基本数据读出来。梅林回答了纳税人的出生地点、母亲的名字和父亲的名字。当她同样告诉他发行卡的年月和发行它的区域办公室时，打电话的人有耐心的听着。

　　他下一步请求进行一次DEQY(显然“DECK-wee”是“详细收入查询”的简写。)

　　DEQY的请求得到了这样的回应，“哪一年的？”

　　打电话的人回答，“2001年。”

　　梅林说，“总计190,286美元，户头是詹森微技术公司。”

　　“还有其它收入吗？”

　　“没有。”

　　“谢谢，”他说，“你真是个好人。”

　　然后他试着和她商量当他需要信息并且不能使用他的电脑的时候能获得帮助，他再次使用了拿手的社会工程学欺骗，尝试和同一个人保持联系，避免每次都要寻找新的目标。

　　“下个星期不行。”她告诉他，因为她要去肯塔基州参加她妹妹的婚礼，在其它的时间她可以帮他，只要她办得到。

　　当她挂上电话时，梅林感觉很好，因为她为一个未被赏识的公务员提供了帮助。

　　基思·卡特(Keith Carter)的故事

　　从电影和畅销犯罪小说里可以得出结论，私人侦探缺乏道德规范，渴望知道如何了解人们有趣的事实。他们用很违法的方法实现它，几乎不能消除被逮捕的危险。真相，当然，大部分PI（译者注：private investigator缩写，私人侦探。）的生意运作完全合法。自从他们中许多人开始在他们的工作中声称完全遵守法律，他们完全知道什么是合法的，什么是不合法的，大部分人不会想越过这条线。

　　这里，仍然，有例外。一些PI——比一些更多——所做的确实和犯罪小说里塑造的那些家伙一样。这些人在交易中充当信息经纪人很出名，将要违反法律的人的教养有限。他们知道如果走捷径就可以更快更好的完成任何任务。这些捷径可能严重触犯了法律，不过似乎不能阻止一个更加肆无忌惮的人，那将使他们在高墙下度过数年的时光。

　　高消费阶层的PI——这些人在城镇高价出租屋里设计出独特的办公套房——不亲自做这些事情，他们只是雇用一些信息经纪人为他们工作。

　　我们称呼这个人为基思·卡特，一个不受道德规范限制的私人侦探。

　　一个典型的案例是:“他藏钱的地方在哪里？”或者有时候是:“她藏钱的地方在哪里？”有时候是一个有钱的女士,想知道她的丈夫把她的钱藏在哪里(虽然为什么一个有钱的女人曾经和一个家伙结婚是一个谜,但这不是基思·卡特现在想知道的,因此没有去找一个很好的答案)。

　　这个案例里的丈夫名字是乔·詹森，他把钱藏了起来。他“是一个非常聪明的人，他从他妻子家族借了一万美元创建了一家高技术公司，发展成了上亿美元的公司。”按照她的离婚律师所说，他做了一件高难度的事情隐藏了他的资产，这位律师想要一份完成的资产报告。

　　基思首先确定他的起点是社会保险总署，目标是他们关于詹森的文件，像这样的情形，那里装着非常有用的信息。有了相关信息的帮助，基思可以伪装成目标让银行、经济公司和风险投资公司告诉他任何事情。

　　他的第一个电话打给了本地区域办公室，使用了任何公共成员都可以使用的同一个的800号码，这个号码列在了本地电话本里。当办事员在线时，基思要求连线产权局的人。等待了一会儿，然后有了声音。现在基思改变了方式,“你好，”他说，“我是格热格瑞·亚当斯(Gregory Adams)，329区域办公室。听着，我在设法联系一个产权调停者操作一个尾数为329的账户号码，我从传真机那里得到的这个号码。”

　　“那是2号Mod。”这个人说，他查到了号码并告诉了基思。

　　下一个电话他打给了2号Mod（译者注：上文中说的是三号Mod，不知道为什么）。当梅林响应时，他改换了角色，成了审查中心办公室的一名进行常规审查的工作人员，碰到了问题，他的电脑不得不给别人使用。她把他要找的信息告诉了他，还同意在他将来需要帮助时找她帮忙。

　　过程分析

　　是什么使得利用员工的同情心这一方法有效？在这个故事里，别人用了他的电脑然后“我的上司对我不满了”。人们并不经常表达他们的情感，当他们这样做时，可以使人们再一次失去对社会工程学的本能防御。“我遇到了麻烦，你能帮我吗？”的情感策略是赢得这一天用的所有东西。

　　不安全的社会

　　难以置信，社会保险总署把他们全部的程序操作手册提交到了网上，这些信息里有很多对他们有用，但同样也对社会工程师有价值。它包含了缩写、术语和如何请求你想要的东西的指令,就像这个故事里描述的那样。

　　想要知道社会保险总署的更多内部信息？只要在Google里面搜索或者在你的浏览器里输入下面这个地址：http://policy.ssa.gov/poms.nsf/。除非这个机构已经阅读了这个故事并在你阅读这些以前移除了这个手册，你可以找到在线使用说明，它甚至详细地给出了哪些数据SSA办事员可以提供给执法部门。实际上，那一部门包含了任何可以使SSA办事员相信他来自执法部门的社会工程师。攻击者不能成功的从一个接到审查中心的电话的办事员那里获得这些信息。基思的攻击方式仅仅是使用一些公众难以获得的电话号码，接听的人因此希望任何打这个电话的人应当是内部的一些人员——另一个地下酒吧式安全的例子。帮助这一攻击的基础包含以下几个前提：

　　知道Mod的电话号码。

　　知道他们使用的术语——阿尔法查询、数据列表和详细收入查询。

　　假装来自审查中心办公室，那是每一个联邦政府员工都知道的遍布政府的有很大权力的研究机构。这给了攻击者一个权威的光环。

　　一个有趣的事实是：社会工程师似乎知道怎么样进行请求，因此一个曾经认为那很困难的人，即使当他问“为什么你打电话给我。”时，理论上，如果这个电话来自一些完全不同的其它部门的人，可以建立更多理解。也许他的简单的意图只是帮助这个打电话的人，好让单调的日常工作能停顿一下，受害人不会去想这个电话有多么不寻常。

　　最后，这个故事里的攻击者，没有满足于这些到手的信息，他还想要和目标建立联系好让他可以有规律的打电话来。他可以使用普通的同情心攻击策略——“我把咖啡撒在键盘上了。”可是，那在这里不适用，因为一个键盘可以在一天里面更换掉。

　　因此他使用了这个别人用了他的电脑的故事，他可以适当地将扩充这些：“是的，我想他昨天会有一台他自己的电脑，但是一个人进来和另一个家伙进行了一些交易把它给换了。所以这个爱开玩笑的人仍然出现在我的办公室里。”等等。

　　我很可怜，我需要帮助，像有魔力一般有效。

　　一个简单的电话

　　一个攻击者的主要障碍是让他的请求看上去合理，像是受害人的工作日里碰到典型请求一样，那不会让受害人太陌生。像一生中的许多其他事情一样，进行合理的请求有一天是个挑战，但是下一步，它就会变成小菜一碟。

　　玛丽·哈里斯(Mary Harris)的电话

　　日期/时间：星期一，十一月23日，上午7:49

　　地点：麦斯拜&火炬会计公司(Mauersby & Storch Accounting)，纽约

　　对于大多数的人而言，会计工作就是数字整理和账目计算，通常认为那些就像在小路上漫步一样惬意。幸运的是，不是每一个人都那样看这份工作。例如，玛丽·哈里斯认为她的工作像高级会计师一样有趣，一部分原因是她是这家公司最专注的会计员工之一。

　　在这个特殊的星期一，玛丽到得很早，开始了漫长的一天里她的首要工作，并吃惊地发现她的电话响了。她接了电话，报上了她的名字。

　　“你好，我是彼得·谢帕德(Peter Sheppard)。这里是奥布斯特(Arbuclde)公司，这家公司为你的公司提供技术支持。我们在周末收到了几个这里电脑有问题的人的投诉。我想我可以在早上所有人进来工作之前充当故障检修员。你的电脑有任何问题或者连接网络有任何问题吗？

　　她告诉他她还不知道。她打开了她的电脑，当电脑启动的时候，他解释了他要做的事情。

　　“我想在你的电脑上进行一些测试，”他说，“我能在我的屏幕上看见你键入的字，我想确认网络通顺。所以当你录入时，我想要你告诉我那是什么，然后我会检查这里是否是相同的文字或数字。好吗？”

　　梦魇一般的景象，她的电脑无法工作，失败的一天，不能完成任何工作，她很高兴这个人能帮她。过了一会儿，她告诉他：“我到了登陆屏幕，我要输入我的ID。我现在键入它——M...A...R...Y...D。”

　　“到现在为止很好，”他说，“我看到了。现在，前进并输入你的密码但不要把它告诉我。不要把你的密码告诉任何人，甚至技术支持部门都不可以。我在这里只会看见星号——你的密码受到了保护所以我无法看到它。”这些都不是真的，但这对玛丽有意义。然后他说：“当你的电脑启动时告诉我。”

　　当她说它启动了时，他要她打开两个应用程序，然后她报告说他们运行得“很好”。

　　玛丽看到所有东西都运行正常，放心了。彼得说，“我很高兴可以确定你的电脑工作正常。听着，”他继续道，“我们刚才安装了一个更新程序，允许人们更改他们的密码，你可以给我几分钟时间让我能检查它是否工作正常吗？”

　　她对他的帮助很感激于是欣然答应了。彼得告诉她运行这个程序的步骤，允许用户修改密码，这是Windows2000操作系统的标准组件。“前进并输入你的密码，”他告诉她，“但是记住不要大声地说出来。”

　　当她完成这些时，彼得说：“只是为了这个快速测试，当它请求你的新密码时，输入'test123’，然后在确认栏里再次输入它，点击确定。”

　　他告诉她从服务器断开的方法。他让她等待几分钟，然后再连接，这次试着用她的新密码登陆。它像有魔力一样工作着，彼得似乎很高兴，然后告诉她用初始密码改回去或者选择一个新的密码——再一次提醒她不要把密码大声地说出来。

　　“好了，玛丽，”彼得告诉她，“我们找不到任何错误，那很好。听着，如果有了任何问题，只要打电话到奥布斯特公司我们这里，我通常有特殊任务，但是这里的任何人都可以帮助你。”她感谢了他然后他们互相说了再见。

　　彼得的故事

　　彼得这个名字传播得很广——在他的学校里许多和他一起去学校的人听说他可以进行一些电脑风啸获得其他人不能获得的有用信息。当艾丽丝·康拉德找到他并寻求帮助时，他首先说的是不。为什么他要帮忙？当他第一次遇见她并试着和她约会时，她的拒绝让他倍受打击。

　　但是他拒绝帮忙似乎并没有让她吃惊。她说她认为一些事情他无论如何也办不到。那可能是个挑战，因为他当然确定他能办得到，那是他同意的理由。

　　艾丽丝拿出了一份关于一家交易公司的一些顾问工作的合同，但是这份合同的条款似乎不是很好。在她回去请求获得更好的待遇以前，她想要知道其他顾问他们的合同条款都有些什么。

　　下面是彼得讲述这个故事。

　　当我知道它很容易时，我不想告诉艾丽丝任何事情除了我可以做到人们认为我做不到的事情。好的，不容易，准确点，这次不容易，要做一系列的事情，但是还好。

　　我要给她展示这真实的一切，多潇洒。

　　星期一早上7：30之后一点点，我打电话给交易公司办公室并联系上了接待员，说我是这家公司处理他们退休金计划的人，想要和会计公司的人谈话。她有没有注意到会计公司的人还没有上班？她说：“我想我几分钟之前见到过玛丽，我帮你联系她。”

　　当玛丽拿起电话时，我告诉她关于电脑故障的一些故事，那让她有些神经过敏，所以她很高兴的合作了。当我告诉她怎样修改她的密码时，我用同样的临时密码（我要她使用的：test123）快速登陆了系统。

　　进入并掌握了这里——我安装了一个小型程序允许我无论何时只要我想要就能访问这家公司的电脑系统，使用了一个我自己的秘密的密码。当我挂断玛丽的电话时，我的第一个步骤是清除登陆纪录，这样就没有人知道我曾经登陆过他（或她）的系统。这很容易。在我提升了我的系统权限之后，我下载了一个叫做clearlogs的免费的程序，我是在一个安全类的网站www.ntsecurity.nu找到它的。

