4.3 成功的伪装

要学习如何进行成功的伪装,就需要了解那些曾经成功伪装过的社会工程人员的故事,学习他们是如何展开伪装的。当然,他们的伪装最后都被识破了,因此我们现在才能读到这些故事。

4.3.1 案例1:斯坦利·马克·瑞夫金

斯坦利·马克·瑞夫金(Stanley Mark Rifkin)一手策划了美国历史上最大的银行抢劫案(关于他的相关信息,请参见www.social-engineer.org/wiki/archives/Hackers/hackers-Mark-Rifkin-Social-Engineer-furtherInfo.htm)。他是一名电脑极客,在他的小公寓里开了家电脑咨询公司,他的一个客户是给美国证券太平洋银行(Security Pacific National Bank)提供电脑服务的公司。坐落在洛杉矶的美国证券太平洋国民银行总部有55层,看上去就像一个用花岗岩和玻璃建成的堡垒。着深色制服的保安在大厅里巡查,隐藏的摄像机记录着每个来银行办理存取款业务的客户的一举一动。

这幢大楼看起来无懈可击,那么瑞夫金是如何在不携带任何武器、不动一分钱、不胁持任何人质的情况下带走1020万美元呢?

银行的电汇机制应该是很安全的,每笔电汇都必须输入密码,而且这个密码每天都会被强制修改,只有特定的人知道。密码被贴在安全房间的墙壁上,而且只有“特许人员”才可以进入这个房间。

前面提到的存档文件中是这样记录的。

1978年10月,瑞夫金来到了美国证券太平洋国民银行,银行工作人员理所当然地认为他是计算机工作人员。他坐电梯来到电汇室所在的D层。伪装成友好而且和蔼可亲的年轻人,他竟然进到墙上贴有当天密码的那个房间里。瑞夫金记住了密码,然后在没有引起任何怀疑的情况下离开了。
很快,银行电汇室的员工接到了迈克·汉森(Mike Hansen)打来的电话,他自称是该银行国际分部的员工。他正确地给出了当天的密码,要求为纽约欧文信托公司资金账户进行常规转账。整个过程没有任何引起怀疑的地方,所以美国证券太平洋银行银行就把钱打到了纽约银行的账户上。银行官员不知道的是,那个自称是迈克·汉森的男人其实是瑞夫金,他通过银行的安全密码盗取了1020万美元。

这个案件留下了许多可圈可点之处,但是现在我们把焦点集中到伪装上面来,仔细想想瑞夫金作案的细节。

 

这些伪装必须经过细致的安排,考虑到每一个极其微小的细节。直到遇见了一个前同事,瑞夫金才被揭穿。瑞夫金被抓的时候,认识他的人都非常吃惊,甚至有人说:“他不可能是个小偷,人人都喜欢马克!”

很显然,他的伪装是很到位的。他的计划经过深思熟虑,安排周详,排练纯熟。他知道去那里的目的,并且每一步都做得很完美。站在陌生人面前时,他知道如何伪装。如果不是熟知瑞夫金的同事看了新闻后把他指认了出来,他是不会被发现的。

更加令人吃惊的是,当瑞夫金被保释在外的时候,他又打算用相同的方法“抢劫”另一家银行,但是他的行为落入了政府侦查员设计的陷阱,他被抓住了,并且等待他的是8年的牢狱之灾。尽管马克是一个“坏人”,但是从他的故事中我们能够学到很多关于伪装的知识。他的伪装非常简单,完全是用他熟悉的事情来打造精彩的故事情节。

马克的计划是把偷出来的钱变成不可追溯的钻石。为了实现这一目标,他首先需要成为一名银行雇员以拿到钱,然后变成一个钻石收购商将这些现金“洗掉”,最后通过把钻石卖掉,获得可以使用的、无迹可寻的、干净的现金。

他的伪装不涉及装扮和说话方式的变化,却要依次扮演银行工作人员、钻石采购商和钻石销售商。这其中要完成3次、4次甚至5次的身份变化。他做得非常好,基本上欺骗了所有人。

马克知道他的目标是哪些人,并且按照我们前面提到的所有规则来一步步实现他的计划。当然,他的行为是不可宽恕的,但是他的伪装天赋却是令人羡慕的。如果把天赋用到恰当的地方,他很可能会成为一位伟大的公众人物、销售员或者演员。

4.3.2 案例2:惠普

2006年,《新闻周刊》发表了一篇非常有趣的文章(详见www.social-engineer.org/resources/book/HP_pretext.htm)。故事基本上是这样的:惠普公司的董事长帕特里夏·邓恩(Patricia Dunn)女士雇用了一个专业的安全团队,这个团队又雇用了私家侦探,私家侦探利用“伪装”技术获取了通话记录。这些聘来的专业人士实际上伪装成了惠普的董事会成员及新闻记者。这一切都是为了找出惠普队伍中可能的泄密者。

