社会工程学之伪装

2019 年 1 月 2 日 计算机与网络安全

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:460500587



微信公众号:计算机与网络安全

ID:Computer-network

有时我们会希望自己变身为另外一个人。即使医学界还没有研发出一种快速变身的药物,但是解决这种窘境的方法确实存在,那就是伪装。


什么是伪装?有的人认为只是社会工程过程中编造的故事或者谎言,但是该定义是非常狭义的。更为精确的定义是,以背景故事、衣着、仪表、个性和态度来塑造角色以完成社会工程审计工作。伪装包括你所能想到的基于对象角色的方方面面。作为社会工程人员,你伪装得越全面就越令人信服。一般情况下,伪装得越简单,说明技术越娴熟。


伪装,尤其是从互联网出现以来,越来越多地被恶意利用。曾经看到过一件T恤上写着:“互联网上,男人是男人,女人是男人,小孩子是等待着你的网警。”虽然这是句调侃,但这种说法有一定的道理。在互联网上,你可以随心所欲地装扮成任何人。这种伪装技术多年来一直被恶意黑客用来攫取利益,而且不仅限于互联网。


社会工程过程中,角色扮演或者假扮别人以达到目的有时是必要的。当一个社会工程情形出现,有能力成为那个要伪装成的人是非常重要的。


世界知名的社会工程人员克里斯·尼克尔森(Chris Nickerson)说伪装不是扮演某个角色或者出演部分剧情,不是撒谎后不停地圆谎,而是真的成为那个人。你的一丝一毫都是正在扮演的那个人。走路的方式、说话的方式、肢体语言都与那个人一样。一部令人感到绝无仅有的电影,往往是因为演员的出色表演,他们对于角色巧妙、精准的演绎让我们难分真假。


曾经观看过布拉德·皮特出演的精彩影片《燃情岁月》。电影中他扮演一个自私的混蛋,拥有一个饱受折磨的灵魂,做了很多错误的决定。他的表演如此到位,以至于人们讨厌了这个演员好几年。他就是个很好的伪装者。


很多社会工程人员以为伪装仅仅是乔装打扮。衣着的确能起到作用,但伪装是门学问。通过伪装这种表演方式,可以整个变成另外一个人。要实现这一点,社会工程人员必须明确到底什么是伪装,作出计划,并演绎完美的伪装,这样才有可能成功。本文将涵盖伪装的各个方面。首先会讨论伪装的确切定义。接着讨论作为一名社会工程人员如何去伪装。最后,会把这些结合起来,通过几则故事去展现如何有效地应用伪装。


一、什么是伪装


伪装的定义是创造虚构的场景以劝说目标受害者泄露信息或者作出某种行为。这绝不仅仅是说谎那么简单,在某些案例中有可能是创造一个全新的身份,然后用这个身份去获取信息。社会工程人员可以利用伪装技术扮演从事某些特定工作的人和他们从未担任过的角色。伪装没有固定的万能模式,社会工程人员必须在“职业生涯”中创造很多不同的伪装。所有伪装都有一个共同的特点:研究。娴熟的信息收集技术是伪装成功的关键。打个比方,如果目标不需要外部技术支持,即使我们将技术支持人员模仿得再完美也无济于事。


伪装不仅可用于社会工程中,也能在生活领域发挥作用。销售人员、公共演讲者、算命者、神经语言程序学专家,甚至是医生、律师及临床医学家等,都需要使用一定形式的伪装。他们都需要创造一个适宜人们泄露隐私信息的场景。社会工程人员和其他伪装使用者的差异在于目标的设定。社会工程人员必须完全变身为伪装的角色,而不仅仅是装腔作势。


只要审计或者社会工程没有结束,都应该继续伪装。无论去什么地方,都要是所扮演的角色。此外,很多专业社会工程人员具有多个在线身份、社交网站的身份、电子邮件和其他账户,可供伪装的时候用。


要记住非常重要的一点:伪装的质量与所收集的信息质量有直接关系。信息越多,信息的质量和相关性越高,越利于我们的伪装,也就越容易成功。比如,如果一家公司只使用内部技术,或者将技术外包给一两个员工的小企业,那么经典的技术支持人员伪装就会完全失败。当别人质疑你的真实身份时,尽可能表现得自然,这直接取决于你对伪装是否能够运用自如。


下面介绍伪装的原则以及如何应用这些原则来计划出令人信服的伪装。

二、伪装的原则和计划阶段


像其他技术一样,伪装也有一定的原则可以遵循。下面列出了一些原则。当然,并不是说就只有这些,还可以继续添加,只是这些原则体现了伪装的本质。


调查越充分,成功的几率越大。


植入个人爱好会提高成功率。


练习方言或者表达方式。


很多时候,如果低估了电话的作用,可能会减少社会工程上的投入程度。不过对社会工程人员来说,使用电话并不会减少精力的投入。


伪装越简单,成功率越高。


伪装必须要很自然。


为目标提供逻辑结论或下一步安排。


下面详细讨论每一条原则。


1、调查越充分,成功的几率越大


这个原则不言自明,但还是值得多次强调,因为收到的成效直接和调查的广度与深度相关,这是社会工程成功的关键。社会工程人员掌握的信息越多,实现有效伪装的机会就越大。


有时候细节决定成败。记住,没有不相关的信息。收集信息时,寻找故事、物品或者个人的特点也是很不错的主意。利用目标个人的性格或者情感依托可以使你离成功更近一步。如果社会工程人员发现首席财务官每年都向一个儿童癌症研究中心捐赠一笔资金,那么伪装时涉及一个与此有关的筹款活动极有可能奏效,尽管这听起来有点无情。


