欺骗的艺术 作者: 美 凯文·米特尼克-第14章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
用贝宝和对我们的支持!圣诞快乐,新年愉快!
贝宝
电子商务网站
你也许知道,人们不大愿意在网上购物,即便是亚马逊、eBay,或象老海军(Old Navy)、塔吉特(Target)、耐克这样的这样名牌公司和网站。从某方面来看,他们的戒心无可非议。如果你的浏览器使用现在的128位加密标准,那么你从计算机上发往任意一个安全站点的信息都是经过加密的。这些数据经过大量的努力理论上可以被解密,但更可能的是在正常的时间内无法解密,除非是国家安全部(但谁也没听说过,国家安全部对盗窃美国公民的信息卡号以及谁定购了色情录像或情趣内衣感兴趣)。
这些加密信息实际上可以被任何有时间有才智的人所破解。但是,许多电子商务公司把他们的客户信息未经加密的存储在数据库中,在这种情况下,再去耗费巨大的精力去破解一个信用卡号会是多么的愚蠢。更糟糕的是,有许多使用特定SQL数据库软件的电子商务公司都会犯这样的错误:他们从未改变过数据库系统管理员的默认口令。他们安装数据库时,系统口令默认是空口令,于是它就一直空着。所以,这个数据库里面的内容,对于互联网上任何尝试连接这个数据库服务器的人都是唾手可得的。
这些站点始终都处在被攻击并且信息会被窃取的危险下,而无需复杂的手段。另一方面,那些不愿在网上购物的人担心他们的信用卡信息被盗。但他们却不在意去真实的商店购物,吃午饭、晚饭,甚至去偏僻街道的小酒馆等一样可以用信用卡付费的地方,即便这些地方总是有人偷取信用卡的收据,有时收据还会从垃圾箱中被人找出。还有一些道德败坏的店员服务生会偷偷记下你的名字和卡号,或使用很容易就在网上买到的盗卡装置,来存储在它上面刷过的信用卡数据,以备日后使用。
在线购物有些冒险,但也可能和在真实的商店购物一样安全。当你在网上使用信用卡时,信用卡公司为你提供相同的保护。如果发生欺诈性收费,你的账户只会损失头一笔交易的50美元。因此我认为,对网上购物的恐惧只是另一种错误的担心。
埃德加没有注意到邮件中的几个不对劲的地方,如抬头的分号,混乱的用词(我们以优质的服务继续为您提供有价值的客户服务)。他点击了链接,输入姓名、地址、电话号码和信用卡等信息,然后静静地等待5美元的到来。但他等来的只会是一堆他从未购买过的商品账单。
过程分析
埃德加被互联网上司空见惯的骗局所欺骗,这种骗局有多种形式,其中一种(详见第九章)有着与真正网站一样的界面,看起来真实可信。不同之处在于冒充的页面不会到达用户真正想访问的系统,而是会把他的用户名和口令发给黑客。埃德加被骗了,对方注册了一个域名为paypal…secure的网站,看上去如同贝宝的一个安全页面。当他在这个页面输入个人信息时,黑客们便得逞了。
米特尼克信箱
当没有安全保证时,无论什么时候访问一个需要输入个人信息的网站时,一定要确认当前链接是可信和加密的。更需注意的是,不要顺其自然地点击对话框中的“yes”,尤其是有安全提示的对话框,比如无效、过期或废除的数字证书的提示。
变奏之变奏
究竟有多少多种方法可以骗取人们在假冒的网站输入他们的机密信息?我不认为大家对此有一个统一的答案,但无疑是越来越多。
不明链接
一种常见的手法:发送一封具有诱惑力的邮件,提供一个链接。它并不会带你到想去的站点,它只是看起来像那个的站点的链接。另一个已经在互联网上应用的例子是,用paypa1模仿paypal。
乍一看来,像是贝宝的域名。即便受害人注意到这一点,他也可能会以为只是一个文本上的小错误,把1当成l了。而谁又会立刻注意到那是一个数字1而不是小写的L呢?就这样,有很多的人失去了信用卡上的钱,而这个诈骗手段得以继续。假冒网站做的跟真得一样,当人们访问时,便轻率地输入他们的信用卡上的信息。建立这样一种行骗的机制,攻击者只需注册一个用来冒充的域名,发出电子邮件,然后等待那些傻鸟们上钩。
