欺騙的藝術

欺騙的藝術

《欺騙的藝術》(The Art of Deception)是著名黑客凱文·米特尼克於2002年推出的一本關於社會工程學的公益性質的暢銷書。該書最新版是由清華大學出版社出版的《反欺騙的藝術——世界傳奇黑客的經歷分享》,出版日期為2014年8月,譯者為潘愛民。

概述

著名 黑客 凱文·米特尼克於2002年推出的一本關於 社會工程學的公益性質的 暢銷書,英文名為《The Art of Deception》。

內容介紹

欺騙的藝術欺騙的藝術

在本書的第一部分(第一章),我將展示信息安全的薄弱環節,並指出為什麼你和你們的企業處於社會工程師攻擊的危險之下。本書的第二部分(第二至九章),大家將會看到社會工程師是如何利用人們的信任、樂於助人的願望和同情心使你上當受騙,從而獲得他們想要的信息。本書通過小說故事的形式來敘述典型的攻擊案例,給讀者演示社會工程師可以戴上許多面具並冒充各種身份。如果你認為自己從來沒有遇到過這種事情,你很可能錯了。你能從本書的故事中認出自己似曾相識的場景么?你想知道自己是否經歷過社會工程學的攻擊么?這些都極有可能。但當你看完了第二章到第九章時,便知道下一個社會工程師打來電話時你該如何占取主動了。

接下來的部分將展示一個社會工程師如何鋌而走險,進入企業內部,盜取關健信息並越過高級安全防控措施的過程。此部分內容會讓人意識到安全威脅存在於各個方面,從普通員工對企業的報復一直到電腦空間的網路恐怖主義。如果你對保持公司業務運轉的數據和秘密信息十分重視並為之感到擔心,請仔細的閱讀本書第三部分(第十至第十四章)。這裡需要註明的是:“除非另做聲明,本書中的故事情節純屬虛構。”

本書第四部分(第十五至十六章)我將談到,在業務對話中如何成功的防止社會工程學給企業帶來的攻擊。第十五章提供一套有效的安全防範培訓計畫;第十六章也許正解你的燃眉之急――它包含一個完整的安全策略,你可以按公司的需要來立刻套用,以保證企業的信息安全。

最後,本書提供一個由列表、表格組成的“安全一瞥”,用來概括說明一些關健信息,以幫助員工在工作中阻止社會工程學帶來的攻擊。這些方法還可以為你做出自己的信息安全培訓計畫提供頗具價值的幫助。

內容幫助

縱覽全書,你還可以發現一些非常有用的內容條目:“術語箱”提供社會工程學和計算機黑客的術語;“米特尼克信箱”發出精典短語,有助於加深安全策略的印象;注釋與工具條則帶來一些有趣的背景知識等附加信息。

加強防範

第十五章 信息安全知識與訓練……………………………………………………………203

第十六章 推薦的信息安全策略……………………………………………………………213

​目錄與序言

序言

探索自己周圍的世界是人類與生俱來的天性。當凱文·米特尼克和我年輕時,我們對這個世界充滿了強烈的好奇心,並且急於表現自己的能力。我們總是試圖學習新東西、解決疑難問題以及力爭贏得遊戲,以此來滿足自己的好奇心和表現欲望。與此同時,周圍的世界也教給我們一些行為準則,以約束我們內心想自由探索的衝動,而不是為所欲為。對於最勇敢的科學家和技術型企業家,以及像凱文·米特尼克這樣的人,這種內心的衝動可以帶給他們極大的刺激,從而使他們完成別人認為不可能的事情。

凱文·米特尼克是我所認識的最傑出的人之一。如果有人問起的話,他會很直率地講述他過去常做的事情——社交工程(social engineering),包括如何騙取他人的信任。但凱文·米特尼克現在已經不再是一個社交工程師了。即使當年他從事社交工程活動期間,他的動機也從來不是發財致富或者損害別人。

這並不是說沒有人利用社交工程來從事危險的破壞活動,並且給社會帶來真正的危害。實際上,這正是他寫作這本書的原因:提醒你警惕這些罪犯。

通過閱讀本書可以深刻地領會到,不管是政府部門,還是商業機構,或者我們個人,在面對社交工程師(social engineer)的入侵時是何等脆弱。如今,計算機安全的重要性已廣為人知,我們花費了巨資來研究各種技術,以求保護我們的計算機網路和數據。然而,本書指出,欺騙內部人員,並繞過所有這些技術上的保護措施是多么容易。