问题是恶意的社会工程人员会不假思索地利用人们的同情心进行伪装欺诈。在2001年9月11日纽约双子大楼被攻击之后,很多恶意黑客社会工程人员利用人员伤亡为自己牟利,他们设立网站,发送邮件给目标的计算机,并成立虚假基金,利用人们的慈善之心骗钱。在2010年智利和海地发生地震之后,同样的事情再次发生,很多恶意社会工程人员建立网站,发布地震活动或者失踪人员的信息。这些站点利用恶意代码导致人们的电脑中毒。


这类活动在某个电影明星或者歌星死后会更加猖獗。搜索引擎优化和市场营销天才会在几小时内让搜索引擎将他们的文章置于首页。恶意的社会工程人员同营销天才一起建立含有对搜索引擎优化的恶意站点,提升搜索引擎排名,从而利用人们对搜索引擎的不断关注来吸引大家访问这些站点,他们就会获取信息或者传播病毒。


有人会利用他人的不幸来牟利,是这个世界的可悲事实,这就是我所说的黑暗角落之一。作为一名社会工程审计人员,可以利用一个雇员的感情向对方公司展示,表面上的好意会让这名职员泄露公司宝贵的商业运作数据。


所有这些例子都明确地表达了一点,社会工程人员信息收集和调查过程执行得越好,他促进伪装成功的几率就越高。


2、植入个人爱好会提高成功率


通过个人爱好去提高社会工程的成功率听起来很天真,但是有助于让目标信服你。如果开始时宣称自己在某一方面很擅长,最终却显示出这方面知识的匮乏,这绝对是毁掉信任关系的最快方式。作为一名社会工程人员,如果你从没见过服务器机房,没有拆过电脑的话,伪装成一个技术人员是很容易失败的。伪装中加入自己感兴趣的话题和活动,从而能够侃侃而谈,会使你显得聪慧而自信。


自信有助于说服目标相信你就是你宣称的那个人。某些伪装(例如集邮爱好者和核弹研究人员)需要更多的知识以让他人信服,这里我们又不得不提起前期研究。有时候伪装则比较简单,只要看一些网站或者读一本书就足够了。


对于社会工程人员来说,获取知识、研究感兴趣的话题,这是非常重要的。在伪装时,你可以聊故事、观点和工作,也可以聊你很了解的某种兴趣爱好,或者是一些谈起来很舒服的话题,看看这些能否奏效。


汤姆·G. 史蒂文斯(Tom G. Stevens)博士说:“记住,你的自信心始终与任务和自身处境密切相关。不同情况下,我们的自信心是不一样的。”这种说法很正确,因为自信心直接跟别人如何看待你这个社会工程人员有很大关系。自信(只要不是自大)可以建立信任和默契,而且让人感觉很放松。尽量让目标谈论你感到舒服的话题,然后你就可以自信地发挥,这点很重要。


1957年,心理学家利昂·费斯廷格(Leon Festinger)提出了认知失调理论。该理论认为,人们倾向于协调自己的信仰、观点乃至几乎所有的认知。如果态度和行为之间存在不协调,就必须要修正这种不协调。费斯廷格博士提出有两个因素会影响这种不协调的强度:


不协调的信念的数量

每个信念的重要性


随后他提出3种消除这种不协调的方法(每个社会工程人员都必须竖起耳朵听):


降低不协调信念的重要性

增加更多的协调信念以超过那些不协调的信念

改变那些不协调的信念以使它们协调


社会工程人员如何利用这些信息呢?当伪装的角色需要你表现自信的时候,表现得不自信就会很自然地产生不协调。这些不协调引发各种红色警告,给你们之间的默契、互信和下一步进展带来障碍。这些障碍会影响目标人物的行为,他们会设法平衡自己不协调的感受,这样你的伪装就失败了。


避免这种情况发生的一种方法,是加入更多的协调信念以使其数量超过那些不协调的。目标对你的伪装角色有何期待呢?了解这些可以让你通过行动、谈吐和态度去迎合目标人物的思维和情感,从而建立起信念系统,让他们忽略任何值得怀疑的地方。


当然,一个技术娴熟的社会工程人员同样可以将不协调的信念变协调。虽然这很棘手,但是这项强大的技巧确实值得拥有。有可能你的伪装和目标的构想不一致。社会工程人员可以通过观点、行动,尤其是知识,让他的伪装和目标的认知达成一致。