　　到真正的工作时间了。我在所有文件里查找文件名带有“contract（译者注：合同）”关键字的文件，然后把它下载下来。我还在根目录里找到了更多——这些目录里包含了所有的顾问工资报告。所以我整理了所有的合同文件和一张工资清单。

　　艾丽丝可以细读这些合同看他们支付多少钱给其他顾问。让她辛苦地细读所有这些文件吧，我做到了她要我做的。

　　从我存放这些数据的磁盘里，我打印了一些文件当作证据给她看。我要她和我约会并请我吃午饭，当她翻阅这一堆纸时你可以看见她的表情。“没门，”她说，“决不。”

　　我没有拿出这些磁盘，它们是诱饵。我说过她不得不过来拿，希望也许她会对我的帮助表示感谢。

　　米特尼克信箱

　　那很令人惊讶，基于那些精心构造的请求社会工程师可以轻易地让人们帮他做事。前提是引起基于心理作用的自动回应，依赖于当他们觉得这个打电话的人是盟友时人们心理的捷径。

　　过程分析

　　彼得打给交易公司的电话表现的是社会工程学攻击的最基本的形式——一个简单的尝试只需要一点点准备，首次尝试的工作，只用几分钟就能完成。

　　甚至更好，玛丽，这个受害人，没有认为那是一些对她的欺骗或诡计，没有提交报告或引起骚动。

　　彼得的计划使用了三种社会工程学策略。首先他让玛丽因为害怕而合作——让她认为她的电脑不能用了。然后他花时间让她打开了两个应用程序，这样她确定了她的电脑工作正常，让他们之间的好感增加了，感觉有了同盟一样。最终，他按照计划的一部分利用她的感激（他帮助她确认了她的电脑工作正常）让她进一步地合作。

　　通过告诉她在任何时候都不能说出她的密码，甚至不能告诉他，彼得彻底地完成了这一微妙的工作，让她觉得他是在关心她的公司文件的安全。这促进了她的信心，他肯定是合法的因为他在保护她和她的公司。

　　警察的搜捕行动

　　描绘一下这样的情景：政府为一个叫做阿图若·森彻(Arturo Sanchez)的人设置了陷阱，他在互联网上免费发布电影。好莱坞制片厂说他侵犯了他们的版权，他说他只是推动他们承认一个不可以避免的交易方式，所以他们开始做些事情让新电影可以免费下载。他指出（正确地）这是电影公司完全忽视的巨大的收入来源。

　　搜索证，谢谢

　　一天晚上回家迟了，他穿过街道查看了一下他家的窗户并注意到灯灭了，即使他出去时也总是会留下一盏灯。

　　他用力敲着邻居家的门直到他把这个人叫醒了，然后了解到确实有警察搜索了这座建筑。但是他们让邻居们待在楼下，所以他不能确定他们进入了哪个房间，他只知道他们离开时带走了一些很重的东西，可是他们把它掩盖了起来，他也说不出那些是什么，他们没有逮捕任何人。

　　阿图若检查了他的房间，坏消息是警察留下了一张纸条要求他马上打电话在三天之内确定一次会面，更坏的消息是他的电脑不见了。

　　阿图若这天晚上消失了，他和一个朋友待在一起。但是一些不确定的东西困扰着他，警察知道了多少？他们最后会不会逮捕他，不给他任何逃走的机会？或者也不完全是这样，他可以解决这些事情而不用离开这里？

　　在你继续阅读之前，停下来思考几分钟：你能想象出任何途径去找出警察知道你的哪些事情吗？傲慢的你没有任何政治上的联系或有朋友在警察局或司法办公室，你可以想象任何途径，像一个普通公民一样，去获得这些信息吗？或者那只有一些有社会工程学技巧的人才能做到？

　　警察的故事

　　阿图若对他需要知道的感到满意，像这些：开始是，他拿到附近复印店的电话号码，打电话给他们请求使用他们的传真号码。然后他打电话给检察官办公室，找档案室。当他联系上档案办公室时，他介绍他自己是莱克镇的警官，说他需要和归档现行搜查证的办事员谈话。

　　“可以。”那位女士说。

　　“噢，好极了，”他回答，“因为我们昨晚搜捕了一个嫌疑犯，我想要了解宣誓书的位置。”

　　“我们用他们的地址归档。”她告诉他。

　　他说出了他的地址，她的声音几乎有些激动。“噢，是的，”她吐着泡沫，“我知道这个，'版权侵犯’。”

　　“就是这个，”他说，“我在寻找宣誓书和许可证的副本。”

　　“哦，我这里正好有。”

　　“好极了，”他说，“听着，我现在在外面，有一个关于这件案子的秘密服务的十五分钟会议。我最近有点恍惚，把文件留在了家里，这里没有那些文件并且来不及回去拿了。我可以从你那里拿到副件吗？”

　　“当然，没问题。我把它复制一份，你可以到这里来拿它们。”

　　“好极了，”他说，“那真好。但是听着，我在镇子的另一边，你可以把它们传真给我吗？”

　　有了一个小麻烦，但是可以克服。“我们档案室没有传真机，”她说，“但是楼下的职员办公室有，他们可以让我用。”

　　他说：“我打电话到职员办公室问问看。”

　　职员办公室的女士说她乐意帮忙但是想要知道“谁来付钱？”，她需要知道账户代码。

　　“我拿到代码后再打电话给你。”他告诉她。

　　 然后他打电话给DA办公室，再一次伪装成警官简单地询问了一下接线员，“DA办公室的账户代码是多少？”

　　没有丝毫犹豫，她告诉了他。

　　他打电话回职员办公室，提供了账户代码，原谅他进一步利用了这位女士：他要她上楼去拿那些副件来传真。

　　注意

　　使用那些对他的攻击有用的东西例如电话和电脑，一个社会工程师怎样知道那么多操作的详细资料，来自警察部门、司法办公室、电话公司和特殊的公司机构？因为把它找出来就是他的生意，这些知识是一个社会工程师在交易中的库存，因为信息可以在他的行骗中帮助他。

　　掩盖足迹

　　阿图若还有其它组合的步骤去拿传真。总是有可能被人察觉到一些异样，他可能会在复印店发现几个侦探，他们随意地说着话，看上去很忙碌直到有人露面拿那个特殊的传真。他等待了一会儿，然后打电话回职员办公室确认那位女士已经发送了传真。到目前为止一切都很好。

　　他打电话给镇子对面的另一家连锁复印店，略施小计，“我对你的工作处理很满意，想写一封信给经理表示祝贺，她的名字是？” 有了这一基本信息，他又打电话给第一个复印店说他想和经理说话。当那个人拿起电话时，阿图若说：“你好，我是哈特菲尔德628店的爱德华(Edward)。我的经理安娜(Anna)要我打电话给你。我们有一个心烦意乱的顾客——有人把错误的复印店传真号码给了他，他在这里等一个重要的传真，可是他拿到的这个号码是你们复印店的。”这位经理答应马上叫一个人把这份传真发到哈特菲尔德的复印店。

　　当传真到了第二家复印店时阿图若早已经等在那里，他一把它拿到手，就打电话回职员办公室对那位女士表示感谢，还有“没必要把那些副件送回楼上了，你现在就可以把它们扔了。”然后他打电话给第一家复印店的经理，也告诉他把那些传真副件扔了。这样这里发生的事情就不会有任何纪录，只是有个人稍后回来问了些问题。社会工程师知道你决不会很细心的。

　　计划的这些方法，阿图若不需要支付第一家复印店收这些传真再把它发给第二家复印店的钱，并且如果露馅了警察先会找到第一家复印店，当他们安排去第二家复印店抓人时阿图若早已经拿到了他的传真。

　　故事的最后：宣誓书和许可证上显示警察已经有了阿图若盗版电影行为的充分证据。这就是他想要知道的。当天晚上，他穿过了州界线。阿图若开始了新的生活，在别的地方有了新的身份，准备再次开始他的活动。

　　过程分析

　　在任何检查官办公室工作的人，无论在哪里，总是免不了和执法部门的工作人员联系——回答问题、做好安排、获得讯息。任何足够勇敢的人都可以打电话声称自己是一名警官、代理州长或者任何由他的语言来决定的角色。除非他很明显不了解术语，或者他有些神经紧张结结巴巴地结束他的话，或者用一些听上去不可信的方法，他可能甚至不会被问一个问题确定他的身份。那确实发生在这里，和两个不同的工作人员。

　　米特尼克信箱

　　问题的实质是没有人会对一个优秀社会工程师的欺骗免疫。因为普通生活的节奏，我们并不经常有时间深思熟虑再作出判断，甚至事实上那对我们很重要。复杂的情形，缺乏的时间，情绪的波动，或者精神的疲劳，都可以轻易地使我们分心。所以我们使用了心理捷径，没有经过谨慎和全面的分析就作出判断，一个知名的心理作用，像自动应答一样。联邦、州、本地执法部门办公室这些都是真的。我们是所有人。

　　通过一个简单的电话就可以获得一个必需的支付代码，然后阿图若用一个故事打出了同情牌，“有一个关于这件案子的秘密服务的十五分钟会议，我有点心不在焉，把文件忘在了家里。”她自然对他这件事感到遗憾，然后偏离了她的职责去帮忙。

　　然后通过利用不是一个而是两个复印店，阿图若去拿那份传真时他让自己非常安全。进行传真时这里的一个变化让追踪足迹更加困难：代替把这些文件发给另一家复印店，攻击者可以给一个公开的传真号码，通过一个真实的地址在因特网上的免费服务将你收到的传真自动转发到你的邮箱地址里，他不会在任何地方露脸，没有人会认出他，邮箱地址和电子传真号码在完成任务后就可以扔了。

　　转换表格

　　一个我叫他迈克尔·帕克(Michael Parker)的年轻人，他是较晚完成better-paying论文的人之一，那通常是和大学学位挂钩的。他有一个机会参加一个本地大学的部分奖学金加教育贷款活动，但是那意味着要在晚上和周末工作才能支付他的租金、食物、汽油和汽车保险。迈克尔总是喜欢去找捷径，认为也许有另外的方法，一个只需要少量的努力就可以不用付钱的更快的方法。因为他从十岁第一次玩电脑时就开始学习计算机了，他着迷于发现它们是怎样工作的，他确信能更快看见自己的计算机科学学士学位，如果他可以“制造”它的话。

　　毕业生——没有荣誉

　　他可以入侵州立大学的计算机系统，找到成绩为B+优秀或平均为A-毕业的人的档案，复制，然后加入他自己的名字，把它添加到当年毕业班的档案里。通过思考这些，不知道怎么了他有些担心这个主意，然后他认识到肯定还有其它的在校生档案——学费支付档案，住房分配办公室，还有那些知道别的什么的人。仅仅建立课程和评分的档案会留下太多漏洞。

　　经过深入思考，他觉得这个方案只有在达到了他的目标时才能实现，学校里要有一个和他名字相同的毕业生，在任何适当范围的时间里获得过一个计算机科学学位。如果那样的话，他就可以在员工申请书里填写另一个迈克尔·帕克的社会保险号码，任何去大学核实姓名和社会保险号的公司都会被告知，是的，他有学位。（对大部分人而言不明显但是对他而言是显而易见的，他把一个社会保险号放在了工作申请里，然后如果被雇用了，就把他自己真实的号码填入新员工表格中。大部分公司都不会想去检查一个新员工在聘用时是否使用了一个不同的号码。）

　　登陆的麻烦

　　怎样在大学档案里找到一个迈克尔·帕克？他是这样着手的：

　　进入大学校园的主图书馆，他坐在一台电脑终端前，连入网络并访问大学的网站。然后他打电话给注册员办公室，当有人回应时，他运用了一个社会工程师耳熟能详的方法：“我从电脑中心打电话来，我们正在更改一些网络配置，我们想要确定我们没有使你的访问中断。你连接的哪个服务器？”

　　“服务器？什么意思？”他问。

　　“当你查询学生档案信息时连接的哪一台电脑。”

　　回答是：admin.rnu.edu，储存学生档案的电脑名称。这是难题的一小部分：他现在知道了他的目标机器。

　　专业术语

　　哑终端：一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。

　　他在电脑里输入了那个网址但是没有获得响应——和预期的一样，有防火墙阻止了访问。因此他运行了一个程序看看能不能连接上那台电脑的任何服务，然后发现了一个打开的端口运行着Telnet服务（允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它）。获取访问权限所必需的是一个标准用户ID和密码。