2002年,我收到一封标着来自Ebay@ebay的邮件,很明显这是一个群发性质的邮件。见图8。1,(译者注:我的电子书中看不到这张图。)这样的链接应该注意。
…
亲爱的eBay用户,很明显您的eBay账户被第三方所影响并违犯了我们下面的用户协定条款:
4。招投标
用户如果通过固定价格或成为最高价竞买人,并经销售方同意,则有义务与销售方一起完成此项交易,否则此项交易会被本协定或法律终止。
您之所以收到此通知是因为您当前账户服务的中断引起了我们的注意,eBay方面需要立刻验证你的账户,请验证您的账户以免账户被封。点击此处验证你的账户――error ebay。tripod 商标设计和标志为各自拥有者所有,eBay以及eBay图标为eBay有限公司的注册商标。
…
点击这个链接的人会来到一个很像eBay网站的页面,设计精美,带有eBay的图标,令人可信。而且,如果点击页面上的“浏览”、“出售”等一些导航链接,可将访问者带到真正的eBay站点。页面的右下角也有一个安全的图标,为了防止精明的用户发现马脚,仿造者甚至使用HTML加密来掩盖用户信息的发送地。
这是一个极好的基于计算机进行社会工程学攻击的例子。然而,它也有着一些漏洞。内容上文笔较差,尤其是在最后一段的开头“您之所以收到此通知”,这即拗口也用词不当(实施这些骗局的人才不会雇用一个专业编辑人员来修饰这些内容)。此外,任何一个认真的人都会对eBay索取访问者的贝宝账户信息感到怀疑,eBay有什么理由能向用户索取用户在另外的公司中注册的私人信息呢。
而且如果对于互联网很熟悉的人来说,很可能会发现这个链接并不是eBay的域名,而是tripod(一个提供免费主页的网站),这无疑是一封非法的邮件。然而,我打赌还是会有很多人在这样的页面上输入他们的个人信息,包括信息卡号。
注:为什么人们可以注册欺骗性和不合适的域名?现行的法律和互联网政策规定,任何人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者,但结果并不理想。通用(美国著名汽车公司――generalmotors)对一个域名为fuckgeneralmotors的网站提出诉讼,通用败诉。
保持警觉
作为互联网的个人用户,我们所有的人都应该保持警觉,当键入个人信息,如口令、账户或PIN码等信息时,要对目前情况有清醒的认识。你的熟人当中,有多少人能保证他在浏览的页面是安全页面?你公司的员工又有多少人知道该如何做?
每个使用互联网的用户都应该认识那个经常出现在网页上的像一个小挂锁样的图标,当挂扣合上的时候,站点则是安全的。如果挂扣打开着,或是就没有挂锁图样,这个站点就不能被确认是可信的,在上面传送的任何信息都可能处于危险之中(信息未被加密)。
然而,一个危及计算机管理员权限的攻击者可能会更改操作系统代码,甚至为其打上补丁,以掩饰计算机已受到攻击的真相。比如,可以绕过浏览器中的程序对显示某站点的数字证书是否失效的检测。再比如,系统可能会被植入rootkit,安装一个或多个很难检测出来的系统级别的后门。
安全连接可以保证站点的真实性,并对传输的信息进行加密。因此,一个攻击者便无法利用他拦截的信息。可以信任一个已经使用加密连接的站点么?不,因为这个网站的站长并没有随时为网站打上必要的安全补丁,因此不能假定任何安全站点都可以对攻击免疫。
专业术语
后门:在用户不知道的情况下进入用房计算机的一个隐蔽入口。编程人员在开发软件时,也会用其来进入程序以解决问题。安全超文本传输协议(HTTP)或安全套接层协议(SSL)提供一个使用数字证书的自动机制,,不仅可以加密发送到远端站点的信息,还可以对其进行认证(保证所连接的站点是真实可信的)。然而,这种保护机制对于那些疏于检验地址栏中的网址是否为他们想访问站点的用户是无效的。