邓恩女士希望获得董事会成员和一些新闻记者的通话记录(不是惠普公司内部的电话记录,而是这些人家中或者手机的通话记录),来查证她认为可能的泄密者。《新闻周刊》是这样写的:

5月18日,在加州帕洛阿尔托的惠普总部,邓恩在董事会上扔出了她的炸弹:她已经找到了泄密者!据在场的惠普董事汤姆·珀金斯(Tom Perkins)透露,邓恩展示了监视方案并且指出了那个董事,该人承认他就是CNET的泄密者。那名董事的身份至今还没有向外界透露。他道了歉,但之后对其他董事说:“我原本打算告诉你们所有的事情,为什么你们没有问过我呢?”珀金斯说,随后那名董事被请出了董事会议室。
这个事件中值得注意的是那个被称为“伪装”的话题。
惠普的这一事件还将公众的注意力吸引到了安全顾问为获得个人信息所采用的不合理的手段上。在外部顾问团发给珀金斯的一封内部邮件中,惠普承认他们通过有争议的“伪装”技术,获得了将那个泄密者和CNET联系在一起的书面记录。《新闻周刊》获得了这封内部邮件的内容。美国联邦贸易委员会(FTC)认为这个技术涉及使用“欺骗手段”来获得他人的非公开信息:通话记录、银行卡和信用卡账号以及社会保险号等。
就拿案例中的电话公司来说,通常情况下伪装者会将自己伪装成客户,因为这些公司很少需要你提供密码,伪装者仅仅需要一个家庭住址、账号和诚恳的请求便能获取账号的详情。FTC的网站披露,伪装者会将这些信息卖给持证的私家侦探、金融贷款者、潜在的诉讼当事人以及对配偶有疑心的人,甚至卖给那些试图窃取资产或者骗取信贷的个人。FTC声明,伪装“是违法的”。FTC和若干州的检察长已就涉嫌违反联邦法和各州法律的欺诈、失实陈述及不公平竞争等行为对伪装者进行指控。惠普公司的董事之一,威瑞森(Verizon)公司的总裁拉里·巴比奥(Larry Babbio)已经以书面形式提交了打击伪装者的各种措施。

(如果你对具体内容感兴趣,可以在下面的链接中找到2006年的《电话记录隐私权保护法》:http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=109_cong_bills&docid=f:h4709enr.txt.pdf。)

最终的结果是刑事控诉不仅针对邓恩女士一人,她所聘请的顾问也被指控。你也许会疑惑:“怎么可能对他们进行指控呢?他们是签了合同、被雇用来进行这些测试的啊。”

很简单,分析一下他们获取信息的途径以及内容,就有了答案。这些顾问拿到了惠普董事会成员和记者的姓名、地址、社会保险号、通话记录、电话账单记录以及其他一些信息。他们甚至使用一个记者的社会保险号建立了在线账户,以获取其私人通话记录。

惠普提交给其律师和内部法律人员的一份机密文件(详见www.social-engineer.org/resources/book/20061004hewlett6.pdf)的第32页列出了汤姆•珀金斯和惠普董事会成员的交流内容,其中包含一些有关伪装的内容。其中用到的部分策略列示如下。

 

2006年9月11日,美国众议院能源和商务代表委员会给邓恩女士发了一封信(详见www.social-engineer.org/resources/book/20061004hewlett6.pdf),要求其提供所取得的所有信息。以下是他们列出的信息类型。

 

所有这些信息都是采用社会工程领域的灰色方法取得的。虽说是受雇做这种工作,但是他们所做的事情符合伦理道德吗?许多专业社会工程人员均不敢越雷池半步。从这一经典案例中,我们也能吸取一些教训:作为一名专业的社会工程人员,你可以模仿那些心存恶意的社会工程人员的方法和思维方式,却决不能堕落到他们那种地步。那群顾问犯的错误是:他们被授权去伪装、社会工程和审计惠普,但并没有被授权去审计美国电话电报公司(AT&T)、Verizon公司及公用事业公司等。在伪装的过程中,必须有明确的概要并且规划出哪些法律漏洞可以被利用,而哪些底线是决不能触碰的。

假如你是一名社会工程审计人员,可以就惠普这个案例展开关于政策、合同和原则等系列讨论,但这些内容不属于本章的讨论范围。使用本章所列出的原则有助于你作出决定,而且这些决定不会让你惹祸上身。