2010年举办的第18届Defcon峰会上,有很多选手伪装成内部雇员。当问到他们“你的工号是多少?”时,不成熟的社会工程人员会很紧张,要么回答不出要么直接放弃比赛,然而一个训练有素的社会工程人员却不会让目标产生任何不协调的想法。他会随口说出一个在网上找到的工号,或者用其他方法说服目标没必要提供工号信息,以此来消除目标的疑虑。


看似我们在以很专业的口吻解答非常简单的问题,然而,你必须得明白:伪装的方法虽多,但也是有限度的。请明智地选择适合你的那一种。


3、练习方言或者表达方式


学会用不同的方言与人沟通会给人留下深刻的印象。受居住地的限制,要学会说一种不同的方言或者口音需要一些时间。


如果不能让你的方言完美、自然流畅,就不要去尝试。演员们为了和角色的口音一致并且发音清楚,需要专门的声乐教练及培训课程来练习发音。


大多数的演员有方言教练帮助他们完善发音。因为大多数的社会工程人员请不起方言教练,所以可以看一些讲方言发音基础知识的书。


世上有无数种方言和口音,一种很有用的方法,就是写下要讲的话的音调。这样可以练习朗读,并且记住大意,让我的口音更自然。


这些建议可以帮助社会工程人员掌握或者至少是熟练使用另一种方言。


即使不能掌握另一种方言,学会工作领域的专业表达方式也可以使情况有所改观。在公共场合听两个人交谈是一个好主意,餐厅、购物广场或者任何能找到一群人坐在一起聊天的地方都是绝佳的场所。仔细地听人们交谈所用的短语或关键词。当你听到他们在一些对话中运用的词汇时,可以考虑把它们纳入到你的伪装中,使其更可信。同样,这也需要研究和勤加练习。


4、使用电话不会减少社会工程人员投入的精力


最近几年,互联网开始主导某些“不需面对面交流”的社会工程活动。然而,在过去,电话是社会工程中不可或缺的一部分。由于这种转变,很多社会工程人员不再花时间和精力去探究“打电话”这件成功利器。


这里想说明的是,电话仍然是一种非常强大的社会工程工具,不该因为互联网的非人格化性质而减少对它的使用。


很多时候,社会工程人员在策划电话攻击时的想法会有所不同,因为利用互联网看起来更简单一些。要记住,在使用电话进行社会工程时,要投入同等的精力、同等深度的研究和信息搜集,最重要的是同等水平的练习。练习会话可以帮助你学会处理那些意料之外的事,而这通常是由你不慎改变剧本所造成的。


如果没有一组人陪着你训练或磨练这些技能,你必须得有创造力。试一试给家人或者朋友打电话,看看你能在多大程度上操控他们。另一种练习方法是给自己录音,就像在打电话一样,然后重放一遍看看听起来如何。


使用剧本大纲是很重要的。这里有个设想:想象你不得不给电话公司或者另外一个机构打电话。理由是他们搞错了一笔账单或者服务有问题,所以你打电话过去抱怨。在你跟客服解释以后,告诉他你有多失望,有多生气。客服没有为你提供任何帮助,他说:“本公司承诺提供最好的服务。请问还有什么需要帮助的吗?”如果电话另一端的人稍微思考一下他的问题,就会知道这样问有多傻,对吧?这就是使用剧本而不是大纲所导致的问题。大纲允许你有“艺术创造的自由”,让你在对话里中灵活机动,不必担心下面必须要发生什么。


使用电话提高伪装的可信度,是得到目标认可最快的方法之一。电话允许社会工程人员去“哄骗”或者假冒几乎任何事。看看下面这个例子。如果我想假装是在一个忙碌的办公室里给你打电话。这个站点提供了一个录音叫“忙”,另外一个叫“很忙”。它们的创作者称:“这个CD很有用,它包含人们可在一家公司听到的所有声音,让人们立即相信这是真实的场景。简单、有效而且质量有保障!”


这个句子就蕴含着社会工程的真谛——充斥着人们想要听到的办公嘈杂声。你发现这个CD能够满足你的预期,而且相当可信(至少在满足目标的预期后,他会是这样认为的),从而能够自动得到信任。


电话对于社会工程人员来说是非常有用的,养成使用电话的习惯,给予它足够的尊重,可以增强社会工程人员伪装的技能。因为电话是如此有效的工具,而且它的效力还将持续下去,所以必须在它身上花费相当的时间和精力,让它在任何社会工程场景中发挥作用。


5、伪装越简单,成功率越高


“越简单越好”的原则一点也不夸张。如果伪装有很多错综复杂的细节,以致忘记任何一个都会导致失败,那么就真的会失败。保持故事情节、事实和细节的简单性,会增强可信性。


人际欺骗领域有名的心理学家和研究人员保罗·艾克曼(Paul Ekman)博士,在1993年发表了一篇联合署名的文章,名为“失败的谎言”(Lies That Fail)。在那篇文章中他认为:


很多时候你没有时间去准备故事情节、进行练习和记忆。就算事前有很充分的预案,也有可能突然冒出一个不能预见的方向,说谎者不可能聪明到可以预见所有可能被问及的问题,也不可能准备所有的答案。仅有聪明的头脑是不够的,环境中不可预见的变化会导致原先有效的准备变得不可行。而且,即使不是为情势所迫改变方向,某些撒谎者也会由于记忆问题想不起前面的描述,结果不能快速一致地解答新的问题。


这个重要观点将为什么越简单越好解释得很清楚。如果伪装很复杂,努力去记住伪装的全部内容基本是不可能的,一个很小的错误就可能把你的伪装全部毁掉。伪装应该尽可能地自然、顺畅,应该容易记住。如果觉得很自然,那么回忆之前的事实和故事就不会是负担。


除了记住事实之外,不过分追求细枝末节也很重要。一个简单的伪装允许故事发展,并且允许目标运用想象去填满空隙。不要试图将伪装设计得很精致,只要记住那些伪装中比较关键的小细节即可。


此外,还有一个有趣的花招:知名罪犯和骗子的一个常用伎俩是故意犯一些错。这个想法是基于“人无完人”而建立的,一些错误会让人感觉很真实。如果运用这个策略,得留心选择决定去犯的错误,虽然这确实让对话看起来更自然,但它增加了伪装的复杂性。少用这一花招,如果一定要用,尽可能地简单。


现在用审计过程中使用过或看见过的例子将上面几点结合起来。


通过打电话的良好诱导,一名社会工程人员知道了公司所用的清洁公司的名字。通过网上搜索,他找到了能打印出来的清洁公司的标识。有很多本地或者网上商店可以按照客人的要求将标识印在衬衫或帽子上。


对照模板调整了几分钟,他订购了一件衬衫和一个球帽,上面印有垃圾回收公司的标识。几天过后,穿着印有标识的衣服,带着一个写字夹板,这位社会工程人员来到了目标公司的保安亭旁。


他说:“你好,我是ABC垃圾回收公司的XXX,我们接到你们采购部门的电话,要求派一个人来检查后面被损坏的垃圾箱。明天会来人收垃圾,如果这个垃圾箱无法修复,我会让他们带一个新的来。但是我得去后面检查一下。”


保安人员毫不迟疑地说:“好吧,你需要带着这个徽章过去。经过这里再绕到后面,就可以看到垃圾箱了。”


社会工程人员顺利拿到了通行证,对垃圾箱进行了长时间仔细的翻查,但是他还想扩大战果,试图进一步发现线索。他看着写字板说:“这里显示说要检修的不是食品垃圾箱,而是装纸张和技术垃圾的。到底会在哪里呢?”


“哦,照着我告诉你的路线,它们在第3隔间。”保安说。


“谢谢!”乔说。


简单的伪装,穿着有标识的衣服,带着“工具”(如写字板),并且故事情节简单而又好记。正是它的简单性和缺少细节使得这次伪装更加令人信服,进而发挥作用。


另一种惯用的伪装就是所谓的技术支持人员。只需一件Polo衫、一条卡其裤与一个小的电脑工具包。许多社会工程人员使用这种技术顺利进入了公司大楼,因为“技术人员”通常能不受监督地进入任何地方。同样的法则也适用于这里,即保持故事情节的简单会使这种伪装真实可信。


6、伪装必须显得自然


想要使伪装看起来自然一些,可以采用前面推荐的大纲模式,而不是使用剧本方式。大纲模式下社会工程人员可以自由地发挥,使用详细的剧本则会太机械。伪装中可以加入社会工程人员感兴趣的项目或故事。假如每次有人问一个问题或做出一个论述,你都支支吾吾,需要深入地思考,而不能做出及时明智的回答,可信性就会因此大打折扣。确实,很多人都是思考后再说, 因此这并不是要求你立即答复,但是要有答案或者要找到一个没法回答的借口。


下面列出了几条让伪装更加自然的方法。


不要考虑自己的感受。这点很重要,因为通常在伪装时如果想太多就会融入更多的个人情绪,然后恐惧、不安或焦虑就会随之而来,这些都可能会导致失败。另外,你可能不会经历不安或焦虑,但会过度兴奋,这同样会使你犯很多错误。


不要把事情太当真。当然,在生活中这就是一条好建议,而且同样非常适用于社会工程学。作为一名专业的安全人员,你有一份很严肃的工作,这是一件严肃的事情。但是如果不能笑对自己的错误,就可能会沉默不语,或者在处理后续的小事情时如临大敌。当然,并不是建议你视安全如儿戏。但是,如果你将潜在的失败当做人生中巨大的失败,那么产生的压力恰恰会导致最坏的结果。只有正确看待小的失败,才能取得更大的成功。


学会找到相关信息。用“摆脱思维的束缚,融入这个世界”来描述这个理念,这是一个非常棒的建议。社会工程人员可能全力计划好了前3个步骤,但却遗忘了一个可能会使伪装土崩瓦解的关键细节。要始终留意身边出现的信息和状况,包括目标的肢体语言、说的话,微表情等,然后将其应用到自己的行动中。


