按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
他当前的任务是获得一家公司的季度损益表与现金流量信息,要在这些数据被提交到美国证券交易委员会( SEC ) 并公布之前。他的客户是一个不愿意解释为什么需要这些信息的牙医,这个人的小心翼翼在杰克看来十分有趣,他之前的推测是——这家伙可能赌博赢了钱,要么就是有一个一直没被他的妻子发现的有钱的女朋友,或者也有可能是向他的妻子吹嘘了自己在股票市场的英明神武,总之现在他已经失去了所有的管束,只想进行一大笔投资,在这家公司公布他们的季度财务报表之前,预测他们的股票价格将如何变化。
人们惊讶地发现,细心的社会工程师可以迅速地应对从未遇到过的情况。当杰克从牙医那里回到家的时候,他已经想好了一个计划。他的一个朋友查尔斯·贝茨(Charles Bates)在Panda进出口公司工作,这家公司有自己的电话交换机或PBX(译者注:专用分组交换机)。
在了解电话系统的人熟悉的术语中,PBX连接着数字电话服务T1,并被设置为初始速率接口ISDN(综合服务数字网络)或PRI ISDN,这意味着从Panda打出的每一个电话都会通过一个数据频道发送呼叫处理信息到电话公司的交换机:这些信息包括将转到(除非被锁定了)对方来电显示上的主叫号码。
杰克的这个朋友知道怎样修改交换机让接到电话的人在来电显示上看到伪造的号码,而事实上电话是从Panda办公室打来的。这种骗局之所以有效,是因为当地电话公司懒得去验证客户的呼叫号码是不是实际上付钱的那个号码。
杰克·道金斯需要的只是使用这种电话服务,幸运的是他的朋友与合作伙伴查尔斯·贝茨总是乐于伸出援助之手,而只收取象征性的费用。在这里,杰克和查尔斯临时修改了电话交换机的设置,让Panda公司的一条指定电话线路使用维克托·马丁的内部电话号码,这样电话看上去就是从星际漫游航空公司打出的了。
你的来电显示不会出错,很多人都这样想,在这里,琳达愉快地把资料传真给了她认为是产品推广部员工的人。
当杰克挂上电话时,查尔斯又把交换机的设置给改了回来。
过程分析
一些公司不想让客户或供应商知道他们员工的电话号码。比如,福特公司规定,从他们的客户支持中心打来的电话应当显示800号码和“福特支持”字样,而不是每一个客户支持代表真实的电话号码。微软公司则让员工自己选择是否把电话号码告诉别人,并不是每一个接到他们电话的人都能看到来电显示并找出他们的位置。通过这种方法公司便能保持内部号码的隐匿性。
但是修改交换机设置对于一些人而言是在是太简单了,比如,恶作剧爱好者、收账单的人、电话销售员,当然,还有社会工程师。
变奏:美国总统来电
作为洛杉矶KFI谈话节目〃互联网黑暗面〃的客串主持人,我认识电台的节目总监大卫,他是我见过的最勤奋最负责的人,你很难电话联系到他,因为他实在是太忙了。他不接任何电话,除非来电显示上出现了他必须谈话的人。
当我打电话给他时候,因为我的手机出了问题,他不知道是谁的电话所以没有接,而让它转到了语音信箱,这让我觉得很失败。
我和一个老朋友详细地讨论了这件事,他创办了一家专门为高科技公司提供办公室的房地产公司。我们一起制定了一个计划,他可以使用他们公司的子午线电话交换机,也就是说他可以修改主叫号码,就像刚才的故事描述的那样。每当我需要联系节目总监但又打不通电话时,我就请我的朋友帮忙修改来电显示上的号码,有时候我想让电话看上去是大卫的办公室助理打来的,有时候则是电台的控股公司。
但我最喜欢的还是把它改成大卫自己家的电话号码,他总是会接,因为他信任这个人。当他拿起电话并发现我再一次和他开了个玩笑时,他永远都是那么幽默。当然,他会在线足够长的时间解决我的所有问题。