伪装成危险的、怀有恶意的身份盗用者,是社会工程渗透测试中合法的方式。测试、检查和验证你的客户的雇员不会落入恶意社会工程人员的陷阱,也可以帮你防御成功的伪装者。

4.3.3 上遵纪守法

2005年,《私家侦探》杂志获得了对美国联邦贸易委员会金融实践部副主任乔尔·温斯顿(Joel Winston)的采访机会。他所在的部门专门负责规范和监测那些伪装行为(采访内容详见www.social-engineer.org/resources/book/ftc_article.htm)。

此次采访的要点列示如下。

 

美国联邦贸易委员会的官方网站澄清了本次采访的一些内容,并提供了如下补充资料。

 

虽然联邦贸易委员会的焦点是金融机构,但其列出的指导方针也能提醒你在美国哪些伪装是违法的。了解当地的法律并且确保不会违法,对于专业社会工程人员来说非常必要。2006年,美国联邦贸易委员会对《FTC法案》第五条进行了补充,明令禁止使用伪装技术获取电话记录。

前面惠普案例中的五个私家侦探之一被指控为蓄意窃取身份罪,这项罪名相当严重。

保持伪装的合法性需要专业社会工程人员不懈的努力和研究,并且明确地计划要使用什么样的伪装。

排除之前提到的法律因素,利用可靠的伪装手段进入目标公司是最快的途径之一。然而,从本章的介绍也能够看出,伪装本身是要讲究天赋的,不只是戴上假发或者眼镜去冒充别人那么简单。

4.3.4 其他伪装工具

伪装时还有其他一些可利用的工具。

道具有助于让目标相信你的伪装。比如,车辆的磁性标志、配套的制服或装备、工具或者其他手提设备,还有最重要的——名片。

在我最近飞去拉斯维加斯出差的时候,名片的重要性震撼了我。我的笔记本包通常会被一遍又一遍地扫描,然后做除尘(炸弹尘埃或者别的危险物品)。我对这种安检从不反感,因为它们避免了我在空中被炸飞的可能,这点让我很高兴。

然而,我意识到90%的情况下,我都会引起安检人员的额外注意。这次出行比较特别,我忘记将开锁套装、RFID扫描器、4块额外的硬盘、万能钥匙(参见第7章)和一些用来进行无线入侵的工具从随身的笔记本包里拿出来。当这些东西从扫描仪器中通过时,我听到X光仪器的女操作员说:“这些是什么?”

随后她叫来一个男同事看了看屏幕,他说:“我也搞不清那些到底是什么。”他继而环顾四周,看到我在笑,便问道:“是你的吗?”

我和他一起走到桌旁,他倒出我的RFID扫描器和专业开锁套装,问道:“你怎么会有这些东西?干吗用的?”

显然我被问到了,但是在最后一秒钟我决定尝试一下。我拿出一张名片,说道:“我是为网络、建筑和人们做各种测试的安全专家,这些都是我的工具。”说着我递给他一张名片,他看了大概5秒钟说:“哦,不错。谢谢你的解释。”

他把我的东西整齐地放回去,把包拉好,就让我走了。通常,我还得通过炸弹探测器、小除尘机,然后被搜身,但是这次我得到的却是一句“谢谢”和快速放行。我开始分析原因,唯一的不同就是我递给他一张名片。当然,我的名片不是那种在线印刷的廉价商品,但令我没想到的是,这张名片在关键时刻充当了许可证,能够有效证实我的描述。

在接下来的4次飞行中,我特意把我所有的“黑客”装备放进我的包里,然后拿一张名片在兜里。每一次在安检时被问及这些东西时,我就递上名片。毫无例外,每次他们都向我道歉,把我的东西整齐地装回去,然后放行。

如果将我的经历想象成伪装。一些小细节可以让我说的话可信度大增,让我看起来正当并值得信任,而这一切只需要一张卡片,就可以让人相信我说的都是事实。千万不要低估名片的作用。友情提醒:印刷粗糙、看起来寒碜的名片的效果恰恰相反。一张背面印有“免费”广告的名片在专业伪装中不会起任何作用。不过,也没必要在这上面花费300美元,你完全可以用不到100美元让网上名片打印店打印少量精美的名片。

另一个需要认真对待本章的理由是,伪装通常是专业身份窃贼开始入手的第一步。鉴于身份盗用在最近犯罪中出现得比较频繁,知道它的原理并且能够有效鉴别,对于消费者、商务人员和安全专家来说都有很大的必要性。如果你是一位安全审计师,必须帮助客户提防这类威胁,并且针对可能的漏洞考验、测试他们。