不管你就職於商業機構還是政府部門,本書都提供了一份權威指南,幫助你了解社交工程師們是如何工作的,也告訴你該如何對付他們。 凱文·米特尼克和合著者西蒙利用一些既引人入勝又讓人大開眼界的虛構故事,生動地講述了社交工程學中鮮為人知的種種手段。在每個故事的後面,作者們給出了實用的指導建議,來幫助你防範故事中所描述的攻擊和威脅。

僅從技術上保障安全還是不夠的,這將留下巨大的缺口,像凱文·米特尼克這樣的人能幫助我們彌補這一點。閱讀本書後,你或許最終會意識到,我們需要像凱文·米特尼克這樣的人來指導我們做得更好。

Steve Wozniak(史蒂夫·渥茲尼克),蘋果電腦公司聯合創始人

前 言

本書包含了有關信息安全和社交工程的大量信息。為了讓你有個初步印象,這裡首先介紹一下本書的內容組織結構。

第Ⅰ部分將揭示出安全方面最薄弱的環節,並指出為什麼你和你的公司正在面臨著遭受社交工程攻擊的危險。

在第Ⅱ部分中,你將會看到,社交工程師如何利用你的信任、你好心助人的願望、你的同情心以及人類易輕信的弱點,來得到他們想要的東西。這一部分中有一些虛構的故事反映了典型的攻擊行為,從中我們可以看出,社交工程師可能會以多種面目出現。如果你認為自己從未與他們遭遇過,那你可能錯了。

你是否發現自己曾有過與故事中類似的經歷,並開始懷疑自己曾經遭遇過社交工程?多半會是這樣。但一旦閱讀了第2章~第9章,那么,當社交工程師下次造訪時,你就知道該如何做才能使自己占據上風。

在第Ⅲ部分,通過一些編造的故事,你能看到,社交工程師如何以技高一籌的手段入侵你公司的領地,竊取那些可能會決定你公司成敗的機密,並挫敗你的高科技安全措施。這部分中給出的場景將使你意識到各種安全威脅的存在,從簡單的職員報復行為到網路恐怖主義,都有可能。如果你對企業賴以生存的信息和數據的私密性足夠重視的話,那你就要從頭至尾閱讀第10章~第14章。

需要特別聲明的一點是,除非特殊指明,否則本書中的故事都是虛構的。

在第Ⅳ部分,我從企業防範的角度講解怎樣防止社交工程的成功攻擊。第15章就如何進行安全培訓計畫給出了一個藍圖。而第16章則教你如何免受損失—— 這是一個全面的安全政策,你可以根據自己組織機構的情況進行裁減,選擇適當的方式來保障企業和信息的安全。

最後,我給出了名為“安全一覽表”的一章,其中包含一些清單、表格和圖示,就如何幫助職員們挫敗社交工程攻擊給出了一份重要的摘要信息。如果你要設計自己的安全培訓計畫,則這些資料也會非常有價值。

你會發現,有幾大要素將貫穿全書的始終:“行話(lingo box)”給出了社交工程和計算機黑客術語的定義;“米特尼克的提示”用簡短的警示語幫助你增強安全策略;“註記和補充”給出了有趣的背景資料或附加信息。