同时,记住说话者能看出什么时候你没在认真听他说话。这会让很多人感到不爽,就算是无关紧要的句子,没有被听取也会招致不快。每个人都经历过自己的话被人当做耳边风,或许他们有各自正当的理由开小差,但这样做真的挺让人扫兴的。


一定要注意听目标所说的话。集中注意力,你会听到一些对他们很重要的细节,同时也能够获取有助于自身取得成功的信息。


争取多积累经验。通过实践积累经验,能成就伪装也能识破伪装。有意识地、毫无目的地在和家人、朋友甚至是陌生人的交往中练习自然地伪装。抛开死缠烂打的方式,与他人展开简短的会话,可以使你在伪装的时候表现得更加自然。


这些方法绝对能使社会工程人员在伪装时处于优势地位。具备自然伪装的能力是一种天赋。在练习和准备的过程中,都会将“表现自然”作为一个目标。每次伪装前,进行大量的练习,以至于足以使伪装自然得像是幽默与天赋的产物。


7、为目标提供逻辑结论或下一步安排


无论你相信与否,事实是人们都希望被告知下一步该做什么。想象一下,你去看病,医生走进来给你检查了一番,并且在记录纸上写了一些东西,然后说:“好了,下个月见。”这是让人无法接受的。就算是听到坏消息,人们也希望被告知下一步该做什么。


作为一名社会工程人员,你要离开目标时,可能需要他采取或不采取行动,或者你已经得到想要的,只需离开。无论是什么情况,都应给目标一个结论或不会令其怀疑的下一步安排。


就像医生给你检查了身体,然后没有任何指示就打发你回家。如果在社会工程中,伪装成技术支持人员进入一幢大楼,在复制好数据库之后一句话也不说就离开,会让每个人产生疑惑:到底发生了什么事?甚至有人可能会给技术支持公司打电话,询问是否还要他做什么,或者最坏的情况是让他们自己胡乱猜测。无论是哪种情形,这种一句话也不留的离开方式都是有问题的。哪怕简单的一句“我已经检查了服务器并且修复了文件系统,你们会发现系统在未来几天里运行速度会提高22%”,都会让目标觉得“他们的钱花得值”。


社会工程人员感到棘手的是让目标在他走后采取行动。如果这一行动对完成社会工程审计非常关键,你会想要自己主动出手。比如在社会工程学之诱导中,讲到在一个商业会议活动中收集信息的案例,如果想让目标给我发邮件,我会说:“这是我的名片,你是否可以在星期一给我发一封邮件,详细介绍一下XYZ公司?”他可能会记得给我发,也可能一回办公室就把我忘得一干二净了,这样整个事件会以失败告终。也许这样说会更好:“我非常想从你那里了解更多的信息。在周一时我可以给你打电话或者发邮件询问更多细节吗?”


你提出的要求也应该和自己伪装的身份相匹配。如果你伪装成技术支持人员,则不应该“命令”周围的人必须做什么或者不能做什么,因为你在为他们提供服务。如果伪装成UPS快递员,你就不应该要求进入服务器机房。


一次完美的伪装还需要很多的步骤,但是对于需要进行完全可信的伪装的社会工程人员来说,本文的内容已经足以为你夯实基础了。


三、成功的伪装


要学习如何进行成功的伪装,就需要了解那些曾经成功伪装过的社会工程人员的故事,学习他们是如何展开伪装的。当然,他们的伪装最后都被识破了,因此我们现在才能读到这些故事。


1、案例 一:斯坦利·马克·瑞夫金


斯坦利·马克·瑞夫金(Stanley Mark Rifkin)一手策划了美国历史上最大的银行抢劫案。他是一名电脑极客,在他的小公寓里开了家电脑咨询公司,他的一个客户是给美国证券太平洋国民银行(Security Pacific National Bank)提供电脑服务的公司。坐落在洛杉矶的美国证券太平洋国民银行总部有55层,看上去就像一个用花岗岩和玻璃建成的堡垒。着深色制服的保安在大厅里巡查,隐藏的摄像机记录着每个来银行办理存取款业务的客户的一举一动。


这幢大楼看起来无懈可击,那么瑞夫金是如何在不携带任何武器、不动一分钱、不胁持任何人质的情况下带走1020万美元呢?


银行的电汇机制应该是很安全的,每笔电汇都必须输入密码,而且这个密码每天都会被强制修改,只有特定的人知道。密码被贴在安全房间的墙壁上,而且只有“特许人员”才可以进入这个房间。


前面提到的存档文件中是这样记录的。


1978年10月,瑞夫金来到了美国证券太平洋国民银行,银行工作人员理所当然地认为他是计算机工作人员。他坐电梯来到电汇室所在的D层。伪装成友好而且和蔼可亲的年轻人,他竟然进到墙上贴有当天密码的那个房间里。瑞夫金记住了密码,然后在没有引起任何怀疑的情况下离开了。


