他认为ฦ他应该为ฦ自己工ื作,而不是为别人:他想开个商店,这样他就可以整天都待在个地方แ而不用在乡下到处跑了,他想做些肯定能赚到钱的生意。
他认为他应该为自己工作,而不是为别ี人:他想开个商店,这样他就可以整天都待在个ฐ地方而不用在乡下到处跑了,他想做些肯定能赚到钱的生意。
注意
注意
窃听者丹尼
窃听者丹ล尼
第二个ฐ电话:吉妮
第二个电话:吉妮
正如知道的人,都知道比尔·盖兹,如果你对信息安全有所了解,便定听说过凯文·米特尼克。在信息安全的世界里,他的黑客传奇生涯是无人比拟的。
正如知道的人,都知道比尔·盖兹,如果你对信息安全有所了解,便定听说过凯文·米特尼克。在信息安全的世界里,他的黑客传奇生涯是无人比拟的。
在维特诺返回数天后,库尔特的邮箱里已经堆满了收集的日志文件,不久之后他在封秘密的电å子邮件里发现了r出版社ุ与作家达成协议的底线,有了这些信息,就可以通过代理和出版社商讨比原来更好的合同条款,而不会有失去合作机会的风险,当然,这也意味着需要更多的代理费。
过程分析
在这个ฐ骗局中,攻击者之所以能成功很大程度上是因为ฦ他选择了个新า进员工ื作为他的代理,多亏了她自愿的合作成为ฦ了团队的成员,既不了解公司和它的员工ื,也不清楚哪些是可以抵挡攻击的好的安全习惯。
因为库尔特在和安娜的谈话中伪装ณ成了商务部的副部长,他知道她不太可能会怀疑ທ他的身份,相反的,她可能ม认为帮助个副部ຖ长对自己很有好处。
接着他引导安娜安装ณ了个表面上无害的间谍程序,安娜并不知道她的行为让个攻击者获得了能影响公司利益的重要信息的访问权限。
为什么他要选择把这个副主管的日志文件发到个ฐ乌克兰的邮箱帐户里?因为距离越远攻击者被追踪或抓捕的可能性就越低。当警察把目光集中ณ在并不显著的的因特网入侵上时,这个国家就不会受到攻击者的青睐。因此,使用国外的邮ุ箱可以大大减少和美国执法部门打交道的机会,这很吸引人。
预ไ防措施ๅ
社ุ会工程师永远喜欢不怀疑他的请求的人,这不仅使他的工作变得容易,而且也使风险变得更低——正如这章中的故事所讲的那样。
米特尼克语录
寻求同事或下级的帮助是件很普通的事情,社ุ会工程师知道怎样利ำ用人们的天性获得帮助并使其成为ฦ团队的成员。攻击者利用人们的这种特点引导员工的行为以达到他的目标,了解这简单的概ฐ念非常重要,这样在另个ฐ人试图操纵你的时候你就更有可能发现。
欺骗不知情的人
我之前强调的是需要对员工进行充分的培训,使他们不会被陌生人说服去做某些事情,所有员工同样需要了解按照ั请求在另个人的计算机上执行任何操作都是很危险的,公司的政策应当禁止这些行为,除非得到名指定的管理人员的批准。允许的情况包括:
当发出请求的是个你非常熟悉的人,两个人面对面或者你通过电å话确认了呼叫者的声音时。
当你通过严格的程序核实了请求者的身份时。
当行动得到名主管或其他熟ງ悉请求者的权威人士的批准时。
必须ี培训员工不去帮助不是亲自认识的人,即使那个人声称自己是经理主ว管人员。旦安全政策方面的审核开始实施ๅ,管理层就必须让员工们遵守这些规定,即使这意味着员工可以质疑ທ要求他们绕过安全规定的主管人员。
每家公司还需要有自己的政策和程序引导员工响应针对电脑แ或电脑相关设备的任何行动。在这个ฐ关于出版社的故事中,社会工程师有针对性的选择了个ฐ没有接受过信息安全策略与程序培训的新า员工。为防止这类攻击,所有员工都必须遵守这样个简单的规则:不要在任何计算机系统上执行陌生人请求的操作,就这点。
记住,任何能ม直接或间接接触到台计算机或部与计算机相关的设备的员工都很容易被攻击者操控成为实施些恶意行为ฦ的代理。
员工们尤其是员工ื需要知道让外部ຖ人员进入他们的计算机网络就像是把你的银行帐户交给个电话销售员或把你的电话卡号码交给个ฐ监狱中ณ的陌生人。员工们必须谨慎考虑那些能导致敏感信息泄露或危及公司计算机系统安全的请求。
员工也必须ี提防伪装成供应商的未知呼叫者。通常,公司应当考虑为每个ฐ技术供应商指定具体的联系人员,如果实施了这策略,其他员工就不会响应供应商索取资料或更改任何电话或电脑设备的请求。这样,指定的员工就会很熟悉打电话或前来拜访的供应商,减小了被骗的可能ม性。如果个和公司没有合同的供应商打来电话,也应当引起注意。
公司中的的每个人都必须ี了解信息安全威胁与攻击。注意,安全警卫等需要的不仅仅是安全培训,还应当包括信息安全培训,因为安全警卫经常要接触公司的设施,所以他们必须要能够识别ี各类针ฤ对他们的社会工程学攻击。
当心间谍程序
商业间谍程序曾经被许多家长用来监控他们孩子的网络行为,而对于公司的老板而言,他们需要找出那些不认真工ื作,只知道上网冲浪ฐ的员工,更重要的是找出那ว些潜在的信息窃贼或商业间谍。开发商推出间谍软件似乎旨在保护儿童,但事实上,他们真正的市场是那些想要暗中ณ监视别人的人。如今,间谍软件之ใ所以存在在很大程度上是因为人们想要知道他们的配偶或其他重要人物是否在骗他们。
前不久我开始写这本书中的间谍故事的时候,帮我收电子邮ุ件的人因为我被禁止上网发现了封宣传系列间谍程序的邮件,其中ณ段是这样说的:
热门!必须拥有:
这强大的监控程序秘密捕获所有的按键时间与所有活动窗口的标题到เ个文本文档,同时隐藏在后台运行。日志文件可加密并自动发送到指定邮箱地址,或仅存储在硬盘上。程序受密码保护并可在r+ใ+菜单中隐藏。可用它来监控输入的网址聊天记录电子邮件和许多其它东西甚至是密码。
在任何上后台安装并把日志发给自己!
