第27章 (第2/3页)
地操作了,选择了一个我提供的一个密码,我给出了正确的答案,他发送了签字样卡的传真。
打更多的电话我就可以知道客户使用的自动服务的800号码,差不多都有效,电子语音会把你请求的信息读出来。从签字样卡里我得到了目标所有的账户号码和他的PIN码(个人身份号码),因为那家银行使用社会保险号码前面的五个或者后面的四个阿拉伯数字。有了这些,我打电话给那个800号码,拨通号码几分钟后,我得到了这个家伙四个账户的最后余额,并且额外还知道了他最近的每一笔存款和取款操作。
每一件客户要求的事我都会给他们一些额外的特别的东西,好让他们高兴,毕竟,回头客才能让业务保持下去,对吗?
过程分析
整个故事的关键是得到非常重要的每日密码,攻击者文斯使用了几个不同的技巧。
当路易斯不给他密码证明身份时,他开始用上了一点口头上的威胁。路易斯的怀疑是正确的——密码被设计成可以反向使用。他知道这些事情通常的流程,这个不知名的人将给他一个安全密码。这对文斯来说是决定性的时刻,成败在此一举了。
面对路易斯的怀疑,文斯简单地进行了控制,利用同情心(“去看医生”),压力(“我有一堆事要做,已经4个钟头了”),还有操纵(“告诉她你不肯给我密码”)。文斯很聪明,他事实上没有制造任何威胁,只是含蓄的表达了一个意思:如果你不给我安全密码,我就不会发送你的同事要的客户资料,并且我会告诉她我想要发送但是你不合作。
停,我们不能太草率地责备路易斯。毕竟,电话上的人知道(或者至少看起来知道)自己的同事安吉拉请求了一个传真。打电话的人知道安全密码,并且知道他们使用指定的字母来验证,还说他的分行经理有很严格的安全要求。似乎实在是没有任何理由不按他的要求进行验证。
并非只有路易斯,每一天都有银行职员在社会工程师面前放弃安全密码,难以置信却是真实的。
沙滩上有一根线,私人侦探的技巧介于合法与违法之间。当文斯获得分行的电话号码时他的行为是合法的,当他操纵路易斯告诉他两个每日安全密码时,他也是合法的,当他拿到一位银行客户的保密资料传真时,他越过了这根线。
但是对于文斯和他的老板来说,这是低风险的犯罪。当你偷钱或者商品时,会有人注意到它的发生。当你偷窃信息时,大多数情况下没有人会发觉,因为他们仍然拥有这些信息。
米特尼克信箱
安全密码相当于提供了方便可靠的方法来保护数据,但是员工们需要了解社会工程师使用的骗局,并且要培训他们在任何时候都不要放弃使用密码。
被愚弄的警察
对于一个隐蔽的私人侦探或者社会工程师而言,当他轻而易举地拿到某个人的驾驶执照号码时,常常有很多机会——例如,你想要冒充另一个人来获得一些关于她的银行余额信息。
除非去偷那个人的皮包或是
(本章未完,请点击下一页继续阅读)