很快,银行电汇室的员工接到了迈克·汉森(Mike Hansen)打来的电话,他自称是该银行国际分部的员工。他正确地给出了当天的密码,要求为纽约欧文信托公司资金账户进行常规转账。整个过程没有任何引起怀疑的地方,所以美国证券太平洋国民银行就把钱打到了纽约银行的账户上。银行官员不知道的是,那个自称是迈克·汉森的男人其实是瑞夫金,他通过银行的安全密码盗取了1020万美元。


这个案件留下了许多可圈可点之处,但是现在我们把焦点集中到伪装上面来,仔细想想瑞夫金作案的细节。


为了能够在密码房间里不引起怀疑,他需要足够的自信和镇定。


提出汇款要求,他需要编一个足够令人信服的故事,而且需要考虑足够多的细节来自圆其说。


面对可能出现的问题,他要表现得足够自然。


为了不引起银行员工的怀疑,他说话要足够熟练和流利。


这些伪装必须经过细致的安排,考虑到每一个极其微小的细节。直到遇见了一个前同事,瑞夫金才被揭穿。瑞夫金被抓的时候,认识他的人都非常吃惊,甚至有人说:“他不可能是个小偷,人人都喜欢马克!”


很显然,他的伪装是很到位的。他的计划经过深思熟虑,安排周详,排练纯熟。他知道去那里的目的,并且每一步都做得很完美。站在陌生人面前时,他知道如何伪装。如果不是熟知瑞夫金的同事看了新闻后把他指认了出来,他是不会被发现的。


更加令人吃惊的是,当瑞夫金被保释在外的时候,他又打算用相同的方法“抢劫”另一家银行,但是他的行为落入了政府侦查员设计的陷阱,他被抓住了,并且等待他的是8年的牢狱之灾。尽管马克是一个“坏人”,但是从他的故事中我们能够学到很多关于伪装的知识。他的伪装非常简单,完全是用他熟悉的事情来打造精彩的故事情节。


马克的计划是把偷出来的钱变成不可追溯的钻石。为了实现这一目标,他首先需要成为一名银行雇员以拿到钱,然后变成一个钻石收购商将这些现金“洗掉”,最后通过把钻石卖掉,获得可以使用的、无迹可寻的、干净的现金。


他的伪装不涉及装扮和说话方式的变化,却要依次扮演银行工作人员、钻石采购商和钻石销售商。这其中要完成3次、4次甚至5次的身份变化。他做得非常好,基本上欺骗了所有人。


马克知道他的目标是哪些人,并且按照我们前面提到的所有规则来一步步实现他的计划。当然,他的行为是不可宽恕的,但是他的伪装天赋却是令人羡慕的。如果把天赋用到恰当的地方,他很可能会成为一位伟大的公众人物、销售员或者演员。


2、案例 二:惠普


2006年,《新闻周刊》发表了一篇非常有趣的文章。故事基本上是这样的:惠普公司的董事长帕特里夏·邓恩(Patricia Dunn)女士雇用了一个专业的安全团队,这个团队又雇用了私家侦探,私家侦探利用“伪装”技术获取了通话记录。这些聘来的专业人士实际上伪装成了惠普的董事会成员及新闻记者。这一切都是为了找出惠普队伍中可能的泄密者。


邓恩女士希望获得董事会成员和一些新闻记者的通话记录(不是惠普公司内部的电话记录,而是这些人家中或者手机的通话记录),来查证她认为可能的泄密者。《新闻周刊》是这样写的:


5月18日,在加州帕洛阿尔托的惠普总部,邓恩在董事会上扔出了她的炸弹:她已经找到了泄密者!据在场的惠普董事汤姆·珀金斯(Tom Perkins)透露,邓恩展示了监视方案并且指出了那个董事,该人承认他就是CNET的泄密者。那名董事的身份至今还没有向外界透露。他道了歉,但之后对其他董事说:“我原本打算告诉你们所有的事情,为什么你们没有问过我呢?”珀金斯说,随后那名董事被请出了董事会议室。


这个事件中值得注意的是那个被称为“伪装”的话题。


惠普的这一事件还将公众的注意力吸引到了安全顾问为获得个人信息所采用的不合理的手段上。在外部顾问团发给珀金斯的一封内部邮件中,惠普承认他们通过有争议的“伪装”技术,获得了将那个泄密者和CNET联系在一起的书面记录。《新闻周刊》获得了这封内部邮件的内容。美国联邦贸易委员会(FTC)认为这个技术涉及使用“欺骗手段”来获得他人的非公开信息:通话记录、银行卡和信用卡账号以及社会保险号等。


就拿案例中的电话公司来说,通常情况下伪装者会将自己伪装成客户,因为这些公司很少需要你提供密码,伪装者仅仅需要一个家庭住址、账号和诚恳的请求便能获取账号的详情。FTC的网站披露,伪装者会将这些信息卖给持证的私家侦探、金融贷款者、潜在的诉讼当事人以及对配偶有疑心的人,甚至卖给那些试图窃取资产或者骗取信贷的个人。FTC声明,伪装“是违法的”。FTC和若干州的检察长已就涉嫌违反联邦法和各州法律的欺诈、失实陈述及不公平竞争等行为对伪装者进行指控。惠普公司的董事之一,威瑞森(Verizon)公司的总裁拉里·巴比奥(Larry Babbio)已经以书面形式提交了打击伪装者的各种措施。