　　他打了另一个电话给注册员办公室，这一次他仔细地倾听并确定在和另一个人说话。他遇到了一位女士，然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统，仍处于测试阶段，想了解她是否可以正确访问学生档案。他给了她一个连接的IP地址并且告诉她怎样操作。

　　事实上，这个IP地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步骤，他创建了一个登陆蜜罐——一个登陆界面的圈套——看上去就像是当她登录学生档案系统时通常看到的一样。“它没工作，”她告诉他，“它持续说'登陆不正确’。”

　　现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她：“哦，这台机器里的一些账户仍然不能用，让我配置一下你的用户，然后再打电话给你。”小心的绑好未扣牢的一端，就像所有社会工程师精通的那样，他强调稍后再打电话，说测试系统还没有工作正常，如果她能使用它了，他们会打电话给她或者这里的其他人，当他们解决了问题时。

　　有益的注册员

　　现在迈克尔知道了他要访问哪一个电脑系统，还有用户ID和密码。但是当他有了正确的名字和毕业时间时如何在文件里搜索这些信息？学生数据库是私有的，在学校建立它是为了对付大学特殊的需求和注册员办公室，并且有唯一的途径在数据库中访问信息。

　　首先清除这些最后的障碍：找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注册员办公室，这一次成了另一个不同的人。他来自迪安工程办公室，他告诉那位女士，然后他问道：“当访问学生档案出现问题时，我们猜想有人打来了电话请求帮助。”

　　几分钟以后他打电话给大学数据库管理员，上演了值得同情的一幕：“我是注册员办公室的马克·塞乐。你能同情一下一个新人吗？很抱歉打电话给你但是这个下午他们都在开会，没有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表，从1990年到2000年的。他们今天就需要它，如果我没有它的话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧？”帮助人们是这个数据库管理员要做的事的一部分，所以他特别耐心地告诉迈克尔一步一步的操作过程。

　　当他们挂断电话时，迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟，查找到了两个迈克尔·帕克，在他们中选择了一个，获得了这个人的社会保险号码和其它在数据库里的相关信息。

　　他就成了“迈克尔·帕克，B.S（译者注：Bachelor of Science 理科学士），计算机科学，光荣毕业，1998”。在这里，“B.S”是唯一恰当的。

　　过程分析

　　这次攻击使用了一个我之前没有谈到过的策略：攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格相当于请求商店的所有者帮你搬运包含了消息的盒子，你只需要从他的架子上偷来放到你的车里就可以了。

　　米特尼克信箱

　　当电脑用户遇到社会工程学相关的威胁和攻击时，他们显得有些无能为力，那些技术存在于我们的世界中。他们有权使用信息，但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标，所以目标通常会答应陌生人的请求。

　　预防措施

　　同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制，这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢？

　　保护数据

　　这一章的一些故事强调了发送一份文件给你不认识的人有多么危险，即使当这个人是（或者表面上是）一名员工，这份文件是被发送到一个公司的电子邮件地址或传真机上。

　　需要制定非常详细的公司安全方针保护贵重的数据不被发送给任何不是亲自认识的人。需要制定严格的程序来传送有敏感信息的文件。当请求来自不是亲自认识的人时，必须有清晰的查证，要有依赖于敏感信息的不同的等级证明。

　　这里有一些可以考虑的方法：

　　建立知道需求（要求获得指定信息所有者的授权）。

　　保持一个处理这些事情的个人或者部门日志。

　　维持一张人员表，那些临时传送的程序和可信的被批准发送敏感信息的人。要求只有这些人被允许发送信息给任何工作组外部的人。

　　如果数据请求需要写入（电子邮件，传真，邮件），则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。

　　关于密码

　　所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员——需要了解一些简单的操作如修改你的密码，即使是一小会儿都能导致一个主安全漏洞。

　　安全训练需要包含密码主题，关注什么时候和怎么样改变你的密码，什么是合法的密码，和将任何其他人卷入程序的危险性。训练尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们的密码的请求。

　　表面上看起来这是一条简单的传给员工们的信息，但不是，因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”，但是在这个小孩明白为什么那是重要的以前，你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。

　　注意：

　　密码是社会工程学攻击关注的中心，那是我们致力于第16章的单独的部分，那里你可以找到详细的管理密码的推荐方针。

　　中心报告点

　　你的安全方针应该指定一个人或组为报告可疑行为（企图渗透你的机构）的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的，报告这些的电话号码应该始终放置在眼前，这样当员工们怀疑发生了攻击时就不需要去发掘它。

　　保护你的网络

　　员工们需要了解电脑服务器或者网络的名称不是无价值的信息，它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。

　　特别的，像是数据库管理员之类的使用软件工作的人属于专业技术类别，他们需要在特殊的和非常限制性的规则下操作，验证打电话给他们请求信息的人的身份。

　　经常提供各种电脑帮助的人需要很好的被训练识别哪些请求属于红色标记，暗示打电话的人可能试图进行社会工程学攻击。

　　这是有价值的笔记，可是来自这一章最后故事里的数据库管理员的观点，打电话的人是符合标准的：他是在校内打来的电话，并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证（对任何请求信息的人）程序的重要性，尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。

　　所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了，也不要惊讶于学生档案——有时候是全体教员档案，同样的——是一个诱人的目标。这一陋习如此的泛滥，一些公司甚至考虑把大学加入敌对的外界环境，创建防火墙规则阻止以.edu结尾的教育机构地址访问。

　　我已经说清楚了，所有学生和职员的任何类型的档案都会是攻击的主要目标，应该得到很好的保护就像敏感信息一样。

　　训练技巧

　　大部分社会工程学攻击都可笑地能轻易的被任何知道自己看守的是什么的人防范。

　　从公司的观点出发，有一些优秀培训的基本原则，但是同样需要另一些东西：多种途径提醒人们他们在学习什么。

　　使用屏幕溅射（splash screen，也叫程序启动画面的制作），当用户电脑启动时每天出现一个不同的安全消息。这条消息可以被设计为不能自动消失，要求用户点击这些消息确认他或她已经读过它了。

　　另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要，一个提示程序必须正在运行并且不能结束。在陈述的内容里，不应该在每一种情况里使用同样的措词。当他们变化措词或者使用不同的例子时，学习显示的这些消息更为有效。

　　一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏，虽然一个安全专栏的确有价值。代替的，设计一个两或三栏宽的插入块，有些像是你们本地报纸的小型陈列广告。在每一次的时事通讯出版时，通过这个简短的抓取注意力的途径呈现一个新的安全提示。

第九章　逆向骗局

刺激，在这本书的其它地方提到过（在我看来或许最好的电影永远是关于实施入侵的），迷人的叙说里安排了它巧妙的情节。在电影中刺激作用的一个准确的描述是顶级骗子运用的“金属丝”，这是提到的三种主要骗局之一的“重要的过程”。如果你想要知道一个专业的团队怎样只用一个晚上去实现一个骗局而迅速获得大量的金钱，这里没有更好的教材。

　　但是传统的入侵，凡是他们的特殊花招，都依照一个模式。有时候一个诡计会被反向应用，这称为逆向骗局。这是一个迷人的手段，攻击者设定情况让受害人向他寻求帮助，或者一位同事正好发出了攻击者响应的请求。

　　这些是怎样实现的？你正打算发现它。

　　专业术语

　　逆向骗局：一种入侵手段，让被攻击者向攻击者寻求帮助。

　　友好的说服艺术

　　当一般人想象电脑黑客的样子时，通常会联想到阴暗的一面，一个孤独、内向、讨厌的人，他最好的朋友是一台除即时信息以外很难交流的电脑。社会工程师常常拥有黑客的技能，也有普通人的技能——在对立的光之尽头——使用得到良好发展的能力操纵人们谈论他们获取信息的方法，通过你从未想过可能性的途径。

　　安吉拉（Angela）的电话

　　地点：工业联邦银行，流域分行。

　　时间：上午11:27。

　　安吉拉?维斯露斯基（Angela Wisnowski）接到了一个电话，那个人说他刚刚得到了一大笔遗产，想要了解一些信息，关于不同类型的储蓄存款账户、存款单和任何她推荐的安全的可以正当获利的投资。她解释说有相当多的选择，问他是否可以过来坐下和她一起讨论它们。他说他一拿到钱就要去旅游，还有很多事情要安排。所以当她设法约束他的投资目标时，她开始推荐一些可能的类型，还给了他关于利率的详细资料，如果你在初期卖出一张光盘会发生什么，等等。

　　 她似乎更进了一步，他说：“噢，对不起，我要接另一个电话。什么时候能和你结束这次交谈好让我作出一些决定？你什么时候出去吃午饭？”她告诉他是12:30，他说他会在那之前或者之后几天再打电话过来。

　　路易斯（Louis）的电话

　　银行总部使用每天都更改的安全密码，当分行的某个人需要从另一个分行处获得信息时，他可以通过证明自己知道这个每日密码来表明他有权访问信息。为了更深层次的安全性和机动性，一些银行总部每天都会发行多重密码。在一个被我称为工业联邦银行的西部海岸机构里，每一位员工每天都能收到一张有五个密码的列表，每天早晨在他或她的电脑上从A到E进行验证。

　　地点：相同。

　　时间：下午12:48，同一天。

　　路易斯?霍普本（Louis Halpburn）对那个下午接到的电话不以为意，这个电话和一周里有规律的其它几次来电一样。

　　“你好，”打电话的人说，“我是尼尔?韦伯斯特（Neil Webster），从波士顿3182分行打电话来。找安吉拉?维斯露斯基，谢谢。”

　　“她在吃午饭，我能帮忙吗？”

　　“好的，她留了言请求我们传真一些关于我们的一个客户的资料给她。”

　　这个打电话的人听上去度过了糟糕的一天。

　　“通常处理这些请求的人请了病假，”他说，“我有一堆这些事情要做，已经在这里4个钟头了，我希望能在半个小时以后离开这里去和一个医生会面。

　　这一操作——给出了为什么其他人会觉得他很可怜的所有理由——这是使受害人软化的一部分。他继续说：“无论是谁接到了她的电话留言，传真号码已经不清楚了，大概是213什么的，其余的是什么？”

　　路易斯给出了传真号码，然后打电话的人说，“好的，谢谢，在我传真这些之前，我需要询问你密码B。”

　　“但是是你打电话给我的。”他说这句话时很冷淡，好让这个来自波士顿的人明白。

　　很好，打电话的人想。当人们在第一次温柔的推挤中没有跌倒时，很酷。如果没有少量的反抗，这份工作会太容易，我会变得懒散的。

　　他对路易斯说：“我这里的分行经理对我们发送任何东西之前的验证有些偏执，但是听着，如果你不需要我们传真这些信息，很好，不需要验证。”

　　“看，”路易斯说，“安吉拉会在大约半个小时后回来，我可以让她打电话给你。”

　　“我会告诉她今天我不能发送这些信息，因为你没有给我密码验证这些合法的请求。如果我明天没有请病假，我会再打电话给她。”

　　“留言说 '紧急的’，别担心，没有验证我就无法操作，你可以告诉她我试着发送它但是你没有给我密码，好吗？”

　　在压力之下路易斯放弃了，从电话线的另一端传来一声烦恼的叹息。

　　“好的，”他说，“等一下，我要到我的电脑上去，你想要哪一个密码？”

　　“B。”打电话的人说。

　　他把电话放在桌子上然后很快又拿了起来。“3184。”

　　“那不是正确的密码。”

　　“它是正确的——B是3184。”

　　“我没有说B，我说的是E。”

　　“噢，该死的，等一会儿。”

　　另一次停顿，当他查看密码时。

　　“E是9697。”

　　“9697——正确，我在路上发送这份传真，好不好？”

　　“当然好，谢谢。”

　　沃尔特（Walter）的电话

　　“工业联邦银行，我是沃尔特。”

　　“嗨，沃尔特，我是影视城38分行的鲍勃?格若博斯基（Bob Grabowski），”打电话的人说，“我需要你传真一份客户账户的签字样卡给我。”签字样卡上面有客户的签名，它也有验证信息，常见的例如社会保险号码、生日、母亲家族的姓氏，有时甚至是驾驶执照号码。这对于一个社会工程师来说唾手可得。

　　“确认信息，密码C是多少？”

　　“其他出纳员正在使用我的电脑，”打电话的人说，“但是我可以使用B和E，我记得它们。问我它们中的一个。”

