《欺骗的艺术》第十二章 攻击新进员工

第十二章 攻击新进员工（1）

正如这里的许多故事讲述的那样，在机构中处于低层的员工常常成为熟练的社会工程师选择的目标。攻击者可以轻易地从这些人手里得到表面上无害的信息，从而进一步获取更多敏感的公司信息。

攻击者选择新进员工的原因是他们不知道公司的特殊信息的价值或某种行为可能带来的后果，同样，他们也容易受到常用的社会工程学攻击的影响——动用了权威的呼叫者，似乎很友好很可爱，认识公司里受害者也认识的某个人，攻击者声称的很紧急的请求，或者其它能获得受害者好感（或认同感）的方法。

接下来有一些针对低层员工的攻击案例。

提供帮助的安全警卫

骗子希望能找到贪婪的人，因为他们是唯一可能陷入行骗游戏中的人。社会工程师（当他们瞄准了清洁队的成员或安全警卫之类的人时）希望能找到和善、友好、信任他人的人，他们是唯一最有可能提供帮助的人。这正是攻击者在下面的故事里所寻求的。

艾里特的观点

日期/时间：1998年二月的一个星期二，凌晨3:26
地点：新罕布什尔州纳舒厄Marchand微系统公司
艾里特•斯泰雷（Elliot Staley）知道他不应该在上班时间离开岗位，但现在是半夜，我的老天爷，自从值班以来他一个人影都没看到，并且正好快到巡视的时间了，电话上的这个可怜的人似乎真的需要帮助，他们很乐意帮别人做一些事情。

比尔的故事

比尔•快乐摇摆（Bill Goodrock）有一个简单的目标，一个从他十二岁以来就没变过的目标：二十四岁就退休，不用他的信托基金里的一分钱。

他告诉他的父亲，无情的、万能的银行家，他可以靠自己一个人成功。

然后过了两年，很明显他没有在二十四个月里成为杰出的商人，并且也没有成为精明的投资者，当然也没有发财。他曾经很想知道怎样持枪抢劫银行，但那只是小说中的素材——实在是太冒险了。所以他的白日梦就成了像瑞夫金那样——对银行实施电子抢劫。上一次比尔和家人一起去欧洲的时候，他打开过一个有100法郎的摩纳哥银行帐户，尽管里面只有100法郎，但他有一个计划可以轻易地使这个数字达到七位，甚至是八位，如果运气好的话。

比尔的女朋友安玛丽在波士顿一家大银行的并购部门工作，有一天，她要参加一次漫长的会议，比尔只好在她的办公室里等她，出于好奇心，他把他的便携式电脑插入了会议室的以太网端口，是的！——他连上了他们的内部网络，从银行网络的内部……也就是说在公司防火墙的后面，这让他有了一个主意。

他的一个同班同学认识一个叫做朱莉亚的年轻女士，一个才华横溢的计算机科学博士，目前正在Marchand微系统实习。朱莉亚似乎是个不错的内部信息来源，比尔要开始施展自己的才华了。他们对她说他们正在写一个电影的剧本，她居然相信了，她认为和他们一起编故事很好玩，然后告诉他们怎样实现他们描述的那些事情，这个想法实在是太有才了，事实上，她还一直缠着他们，她也想出现在影片的致谢名单上。


他们警告说电影剧本的创意经常被偷，所以她发了誓绝不告诉任何人。

经过朱莉亚细心的指导之后，比尔要独自进入危险的部分了，他相信自己肯定能成功。

我下午打电话去的时候了解到晚上的安全主管是个叫以赛亚书•亚当斯（Isaiah Adams）的人，于是我在那天晚上9：30打去电话，和安全部门的警卫交谈起来。我的故事显得很急促，听上去我还有些惊慌失措。“我的车子出毛病了，现在不能来公司，”我说，“我居然碰到了这样的事情，现在我很需要你的帮助，我想打给安全主管以赛亚书，但是他不在家，你能不能帮我一个忙？万分感谢！”