最终的结果是刑事控诉不仅针对邓恩女士一人,她所聘请的顾问也被指控。你也许会疑惑:“怎么可能对他们进行指控呢?他们是签了合同、被雇用来进行这些测试的啊。”


很简单,分析一下他们获取信息的途径以及内容,就有了答案。这些顾问拿到了惠普董事会成员和记者的姓名、地址、社会保险号、通话记录、电话账单记录以及其他一些信息。他们甚至使用一个记者的社会保险号建立了在线账户,以获取其私人通话记录。


惠普提交给其律师和内部法律人员的一份机密文件的第32页列出了汤姆·珀金斯和惠普董事会成员的交流内容,其中包含一些有关伪装的内容。其中用到的部分策略列示如下。


他们将自己伪装成电信运营公司以非法地获取通话记录。


使用被调查者的身份来获取他们的私人通话记录。


利用非法获得的姓名、社会保险号和其他信息建立在线账户,从而获得他们的通话记录。


2006年9月11日,美国众议院能源和商务代表委员会给邓恩女士发了一封信,要求其提供所取得的所有信息。以下是他们列出的信息类型。


所有公布的和未公布的电话号码;

信用卡账单;

客户姓名和地址信息;

公共事业账单;

寻呼机号码;

手机号码;

社会保险号;

信用报告;

邮政信箱信息;

银行账户信息;

资产信息;

其他消费信息。


所有这些信息都是采用社会工程领域的灰色方法取得的。虽说是受雇做这种工作,但是他们所做的事情符合伦理道德吗?许多专业社会工程人员均不敢越雷池半步。从这一经典案例中,我们也能吸取一些教训:作为一名专业的社会工程人员,你可以模仿那些心存恶意的社会工程人员的方法和思维方式,却决不能堕落到他们那种地步。那群顾问犯的错误是:他们被授权去伪装、社会工程和审计惠普,但并没有被授权去审计美国电话电报公司(AT&T)、Verizon公司及公用事业公司等。在伪装的过程中,必须有明确的概要并且规划出哪些法律漏洞可以被利用,而哪些底线是决不能触碰的。


假如你是一名社会工程审计人员,可以就惠普这个案例展开关于政策、合同和原则等系列讨论。


伪装成危险的、怀有恶意的身份盗用者,是社会工程渗透测试中合法的方式。测试、检查和验证你的客户的雇员不会落入恶意社会工程人员的陷阱,也可以帮你防御成功的伪装者。


3、遵纪守法


2005年,《私家侦探》杂志获得了对美国联邦贸易委员会金融实践部副主任乔尔·温斯顿(Joel Winston)的采访机会。他所在的部门专门负责规范和监测那些伪装行为。


此次采访的要点列示如下。


据美国联邦贸易委员会定义,伪装是指使用诈欺、欺骗或者误导性问题来取得银行或消费者的信任,从而拿到财务情况等信息。


在美国联邦贸易委员会看来,使用已经获得的信息来确认目标身份的真实性是合法的,即便在该过程中采用了欺骗手段。但是社会工程人员不能利用这些从金融机构获取信息。


通过诈欺性的商业行为来获得电话清单或者手机通话记录被认为是非法的伪装行为。


美国联邦贸易委员会的官方网站澄清了本次采访的一些内容,并提供了如下补充资料。


任何使用虚假的、伪造的或欺诈性的陈述或文件,从金融机构窃取客户信息,或者直接从金融机构的客户那里骗取其信息的行为都是非法的。


任何使用伪造的、假冒的、丢失的或被盗取的文件,从金融机构窃取客户信息,或者直接从金融机构的客户那里骗取其信息的行为都是非法的。


任何指使他人使用虚假的、伪造的或诈欺性的陈述或文件,或者使用伪造的、假冒的、丢失的或被盗取的文件,从他人处骗得客户信息的行为都是非法的。


虽然联邦贸易委员会的焦点是金融机构,但其列出的指导方针也能提醒你在美国哪些伪装是违法的。了解当地的法律并且确保不会违法,对于专业社会工程人员来说非常必要。2006年,美国联邦贸易委员会对《FTC法案》第五条进行了补充,明令禁止使用伪装技术获取电话记录。


前面惠普案例中的五个私家侦探之一被指控为蓄意窃取身份罪,这项罪名相当严重。


保持伪装的合法性需要专业社会工程人员不懈的努力和研究,并且明确地计划要使用什么样的伪装。


排除之前提到的法律因素,利用可靠的伪装手段进入目标公司是最快的途径之一。然而,伪装本身是要讲究天赋的,不只是戴上假发或者眼镜去冒充别人那么简单。


4、其他伪装工具


伪装时还有其他一些可利用的工具。


道具有助于让目标相信你的伪装。比如,车辆的磁性标志、配套的制服或装备、工具或者其他手提设备,还有最重要的——名片。


在出差的时候,名片的重要性震撼了我。我的笔记本包通常会被一遍又一遍地扫描,然后做除尘(炸弹尘埃或者别的危险物品)。我对这种安检从不反感,因为它们避免了我在空中被炸飞的可能,这点让我很高兴。


然而,我意识到90%的情况下,我都会引起安检人员的额外注意。这次出行比较特别,我忘记将开锁套装、RFID扫描器、4块额外的硬盘、万能钥匙和一些用来进行无线入侵的工具从随身的笔记本包里拿出来。当这些东西从扫描仪器中通过时,我听到X光仪器的女操作员说:“这些是什么?”