　　“好吧，E是多少？”

　　“E是9697。”

　　几分钟以后，沃尔特依照请求传真了一份签字样卡。

　　堂娜?普雷斯（Donna Plaice）的电话

　　“你好，我是安森莫（Anselmo）先生。”

　　“今天我能帮你些什么？”

　　“我想要了解保证金是否仍记入贷方，应该打哪个800号码？”

　　“你是这家银行的客户吗？”

　　“是的，我没有用过这个号码，现在我不知道我把它写在了哪里。”

　　“号码是800-555-8600。”

　　“好的，谢谢。”

　　文斯?开普雷（Vince Capelli）的故事

　　斯伯克恩（Spokane）街巡警的儿子文斯很年轻的时候就知道他不会把生命花费在长时间的辛勤努力上，承受最低工资的风险。他人生的两个主要目标首先是离开斯伯克恩，然后是成就他自己的事业。朋友们的笑声一直伴随着他的大学生活，这只让他更加恼火——他们认为这很搞笑，他太失败了，想开创自己的事业却不知道从哪里开始。

　　文斯私下里其实知道他们是对的，他唯一擅长的事是在大学棒球队里当接球手，但是还不够好，拿不到大学奖学金，更别提职业棒球了。所以他能从哪里开始他的事业呢？

　　有一件事情在文斯的小组里的人一直没有弄明白：任何曾经是他们的东西——一把新的弹簧折刀，一对顶好的保暖手套，一个性感的女朋友，只要文斯喜欢，不久之后就会变成他的。他不需要偷窃或是鬼鬼祟祟地跟在任何人的后面，他不需要这样做。拥有它的人会自动放弃它，过后才会对这是怎样发生的感到惊讶。恰当的做法是请求文斯在任何地方都不要碰你的东西：他不了解他自己，人们似乎可以让他拿到任何他想要的东西。

　　文斯?开普雷很年轻的时候就已经是一个社会工程师了，即使他从没听说过这个术语。

　　他的朋友们拿到了大学毕业证之后就再也没有笑他了。当其他人艰难地在城市周围寻找工作时（在那里你不会要说“你想要来点油炸食品吗？”），文斯的父亲送他去为一个年迈的巡警工作，这位巡警离开警局之后在旧金山开始了他自己的私人调查事业，他迅速发现了文斯的才能，并为他安排了一个适合的工作。

　　那是六年以前的事了。现在，坐着监视的无聊时间使他陷入痛苦，他痛恨从不诚实的配偶那里获取证据的部分，但是他感觉去搜集有用信息的任务是对自己的挑战，律师们想要了解一些可怜的穷人是否有足够的钱进行财产诉讼，这些任务给了他许多机会使用他的智慧。

　　像这一次他浏览了一个名叫乔?马克欧兹（Joe Markowitz）的家伙的银行账户，乔可能暗地里处理了和他以前的一个朋友的交易，现在那位朋友想要知道如果他提出诉讼，马克欧兹有没有足够的家底让他拿回一些他的钱？

　　文斯的第一步是找出至少一个银行这一天的安全密码，但是两个会更好。这听上去像是几乎不可能的挑战：究竟是什么使得一个银行员工在他自己的安全系统里撞出一条裂缝来？问你自己——如果你想要这样做，你有任何主意去实现它吗？

　　对于像文斯这样的人来说，这太容易了。

　　如果你知道他们公司的行话和他们工作的内部术语，他们就会信任你。就像是把你当成了他们的内部成员一样，也像是一次秘密的握手。

　　我不需要太多这些工作的内部术语，不需要往头脑里灌输那些东西，开始工作只需要一个分行的电话号码。当我打电话到布法罗州比肯街办公室时，回应的人似乎是一个接线员。

　　“我是提姆?艾克门（Tim Ackerman），”我说（任何名字都可以，他不会把它写下来）， “这里的分行号码是多少？”

　　他知道这个电话号码或者分行号码，但是相当麻木，因为我只是要打这个电话号码（分行号码），不是吗？

　　“3182，”他说。就像这样，没有“你想要知道这个干什么？”或者任何问题，只因为它不是敏感信息，它被写在他们使用的每一张纸上。

　　第二步，打电话给一家银行的分行，我的目标在那里有存款。获取他们中一个人的名字，然后得到安吉拉外出午餐的时间，她12:30离开。到现在为止，非常好。

　　第三步，在安吉拉的午休时间打电话回同一家银行，说我从波士顿某某分行号码打电话来，安吉拉需要我传真这些信息，告诉我今天的密码。这是精彩的部分，出神入化。如果我要建立一个社会工程师测试，我会放上一些像这样的东西，你的目标起了疑心——为了一个好的理由——你仍然镇定自若直到打败了他，然后获得了你想要的信息。你不能通过背诵剧本里的句子或者学习日常事务做到这些，你要去了解你的目标，捕捉他的心情，像钓鱼一样控制他，放一点点线然后卷起，放线，卷起，直到你把他用网网起来，在船上用长板条拍打他！

　　我控制了他并且拿到了今天的密码，这是一个重要的步骤。对于大部分的银行，他们只使用一个密码，因此我可以在家里避开它。联邦工业银行使用五个，所以只使用五个中的一个的几率很小，有了五个中的两个，我就可以有更高的可能性完成这小小的戏剧的下一幕。我热爱“我没有说B，我说的是E”这一部分，当它生效时，实在是太漂亮了，并且它在大多数情况下都有效。

　　拿到三个可能会更好，事实上我想只用一个电话就拿到三个——“B”、“D”、“E”听上去很相似，你可以声称他们再次误解了你的意思，那样的话你肯定是在和一个真正弱小的人谈话。这个人不是，我拿到了两个。

　　每日密码是我拿到银行签字样卡的王牌。我打电话，然后那个人请求了一个密码，他想要C，我只有B和E，但这不是世界末日。在这一刻你必须保持镇定，听上去自信，保持正确的行为，真正的平滑。我使用一个技巧操纵了他：“有人使用了我的电脑，问我其它的这些。”

　　我们都是这家公司的职员，我们都在这里工作，让这个家伙方便些——这就是你希望受害人在那一刻心里想的。然后他按照剧本正确地操作了，选择了一个我提供的一个密码，我给出了正确的答案，他发送了签字样卡的传真。

　　打更多的电话我就可以知道客户使用的自动服务的800号码，差不多都有效，电子语音会把你请求的信息读出来。从签字样卡里我得到了目标所有的账户号码和他的PIN码（个人身份号码），因为那家银行使用社会保险号码前面的五个或者后面的四个阿拉伯数字。有了这些，我打电话给那个800号码，拨通号码几分钟后，我得到了这个家伙四个账户的最后余额，并且额外还知道了他最近的每一笔存款和取款操作。

　　每一件客户要求的事我都会给他们一些额外的特别的东西，好让他们高兴，毕竟，回头客才能让业务保持下去，对吗？

　　过程分析

　　整个故事的关键是得到非常重要的每日密码，攻击者文斯使用了几个不同的技巧。

　　当路易斯不给他密码证明身份时，他开始用上了一点口头上的威胁。路易斯的怀疑是正确的——密码被设计成可以反向使用。他知道这些事情通常的流程，这个不知名的人将给他一个安全密码。这对文斯来说是决定性的时刻，成败在此一举了。

　　面对路易斯的怀疑，文斯简单地进行了控制，利用同情心（“去看医生”），压力（“我有一堆事要做，已经4个钟头了”），还有操纵（“告诉她你不肯给我密码”）。文斯很聪明，他事实上没有制造任何威胁，只是含蓄的表达了一个意思：如果你不给我安全密码，我就不会发送你的同事要的客户资料，并且我会告诉她我想要发送但是你不合作。

　　停，我们不能太草率地责备路易斯。毕竟，电话上的人知道（或者至少看起来知道）自己的同事安吉拉请求了一个传真。打电话的人知道安全密码，并且知道他们使用指定的字母来验证，还说他的分行经理有很严格的安全要求。似乎实在是没有任何理由不按他的要求进行验证。

　　并非只有路易斯，每一天都有银行职员在社会工程师面前放弃安全密码，难以置信却是真实的。

　　沙滩上有一根线，私人侦探的技巧介于合法与违法之间。当文斯获得分行的电话号码时他的行为是合法的，当他操纵路易斯告诉他两个每日安全密码时，他也是合法的，当他拿到一位银行客户的保密资料传真时，他越过了这根线。

　　但是对于文斯和他的老板来说，这是低风险的犯罪。当你偷钱或者商品时，会有人注意到它的发生。当你偷窃信息时，大多数情况下没有人会发觉，因为他们仍然拥有这些信息。

　　米特尼克信箱

　　安全密码相当于提供了方便可靠的方法来保护数据，但是员工们需要了解社会工程师使用的骗局，并且要培训他们在任何时候都不要放弃使用密码。

　　被愚弄的警察

　　对于一个隐蔽的私人侦探或者社会工程师而言，当他轻而易举地拿到某个人的驾驶执照号码时，常常有很多机会——例如，你想要冒充另一个人来获得一些关于她的银行余额信息。

　　除非去偷那个人的皮包或是在恰当的时间透过她的肩膀窥视，找出驾驶执照号码应该是几乎不可能的事情，但是对于任何有适当的社会工程学技术的人而言，这几乎算不上挑战。一个特殊的社会工程师（我这样称呼他）——埃里克?曼特尼（Eric Mantini）想要拿到驾驶执照和常规检查中的车辆登记号码。当埃里克需要那些信息的时候，他认为没必要冒风险去打DMV（机动车辆局）的电话然后反复使用同样的诡计。他想知道是否有什么途径可以简化处理。

　　也许这之前从没有人想过，但是他发现了一个瞬间就可以获得信息的方法，随时都可以。他利用了一个州机动车辆局提供的服务。许多州机动车辆局（或者你所在州这个部门的不同称呼）给了保险公司（当然还有私人侦探和其它组织）特权获取居民的这些信息，，州立法机关普遍认为把它授权共享有利于商业和社会的发展。

　　当然，DMV也对共享的数据类型进行限制，保险行业可以从文件里获得几种类型的信息，但是没有其它的。对私人侦探们（PIs）还有不同的限制，等等。

　　执法官员们通常有一个不同的惯例：DMV为任何宣誓过的治安官（如警察、警官、保安员等）提供档案里的任何信息，只要他能证明自己的身份。在埃里克所在的州，唯一需要的证明是一个DMV随同政府官员的驾驶执照号码一起发行的邀请码。DMV员工在共享信息之前始终验证匹配的官员名字，对照他的驾驶执照号码和其它部分信息——通常是生日。

　　社会工程师埃里克想要做的是通过一个执法官员的身份完全掩盖自己。他是怎样做到的呢？对警察使用逆向骗局！

　　埃里克的圈套

　　首先他打电话到电话号码咨询台询问州议会大厦DMV总部的电话号码，他被告知是503555-5000，当然，这个号码可以被普通公众拨打。然后他打电话到一个附近的郡治安局并请求接通电传室——这是与其它执法机构通信的办公室，接收和发送国家犯罪数据库、本地许可证等等。当他联系上电传室时，他说他在找执法时使用的州DMV总部电话号码。

　　“你是？”电传室的警员问。

　　“我是奥，我要打到503-555-5753，”他说。这是骗局的一部分，一个无中生有的号码， DMV办公室和执法机构的电话使用同一个专用的区号，并且几乎可以确定后面的三个数字（前缀）也相同，他唯一需要知道的是最后的四个数字。

　　郡治安局电传室不会接到公众的电话，并且这个打电话的人已经有了这个号码的大多数，显然他是可靠的。

　　“是503-555-6127。”那位警员说。

　　那么现在埃里克已经拿到了这个执法官员打给DMV的号码，但是只有这一个号码并不能让他满意，应该还有更多的电话线路，埃里克需要知道那里有多少，并且需要知道每一个电话号码。

　　交换机

　　为了实现他的计划，他需要得到访问电话交换机（处理DMV的执法电话线路）的权限。他打电话到州电讯部门并声称自己来自Nortel——DMS-100（一种被广泛使用的电话交换机）的厂商。他说：“你能帮我转接到一个在DMS-100上工作的技术员吗？”

　　当他接通技术员时，他说自己是德克萨斯州的Nortel技术服务支持中心的工作人员，并解释说他们创建了一个管理员数据库来更新所有最近软件升级过的交换机。所有的一切都可以远程进行——无需任何交换机技术员参与，但是他们需要交换机的拨入号码，这样他们就可以直接从技术中心执行更新。