这家大型公司的每一个房间都有一个邮寄地址编码，所以我告诉他计算机实验室的编码并询问他是否知道在哪里，他说去那里要花一些时间，然后我说我会打到实验室的，很抱歉我使用了我能用的唯一的电话线路，我要用它来拨入网络尝试解决问题。

当他到达那里的时候，我打去电话告诉他哪里可以找到我感兴趣的那个控制台，上面标着“elmer”字样的主机——朱莉亚说这台主机是用于创建对外销售的操作系统正式版的。当他说他找到了的时候，我更加确定朱莉亚给我们提供了正确的信息，我的心扑通扑通直跳，我要他按几次回车，然后他说屏幕显示#号，这说明这台计算机已经用root用户（拥有所有系统权限的超级用户）登录了。他打字的时候要看着键盘，所以当我把要输入的下一个命令告诉他时，他费了好大力气才输入完成，非常谨慎：

echo 'fix:x:0:0::/:/bin/sh' >> /etc/passwd

最终他输入的很正确，现在我们有了一个名为fix的帐户，然后我要他输入：
echo 'fix: :10300:0:0' 55 /etc/shadow


这是在设置密码，两个冒号之间什么都没有意味着密码为空，这两个命令把fix帐户用空密码添加到了密码文件中，这个帐户拥有和超级用户一样的权限。

下一步我让他输入了一个递归目录的命令，打印出一长串文件名列表，然后我要他把那张纸扯出来，带回警卫室，因为“等一下我可能会需要你从那上面为我读一些东西。”

最美妙的是他根本就不知道自己创建了一个新帐户，我让他把文件名的目录列表打印出来，因为我需要确认他之前输入的这些命令和他一起离开了计算机室，这样系统管理员或工作人员第二天早上就不会发现这里出现了一个安全漏洞。

现在我有了一个帐户，一个密码，和完整的权限，接近半夜的时候我拨入了主机，然后按照朱莉亚“给剧本”的指示，一眨眼的功夫我就进入了一个包含这家公司新版操作系统源代码的开发主机。

我上传了一个朱莉亚写的补丁，她说这修改了操作系统库中的一个程序，可以生成一个隐蔽的后门用于远程访问系统。

第十二章 攻击新进员工(2)

注释：

这里使用的后门并没有修改操作系统的登录程序，而是一个包含有登录程序使用的动态库的秘密入口。在常见的攻击中，电脑入侵者经常替换或修补登录程序自身，但是精明的系统管理员还是可以通过比较版本标记（就像CD一样）或其它方法察觉出来。

我小心地遵循着她写给我的指示，首先安装补丁，然后设法移除fix帐户并删去日志中的所有记录，这样就消除了我活动的痕迹，非常有效。
不久这家公司就开始把这个新的操作系统提供给他们的客户：全球的金融机构。他们送出的每一份拷贝都包含有我之前放入开发主机的后门，让我可以访问每一家升级了操作系统的银行和经济行的电脑系统。

术语：

补丁：修正一个可执行程序的一些代码。

当然，还没到休息的时候——还有一些事情要做。我还要获得每一家我想要“参观”的金融机构的内部网络访问权限，然后找出他们用来金融转账的电脑，在上面安装监控程序，了解他们是如何操作的，确切的说是怎样转移资金的。

所有这些都可以远程进行，从有电脑地方，比如，白沙海滩。塔希提岛，我来了！

我回电给那个警卫，对他的帮助表示感谢，然后要他把那张打印出来的东西给扔了。

过程分析

那个安全警卫阅读过他的职责说明，即使是这样深思熟虑出来的说明也无法预测每一种可能出现的情况，没有人告诉他帮助一个他认为是公司员工的人在电脑上输入一些东西会伤害到公司。

有了警卫的帮助，他轻易地获得了一个重要系统（存储用于发布的产品）的访问权限，虽然实验室的门是锁着的，但警卫有所有门的钥匙，不是吗？

即使是本性诚实的员工（在这里，是候选博士和实习员工朱莉亚）有时也能被贿赂或被欺骗，无意中向社会工程师透漏出重要信息，比如目标计算机系统所在的位置——此次攻击成功的关键——他们何时发布软件的新版本，这很重要，因为如果过早的进行了改动，会大大增加被发现或失败的可能性，他们可以从一个干净的来源重建操作系统。