随后她叫来一个男同事看了看屏幕,他说:“我也搞不清那些到底是什么。”他继而环顾四周,看到我在笑,便问道:“是你的吗?”


我和他一起走到桌旁,他倒出我的RFID扫描器和专业开锁套装,问道:“你怎么会有这些东西?干吗用的?”


显然我被问到了,但是在最后一秒钟我决定尝试一下。我拿出一张名片,说道:“我是为网络、建筑和人们做各种测试的安全专家,这些都是我的工具。”说着我递给他一张名片,他看了大概5秒钟说:“哦,不错。谢谢你的解释。”


他把我的东西整齐地放回去,把包拉好,就让我走了。通常,我还得通过炸弹探测器、小除尘机,然后被搜身,但是这次我得到的却是一句“谢谢”和快速放行。我开始分析原因,唯一的不同就是我递给他一张名片。当然,我的名片不是那种在线印刷的廉价商品,但令我没想到的是,这张名片在关键时刻充当了许可证,能够有效证实我的描述。


在接下来的4次飞行中,我特意把我所有的“黑客”装备放进我的包里,然后拿一张名片在兜里。每一次在安检时被问及这些东西时,我就递上名片。毫无例外,每次他们都向我道歉,把我的东西整齐地装回去,然后放行。


如果将我的经历想象成伪装。一些小细节可以让我说的话可信度大增,让我看起来正当并值得信任,而这一切只需要一张卡片,就可以让人相信我说的都是事实。千万不要低估名片的作用。友情提醒:印刷粗糙、看起来寒碜的名片的效果恰恰相反。一张背面印有“免费”广告的名片在专业伪装中不会起任何作用。


伪装通常是专业身份窃贼开始入手的第一步。鉴于身份盗用在犯罪中出现得比较频繁,知道它的原理并且能够有效鉴别,对于消费者、商务人员和安全专家来说都有很大的必要性。如果你是一位安全审计师,必须帮助客户提防这类威胁,并且针对可能的漏洞考验、测试他们。

微信公众号:计算机与网络安全

ID:Computer-network

【推荐书籍】

登录查看更多
5

相关内容

搜索引擎指根据一定的策略、运用特定的计算机程序搜集互联网上的信息,在对信息进行组织和处理后,为用户提供检索服务的系统。
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
【中科院自动化所】视觉对抗样本生成技术概述
专知会员服务
35+阅读 · 2020年4月15日
专知会员服务
124+阅读 · 2020年3月26日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
77+阅读 · 2020年3月10日
《可解释的机器学习-interpretable-ml》238页pdf
专知会员服务
202+阅读 · 2020年2月24日
清华大学两名博士生被开除:你不吃学习的苦,就要吃生活的苦
机器学习算法与Python学习
25+阅读 · 2019年9月16日
【深度学习】深度学习的问题究竟在哪?
产业智能官
4+阅读 · 2019年8月30日
告别2018,我的发文总结
余晟以为
3+阅读 · 2018年12月28日
10000个科学难题 • 制造科学卷
科学出版社
13+阅读 · 2018年11月29日
一文详解生成对抗网络(GAN)的原理,通俗易懂
人工智能头条
6+阅读 · 2018年5月6日
【简介】生成式对抗网络简介
GAN生成式对抗网络
8+阅读 · 2017年9月16日
Generating Fact Checking Explanations
Arxiv
9+阅读 · 2020年4月13日
Interpretable CNNs for Object Classification
Arxiv
20+阅读 · 2020年3月12日
Arxiv
8+阅读 · 2018年4月8日
Arxiv
22+阅读 · 2018年2月14日
Arxiv
16+阅读 · 2018年2月7日
VIP会员
相关资讯
清华大学两名博士生被开除:你不吃学习的苦,就要吃生活的苦
机器学习算法与Python学习
25+阅读 · 2019年9月16日
【深度学习】深度学习的问题究竟在哪?
产业智能官
4+阅读 · 2019年8月30日
告别2018,我的发文总结
余晟以为
3+阅读 · 2018年12月28日
10000个科学难题 • 制造科学卷
科学出版社
13+阅读 · 2018年11月29日
一文详解生成对抗网络(GAN)的原理,通俗易懂
人工智能头条
6+阅读 · 2018年5月6日
【简介】生成式对抗网络简介
GAN生成式对抗网络
8+阅读 · 2017年9月16日
Top
微信扫码咨询专知VIP会员