信息安全之社会工程学[2]：攻击手法之假冒身份

　　在前一个帖子里，咱们介绍了“信息收集 ”，今天咱们来讲一讲“假冒身份 ”的手法。<!-- program-think-->
　　为了避免某些同学误解，有必要事先澄清一下：“信息收集 ”、“假冒身份 ”、“施加影响 ”这三个手法不是孤立存在的，而是有机结合的。攻击者在干坏事的时候，总会混用这三个手法以达到最终目的。俺只是限于时间和篇幅，所以才大卸三块，分开来介绍。

　　★为啥要假冒？
　　假冒身份说白了就是“包装”。攻击者又不是傻冒，他们当然不会轻易暴露自己的真实身份，自然要找一个马甲来伪装一下。一般来说，攻击者会根据面对的目标来选取针对性 的马甲。选好马甲之后，还要在某些细节上稍微粉饰一下，让人觉得更加逼真。
　　总而言之，包装要为后续的“施加影响 ”埋下伏笔，打好基础。

　　★包装要达到啥效果？
　　按照二八原理 ，大部分人都是感性的。包装的效果，就是要充分利用和挖掘人感性的弱点 。
　　◇博取信任
　　还记得上一个帖子 提到的那些“不敏感信息”吗？攻击者会利用这些信息来证明自己是机构内的人，从而得到信任（具体看文本后面的实例）。博取信任是先决条件，只有先取得信任，攻击者才能再接再厉，继续博取好感、博取同情、树立权威等等。
　　◇博取好感
　　博取好感显然是没啥坏处的。如果对方产生了好感，攻击者就便于提出更进一步的要求。比如很多保险推销员就善于利用各种手段来博取好感。
　　◇博取同情
　　大部分人或多或少都有一点同情心，某些攻击者会刻意示弱，从而让对方产生一些同情心，然后借机提出一些要求。从这个角度来讲，很多乞丐也利用了社会工程学的技巧。
　　◇树立权威性
　　很多人都会对权威人物有一种轻信和盲从。所以，树立权威性也有助于攻击者后续的“施加影响 ”。

　　★如何包装？
　　◇选择身份
　　要达到上述的效果，首先要选择特定的身份。选择身份是很有讲究的，要综合考虑多方面的因素。由于俺不是教你如何搞社会工程攻击，所以俺只能是简单说一说。
　　要博取好感，攻击者可以通过建立认同感来达到。比如对方是某个秘书，攻击者会谎称自己是另一个部门的秘书（职务上的认同）。关于认同感，后面的帖子会详细介绍。
　　要树立权威性，可以通过冒充公司内更高级别的人物（或者和高层相关的人，比如某领导的秘书）。这个招数对于那些等级森严的公司，效果挺好。
　　要博取同情的话，可以看本文后面举的例子。
　　◇外貌的粉饰
　　除了选取身份，一些外貌的细节也很重要。由于大多数攻击者采用电话的方式沟通，那些嗓音略带磁性（仅限于男性）或者充满柔情（仅限于女性）的家伙，就很占优势啦。
　 　大多数攻击者都不会贸然现身（现真身的风险可大了）。万一在特殊情况下需要亲自出马，到对方的机构去拜访，有经验的攻击者都会选取得体的着装，以便和假 冒的身份相称。在这种情况下，攻击者的长相也是一个关键因素。那些相貌堂堂、一表人才、玉树临风的家伙，第一眼就会让对方产生好感并放松警惕。
　　顺便跑题一下。我在本系列开篇的扫盲帖 里面不是强调过天赋 的重要性吗？所谓的社会工程学天赋，不光是脑瓜子机灵，嗓音和相貌也不能太差哦（尤其是嗓音）。俗话说得好：天生嗓音差不是你的错，但跑出来混社会工程就是你的不对啦！

　　★一个实例
　　前面忽悠了一大堆理论，为了加深同学们的印象，咱来看个简单的例子（灵感来自凯文·米特尼克 所著的《欺骗的艺术 》）。在此例子中，攻击者的主要目的是更进一步的“信息收集 ”。在该过程中，攻击者使用了“假冒身份 ”的手法。
　　◇主要人物介绍
　　某社会工程攻击者，简称小黑。
　　某公司客服人员，简称小白。
　　◇背景介绍
　　小黑想打探这家公司某客户（张三）的银行帐号。小黑先进行了一些初步的信息收集（通过Google），了解到如下信息：
　　1、公司内部有一个商业客户资料系统，里面包含有客户的银行帐号
　　2、该系统简称BCIS
　　3、该公司的客户服务人员有BCIS的查询权限
　　准备妥当之后，小黑打电话 到该公司客户服务部。

　　◇对话过程
　　小白：你好，哪位？
　　小黑：我是客户资料部的，我的电脑中了该死的病毒，没法启动了。偏偏有个总裁办的秘书让我查一个客户的资料，还催得很急。听说你们客服部也能登录到BCIS，麻烦你帮我查一下吧。谢谢啦！
　　小白：哦。你要查什么资料？
　　小黑：我需要一个客户的银行帐号。
　　小白：这个客户的ID是多少？
　　小黑：客户ID在我电脑里，可是我的电脑打不开了。麻烦你根据姓名进行模糊查找，应该能找到的。这个客户叫“张三”。
　　小白：稍等，我查询一下。
　　......
　　小白：找到了，你拿笔记一下，他的银行帐号是1415926535。
　　小黑：好的，我记下了。你可帮了我大忙啦！太谢谢你了！
　　小白：不客气。

　　◇案例分析
　　首先，攻击者通过信息收集中打听到“商业客户资料系统”简称BCIS。另外，攻击者还了解到“客服部门”有BCIS的查询权限。当小黑很自然地说出这两个信息，就会让小白相信自己是公司内的人员。
　　接着，小黑通过谎称自己的电脑中毒，来进行示弱并博取小白的同情。
　　有了上面这两条，小黑成功的把握就很大啦。如果再辅助一些特定的嗓音和语调，并且在言谈中流露出焦急的心情，那基本上就大功告成了。

　　关于“假冒身份”的话题，就暂时聊到这。本系列 的下一个帖子，咱们来聊一下“施加影响 ”的话题。

---

版权声明
本博客所有的原创文章，作者皆保留版权。转载必须包含本声明，保持本文完整，并以超链接形式注明作者编程随想 和本文原始地址：

http://program-think.blogspot.com/2009/05/social-engineering-2-pretend.html