你让警卫把印出的资料带回警卫室并将其销毁了吗？这是很重要的一步，当电脑操作员第二天来上班时，攻击者可不希望他们在打印机终端上找到这该死的证据，或者在垃圾桶里发现它。给警卫一个似是而非的理由让他把印出的资料带走，避免冒险。

米特尼克语录

当计算机入侵者自己无法从物理上访问计算机系统或网络时，他会尝试利用别人帮他这样做。如果为了完成计划必须要进行物理访问，那么通过受害者代理要比亲自动手好得多，因为攻击者可不想有被察觉和被逮捕的风险。。

紧急更新

你可能认为技术支持人员十分清楚让外部人员访问公司网络的危险性，但是如果这个外部人员是一个聪明的社会工程师（伪装成了提供帮助的软件厂商），结果可能会出乎你的意料。

帮助电话

呼叫者想要知道谁负责这里的计算机，电话接线员帮他接通了技术支持人员，保罗•阿赫恩（Paul Ahearn）。

呼叫者声称，“我是爱德华，来自SeerWare公司，你们的数据库供应商。显然我们的一些客户没有收到我们的关于紧急更新的电子邮件，所以我们打电话给一些客户，作为质量监督检查是否已经装好了补丁，你安装了更新吗？”
保罗十分肯定地说，“我从没看到过类似的东西。”
爱德华说，“好的，这可能导致数据灾难性丢失，所以我们建议你尽快安装好补丁。”是的，这正是他想要做的，保罗说，“好的。”呼叫者回应说，“我们可以送给你包含补丁的磁带或CD，我想要告诉你的是，这真的很危险——有两家公司已经失去几天的数据了，所以你真的应该在收到之后马上进行安装，趁你的公司还没有发生那种情况之前。”
“我能从你们的网站上下载吗？”保罗问道。
“很快就可以了——技术团队正在努力当中，如果你愿意的话，我们可以让我们的客户支持中心远程帮你安装，我们可以拨号进入，也可以使用Telnet进行连接，如果你能支持的话。”
“我们不允许Telnet连接，特别是从因特网——这不安全，”保罗回答说。“如果你能用SSH的话，就没问题了。”他说，SSH是提供文件安全传输的产品名称。
“是的，我们有SSH。那么，IP地址是多少？”
保罗把IP地址告诉了他，并且当安德鲁问“我能用哪个用户名和密码”时，保罗也十分配合地说了出来。

过程分析

当然，那个电话也有可能真的是数据库厂商打来的，但那就不是这本书应该讲的了。
在这里，社会工程师首先让受害者担心数据有可能丢失，然后向他提供了一个直接了当的解决方案。
同样，当社会工程师选中的目标十分了解信息的价值时，他就要拿出非常可信非常有说服力的理由获得远程访问的权限，有时候他还需要催促一番，使受害者感到心烦意乱，让他在仔细思考这些请求之前就匆匆忙忙地同意了。

第十二章 攻击新进员工（3）

新来的女孩

在你的公司文件中有哪些信息可能是攻击者想要得到的？有时候可能是你认为根本就没必要保护的东西。

莎拉（Sarah）的电话
“人力资源部，我是莎拉。”
“你好，莎拉，停车场，我是乔治。你知道你用来进入停车场和电梯的门禁卡（译者注：与信用卡外观相似，内有编码数据）吗?对，我们遇到了一个问题，需要重写最近十五天加入公司的所有新员工的磁卡。”
“所以你需要他们的名字？”
“还有他们的电话号码。”
“我可以查看我们的新员工列表，到时候打给你吧，你的电话号码是？”
“73……啊，我现在有点事情，半个小时候我再打给你怎么样？”
“哦，好吧。”
当他再打回去的时候，她说：
“哦，是的，只有两个，一个是安娜•莫托（Anna Myrtle），她是财政部的秘书，另一个是新来的副总，安德伍德先生。”
“电话号码是？”
“好的，安德伍德先生的号码是6973，安娜•莫托的是2127。”
“嘿，你帮了我一个大忙，谢谢。”

