“窃取企业的机密信息根本不需什么特别的技术。只要善于撒谎就行”--美国前国家安全局信息?计算机系统分析师、现任惠普首席安全战略官的Ira Winkler于6月3日在“RSA Conference 2003 Japan”网络安全展暨国际会议上,指出了社交工程的危险性。
通过对用户设下圈套,骗取用户密码等重要信息,通常是低级骇客的行为,英语叫做Social Engineering(社交工程),即便那些骗子没有网络和计算机知识,只要能骗到相关重要信息资料,也能够访问保存有机密信息的企业内部服务器。Winkler演讲的主要内容如下:
利用一根电话线窃取信息
社交工程的典型手法是利用电话刺探信息。通过伪装成员工上司或网络系统管理员,来刺探用户密码和调制解调器接入电话号码。在一般情况下,职员都会轻易地把这些内容告诉伪装者。因为人们往往认为这么做是在帮助他人。对于有事相求的人,人们总会有求必应。但如果有些人恶意利用人们的热心,就会轻易地刺探到所需信息。
当这些骗子们伪装成上司时,其一般在电话中喋喋不休的讲话,然后在讲话中套取相关信息。如果在即将下班的时间打电话,一般很有效。由于员工此时想早点回家,因此就会不假思索地告诉对方想要了解的信息。
除使用电话以外,另一种方法是装作若其事的样子进入想要攻击的企业办公室,收集相关信息。如果在个人电脑中贴有IP地址和用户密码,那么攻击者只需在办公室转一圈,就能轻易地窃取到访问企业网络所需的大量信息。
办公室垃圾也会成为骇客的信息源。上世纪80年代下半期,一家骇客团体就曾通过非法访问美国的一家电话公司,成功地控制了该公司的电话系统。而这些骇客并不是精通技术的天才团体,只是收集到了电话公司的垃圾。但由于这些垃圾包含了大量的重要信息致使使他们得逞。
打印含有重要信息的文件一旦出现打印错误,人们往往就随随便便的把这些文件扔到垃圾筐里。而扔垃圾的人完全不会意识到这种行为已经造成了重要信息的泄漏。
由攻击者主动给攻击目标(受害用户)打电话属于社交工程,与此相对还有一个守株待兔型的、就是等用户打电话过来,所谓“反向社交工程”。
当骇客进入办公室后,预先在公司员工的办公桌上贴上一张写有“技术中心的电话号码已经变更。如有困难请拨打XX电话”内容的便条。所留下的电话号码就是骇客自己的电话。之后攻击者只需坐等电话即可。一旦有人联络,就说明对方已经把攻击者误认为技术中心的工作人员,因此就会一股脑地把系统信息告诉攻击者。不过,这种方法的特点是不知道对方什么时候打电话过来。也许要等几天,几个星期,甚至是几个月。但是只要打电话过来,对于攻击者来说,收获将会是巨大的。
让全体员工了解这种圈套的危险性和相关知识
为了对付会对企业造成巨大威胁的骗局,对全体员工的培训是必不可少的内容。为此就必须让全体员工了解“社交工程都包括哪些内容?”,以及“社交工程的危害有多大?”等相关知识。
比如,在工作守则中加入“禁止在电话中透露用户密码”,并通知全体员工,以便使他们自觉遵守。并且制定相应的惩罚制度。技术人员在不得不用电话向员工通知密码等重要信息时,要首先确认对方所在的部门,然后再让他们重新打过来。
另外还要通知全体员工,一旦发现要打听密码的电话,就应该立即与安全部门联络。
尽管在采访企业高层领导时,一般都表示“本公司的员工绝不会在电话中泄漏用户密码”,但笔者试着做了一个试验,发现有些人很容易就说出了相关信息。因此系统安全负责人不仅必须彻底地了解社交工程的危险性和相关手段,而且要让全体员工完全了解社交工程,并能彻底贯彻执行公司相关安全制度。
