人员,碰到了问题,他的电脑不得不给别人使用。她把他要找的信息告诉了他,还同意在他将来需要帮助时找她帮忙。
过程分析
是什么使得利用员工的同情心这一方法有效?在这个故事里,别人用了他的电脑然后“我的上司对我不满了”。人们并不经常表达他们的情感,当他们这样做时,可以使人们再一次失去对社会工程学的本能防御。“我遇到了麻烦,你能帮我吗?”的情感策略是赢得这一天用的所有东西。
不安全的社会
难以置信,社会保险总署把他们全部的程序操作手册提交到了网上,这些信息里有很多对他们有用,但同样也对社会工程师有价值。它包含了缩写、术语和如何请求你想要的东西的指令,就像这个故事里描述的那样。
想要知道社会保险总署的更多内部信息?只要在Google里面搜索或者在你的浏览器里输入下面这个地址:http://policy。ssa。gov/poms。nsf/。除非这个机构已经阅读了这个故事并在你阅读这些以前移除了这个手册,你可以找到在线使用说明,它甚至详细地给出了哪些数据SSA办事员可以提供给执法部门。实际上,那一部门包含了任何可以使SSA办事员相信他来自执法部门的社会工程师。攻击者不能成功的从一个接到审查中心的电话的办事员那里获得这些信息。基思的攻击方式仅仅是使用一些公众难以获得的电话号码,接听的人因此希望任何打这个电话的人应当是内部的一些人员——另一个地下酒吧式安全的例子。帮助这一攻击的基础包含以下几个前提:
知道Mod的电话号码。
知道他们使用的术语——阿尔法查询、数据列表和详细收入查询。
假装来自审查中心办公室,那是每一个联邦政府员工都知道的遍布政府的有很大权力的研究机构。这给了攻击者一个权威的光环。
一个有趣的事实是:社会工程师似乎知道怎么样进行请求,因此一个曾经认为那很困难的人,即使当他问“为什么你打电话给我。”时,理论上,如果这个电话来自一些完全不同的其它部门的人,可以建立更多理解。也许他的简单的意图只是帮助这个打电话的人,好让单调的日常工作能停顿一下,受害人不会去想这个电话有多么不寻常。
最后,这个故事里的攻击者,没有满足于这些到手的信息,他还想要和目标建立联系好让他可以有规律的打电话来。他可以使用普通的同情心攻击策略——“我把咖啡撒在键盘上了。”可是,那在这里不适用,因为一个键盘可以在一天里面更换掉。
因此他使用了这个别人用了他的电脑的故事,他可以适当地将扩充这些:“是的,我想他昨天会有一台他自己的电脑,但是一个人进来和另一个家伙进行了一些交易把它给换了。所以这个爱开玩笑的人仍然出现在我的办公室里。”等等。
我很可怜,我需要帮助,像有魔力一般有效。
一个简单的电话
一个攻击者的主要障碍是让他的请求看上去合理,像是受害人的工作日里碰到典型请求一样,那不会让受害人太陌生。像一生中的许多其他事情一样,进行合理的请求有一天是个挑战,但是下一步,它就会变成小菜一碟。
玛丽·哈里斯(Mary Harris)的电话
日期/时间:星期一,十一月23日,上午7:49
地点:麦斯拜&火炬会计公司(Mauersby & Storch Accounting),纽约
对于大多数的人而言,会计工作就是数字整理和账目计算,通常认为那些就像在小路上漫步一样惬意。幸运的是,不是每一个人都那样看这份工作。例如,玛丽·哈里斯认为她的工作像高级会计师一样有趣,一部分原因是她是这家公司最专注的会计员工之一。
在这个特殊的星期一,玛丽到得很早,开始了漫长的一天里她的首要工作,并吃惊地发现她的电话响了。她接了电话,报上了她的名字。
“你好,我是彼得·谢帕德(Peter Sheppard)。这里是奥布斯特(Arbuclde)公司,这家公司为你的公司提供技术支持。我们在周末收到了几个这里电脑有问题的人的投诉。我想我可以在早上所有人进来工作之前充当故障检修员。你的电脑有任何问题或者连接网络有任何问题吗?
她告诉他她还不知道。她打开了她的电脑,当电脑启动的时候,他解释了他要做的事情。
“我想在你的电脑上进行一些测试,”他说,“我能在我的屏幕上看见你键入的字,我想确认网络通顺。所以当你录入时,我想要你告诉我那是什么,然后我会检查这里是否是相同的文字或数字。好吗?”