安娜的电话

“财政部，我是安娜。”
“我很高兴有人这么晚了还在工作，听着，我是罗恩•维特诺（Ron Vittaro），商务部的出版人。我不认为我们已经被介绍过了，欢迎来到我们公司。”
“噢，谢谢。”
“安娜，我现在在洛杉矶，我有一些事情，能占用你大概十分钟的时间吗？”
“当然，有什么可以帮忙的吗？”
“到我的办公室去，你知道我的办公室在哪里吗？”
“不知道。”
“好的，我的办公室在十五楼——1502室。过一会儿我会打电话到那里，如果你到了，就按一下电话上的转移键，这样来电就不会直接转到我的语音信箱。”
“好的，我这就去。”

十分钟后她到他的办公室取消了他的呼叫转移，然后等他的电话。他让她打开电脑，运行Internet Explorer，输入地址：

www.geocities.com/ron-insen/manuscript.doc.exe。



出现了一个对话框，他告诉她点击打开。电脑开始下载这个文档，然后屏幕变成了空白。当她反应说好像出了点问题时，他的回答是，“噢，不，别再这样了，在网上下载东西的时候我经常遇到这个问题，我还以为已经解决了，那么，好吧，不要担心，我再试试其它方法。”然后他要她把他的电脑重启，好让他确认是否还会再出现这种情况，他告诉了她重新启动的操作步骤。

当电脑又一次毫无显示的时候，他对她的热心帮助表示了感谢并挂上了电话，安娜回到财政部，继续她未完成的工作。

第十二章 攻击新进员工（3）

库尔特•狄龙的故事

Millard-Fenton出版社对他们刚刚签约的新作家非常热情，财富500强公司的离任CEO，他要讲述一个迷人的故事。有人安排他和一个商务经理讨论相关事务，而这个商务经理不想让他知道出版合同的详细内容，于是他雇用了一个老朋友帮他找出他想要知道的东西。可惜的是，这个老朋友，并不是一个明智的选择。库尔特•狄龙（Kurt Dillon）习惯于在他的调查中使用与众不同的方法，而这些方法并不完全符合道德。

库尔特在Geocities上用罗恩•维特诺的名字申请了一个免费站点，然后上传了一个间谍程序，他把这个程序的文件名改为manuscript.doc.exe，这样看上去就是一个Word文档，而不会引起怀疑。事实上，这比库尔特预期的更有效：真正的维特诺从未更改过Windows操作系统的默认设置——“隐藏已知文件类型的扩展名”，因此实际显示的文件名为manuscript.doc。

他让一个女性朋友打电话给维特诺的秘书，按照狄龙的指示，她说：“我是多伦多终结者书店经理保罗•斯帕多內（Paul Spadone）的执行助理，前阵子维特诺先生在一个书展上遇到了我的上司，他要他打电话给他商讨一个合作项目。斯帕多內先生有非常多的时间是在四处奔波，所以他说我应该弄清楚维特诺先生在办公室的时间。”

等到两个人核对好了时间表，这位女士就有了足够的信息提供给攻击者——一张维特诺先生在办公室的日程表，这意味着他同样知道了维特诺先生不在办公室的时间。不需要过多额外的交流就可以了解到维特诺的秘书会利用他不在的一段时间去滑雪，虽然时间不是很长，但两个人都不会在办公室，非常好。

术语

间谍程序：用于监控目标计算机活动的专业软件。一种形式是记录因特网购物者访问过的站点，这样在线广告就可以根据他们的上网习惯进行修改，另一种形式类似于监听，除了目标设备是计算机。这些软件监控用户的活动，包括密码、按键、Email、聊天记录、即时聊天、所有访问过的网站和显示屏图像。

无声安装：在计算机用户或操作员毫不知情的情况下安装软件程序的一种方法。

星期天他们按照预定计划打去电话进行确认，然后被一个接待员告知“维特诺先生不在办公室，他的秘书也不在，最近几天都别指望他们会在。”