　　听上去完全是似是而非，但技术员还是把电话号码给了埃里克。他现在可以直接打电话到一个州电话交换机了。

　　为了防范外部入侵者，这种型号的商业交换机有密码保护，就像每一个公司电脑网络那样。任何使用后台电话盗用线路的优秀社会工程师都知道Nortel交换机为软件更新准备了一个默认的账户名：NTAS（Nortel Technical Assistance Support的缩写）。但是密码是什么呢？埃里克拨了几次，每一次都尝试一个常用的密码。输入和账户名相同的密码，NTAS，没有用，既不是“helper”也不是“patch”。

　　然后他试了一下“update”……登陆成功。典型的，使用一个常用的、容易被猜出的密码只比不用密码好一点点而已。

　　这有助于加快行动，埃里克或许已经足够了解那个交换机和怎样像技术员一样规划和检修它。他曾经以合法的用户访问过交换机，现在他需要获得目标电话线路的完整控制权。他通过电脑在交换机上查询拿到的那个电话号码，执法人员打到DMV 的555-6127。他发现在同一个部门有19个其它的号码，显然他们要处理大量的来电。

　　交换机为每一个来电在20条线路中安排“搜寻”，直到找出一个空闲的线路。

　　他选择了一个排在第18位的线路号码，然后输入密码为那条线路增加呼叫转移。至于转接号码，他输入了他的新的、廉价的、预支付的大哥大，这种大哥大深受经销商的喜爱，因为它们足够便宜，可以在工作完成之后就扔掉。

　　现在激活了18线的转接，一旦办公室有17个电话占线，下一个来电就不会在DMV办公室响起，而是会转到埃里克的大哥大。他休息了一下并等待着。

　　一个打到DMV的电话

　　很快在那天早上8点之前大哥大就响了。这一部分是最好也是最美妙的，在这里埃里克，一个社会工程师，在和一个警察说话，而这个警察可以逮捕他或是拿搜索证指挥一次针对他的搜查。

　　并且打电话来的警察不是一个，在第一个之后，是一些。有一次，埃里克正坐在餐馆里和朋友们吃午饭，大约每五分钟就会接到一次电话，用一支借来的笔在餐巾纸上写下信息。他还是乐此不疲。

　　和警察说话丝毫不会打扰一个优秀的社会工程师，事实上，陶醉于欺骗这些执法机构或许增加了埃里克这个节目的乐趣。

　　按照埃里克的计划，通话的内容就像这样：

　　“DMV，我可以帮你吗？”

　　“我是安德鲁?可欧探员。”

　　“你好，探员，今天我能帮你做些什么？”

　　“我需要驾驶执照号为005602789的Soundex。”他想要一张照片，这是执法人员熟知的术语——这很有用，比如，当警官们在外逮捕一名疑犯并想要知道他的样子时。

　　“当然，让我把记录调出来，”埃里克会说，“可欧探员，你属于哪个机构？”

　　“杰弗森郡。”然后埃里克会问这些热门问题：

　　“探员，你的邀请码是？你的驾驶执照号码是？你的生日是？”

　　打电话的人会给出他的私人验证信息。埃里克会用一些借口验证信息，然后告诉他验证信息已确认，并询问他想从DMV查找的详细资料。埃里克会假装开始查找名称（打电话的人能听到键盘的敲击声），然后说一些比如“噢，该死，我的电脑又当机了。对不起，探员，我的电脑这个星期一直出毛病。你能再打回来让另一个办事员帮你吗？”

　　他结束通话的这种方法很保险，不会带来任何关于为什么他不能向警员提供帮助的猜疑。这时埃里克已经有了一个偷窃的身份——这些详细资料可以让他在任何时候拿到他需要的DMV秘密信息。

　　在收到几个小时的电话并拿到了许多邀请码之后，埃里克拨入了交换机并取消了呼叫转移。

　　几个月后，他开始为一些合法的PI（私家侦探）公司工作，他们不想知道他是怎样获得信息的。当他需要时，他会再次拨入交换机并开启呼叫转移，然后收集另一些警员证件。

　　过程分析

　　让我们来回顾一下埃里克一连串的欺骗工作。在第一个成功的步骤中，电传室把DMV的密码号码给了一个完全陌生的人，而没有进行任何验证。

　　然后州电讯局的某个人做了同样的事，把埃里克当成了硬件厂商的工作人员，并且把拨入DMV电话交换服务的电话号码给这个陌生人。

　　埃里克可以进入交换机很大程度上是因为交换机厂商脆弱的安全习惯,他们的交换机都使用同样的帐户名。社会工程师可以轻易地猜到密码，毫无疑问，交换机技术员会像大多数人一样选择易记的密码。

　　 有了交换机的访问权限，他把执法人员使用的一条DMV电话线路设置呼叫转移到了他的大哥大上。

　　 然后，在这个骗局的高潮部分，他操纵了一个又一个的执法官员，不仅得到了他们的邀请码，还得到了他们的私人验证信息，这样埃里克就可以假扮他们。

　　当然还必须要有足够的技术知识来完成这个绝技，少了这些人们就会知道他们在和一个冒名顶替的人谈话。

　　这个故事中的另一个现象是为什么人们不问“为什么？”，为什么电传室办事员要把这些信息给一个他不知道的郡代理（或者，也可以说，一个自称是郡代理的人）而不是建议他从他的代理同事或上司那里获得这些信息？我可以提供的唯一答案是人们很少问这个问题。他们没有想到去问？还是他们不想听上去不友好？也许，任何更多的解释都只是无用功，但社会工程师不关心为什么，他们只关心这一事实可以让获取信息变得容易，否则这将成为挑战。

　　米特尼克信箱

　　如果你的公司有电话交换机，管理它的人在接到硬件商的电话并被请求告知拨入号码时会怎样做？顺便问一下，那个人曾经更改过交换机的默认密码吗？那个密码是不是一个在任何字典里都可以找到的可以轻易猜出的密码？

　　预防措施

　　使用恰当的安全密码可以构建了一个有效的保护层，而使用不恰当的安全密码则比不用安全密码更糟糕，因为它带来了并不真正存在的安全幻想。有很好的密码但你的员工是否使用它们？秘密？

　　有口头安全密码的任何公司都必须清楚地向员工说明什么时候和怎么样使用这个密码。有了适当的培训，这一章第一个故事中的人物就不会依赖于他的本能，在询问一个陌生人安全密码时被轻易突破。他感觉这种情况下不应该询问密码E，但是缺乏一个清晰的安全策略——和优秀的判断能力——他轻易地让步了。

　　当员工遇到不恰当的安全密码请求时安全程序应该要有应对的步骤。应该培训所有的员工直接报告任何可疑情况和验证信息（例如一个每日密码）请求，当核查请求者身份失败时也应该报告。

　　至少，员工应该记录呼叫者的名字、电话号码、办公室或部门，然后再挂断。在回电之前他应该检查那个机构是否真的有这个员工，打回的电话号码是否与在线公司目录上的电话号码匹配。大部分时间都可以使用这个简单的策略核实呼叫者的身份。

当公司用一个发行的电话目录代替一个在线版本时，身份核实要更加严谨。人员雇用，人员离开，人员调动，工作位置，工作电话，这些黄页在发行之后的第二天就应该废弃不用，因为社会工程师知道怎样修改它们。如果员工无法从一个独立来源核实电话号码，她应该被指定通过另外一些方式核实，例如联系员工经理。

第十章 进入内部

为什么一个外部人员伪装成一个公司员工会这样容易？为什么他们的扮演会如此有说服力甚至有高度安全意识的人都会受骗？为什么欺骗十分了解安全程序（怀疑不是他们亲自认识的人并保护他们公司的利益）的人会这样容易？
在你阅读这一章的故事时思考这些问题。

警卫的麻烦

日期/时间：10月17日，星期二，凌晨2:16
地点：Skywatcher航空公司位于图森（Tucson，美国亚利桑那州南部城市）市郊的制造车间。

警卫的故事

在这个袅无人烟的制造车间走廊上，听着脚后跟反复敲打地板的声音，勒罗伊?格林（Leroy Greene）觉得这比整个晚上都守在警卫室的视频监控器前要好多了，在那里除了盯着屏幕之外他不能做任何事情，不能看杂志或者他的带皮边的圣经。你只能坐在那里看着显示屏上一动不动的画面。

但是在走廊里走动他至少还可以活动一下腿脚，并且还可以在走动时甩一下胳膊和肩膀，这也让他有了一点点锻炼。虽然这对于一个在全城高中冠军橄榄球队打右内边锋的人来说算不上真正的锻炼，但是他想，工作就是工作。

他转向了东南角并开始沿着走廊俯视半英里长的生产场地，然后他发现有两个人越过了直升飞机制造部分的边线，站在那里似乎在互相指点着什么。在晚上这个时候看见的陌生人，“最好检查一下，”他想。

勒罗伊从通往生产场地的楼梯一直走到那两个人后面，他们没有察觉到他的接近，直到他在旁边走了好几步。他说：“你们好，我能看看你们的安全证件吗？谢谢。”勒罗伊想使自己的语气在这个时候尽量温和些，他知道过于强硬会变得像是在威胁。

“你好，勒罗伊，”他们中的一个把他的证件上的名字读了出来，“我是汤姆?斯第尔顿(Tom Stilton),来自菲尼克斯的公司营销办公室，我在城里开会，想向我的朋友展示一下世界上最好的直升飞机是怎样制造的。”

“好的，先生，你们的证件，谢谢。” 勒罗伊说，他不禁觉得他们似乎太年轻了，那个营销员看上去才刚刚读完中学，另一个人长发披肩，看上去大概十五左右。

理过发的人想从口袋里拿出他的证件，等他把所有的口袋都找过一遍之后，勒罗伊开始觉得有些不妙，“该死，”那个人说，“一定是放在车上了，我这就去拿——只要10分钟，我去一趟停车场就回来。”

勒罗伊有自己的打算，“先生，你说你的名字是？”他问道。勒罗伊谨慎地写下了回答，然后要求他们和他一起去警卫室。在到第三个走廊的升降梯上，汤姆聊到他在公司才6个月，并希望自己没有惹任何麻烦。

安全监控室里，其他两个值夜班的警卫和勒罗伊一起盘问了那两个人。斯第尔顿给出了他的电话号码，并说他的上司是朱迪?安德伍德（Judy Underwood），然后给出了她的电话号码，这些信息都在电脑上得到了确认。勒罗伊把其他两个警卫拉到一旁讨论该怎么做，没人想把这件事情弄错，于是三个人一致认为他们最好打电话给那个人的上司，即使那意味着要在半夜把她叫醒。

勒罗伊亲自打给了安德伍德女士，解释了他是谁并询问她有没有一个叫汤姆?斯第尔顿的雇员。
她听上去似乎还是半睡半醒，“是的。”她说。
“好的，我们2：30的时候在生产线上发现了他，他没有身份证件。”
安德伍德女士说：“让我和他谈话。”
斯第尔顿拿起电话，说：“朱迪，真的很抱歉这些人在半夜把你叫醒，希望你不要责怪我。”
他一边听一边说：“为了新的新闻稿会议，明天上午我无论如何都要在这里。不管怎么样，你收到关于汤普森生意的电子邮件了吗？我们需要在星期一早晨和吉姆见面所以我们不能没有这个。我还要在星期二和你一起吃午餐，对吗？”
他倾听了一会儿，说了声再见并挂上了电话。
这让勒罗伊始料不及，他本来想要拿回电话让那位女士告诉他一切正常的。他想他也许应该再打电话给她，但还是改变了主意，他已经在半夜打扰了她一次，如果他再打过去，她可能会生气并向他的上司投诉。“何必自找麻烦呢？”他想。
“我是不是可以向我的朋友展示剩下的生产线了？” 斯第尔顿问勒罗伊，“你想要跟着我们吗？”
“继续吧，”勒罗伊说，“四处看看。只是下次可不要忘了带上证件，如果你想要去设备车间的话，先让警卫知道——这是规定。”
“我会记住的，勒罗伊。”斯第尔顿说，然后他们离开了。
不到十分钟，警卫室的电话响了，是安德伍德女士，她想要知道“那个家伙是谁？！”。她说她试着问一些问题，但他一直在谈论和她一起吃午餐的事，她根本不知道他到底是谁。
警卫室的人打电话让前厅和大门的警卫到停车场去，得到的回应是那两个年轻人在几分钟前离开了。
说了这个故事之后，勒罗伊总是要这样结尾说：“老天爷，我的上司就差没吃了我，还好没丢了工作。”