当我在阿特响铃秀上证明这一小小的骗局时,我让我的来电显示出现了FBI洛杉矶总部的名字和号码。阿特对整件事情非常震惊,他警告我说这是违法的,但我告诉他这是完全合法的,只要不用来诈骗。在那次节目之后我收到了几百封电子邮件,他们想知道我是怎么做到的,现在你知道了。
这对社会工程师而言是获得信任的绝佳工具,例如,在社会工程学攻击的调查阶段,只要目标有来电显示,攻击者就可以让他或她的电话看上去是从可信的公司或员工打来的,收账单的人也可以让他或她的电话看上去是从你的办公场所打来的。
想一下这意味着什么,计算机入侵者可以在家里打电话给你,声称自己是你公司的IT部门员工,然后说服务器崩溃了,他需要你的密码来恢复你的文件;或者电话上出现了你的银行或证券交易所的名字,一个声音甜美的女孩想确认一下你的账户号码和你妈妈的婚前姓,另外,因为系统出了一些问题,她还需要核对你的ATM PIN码;股票市场的证券欺诈经营者可以让他们的电话看上去是来自美林证券公司或花旗银行;某个想盗窃你身份的人可以从移民局打来电话,让你告诉他你的签证卡号;一个嫉恨你的家伙可以打来电话声称自己来自IRS(译者注:美国国税局)或FBI。
如果你通过一个电话系统连接上了一个初始速率接口(PRI),那么再加上一点点从系统供应商的网站上学到的编程知识,你就可以用这种方法和你的朋友开玩笑。认识的某个人有强烈的政治愿望?你可以把呼叫号码改成202…456…1414,这样他的来电显示就会出现“白宫”的名字。
他会认为自己接到了总统的电话!
这些故事要表达的意思很简单:不能信任来电显示,除非已经确认是内部号码。无论是在工作中还是在家里,每个人都需要知道这种骗局并意识到来电显示上出现的名字和电话号码是无法验证身份的。
米特尼克语录
下一次当你接到电话时,如果来电显示上的是你亲爱的老妈妈,谁知道啊——她可能是个年轻可爱的社会工程师。
无形的员工
雪莉·卡特拉斯(Shirley Cutlass)找到了一个新的令人激动的赚钱方法,告别长时间的既辛苦又乏味的工作,她加入到上百个侵淫此道数十年的行骗艺术家当中,成了一名身份窃贼。
现在她的目标是获取一家信用卡公司客户服务部门的机密信息,在常规的准备之后,她打到目标公司,告诉接线员她想要连线电信部门,然后她对电信部门的人说她想和语音信箱的管理员通话。
利用她之前搜集的信息,她自称为克里夫兰办公室的诺玛·托德(Norma Todd),现在你应该很熟悉这个骗局,她说她将在一周后前往公司总部,她需要一个这里的语音信箱,这样她就不用打长途电话查看她的语音信息。他说他会在办好之后回电话给她,因为会有一些她需要的信息。
她用迷人的声音说,“我在去开会路上,我能在一小时后打给你吗?”
当她打回去的时候,他说已经设置好了,然后是一些必要的信息——她的分机号和临时密码。他问她是否知道怎样更改语音信箱的密码,虽然她知道的并不比他少,但她还是让他讲解了一遍操作步骤。
“顺便问一句,”她说,“从我的旅馆,要打哪个号码才能查看我的信息?”他给了她那个号码。
然后雪莉打了进去,更改了密码并录入了新的问候语。
雪莉的入侵
到目前为止一切都很简单,现在她准备施展欺骗的艺术了。
她打电话到目标公司的客户服务部门,“克里夫兰办公室人力资源部,”她说,然后变化了一下这个耳熟能详的借口,“技术支持人员正在修理我的电脑,我需要你帮忙查找这些信息。”接着她提供了一些她想要窃取身份的人的名字和生日,然后她列出了她想要的信息:地址、母亲的婚前姓、卡号、信贷限额、可用信用、支付历史。“按这个号码打给我,”她给出了语音信箱管理员为她设置的内部分机号,“如果我不在的话,只要在我的语音信箱里留言就可以了。”
她一早上都在忙其它事情,然后在下午查看了她的语音信箱,她想要的信息都在。在挂电话之前,雪莉清除了问候语:如果不小心的话会留下她的声音记录。
身份