他的初次尝试非常成功地使一个新进员工加入到了他的计划中，她毫不犹豫地帮他下载了一个“manuscript”（原稿）文件，而事实上这个文件是一个流行的商业间谍程序，攻击者把它改成了无声安装，通过这种方法，安装程序就不会被任何杀毒软件发现。因为一些奇怪的理由，杀毒软件厂商销售的产品并不能识别商业化的间谍程序。

当这位年轻女士在维特诺的计算机上运行了那个程序之后，库尔特马上回到了Geocities站点上，他把那个doc.exe文件替换成了一个他在网上找到的书籍原稿，以防有人无意中发现了这个骗局并回到该站点进行调查，他们唯一能找到的是一份无用的、业余的、不适合出版的书籍原稿。

一旦程序安装完成并重新启动了计算机，设置马上就会生效。罗恩•维特诺将在几天后回到这里开始工作，间谍程序也将开始记录他的计算机上的所有键入，包括所有寄出的Email和那时他的屏幕上显示的图像，所有这些都将被定期发送到一个乌克兰的免费邮箱上。

在维特诺返回数天后，库尔特的邮箱里已经堆满了收集的日志文件，不久之后他在一封秘密的电子邮件里发现了Millard-Fenton出版社与作家达成协议的底线，有了这些信息，就可以通过代理和出版社商讨比原来更好的合同条款，而不会有失去合作机会的风险，当然，这也意味着需要更多的代理费。

过程分析

在这个骗局中，攻击者之所以能成功很大程度上是因为他选择了一个新进员工作为他的代理，多亏了她自愿的合作成为了团队的成员，既不了解公司和它的员工，也不清楚哪些是可以抵挡攻击的好的安全习惯。

因为库尔特在和安娜的谈话中伪装成了商务部的副部长，他知道她不太可能会怀疑他的身份，相反的，她可能认为帮助一个副部长对自己很有好处。

接着他引导安娜安装了一个表面上无害的间谍程序，安娜并不知道她的行为让一个攻击者获得了能影响公司利益的重要信息的访问权限。
为什么他要选择把这个副主管的日志文件发到一个乌克兰的邮箱帐户里？因为距离越远攻击者被追踪或抓捕的可能性就越低。当警察把目光集中在并不显著的的因特网入侵上时，这个国家就不会受到攻击者的青睐。因此，使用国外的邮箱可以大大减少和美国执法部门打交道的机会，这很吸引人。

预防措施

社会工程师永远喜欢不怀疑他的请求的人，这不仅使他的工作变得容易，而且也使风险变得更低——正如这一章中的故事所讲的那样。

第十二章 攻击新进员工（4）

米特尼克语录

寻求同事或下级的帮助是一件很普通的事情，社会工程师知道怎样利用人们的天性获得帮助并使其成为团队的成员。攻击者利用人们的这种特点引导员工的行为以达到他的目标，了解这一简单的概念非常重要，这样在另一个人试图操纵你的时候你就更有可能发现。

欺骗不知情的人

我之前强调的是需要对员工进行充分的培训，使他们不会被陌生人说服去做某些事情， 所有员工同样需要了解按照请求在另一个人的计算机上执行任何操作都是很危险的，公司的政策应当禁止这些行为，除非得到一名指定的管理人员的批准。允许的情况包括：
当发出请求的是一个你非常熟悉的人，两个人面对面或者你通过电话确认了呼叫者的声音时。

当你通过严格的程序核实了请求者的身份时。

当行动得到一名主管或其他熟悉请求者的权威人士的批准时。

必须培训员工不去帮助不是亲自认识的人，即使那个人声称自己是经理主管人员。一旦安全政策方面的审核开始实施，管理层就必须让员工们遵守这些规定，即使这意味着员工可以质疑要求他们绕过安全规定的主管人员。

每家公司还需要有自己的政策和程序引导员工响应针对电脑或电脑相关设备的任何行动。在这个关于出版社的故事中，社会工程师有针对性的选择了一个没有接受过信息安全策略与程序培训的新员工。为防止这类攻击，所有员工都必须遵守这样一个简单的规则：不要在任何计算机系统上执行陌生人请求的操作，就这一点。