乔?哈珀（Joe Harper）的故事

来看看他能完成哪些事，17岁的乔?哈珀已经有超过一年的非法潜入建筑物历史了，有时候是白天，有时候则是晚上。音乐家和鸡尾酒服务生晚上都要上班，作为他们的儿子，乔有太多自由时间了。他的故事讲述了这件事情是怎样发生的，很有启发性。

我的朋友肯尼想要当一名直升机飞行员，他问我能不能带他到Skywatcher工厂去看制造直升机的生产线，他知道我以前到过一些其它地方。一股肾上腺素冲动使你很想看看能不能溜进禁止进入的地方。
但是你不能大摇大摆的走进一个工厂或办公楼，必须考虑周全，做很多计划，对目标进行完整的侦查。查看公司的网页名称和标题、报告结构和电话号码，阅读剪报资料和杂志文章，精确的调查是我谨慎的标志，所以我能运用和员工一样多的信息应对任何盘问我的人。

那么从哪里开始呢？首先我在互联网上查找这家公司的位置，了解到公司的总部在菲尼克斯，好极了。然后我打电话过去请求接通营销部门：每家公司都有一个营销部门。一位女士接了电话，我说我属于蓝铅笔绘图公司，我们想知道是否有人对我们的服务感兴趣和我们应该找谁。她说应该找汤姆?斯第尔顿，我询问他的电话号码，她说他们不能透漏这些信息，但是可以对我破例。电话里响起了语音提示，他的留言说：“我是负责绘图工具的汤姆?斯第尔顿，分机3147，请留言。”当然——他们不会公布分机号，但是这个人把它放到了他的语音信箱里。非常好，现在我有了一个名字和分机号。
另一个电话，打给同一个办公室。“你好，我在找斯第尔顿，他不在，我想问他的上司一些简单的问题。”那位上司也出去了，但是当挂上电话的时候，我知道了她的名字，并且她也恰好把分机号留在了她的语音信箱里。
我也许可以不费吹灰之力地骗过大厅的警卫，但是我查看过那个工厂，我想我记得在停车场周围有一个围墙，这意味着会有一个警卫在那里检查进入的车辆。在晚上他们也可能会记录车牌号码，所以我不得不在跳蚤市场买了一个旧的车牌。

但是首先我必须拿到门卫室的电话号码。我等了一会儿，这样如果碰到同一个接线员的话她就不会认出我的声音，然后打过去说：“我接到投诉，Ridge路门卫室的电话有些断断续续的问题——现在还是那样吗？”她说她不知道但是可以为我转接。

“Ridge路警卫室，我是赖安。”那个接电话的人说。我说，“你好，赖安，我是本。你这里的电话有问题吗？”他只是一个低层的警卫但我猜想他大概受过一些训练，因为他马上说，“本什么——你的姓是？”我像是没听到他的话一样继续说，“之前有人说有问题。”
我可以听到他放下电话大声说，“嘿，布鲁斯，罗杰，这个电话有问题。”然后他说，“不，我不知道有问题。”
“你们那里有几条电话线路？”
他已经忘了问我的名字。“两条。”他说。
“现在的这个是？”
“3140。”
到手了！“它们都工作正常吗？”
“好像是的。”
“好的，”我说，“听着，汤姆，如果你的电话有任何问题，可以在任何时间打电话到电信来找我们，我们会帮忙的。”
我和我的伙伴决定第二天晚上去参观工厂，下午晚些时候我打到警卫室，用那个营销员的名字说，“你好，我是负责绘图工具的汤姆?斯第尔顿，我们已经接近了最后期限，所以我叫了几个人到这里来帮忙，有一两个可能要到晚上才来，到时候你还在吗？”
他很高兴能这样说，不，晚上他不在。
我说，“好吧，留个信给轮班的人，好吗？看到两个找汤姆?斯第尔顿的人，就挥挥手让他们进来——好吗？”
好的，他说，没问题。他写下了我的名字、部门和分机号，并说他会办好的。
凌晨两点之后我们开车到了大门口，我说出了汤姆?斯第尔顿的名字，然后一个昏昏欲睡的门卫就告诉了我们进去的通道和停车地点。
当我们走进工厂时，大厅里还有另一个警卫在那里进行常规的临时签到登记。我告诉这个警卫说我有一个报告需要在早上准备好，我这位朋友想要看看车间。“他对直升机很着迷，”我说，“他大概想学怎样驾驶。”他要我的证件，我把手伸进口袋，四处找了一下，然后说我肯定是把它忘在车里了，我这就去拿。我说，“大概十分钟。”他说，“没关系，好吧，签到就是了。”
从生产线一路走下来走下来——没遇到任何阻碍，直到一个叫勒罗伊的树干挡住了我们。
在警卫室里，我没有表现出不安和受惊，当事情不妙时，我就开始说些像是我真的很激动的话，比如我真的是那个人，他们不相信我让我很生气。
他们开始讨论或许他们应该打电话给那位我说是我上司的女士，然后从电脑上查到她家里的电话，我站在那里想，“一有机会就逃跑。”但是这里有停车场大门——即使我离开了这里，他们只要把大门关上我们就出不去了。
当勒罗伊打电话给那位斯蒂尔顿的上司并把电话递给我时，那位女士向我大叫“是谁，你是谁！”，我只是继续说着，就像我们在进行一次愉快的对话，然后挂断。
要多长时间才能想起某个能在半夜给你一个公司电话号码的人？我认为我们有至少15分钟的时间在那位女士打电话到警卫室往他们的耳朵里塞臭虫之前离开这里。

我们以最快的速度离开了这里，但没有看上去很匆忙，当看到大门的守卫挥手让我们过去时，真的很高兴。

过程分析

值得注意的是这个故事基于一个真实的事件，入侵者的确是青少年。这次入侵是闹着玩的，他们只是想看看能不能做到，但是如果这对两个青少年而言很容易，那对于成年的小偷、商业间谍或恐怖分子就应该更容易。

三个有经验的警卫怎么会允许两个入侵者就这样离开的呢？而且是任何明眼人都会觉得非常可疑的青少年？

勒罗伊起先的怀疑是正确，他很恰当地把他们带到了警卫室，然后盘问这个自称为汤姆?斯第尔顿的家伙，核对他给出的姓名和电话号码，也很恰当地打了电话给那位主管。

但最后他还是被这个年轻人装出来的自信和愤慨给骗了，他认为这不像是一个小偷或入侵者的行为——只有真正的员工才会这样做，他大概是真的。勒罗伊应该训练使用可靠的验证方式，而不是凭感觉。

当这个年轻人把电话挂上而不是还回来让勒罗伊直接从朱迪?安德伍德那里确认他有理由这么晚了还在工厂时，为什么他没有更多的怀疑？
勒罗伊被一个很明显的花招给骗了，但是当时从他的角度来看：一个中学毕业的人，关系到工作，不能确定是不是应该在半夜再次打扰一位公司主管。如果你是他，你会再打过去吗？

当然，再打一个电话过去并不是唯一的选择，警卫们可以怎么做呢？

在打电话之前，他可以要求他们两个人拿出照片证明：他们是开车到工厂的，所以至少会有一个人有驾驶执照，那么他们最初使用的假名字就会马上暴露（一个专业人员会预备好伪造的ID，但是这两个青少年没有这样做）。无论如何，勒罗伊都应该检查他们的身份证件并写下这些信息。如果他们都坚持说证件不在身上，勒罗伊就应该和他们一起去拿“汤姆?斯第尔顿”声称放在车上的公司ID证件。

米特尼克信箱

社会工程师通常有很有魄力，他们反应迅速并且表达能力相当强，也很熟练转换人们的思考过程使其合作，任何一个认为自己对这种控制免疫的人都低估了这种能力和社会工程师的破坏力。

一个优秀的社会工程师，另一方面，绝不会低估他的对手。

在打完电话以后，应该要有一个警卫陪着那两个人直到他们离开工厂，然后送他们到他们的车里并写下车牌号码。如果他的观察力足够敏锐，就会注意到车牌（攻击者从跳蚤市场买来的）的注册号无效——这样就有了足够的理由把他们留下来进行更多的调查。

垃圾搜寻

垃圾搜寻是指从目标的垃圾中搜寻有用的信息，你可以了解到的目标信息数量十分惊人。大部分人不会仔细去想他们在家里都扔了些什么：电话清单、信用卡声明、医疗处方瓶子、银行结单、和工作有关的材料等等等等。

在工作中，员工们必须知道从垃圾中翻找出的信息也许对他们而言是有用的。

在我的中学时代，我常常跑到本地的电话公司大楼后面翻寻垃圾——大部分时间是一个人，偶尔也会和对电话公司感兴趣的朋友一起。当你成为一个垃圾搜寻老手之后，你会学到一些诀窍，比如怎样努力避开公共厕所的袋子，必要的耐磨手套等。

垃圾搜寻并不有趣，但很有成效——公司内部电话目录、电脑手册、员工列表、怎样设定交换机的废弃资料、等等——在这里都能获得。
我计划在新手册发行的当天晚上进行搜寻，因为垃圾箱里会有很多被轻率扔掉的旧手册。在其它不固定的时间，我也去搜寻备忘录、信件、报告等，它们会提供一些珍贵而有趣的信息。

到了以后我就找一些纸箱，把它们拿出来放在一边，如果有人问我（偶尔会发生）我就说一位朋友要走了，我找些箱子帮他整理。警卫从未发觉所有的文件都被我放进箱子带回家了，有时候他叫我离开，我就到另一个电话公司中心办公室去。

术语

垃圾搜寻：从一家公司的垃圾中（通常是在外部和易受攻击的地方）找出被抛弃的可用于社会工程学攻击的信息，例如内部的电话号码或资料。

我不知道现在怎么样，但是在过去可以轻易地知道哪一个袋子里会有有用的东西，地面清洁和自助餐厅的垃圾放在巨大的袋子里，当办公室的废纸篓全部摆满一次性的白色垃圾袋时，清洁人员就一个一个地把它们拿出来捆好。

有一次，当我和一些朋友一起搜寻时，我们弄到了一些被撕碎了的纸片：有人还特意撕得很小，全部都扔进了五加仑的专用垃圾袋。我们拿着袋子到了一家本地的油炸圈饼店，把这些碎片全部倒在一张桌子上，然后开始把它们一个个地拼起来。

我们全都是问题实干家，这个巨型智力拼图很有挑战性——但能得到比小孩子更多的酬劳。完成的时候，我们一起拼出了这家公司某个关键计算机系统的全部用户名和密码列表。

垃圾搜寻值得我们去冒险和努力吗？当然值得，甚至比你想的要好，因为风险为零。这在当时是真的并且在今天也是：只要你没有犯罪，翻寻别人的垃圾是百分之百合法的。

当然，电话盗打者和黑客们并不是唯一瞄准垃圾桶的人，这个国家的警察局经常翻查垃圾，很多小型贪污案的幕后主使就是因为这些从他们的垃圾中提取的证据被判了刑。情报机构，包括我们自己，采用这种方法已经有几年了。

可能这对于詹姆士?邦德而言太卑鄙了——电影人更愿意看到他用计谋去打败坏人，而不是在垃圾堆中努力奋斗。当一些有价值的东西周围堆放着香蕉皮、咖啡渣、报纸和食品目录时，现实中的特工很少有放弃的，特别是如果搜集这些信息不会给他们带来危险的话。

现金买垃圾

大公司也玩垃圾搜寻的游戏。报社在2000年6月忙了好一阵子来报道甲骨文公司（这家公司的CEO拉里?埃里森恐怕是这个国家最坦率地反对微软的人了）雇用的一家侦探公司被逮了个正着的事，那些侦探想要弄到竞争性科技协会（ACT，译者注：这个协会是微软为应对反托拉斯案创立的）的垃圾，但是不想有被抓住的风险。据新闻报道，他们派的那位女士想用60美元现金向一位看门人买下ACT的那些垃圾，结果被拒绝了，她第二天晚上再回来的时候，把价钱上升到给清洁工500美元和给主管200美元，但那位清洁工拒绝了这笔意外之财并且汇报了这一情况。
领先一步的在线新闻记者迪克兰?迈古拉引用了很多资料，他在连线新闻故事中使用的标题是“甲骨文紧盯微软”，《时代》周刊紧跟甲骨文的埃里森，他们报道的标题是“偷窥的拉里”。