梦魇一般的景象,她的电脑无法工作,失败的一天,不能完成任何工作,她很高兴这个人能帮她。过了一会儿,她告诉他:“我到了登陆屏幕,我要输入我的ID。我现在键入它——M……A……R……Y……D。”
“到现在为止很好,”他说,“我看到了。现在,前进并输入你的密码但不要把它告诉我。不要把你的密码告诉任何人,甚至技术支持部门都不可以。我在这里只会看见星号——你的密码受到了保护所以我无法看到它。”这些都不是真的,但这对玛丽有意义。然后他说:“当你的电脑启动时告诉我。”
当她说它启动了时,他要她打开两个应用程序,然后她报告说他们运行得“很好”。
玛丽看到所有东西都运行正常,放心了。彼得说,“我很高兴可以确定你的电脑工作正常。听着,”他继续道,“我们刚才安装了一个更新程序,允许人们更改他们的密码,你可以给我几分钟时间让我能检查它是否工作正常吗?”
她对他的帮助很感激于是欣然答应了。彼得告诉她运行这个程序的步骤,允许用户修改密码,这是Windows2000操作系统的标准组件。“前进并输入你的密码,”他告诉她,“但是记住不要大声地说出来。”
当她完成这些时,彼得说:“只是为了这个快速测试,当它请求你的新密码时,输入'test123',然后在确认栏里再次输入它,点击确定。”
他告诉她从服务器断开的方法。他让她等待几分钟,然后再连接,这次试着用她的新密码登陆。它像有魔力一样工作着,彼得似乎很高兴,然后告诉她用初始密码改回去或者选择一个新的密码——再一次提醒她不要把密码大声地说出来。
“好了,玛丽,”彼得告诉她,“我们找不到任何错误,那很好。听着,如果有了任何问题,只要打电话到奥布斯特公司我们这里,我通常有特殊任务,但是这里的任何人都可以帮助你。”她感谢了他然后他们互相说了再见。
彼得的故事
彼得这个名字传播得很广——在他的学校里许多和他一起去学校的人听说他可以进行一些电脑风啸获得其他人不能获得的有用信息。当艾丽丝·康拉德找到他并寻求帮助时,他首先说的是不。为什么他要帮忙?当他第一次遇见她并试着和她约会时,她的拒绝让他倍受打击。
但是他拒绝帮忙似乎并没有让她吃惊。她说她认为一些事情他无论如何也办不到。那可能是个挑战,因为他当然确定他能办得到,那是他同意的理由。
艾丽丝拿出了一份关于一家交易公司的一些顾问工作的合同,但是这份合同的条款似乎不是很好。在她回去请求获得更好的待遇以前,她想要知道其他顾问他们的合同条款都有些什么。
下面是彼得讲述这个故事。
当我知道它很容易时,我不想告诉艾丽丝任何事情除了我可以做到人们认为我做不到的事情。好的,不容易,准确点,这次不容易,要做一系列的事情,但是还好。
我要给她展示这真实的一切,多潇洒。
星期一早上7:30之后一点点,我打电话给交易公司办公室并联系上了接待员,说我是这家公司处理他们退休金计划的人,想要和会计公司的人谈话。她有没有注意到会计公司的人还没有上班?她说:“我想我几分钟之前见到过玛丽,我帮你联系她。”
当玛丽拿起电话时,我告诉她关于电脑故障的一些故事,那让她有些神经过敏,所以她很高兴的合作了。当我告诉她怎样修改她的密码时,我用同样的临时密码(我要她使用的:test123)快速登陆了系统。
进入并掌握了这里——我安装了一个小型程序允许我无论何时只要我想要就能访问这家公司的电脑系统,使用了一个我自己的秘密的密码。当我挂断玛丽的电话时,我的第一个步骤是清除登陆纪录,这样就没有人知道我曾经登陆过他(或她)的系统。这很容易。在我提升了我的系统权限之后,我下载了一个叫做clearlogs的免费的程序,我是在一个安全类的网站www。ntsecurity。nu找到它的。
到真正的工作时间了。我在所有文件里查找文件名带有“contract(译者注:合同)”关键字的文件,然后把它下载下来。我还在根目录里找到了更多——这些目录里包含了所有的顾问工资报告。所以我整理了所有的合同文件和一张工资清单。
艾丽丝可以细读这些合同看他们支付多少钱给其他顾问。让她辛苦地细读所有这些文件吧,我做到了她要我做的。
从我存放这些数据的磁盘里,我打印了一些文件当作证据给她看。我要她和我约会并请我吃午饭,当她翻阅这一堆纸时你可以看见她的表情。“没门,”她说,“决不。”
我没有拿出这些磁盘,它们是诱饵。我说过她不得不过来拿,希望也许她会对我的帮助表示感谢。
米特尼克信箱
那很令人惊讶,基于那些精心构造的请求社会工程师可以轻易地让人们帮他做事。前提是引起基于心理作用的自动回应,依赖于当他们觉得这个打电话的人是盟友时人们心理的捷径。
过程分析
彼得打给交易公司的电话表