第Ⅰ部分事件的背後

第1章 安全過程中最薄弱的環節 3

1.1 人的因素 3

1.2 一個經典的欺騙案例 4

1.2.1 獲得代碼 4

1.2.2 這家到瑞士銀行… 5

1.2.3 大功告成 5

1.3 威脅的實質 6

1.3.1 日趨嚴重的擔憂 6

1.3.2 欺騙手段的使用 7

1.4 濫用別人的信任 7

1.4.1 美國人的特徵 7

1.4.2 機構的無罪論 8

1.5 恐怖分子和欺騙 9

1.6 關於本書 9

第Ⅱ部分攻擊者的藝術

第2章 當看似無害的信息帶來損害時 15

2.1 信息的潛在價值 15

2.2 信用檢查公司 16

2.2.1 私人偵探的工作 18

2.2.2 騙局分析 20

2.3 工程師的陷阱 21

2.4 更多的“無用”信息 25

2.5 預防騙局 26

第3章 直接攻擊:開門見山地索取 29

3.1 MLAC的不速之客 29

3.1.1 請告訴我電話號碼 29

3.1.2 騙局分析 30

3.2 在逃的年輕人 30

3.3 在門前的台階上 31

3.3.1 迴路欺騙 31

3.3.2 史蒂夫的詭計 32

3.4 瓦斯攻擊 33

3.4.1 詹尼·艾克頓的故事 33

3.4.2 阿特·西里的調查項目 34

3.4.3 騙局分析 35

3.5 預防騙局 36

第4章 取得信任 37

4.1 信任:欺騙的關鍵 37

4.1.1 多利·勞尼根的故事 39

4.1.2 騙局分析 40

4.2 計謀的變種:取得信用卡號碼 40

4.2.1 沒想到吧,老爸 40

4.2.2 騙局分析 41

4.3 一分錢的手機 42

4.4 侵入聯邦調查局 44

4.4.1 進入系統 45

4.4.2 騙局分析 46

4.5 預防騙局 46

4.5.1 保護你的客戶 47

4.5.2 明智的信任 47

4.5.3 你的內部網上有什麼? 48

第5章 “讓我來幫助你” 49

5.1 網路中斷 49

5.1.1 攻擊者的故事 52

5.1.2 騙局分析 53

5.2 幫新來的女孩一點忙 54

5.3 並不如你想像的那么安全 57

5.3.1 史蒂夫·克萊默的故事 57

5.3.2 克雷格·考格博尼的故事 59

5.3.3 進入內部 61

5.3.4 騙局分析 63

5.4 預防騙局 65

5.4.1 教育,教育,再教育... 65

5.4.2 保持敏感信息的安全性 66

5.4.3 考慮源頭 66

5.4.4 不要遺漏任何人 67

第6章 “你能幫我嗎?” 69

6.1 城外人 69

6.1.1 盯上瓊斯 69

6.1.2 一次商務旅行 70

6.1.3 騙局分析 71

6.2 地下酒吧式的安全 71

6.2.1 我在電影上看到過 72

6.2.2 欺騙電話公司 73

6.3 漫不經心的計算機管理員 74

6.3.1 收聽電台 74

6.3.2 竊聽者丹尼 74

6.3.3 猛攻堡壘 76

6.3.4 進入後的工作 78

6.3.5 騙局分析 80

6.4 預防騙局 80

第7章 假冒的站點和危險的附屬檔案 83

7.1 你不想要免費的嗎? 83

7.1.1 伴隨電子郵件而來 84

7.1.2 識別惡意軟體 85

7.2 來自朋友的訊息 86

7.3 一種變種形式 87

7.3.1 祝聖誕快樂 87

7.3.2 騙局分析 88

7.4 變種的變種 89

7.4.1 不正確的連結 89

7.4.2 保持警惕 91

7.4.3 了解病毒 92

第8章 利用同情心、內疚感和脅迫手段 95

8.1 對攝影棚的一次造訪 95

8.1.1 David Harold的故事 96

8.1.2 騙局分析 96

8.2 “立即行動” 97

8.2.1 Doug的故事 97

8.2.2 Linda的故事 97

8.2.3 騙局分析 99

8.3 “老總要的” 99

8.3.1 Scott的故事 100

8.3.2 騙局分析 100

8.4 社會保險管理局都知道你的哪些信息 101

8.4.1 Keith Carter的故事 102

8.4.2 騙局分析 104

8.5 僅僅一個電話 105

8.5.1 Mary H的電話 105

8.5.2 Peter的故事 106

8.5.3 騙局分析 108

8.6 警察突襲 108

8.6.1 請出示搜查證 108

8.6.2 誆騙警察 109

8.6.3 掩蓋行蹤 110

8.6.4 騙局分析 111

8.7 轉守為攻 112

8.7.1 畢業——不怎么光彩 112

8.7.2 登錄並陷入麻煩 112

8.7.3 樂於助人的登記員 113

8.7.4 騙局分析 114

8.8 預防騙局 114

8.8.1 保護數據 115

8.8.2 關於密碼 115

8.8.3 統一的中心報告點 116

8.8.4 保護你的網路 116

8.8.5 訓練的要點 117

第9章 逆向行騙 119

9.1 善意說服別人的藝術 119

9.1.1 Angela的電話 119

9.1.2 Vince Capelli的故事 122

9.1.3 騙局分析 125

9.2 讓警察受騙上當 126

9.2.1 Eric的騙局 126

9.2.2 交換機 127