过程分析

基于我自己的经历和甲骨文的经历，你可能会感到奇怪：为什么人们要惹麻烦去冒险偷别人的垃圾？

答案，我认为，是因为风险为零并且好处多多。好吧，也许去贿赂看门人增加了成功的几率，但是在任何愿意变脏一点的人看来，完全没有必要去贿赂。

对于一个社会工程师而言，垃圾搜寻自有它的好处，他可以得到足够的信息来指引他对目标公司的攻击,这些信息包括备忘录、会议议程、信件和那些泄漏的姓名、部门、标题、电话号码与工程任务。垃圾桶里出产公司机构图、法人结构信息、旅行时间表等等，这些资料对内部人员而言价值不高，但是它们在攻击者看来可能是很贵重的信息。

马克?约瑟夫?爱德华兹（Mark Joseph Edwards）在他的书《Windows NT因特网安全》中谈到“整份报告因为排版错误而被扔了，密码被写在残余的纸片上，'当你离开的时候’的讯息上有电话号码，所有文件的文件夹还在里面，磁盘和录音带没有被清除或销毁，这些都可以帮助一名想要入侵的人。”

作者接下来问道：“你的清洁队里都有些什么人？你不允许清洁工进入计算机机房，但是别忘了那些垃圾桶。如果联邦机构认为有必要对那些有权使用他们的废纸篓和碎纸机的人进行后台检查，你或许就更应该这样做。”

米特尼克信箱

你的垃圾可能是你对手的财富。我们对那些在我们的个人生活中扔掉的东西考虑得并不多，有什么理由让我们相信人们在工作中会有不同的态度呢？这些都涉及到训练员工了解威胁（搜寻有用信息的坏人）和弱点（没有被粉碎或完全清除的敏感信息）。

被羞辱的上司

当哈伦?福尔蒂在星期一早晨像往常一样到郡公路局上班，并说他从家里出来得太急忘了带证件时，没有人对这件事有任何想法。那个警卫在这里工作了两年，天天看着哈伦进进出出，她给了他一个临时员工证件并要他签上名。然后他继续行动。

两天以后，灾难降临了。那个故事在整个公路局里快速传播着，有一半的人不敢相信这是真的，其余的人则不知道是哈哈大笑好还是该同情这个可怜的人。

毕竟，乔治?阿达姆松（George Adamson）是个友好而富于同情心的人，是他们曾经有过的最好的上司，这些不应该发生在他身上。当然，如果这个故事是真的的话。

星期五晚些时候，当乔治把哈伦叫到办公室里并尽可能温和地告诉他，星期一他要到卫生局的新工作上报到时，麻烦开始了。对于哈伦而言，这比被解雇更坏，他绝不能忍受这种羞辱。

那天傍晚他独自一人坐在阳台上注视着来来往往的车辆，最后他发现那个被人称作“战争游戏男孩”的大卫正骑着电动车从学校回来。他把大卫叫住，给了他一瓶特意买来的红色密码（译者注：百事可乐的一种桃红色威士忌），然后提出了一个交易：用最新的电视游戏机和六个游戏换取少量的电脑帮助和一个保守秘密的承诺。

在哈伦解释了任务之后——没有任何危险的细节——大卫同意了，他详细描述了哈伦要做的事情，买一个调制调解器，进入办公室，找到一台旁边有多余电话插口的电脑，插上调制调解器，把它放到桌子下面一个没人能看见的地方。接下来的事情有一定的危险，哈伦要坐在那台电脑上安装一个远程控制软件包并运行，在这个办公室里工作的人可能会在任何时间出现，或者某个经过这里的人会看见他在别人的办公室里。哈伦非常紧张，因为他很难读懂大卫为他写下的使用说明，但他还是办到了，并且在没有任何人注意到的情况下溜了出来。

埋下炸弹

大卫吃完晚饭后留了下来，两个人坐在哈伦的电脑面前，这个男孩花了点时间拨入那个调制调解器，获得访问权限，然后到达了乔治?阿达姆松的机器。这并不很难，乔治从没有过任何防范措施（比如更改密码），并且总是让这个或那个人为他下载或Email某个文件，这样一来，办公室里的每个人都知道了他的密码。稍微搜索之后大卫找到了一个名为BudgetSlides2002.ppt的文件，他把它下载到了哈伦的电脑上，然后哈伦让他先回家，几个小时候再来。

当大卫回来的时候，哈伦要他再次连接到公路局的电脑系统并用一个相同的文件覆盖掉之前找到的那个文件。之后哈伦给大卫看了那个电视游戏机，并许诺一切顺利的话，第二天他就可以拿到它。

吃惊的乔治

想不到预算听证会这种很无聊的事情能让这么多人感兴趣，郡参议会的办公室里挤满了记者、专业兴趣组的代表、公众成员，甚至还有两个电视新闻组。

乔治在这些会议上总是有些战战兢兢。郡参议会掌管着财政，如果他不能拿出一份有说服力的报告的话，公路局的预算就会被否决掉，然后每个人都会开始抱怨道路上的洞坑、不亮的红绿灯和危险的十字路口，并且责怪他，接下来整整一年的生活都会变得极度拮据。但是这天晚上当他被介绍时，他很有自信地站了起来。他已经为这个报告工作了六个星期，还给他的妻子、高层的同事和一些敬重的朋友试验过这个PowerPoint演示，每个人都认为这是他有过的最好的报告。

起先的三个PowerPoint图片显示得很好，换了个心情，每一个参议会的成员都专心起来，他有效地表达了自己的观点。

然后一切都突然变得不正常了，第四张图片应该是去年新扩建的公路日落时的美丽画面，却变成了一些令人难堪的东西，一张来自《阁楼》或《好色客》杂志的图片。当他匆忙点击便携式电脑的按钮进入下一张图片时，他听到下面的观众全都倒吸了一口气。

这一个更糟，简直就难以想象。

他仍然试图单击到另一张图片，但观众里的某个人拔下了放映机的插头，然后主席重重地敲下了他的槌子，压过喧闹大声宣布会议暂停。

过程分析

利用一个少年黑客的专业技术，一个不满的员工进入了他的部门主管的电脑，下载了一个重要的PowerPoint文件，并把一些幻灯片替换成了几张令人难堪的图片，然后把这个文件放回到那个人的电脑。

通过一个插好的调制调解器，这个年轻的黑客可以从外部拨入并连接到办公室的某台电脑。这个男孩预先安装了一个远程控制软件，只要连接到那台电脑，他就可以访问系统里的每一个文件。之前这台电脑已经被连接到了网络，他也知道了这个主管的用户名和密码，他可以轻易地访问主管的文件。

包括搜索杂志图片的时间，总共才用了几个小时，结果让一个好人的声誉受到了难以估量的损失。

米特尼克信箱

大多数被调动、解雇或被降职的员工都不是麻烦，但只要有一个就可以让公司认识到所有的防范措施都太迟了。经验和统计图表都清晰地表明了企业面临的最大威胁来自于内部人员，内部人员知道哪里有贵重信息，攻击哪里可以造成最大伤害。

营销员

一个舒适的秋天上午，彼得?米尔顿（Peter Milton）走进了光荣汽车零配件（一个汽车零件市场的本土零件批发商）丹佛区域办公室大厅，他在接待处等待着，那个年轻的女士正在登记一个访客，给一个打来电话的人驾驶指引，应付接连不断的人，所有这些差不多都是在同一时间。
“你是怎样学会同时处理这么多事情的？”彼得在她有空接待他的时候说，她笑了，显然很高兴。他来自达拉斯办公室的营销部，他告诉她，并说亚特兰大销售区预的迈克?塔尔伯特（Mike Talbott）要和他会谈。“今天下午我们要一起去拜访一位客户，”他解释说，“我就在大厅里等他。”

“营销，”她说这个词的时候几乎有些忧伤，彼得微笑着看着她，等待着下文，“如果我上了大学的话，我就会做营销员。”她说，“我喜欢营销这份工作。”

他再一次笑了，“凯拉，”他说，把前台上她的签名读了出来，“我们达拉斯办公室有位女秘书，她自己离开了营销部，那是三年前的事了，现在她是市场经理助理，她换了两次工作。”

凯拉似乎在幻想了，他继续说，“你会用电脑吗？”“当然。”她说。
“你觉得我把你的名字放到营销部的秘书职位上怎么样？”
她笑了，“那样我就能到达拉斯去了。”
“你会喜欢达拉斯的，”他说，“我不能保证马上就有机会，但我会尽力的。”
她想，这个衣服和领带十分整洁、头发梳得整整齐齐的好人可能会让她的工作和生活发生巨大改变。
彼得穿过大厅坐了下来，打开他的便携式电脑，然后开始完成一些工作。十或十五分钟以后，他又走回了前台。“听着，”他说，“好像迈克被什么事拖住了，这里有会议室可以让我在等待的时候坐下来写电子邮件吗？”
凯拉打电话给了负责调配会议室的人并为彼得安排了一个没有登记的会议室。这里的会议室仿照了一些硅谷公司的做法（苹果也许是第一个这样做的），用卡通人物、连锁饭店、电影明星或连环漫画英雄的名字来命名。他被告知可以去用米老鼠会议室，她先帮他登记，然后给他指出了米老鼠的方向。

他找到了那个会议室，安顿下来，把他的便携式电脑连上了以太网端口。

你看到这个场景了吗？

对——这个入侵者已经在公司的防火墙内部连入局域网了。

安东尼的故事

我猜你可能会把安东尼?莱克（Anthony Lake）称为懒惰的商人，或者是近乎“古怪”的人。

他认为他应该为自己工作，而不是为别人：他想开一个商店，这样他就可以整天都待在一个地方而不用在乡下到处跑了，他想做一些肯定能赚到钱的生意。

开什么店好呢？没过多久他就决定了，他知道修车，就零配件商店好了。

怎样才能保证成功呢？他很快就想到了答案：确定零配件批发商出售给他的商品都是他想要的成本价。

他们当然不会自动说出来，但是安东尼知道怎样骗人，他的朋友米奇知道如何入侵别人的电脑，他们一起制定了一个巧妙的计划。

那天他假扮成一个名叫彼得?米尔顿的员工，进入了光荣汽车零配件公司内部并把他的便携式电脑连上了他们的局域网，一切顺利，但还只是第一步，接下来他要做的事情并不容易，特别是之前安东尼为自己设置了一个十五分钟的极限时间——如果更久的话他认为被发现的风险太高了。

米特尼克信箱

不要让你的员工只看到封面就判定一本书的好坏——穿着整洁并不能为某个人带来更多的可信度。

在之前的电话中他伪装成他们电脑供应商的支持人员花言巧语地表演了一番，“你们公司购买了两年的技术支持，我们正在把你们加入数据库，这样当你们使用的某个软件程序有了补丁或是更新版本时我们就可以知道，我需要你告诉我你们使用哪些程序。”然后他得到一张程序列表，一位会计师朋友确定其中一个调用了MAS90（译者注：一款财务软件）——这个程序管理着他们的厂商列表和折扣与各自的付款方式。

有了这些关键信息，他下一步用一个软件程序扫描了局域网中所有的存活主机，没花多少时间他就找到了财务部门服务器的正确位置。从他的便携式电脑的黑客工具兵器库中，他运行了一个程序并用它来扫描目标服务器上所有的授权用户。得到了这些之后，他开始尝试了一系列常用的密码，比如“空”和“password”，“Password”起作用了，没什么好吃惊的，在选择密码的时候人们总是缺乏创造力。

才过了六分钟，游戏就完成了一半，他进入了目标服务器。

又过了三分钟，他非常小心地往客户列表里添加了他的新公司、地址、电话号码和联系人，然后找到一个至关重要的条款，在上面标明所列商品以高于光荣汽车零配件成本1%的价格卖给他。

十分钟不到，他完成了。然后他停留了足够长的时间向凯拉表示感谢，并说他仔细查看了电子邮件，了解到计划有变动，迈克?塔尔伯特已经在去客户办公室开会的路上了，他也不会忘了要把她推荐到营销部门的事。