杀毒软件的缺陷?
杀毒软件不能查出商业间谍程序,从而将其判ศ定为非恶意软件,即使它的用途是监控他人。如此来电å脑就相当于部被忽视的窃听器,在任何时候我们每个人都有被非法监控的危险。当然,杀毒软件厂商可能认为ฦ,间谍程序可以用于合法目的,因此不应当视为ฦ恶意软件。但是由黑客团体免费发布或当成安全相关程序出售的某些工具却会被视为恶意代码,我至今都不明白为什么会有这种双重标准。
同封邮件中ณ的另段则声称它可以捕捉用户的电脑แ屏幕图像,就像是台放在他肩膀上的摄像机。其中部分软件产品甚至不需要亲自接触受害人的电å脑,只要远程安装并配置好应用程序,你就马上拥有了部电脑แ窃听器!b联邦调查局肯定很喜欢这种技术。
由于间谍程序的广泛使用,你的企业需要建立双层防护。你应当在所有工作站上安装间谍程序检测软件,如网址:b2,你还应当要求员工进行定期扫描。此外,你还必须ี培训员工提防下载程序或打开电å子邮件附件之类的可以安装恶意程序的骗局。
除了防范间谍程序的安装ณ当员工因为茶会午餐或会议离开办公桌时以外,还应当规定所有员工ื在离开时必须使用屏幕保护密码或类似的方法锁定他们的计算机系统,这能大大降低员工ื的计算机被非法访问的可能ม性。即使混入某个人的房间或办公室也不能ม访问他们的任何文件,阅读他们的电子邮件或安装间谍程序或其他恶意软件。使用屏幕保护密码需要的资源几乎为ฦ零,却能很好地保护员工的工ื作站,在这种情况下进行成本效益分析应该是很容易的事情。
第十三章聪明的骗局
现在你已经知道了,当接到陌生人请求敏感信息或其它对攻击者有用的东西的来电时,接电å话的人必须被培训询问呼叫者的电话号码,然后打过去核实这个人的身份是否和他声称的样——例如,名公司员工,名商业伙伴员工,或者名供应商技术支持代表。
甚至当家公司明确规定员工必须ี小心核实呼叫者的身份时,经验丰富的攻击者仍然可以利用许多骗局使受害人相信他们是他们声称的人,即使是安全意识较高的员工也会被下面所述的方法所骗。
骗人的来电显示ิ
任何用手机接过电话的人都曾看到过来电显示——显示屏上呼叫者的电å话号码。在商业环境下,员工ื只要看眼便能知道打来的电话是公司同事还是外部人员。
很多年前,些雄心壮志的电话盗打者就已经用上了来电显示功能,那时电å话公司甚至还没有向公众开放这服务,有段时间他们吓坏了不少人,接电话的时候总是在对方还没来得及说话之前就喊出他们的名字。
当你养成了看来电å显示的习惯时,你认为它是安全的并以此判断呼叫者的身份——这正是攻击者想要的。
琳达的电话
日期时间:7月23日,星期二,下午3:12
地点:星级漫游航空公司财政部ຖ办公室
当琳达希尔的电å话响起的时候她正在为她的老板书写备忘录,她看了眼来电显示,发现是个ฐ叫维克托马丁rr的人从公司在纽约的办公室打来的——她不认识这人。
她本来想把电话转到语音信箱,这样她就不会中断写备忘录的思路,但好奇心还是占了上风,她拿起了电话,然后对方自我介绍说他是产品推广部的员工,正在为整理些材料,“他正在赶往波士顿ู和我们的些银行家开会,他需要本季度的财务报表,”他说,“另外,他还需要项ำ目的财政预算。”维克多提到了公司春季主打产品代号。