9.2.3 一個給DMV的電話 128

9.2.4 騙局分析 129

9.3 預防騙局 130

第Ⅲ部分入侵警報

第10章 侵入公司領地 135

10.1 尷尬的保全 135

10.1.1 保全的故事 135

10.1.2 Joe Harper的故事 137

10.1.3 騙局分析 139

10.2 垃圾翻尋 141

10.2.1 付錢買垃圾 142

10.2.2 騙局分析 143

10.3 丟臉的老闆 143

10.3.1 埋下炸彈 144

10.3.2 吃驚的George 145

10.3.3 騙局分析 145

10.4 尋求升遷的人 146

10.4.1 Anthony的故事 147

10.4.2 騙局分析 148

10.5 居然窺視凱文 150

10.6 預防騙局 151

10.6.1 非工作時間時的保護 151

10.6.2 對垃圾要有足夠的重視 152

10.6.3 向員工說再見 152

10.6.4 不要忽略任何人 153

10.6.5 安全的IT! 154

第11章 技術和社交工程的結合 155

11.1 在獄中作黑客 155

11.1.1 打電話給Ma Bell(AT&T) 157

11.1.2 找到Gondorff 158

11.1.3 對好時間 159

11.1.4 騙局分析 160

11.2 快速下載 160

11.3 輕鬆賺錢 161

11.3.1 當場賭現金 162

11.3.2 接受挑戰 163

11.4 用詞典做攻擊工具 165

11.4.1 密碼攻擊 166

11.4.2 比你想得還要快 167

11.4.3 騙局分析 169

11.5 預防騙局 170

11.5.1 儘管說不 170

11.5.2 保潔人員 171

11.5.3 提醒同伴:保護你的密碼 171

第12章 針對低級別員工的攻擊 173

12.1 樂於助人的保全 173

12.1.1 在Elliot的角度看來 173

12.1.2 Bill的故事 174

12.1.3 騙局分析 176

12.2 緊急補丁 177

12.2.1 一個幫忙電話 177

12.2.2 騙局分析 178

12.3 新來的女孩 178

12.3.1 Kurt Dillon的故事 180

12.3.2 騙局分析 182

12.4 預防騙局 182

12.4.1 欺騙毫無戒心的人 182

12.4.2 提防間諜軟體 184

第13章 巧妙的騙術 187

13.1 起誤導作用的來電顯示 187

13.1.1 Linda的電話 187

13.1.2 Jack的故事 188

13.1.3 騙局分析 189

13.2 變種:美國總統來電話了 189

13.3 看不見的員工 191

13.3.2 Shirley的攻擊 192

13.3.2 騙局分析 192

13.4 樂於助人的秘書 193

13.5 交通法庭 194

13.5.1 騙局 194

13.5.2 騙局分析 195

13.6 SAMANTHA的報復行動 196

13.6.1 報復 197

13.6.2 騙局分析 198

13.7 預防騙局 198

第14章 工業間諜 201

14.1 陰謀的變種形式 201

14.1.1 集體訴訟 201

14.1.2 Pete的攻擊 202

14.1.3 騙局分析 203

14.2 新的商業合作夥伴 203

14.2.1 Jessica的故事 204

14.2.2 Sammy Sanford的故事 207

14.2.3 騙局分析 208

14.3 跳背遊戲 210

14.3.1 在家做好準備工作 211

14.3.2 設計圈套 212

14.3.3 騙局分析 213

14.4 預防騙局 214

14.4.1 辦公場所之外的安全性 215

14.4.2 那人是誰? 216

第Ⅳ部分進階內容

第15章 信息安全意識和培訓 219

15.1 通過技術、培訓和規定來達到安全 219

15.2 理解攻擊者如何利用人的天性 220

15.2.1 權威 220

15.2.2 討人喜歡 221

15.2.3 回報 221

15.2.4 言行一致 221

15.2.5 跟其他人一樣 222

15.2.6 供不應求 222

15.3 建立起培訓和安全意識計畫 222

15.3.1 目標 223

15.3.2 建立起安全培訓和安全意識計畫 224

15.3.3 培訓的組成結構 225

15.3.4 培訓課程的內容 226

15.4 測試 227

15.5 持續的安全意識 228

15.6 我會得到什麼? 229

第16章 建議採用的企業信息安全政策 231

16.1 什麼是安全政策 232

16.1.1 開發一個信息安全計畫的步驟 232

16.1.2 如何使用這些政策 233

16.2 數據分類 234

16.2.1 分類的類別和定義 235

16.2.2 分類數據中用到的術語 236

16.3 驗證和授權規程 237

16.3.1 可信人員提出的請求 237

16.3.2 未經核實人員的請求 237

16.4 管理政策 241

附錄A 安全一覽表 291

附錄B 參考資源 299

相關詞條

相關搜尋

熱門詞條

聯絡我們