过程分析

这个自称为彼得?米尔顿的入侵者运用了两次心理战术——一次是有计划的，另一次是临时准备的。

他穿得像是工资很高的管理人员，精心设计的衣服、领带和发型——这些细节看上去很小，但是它们能建立第一印象。我自己是无意中发现了这些的，以前我在加利福尼亚州GTE（译者注：美国通用电器公司）当程序员时，我发现如果有一天我没有带证件，穿着整洁但随意——比如，运动衫、休闲裤与Dockers（译者注：卡其裤经典品牌）——我就会被叫住被盘问，你的证件，你是谁，你在哪里工作？第二天我再来的时候，依然没有证件但是衣服和领带看上去非常正规，我用了一个古老的技术混入人群，和他们一起走进公司或安全入口，和他们聊天，好像我就是他们中的一员。我顺利通过了，即使警卫注意到我没有证件，他们也不会打扰我，因为我看起来像是管理人员并且还和带着证件的人在一起。

从这些经验中，我了解到应该怎样预测安全警卫的行为，像是我们中的其他人，他们会根据表面现象进行判断——社会工程师知道怎样利用这个致命弱点。

当攻击者注意到那位接待员不同寻常的努力之后，他的第二个心理战术起作用了。同时处理很多事情没有让她变得不耐烦，不仅如此，她还让每个人都觉得他们获得了她全部的注意力，他觉得这些是有上进心、想证明自己的人的标志。然后当他声称在营销部门工作时，他观察了她的反应，看他是否在她心中建立了友好的形象，他做到了。对于攻击者而言，这意味着他可以通过承诺帮她找到一份更好的工作来利用她。（当然，如果她说她想去财务部门，他就会声称自己可以在那里为她联系一份工作。）

入侵者也喜欢在这个故事里使用的另一个心理战术：用两段攻击建立信任。他首先聊到营销部的工作，然后“提到某个人”——说出另一个员工的名字——一个真实的人，顺便说一句，那的确是一个真实员工的名字。

他可以马上请求到一间会议室去，但他选择了暂时坐下来，假装在工作并等待他的同事，这样就可以避免任何可能的猜疑，因为一个入侵者是不会待在附近的。他没有待很长时间，然而，社会工程师在必要的情况下会待在犯罪现场更长时间。

米特尼克信箱

允许一个陌生人进入到可以把便携式电脑连入公司内部网络的地方，会大大增加安全风险。这对于一名员工而言非常合理，但是对于一个想要到会议室查看他（或她）的电子邮件的外部人员，除非已经确定这名访客为可信任的员工或者网络已经被分割出来，阻止未经授权的连接，这可能是危及公司文件的薄弱环节。

必须明确指出的是：从法律的角度上看，安东尼进入大厅时，他并没有犯法；当他利用一个真实员工的名字时，他也没有犯法；当他进入会议室时，他也没有犯法；当他连入公司的内部网络并搜索目标主机时，他也没有犯法。
实际上直到他侵入了计算机系统时，他才违反了法律。

偷窥的凯文

很多年前，当我在一个小公司工作时，我注意到当我走进和其他三个人共用的IT部门办公室时，有一个特殊的人（乔，我在这里这样称呼他）会迅速地把他的电脑显示器切换到另一个窗口，我马上觉得这很可疑，当同一天发生超过两次这样的事时，我确信自己将要了解到某些事，这个人到底不想让我看见什么呢？

乔的电脑是公司小型机的终端，所以我在VAX小型机上安装了一个控制程序，这样我就可以监视他的一举一动。这个程序类似于一个在他肩膀上面的电视摄像机，把他在电脑上看到的东西精确地展示给我。

我的桌子就在乔的旁边：我可以把显示器转过来让他看不见，但是他随时都可以走过来，然后发觉我在监视他。这不是问题：他太专注于所做的事情了。

我看到的东西让我目瞪口呆，这个坏蛋调出了我的工单数据，他在查看我的工资！那时候我在那里才几个月，我猜乔是无法容忍我的工资比他高。

几分钟后我看见他在下载菜鸟黑客自己写不出来的黑客工具，这样看来乔没什么本事，并且还没有意识到美国最有经验的黑客就坐在他的右边，我觉得这很好玩。

他已经获得了我的工资信息：要阻止他已经太晚了。此外，任何电脑可以访问IRS（译者注：美国国税局）或社会保障总署的员工都可以看见你的工资。我当然不想让他发现我知道了他在干什么，我此时的主要目标是保持低调，一个好的社会工程师不会去到处宣传他的知识与才干。你通常想让人们低估你，不把你当成威胁。

所以我没有管他了，并且为乔认为他知道了我的一些秘密而暗自发笑。当这些都反过来时：我获得的信息会比他多得多。
我发现我在IT部门的三个同事全都喜欢查看这个或那个可爱秘书或（为公司里的一个女孩子）他们盯上的某位帅哥的实得工资，并且他们还喜欢找出公司里任何令他们好奇的人（包括高层管理人员）的工资和奖金。

过程分析

这个故事说明了一个很有趣的问题，维护公司电脑系统的人可以轻易地访问工资表文件，这带来的问题是：确定谁可以被信任。在某些情况下，IT人员会在四处察看时无法避免地看到它，他们可以这样做，因为他们有特权允许他们忽略这些文件的访问控制。
一个安全措施是审核对特别敏感的文件的访问，比如工资表。当然，任何必需有特权的人都可以关闭审核或移除任何指向他们的纪录，但是每一步额外的步骤都会使不道德的员工在隐藏部分上花费更多的时间。

预防措施

从翻寻你的垃圾到欺骗安全警卫或接待员，社会工程师可以全面侵入你的公司内部，但是你会很高兴听到这里有一些你可以采取的预防措施。

临时通行证

所有上班时忘记带证件的员工都必须到大厅前台或警卫室办理一张临时证件，如果这一章第一个故事中的安全警卫在遇到没有携带员工证件的人时仔细地进行了处理，一切就会大不相同。

对于安全等级不高的公司或公司区域，也许并不需要强调每个人每时每刻都带着有效证件，但是对于公司中的敏感区域，这些就需要被严格地强制实行。必须培训员工去质疑没有佩戴证件的人，高级员工必须允许这些质疑，不去为难那些把他们叫住的人。

公司政策应该忠告那些一直没有佩戴证件的员工：他们所受的处罚可能是直接回家并且拿不到任何报酬，或者在他的个人档案上写上一笔。一些公司制定了一系列更严厉的处罚，包括向员工经理报告问题，然后发布正式警告。

另外，在有受保护的敏感资料的地方，公司应该制定在非商业时间访问的授权程序。一个解决方案是：让公司的安全部门或某个其它指定组管理这些请求，这个组将通过回电给主管或其它一些相当合理的方法来核实任何请求在非工作时间访问的员工的身份。

慎重处理垃圾

垃圾搜寻的故事揭示了公司的垃圾存在的潜在危险。

下面是八条与之相关的至理名言：

1．基于敏感程度对敏感资料进行分类。
2．在整个公司范围内建立敏感资料丢弃程序。
3．坚持在丢弃敏感信息时先将其粉碎，并使用一个安全的方法去除无法再剪碎的小纸片上的重要信息。碎纸机绝对不能处于低档粉碎状态，一个坚定的攻击者，加上足够的耐心，就可以把这些低档粉碎出来的纸片拼起来。只要很好的使用了交叉碎纸机，他们得到的就会是无用的纸浆。
4．将那些电脑媒体——软盘、Zip盘、被用来存储文件的CD和DVD、可移动磁盘、旧硬盘等——完全清除或使其无法使用，在它们被丢掉之前。记住，删除文件事实上并没有将其清除，它们还可以被恢复——就像Enron主管和其他许多人从他们的惊讶中学到的那样，把电脑媒体扔到垃圾桶里是在向当地友好的垃圾搜寻者发出邀请。（处理媒体与设备的详细指导方针见第16章）
5．在选择清洁队成员上保持适当程度的控制，如果允许的话进行后台检查。
6．周期性地提醒员工回想他们扔到垃圾桶里的资料种类。
7．锁定垃圾搜寻者。
8．对敏感资料使用分散存储空间，与可信赖的专业资料处理公司签订合同。

对员工说再见

这一点在这几页之前就谈到了，当一名离职员工想要获得敏感信息、密码、拨入号码等等时，需要执行严格的程序。你的安全程序需要提供一个多种系统的授权纪录。也许很难阻止一个坚定的社会工程师突破你的防御网，但是不要让一个离职员工都可以轻易做到。

另一个措施很容易被忽视：当一名可以从存储器恢复备份数据的员工离开时，应当为存储器调用一个写好的策略，马上通知将她的名字从授权列表中删除。

这本书的第十六章详细讲述了这个重要主题，但是在这里列出某些适当的安全措施很有帮助，就像通过那个故事强调的那样：

按照一张完整、严格的步骤列表上的内容处理一名员工的离职，对于访问过敏感数据的员工要有特殊的规定。

关闭员工的直接访问权限——最好在其离开公司之前。

不仅恢复员工ID证件需要按程序进行，任何密匙或电子访问设备也同样需要。

规定在允许任何没有安全密码的员工进入之前安全警卫要查看他或她的照片ID，在验证列表上核实姓名，确定这个人仍是这家公司的员工。
更多的步骤对于一些公司而言未免太繁琐或太昂贵了,但是却适合一些其他的公司，下面是一些更严格的安全措施：

电子ID证件结合入口处的扫描器，当每个员工将他的证件从扫描器上划过时，电子实时判断会得出此人为当前员工并有权进入大楼。（注意，无论如何还是必须被培训安全警卫提防蒙混过关者——一个未经认证紧跟在合法员工身后的人。）

所有员工都必须在同一组内，当某个人离开时（尤其是如果这个人被解雇了）更改他们的密码。（看上去很偏激？在通用电器公司工作的那一段时间之后很多年，我了解到当太平洋电话的警卫听到通用电器公司把我解雇了时，“到处都是笑声。”但是对于通用电器公司的信任，当他们了解到一个有名的黑客曾经为他们工作时，在解雇了我之后，他们就必须更改公司里所有人的密码！）

你不想让你的公司变得像牢房一样，但是同时你需要防范那些刚被解雇就跑来想做坏事的人。

不要忘记任何人

安全警卫要注意入门级的员工，比如并不处理公司敏感信息的接待员。我们曾经在其它地方看到过，接待员是最受攻击者青睐的目标，本章中闯入汽车零配件公司的故事则是另一个例子：一个友好的穿着很专业的人，可能并不是他所声称的来自其它区域分公司的员工。需要良好的培训接待员，如何在适当的时候礼貌地请求公司ID，培训不只是针对主要的接待员，还包括每一个在午餐或下午茶时间零时坐在接待处的人。
对于公司外部的访客，需要查看其照片ID并记录信息。伪造ID并不很难，但至少严格的ID验证可以让攻击者使用电话冒充更加困难。

在一些公司，实行全程陪同访客（从大厅到会议室）的安全策略很有意义，程序应该规定陪同人员在把访客送到会面地点之前要先弄清楚这个人是员工还是非员工。为什么这很重要？因为就像我们在之前的故事中看到的那样，攻击者经常会变换角色，在大厅中表演对他们而言实在是太简单了，使接待员相信他有一个会议要参加，说，有个工程师……陪他到那个工程师的办公室……与工程师会谈之后，他才可以自由行动。
在允许一名异地员工进入之前，必须履行适当的程序，确认此人真的是公司的员工。接待员和警卫必须要了解攻击者伪造身份所使用的方法。

怎样阻止攻击者进入大楼并把便携式电脑连入公司的内部网络？拜当今的技术所赐，这的确是个挑战：会议室、培训室和其它类似的地方都不应该留下不安全的网络端口，应使用防火墙或路由器将其保护起来，但更好的做法是使用安全的方法对任何连入网络的用户进行识别。

保护IT部门！

忠告：在你的公司里，IT部门的每一位员工或许都知道（或能花几分钟时间找出）你的收入、CEO的实得工资和谁用了公司的钱去滑雪度假。
在一些公司甚至有可能出现IT人员或会计人员给他们自己加工资、向一个伪造的卖家付款、删除人力资源档案中消极的评价等情况。有时候只是因为担心被抓住，他们才没有那样做，直到有一天，某个贪婪或本性不诚实的人冒着风险做了所有他认为能免于责罚的事情。

这里当然也有解决方案，可以通过配置严格的访问控制来保护敏感文件，所以只要验证访问者有权打开它们。有一些操作系统的审核控制能设定保留事件的日志，比如每一个试图访问敏感文件的人（无论是否访问成功）。