还有一个极容易被忽视的安全问题,弹出类似这样的消息框:“此站点非安全站点或安全证书已过期,您是否还要继续访问?”许多互联网用户并不清楚它的具体含义,于是他们直接点击“确定”或“是”来继续他们的访问,而没有意识到可能已处于危险之中。
警告:在没有使用安全协议的站点上,一定不要输入个人的敏感信息,如地址、电话、信息卡号或银行账号,或者是任何你不想泄露的私人信息。
托马斯·杰佛逊(译者注:Thomas Jefferson 美国第三任总统,《独立宣言》的起草人)说过,保持自由需要“永远的警惕”。在一个视信息为流通货币的社会,要保护个人隐私和安全同样如此。
了解病毒
一个对病毒软件的特殊提示:不仅是对企业内网的用户,而且对每一个计算机用户都是必要的。不要只是把防病毒软件装在机器上,还要让其时刻运行(许多人不喜欢这样做,因为会降低计算机的性能)。
另外一个需要谨记的是:保持病毒库的更新。除非你的企业负责为每个员工更新软件和病毒库,否则自己一定要承担起下载最新病毒库的义务。我个人建议每个人都对防病毒软件的更新功能进行设置,以使软件可以每天自动更新病毒库。
专业术语
安全套接层协议:网景开发的用于互联网上客户与服务器端的安全认证协议。经常性的更新病毒库可以基本保证计算机的安全性,但这并不足以完全保证安全,还有一些病毒或蠕虫是防病毒软件公司未知的,因此相应的保护程序也就没有发布。
所有有着远程访问权限的用户,至少要在笔记本电脑或家用电脑上升级防病毒软件和防火墙。老练的攻击者会从整个系统中寻找到最弱点而发起攻击,因此需要时常提醒那些有着远程访问权限的用户,激活防病毒软件、升级他们的防火墙是共同的安全防范责任,因为你无法指望一个工作人员、主管人员、销售人员,或其他IT部门的人会时刻记得如果他们的计算机没有保护而发生的危险性。
除此之外,我还强烈推荐不常使用但的确重要的防特洛伊木马的软件。在写作这本书期间,已经有两个为人所熟知的防木马程序,The Cleaner(moosoft)和Trojan Defense Sweep(diamondcs。au)。
最后,对于那些没有在企业网关上做危险邮件扫描的公司来说,可能是最重要的安全提醒:由于我们习惯于忘记或忽略那些与完成工作不直接相关的事,因此需要反复地以不同的方式提醒员工,不要打开陌生邮件的附件。管理部门也要提醒员工激活防病毒和防木马软件,以防范那些看似可以信任但实则会带来危害的邮件。
第八章 利用同情、内疚和胁迫
和在15章中讨论的一样,社会工程师利用心理影响引导目标答应他的请求。熟练的社会工程师非常擅长一个诡计:刺激情感,如畏惧、兴奋或内疚。他们利用心理触发——自动机制,引导人们未经深入分析有用的信息就回应请求。
我们想让自己和他人都避免陷入困境,基于此论断,攻击者可以利用人们的同情心,让他的目标感到内疚,或者像使用武器一样胁迫受害者。
下面是一些研究所的利用情绪的热门策略课程。
电影制片厂的访客
你有没有注意过一些人是怎样进入有守卫的地方(比如,会议室、私人派对或者图书发布仪式)而不用被询问是否有入场券或通行证?
有许多相同的方法,一个社会工程师能在你没有想过可能性的地方谈论他的方法——就像下面这个电影行业的故事一样。
电话响了
“罗恩·希亚德(Ron Hillyard)办公室,我是多罗茜(Dorothy)。”
“多罗茜,你好,我叫凯尔·贝拉米(Kyle Bellamy)。我刚刚加入Animation公司成为布莱恩·格拉斯曼(Brian Glassman)的职员,你应该对这里不同的事情很了解吧。”
“我想,我从没在其它电影公司工作过,所以我真的不知道,我能帮你做什么?”
“说实话,我觉得自己有点笨,今天下午为稿件