9.3 充分认识信息的价值

再次回顾一下Defcon第18届安全会议上的社会工程竞赛,我们还可以学到一条宝贵的经验教训,即当认为信息无用或价值很小的时候,人们就不会付出精力对其进行保护。

这一点虽已反复强调,却被无数次证明是正确的,因为很多目标会心甘情愿地泄露有关餐厅、垃圾处理等的信息。你必须意识到自己手中数据的价值,以及社会工程人员所使用的有意贬低数据价值的战术。

在向某人提供信息前,要判断与你通话或者交涉的这个人是否有得到信息的必要。人类天生乐于帮助那些我们认为需要帮助的人。这是社会工程人员操控目标获取有价值信息的主要手段。分析与你进行沟通的人,判断他是否有权获得他想要的信息,可以免去因上当受骗而带来的尴尬和伤害。

举例来说,在Defcon社会工程竞赛中,一位参赛者伪装成一家经营杀毒产品的大公司的顾客,声称遇到了一个严重的问题——电脑不能上网了,他认为这是由于杀毒软件引起的,希望技术支持代表能做一件简单的事帮他解决这个问题——浏览一个网站。

恶意的社会工程人员经常使用这种攻击方式。通过驱使目标访问一个嵌入恶意代码或恶意文件的网站,他能够入侵目标的计算机和网络。在竞赛的案例中,网站本身并未嵌入恶意代码或文件,但需要强调的是,如果这是场真的恶意攻击的话,那就成功了。

参赛者所做的第一次尝试如下:“我无法浏览网站了,我想是你们的产品造成的。你能访问一下这个网站吗?看看到底是否是由你们的软件引起的。”

技术支持代表彬彬有礼地回答:“先生,我们的产品不会阻止你访问站点,我是否能访问都不能说明问题。”他拒绝了要求。

参赛者没有放弃,几番交谈之后他再次尝试:“你说你们的产品不会阻止我访问站点,但是我是安装了你们的软件之后才不能访问的,所以能请你帮我检查一下吗?”

对方再次拒绝了他的要求:“先生,对于你的不便我很抱歉,但是我们的产品绝对不会阻止你访问站点,即使我能访问,也不能帮你解决问题。”

似乎请求会以被拒绝而告终,但参赛者打算再做最后一次尝试:“先生,如果你能帮我看看网站我会感觉好过些的。请你帮我看看吧,可以吗?”

这个简单的请求让技术支持代表失控了,最后他打开浏览器,访问了那个网站。一开始,他有准确的判断,甚至有一定的安全意识并作出了正确的回答,但是最终还是因为想让“顾客感觉好过些”而接受了他的要求。如果这是一次恶意攻击的话,这将导致公司遭受巨大的损失。

技术支持代表知道对方的要求与对方电话中所说的问题关系并不大。与他一样,你必须判断并分析对方要求的信息是否是他应该得到的,是否与他息息相关。换一个角度看的话,如果参赛者是一名合法的顾客,技术支持代表拒绝了他的要求,最坏的结果是什么?

顾客在被拒绝后一定会表现出不悦,但这并不会改变结果,他所用的产品并非他痛苦的根源。

社会工程人员经常用天气、工作及产品等话题套近乎,然后挖掘想要的信息。这就需要用安全意识策略来应对——针对骗子可能运用的伎俩对员工进行培训,使他们消除因拒绝客户而造成的顾虑。

在一次审查中,我伪装成CFO的助理。呼叫中心的员工通常会担心因拒绝高层的要求而丢掉工作。为什么?因为他们没有接受过适当的培训,不知道拒绝并不会影响他们的工作。同样,应该为员工提供一份方案,告诉他们什么样的信息要求才是合理的。

受过培训并且具有安全意识的人知道,即使是不起眼的信息也可能造成巨大的损失,因而会对信息价值作出准确的判断。如果知道电话那头的人其实并不需要知道自助餐厅的食物供应商是谁,员工就可以作出恰当的回答。如果你是雇主,就应该帮助员工制定应对这些要求的合理回答。大多数情况下,简单的一句回答就能粉碎社会工程人员很多的阴谋,比如回答说:“对不起,我没有此项信息。如果你想知道,请联系采购部。”或者“对不起,我没有提供该信息的权利,你可以发送邮件至info@company.com询问。”

之前提到社会工程人员会营造一种氛围,使目标觉得信息并非具有很大的价值,从而吐露这些“不重要的”信息。

再举一个竞赛中的例子,一位参赛者被要求提供身份信息。他伪装成受雇为对方公司做内部审计的人员,当目标想要核实其身份时,他将话题转到了申请表上。参赛者假装对他的一个同事说:“简,XX公司的一位先生想知道申请书上的ID号,你能帮忙从比尔桌上拿一下吗?”

当“简”去取参赛者要求的表格时,参赛者开始与目标闲聊。开始时聊的是“得克萨斯州的天气怎么样啊?”、“你去过查理酒吧吗?”诸如此类的话题,可慢慢聊到了“自助餐厅的食物谁管啊?”及“想看看我们做的超酷网站吗?”。

这一切的闲聊都是为了“等待”ID号。社会工程人员每天都会用这种方法。转移注意力与施展魅力是伪装的关键手法。在“闲谈”中透露的信息通常被认为是没有太多价值的,因为人们的注意力根本没有放在那里。如果社会工程人员是在“核实审查信息”时问同样的问题,则对方的态度可能大不相同。但正因为谈话的氛围很友好,信息才能在无意中被泄露。

对抗这种社会工程策略的正确方式就是不管对话的哪个阶段,都要思量你打算透露的信息的价值。在之前的例子中,目标在得到ID之前应该避免闲谈,这样的态度才是恰当的,才可以防止受骗。

要做到这点并不容易,因为工作中的员工,特别是那些面向客户的员工,不可能因为害怕攻击而不透露任何信息,所以仅仅意识到信息的价值并不能阻止攻击的发生。