记住，任何能直接或间接接触到一台计算机（或一部与计算机相关的设备）的员工都很容易被攻击者操控成为实施一些恶意行为的代理。

员工们（尤其是IT员工）需要知道让外部人员进入他们的计算机网络就像是把你的银行帐户交给一个电话销售员或把你的电话卡号码交给一个监狱中的陌生人。员工们必须谨慎考虑那些能导致敏感信息泄露或危及公司计算机系统安全的请求。

IT员工也必须提防伪装成供应商的未知呼叫者。通常，公司应当考虑为每一个技术供应商指定具体的联系人员，如果实施了这一策略，其他员工就不会响应供应商索取资料或更改任何电话或电脑设备的请求。这样，指定的员工就会很熟悉打电话或前来拜访的供应商, 减小了被骗的可能性。如果一个和公司没有合同的供应商打来电话，也应当引起注意。

公司中的的每个人都必须了解信息安全威胁与攻击。注意，安全警卫等需要的不仅仅是安全培训，还应当包括信息安全培训，因为安全警卫经常要接触公司的设施，所以他们必须要能够识别各类针对他们的社会工程学攻击。

当心间谍程序

商业间谍程序曾经被许多家长用来监控他们孩子的网络行为，而对于公司的老板而言，他们需要找出那些不认真工作，只知道上网冲浪的员工，更重要的是找出那些潜在的信息窃贼或商业间谍。开发商推出间谍软件似乎旨在保护儿童，但事实上，他们真正的市场是那些想要暗中监视别人的人。如今，间谍软件之所以存在在很大程度上是因为人们想要知道他们的配偶或其他重要人物是否在骗他们。
前不久我开始写这本书中的间谍故事的时候，帮我收电子邮件的人（因为我被禁止上网）发现了一封宣传一系列间谍程序的广告邮件，其中一段是这样说的：

热门！必须拥有：

这一强大的监控程序秘密捕获所有的按键、时间与所有活动窗口的标题到一个文本文档，同时隐藏在后台运行。日志文件可加密并自动发送到指定邮箱地址，或仅存储在硬盘上。程序受密码保护并可在CTRL+ALT+DEL菜单中隐藏。可用它来监控输入的网址、聊天记录、电子邮件和许多其它东西（甚至是密码）。

在任何PC上后台安装并把日志发给自己！

杀毒软件的缺陷？

杀毒软件不能查出商业间谍程序，从而将其判定为非恶意软件，即使它的用途是监控他人。如此一来电脑就相当于一部被忽视的窃听器，在任何时候我们每个人都有被非法监控的危险。当然，杀毒软件厂商可能认为，间谍程序可以用于合法目的，因此不应当视为恶意软件。但是由黑客团体免费发布（或当成安全相关程序出售）的某些工具却会被视为恶意代码，我至今都不明白为什么会有这种双重标准。

同一封邮件中的另一段则声称它可以捕捉用户的电脑屏幕图像，就像是一台放在他肩膀上的摄像机。其中部分软件产品甚至不需要亲自接触受害人的电脑，只要远程安装并配置好应用程序，你就马上拥有了一部电脑窃听器！FBI（联邦调查局）肯定很喜欢这种技术。

由于间谍程序的广泛使用，你的企业需要建立双层防护。你应当在所有工作站上安装间谍程序检测软件，如SpyCop （网址： www.spycop.com），你还应当要求员工进行定期扫描。此外，你还必须培训员工提防下载程序或打开电子邮件附件之类的可以安装恶意程序的骗局。

除了防范间谍程序的安装（当员工因为茶会、午餐或会议离开办公桌时）以外，还应当规定所有员工在离开时必须使用屏幕保护密码或类似的方法锁定他们的计算机系统，这能大大降低员工的计算机被非法访问的可能性。即使混入某个人的房间或办公室也不能访问他们的任何文件，阅读他们的电子邮件或安装间谍程序（或其他恶意软件）。使用屏幕保护密码需要的资源几乎为零，却能很好地保护员工的工作站，在这种情况下进行成本效益分析应该是很容易的事情。