社会工程学的全方位讲解与思考编辑本段回目录
黑客们常常利用社会工程学挖掘攻击目标的信息,通过非常规手段拿到用户的密码,往往很多网站都使用的网上整站系统,连默认的数据库都没有更改,给了黑客们可乘之机,只需下载下来网站的数据库就可以轻松地拿到密码,再利用密码去尝试用户邮箱的密码,邮箱进去后再在里面找一些有用的东西,往往连支付通和支付宝帐号也可以在邮箱找到,再用用户的密码去尝试,再在支付通或支付宝里面找到用户的卡号,后果不堪设想,这就是网上黑客们常用的入侵方法。我们看看下面的一个社会工程学字典,就明的他们想收集一些什么信息,从而用这些信息做成密码字典,也告诉我们要从哪些方面提高自己的安全意识。
因为一般网民的密码为了方便记忆都有他自己的规律,一些黑客利用他挖掘到的个人信息,进行一些符合人们习惯的组合从而生成字典进行破解,这样的攻击是防不胜防的。所以我们在网上要保证好自己的个人信息,不要随便填写自己的真实信息,一些重要的密码要跟不重要的密码分开,并要加强设置密码的强度。对于服务器安全方面要告一段落,服务器的安全还涉及到很多方面,比如ddos拒绝服务攻击,病毒攻击等由于篇幅就省略了。上面主要通过对黑客攻击手法的原理再结合实理从而告诉我们如何去防范黑客的攻击,覆盖了当前流行的大多数攻击方式。攻击与安全是一个有机体,我们往往要在深入地了解到攻击的具体原理和方式才可以真正做到怎么去防范。上文的黑客技术写得比较多,并不是告诉大家怎么去黑站怎么去入侵服务器,而是通过原理到手法的深入揭示达到我们知道怎么去防范的目的。因此很多地方都省略了具体的细节和涂抹了,主要起一个抛砖引玉的目的,请不要用于非法目的。
什么是社会工程学?
定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。
与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。
你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。
好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。
从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。
在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。
它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”
然而,这样的现象却常有发生。
那又如何呢?
社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。
我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。
真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。
这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。
由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。
任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。
这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
一个大问题?
安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。
在这样的情况下社会工程学就是导致不安全的根本之一了。
我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了。
地球上的计算机系统不可能没有“人”这个因素的。
几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
方法
试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。
第一种方法也是最简单明了的方法,就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。
毫无疑问这是最容易成功的,也是最简单与最直观的方法了。
当然,被指引的个体也会清楚地知道你想他们干些什么。
第二种就是为某个个体度身订造一个人为的(通过捏造的手段)特定情形和环境。
这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素。
例如如何说服你的对象,你可以设定(刻意安排)某个理由和动机去迫使其为你完成某个非其本身意愿的行为结果。
这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作,与大量你想得到的“目标”的相关知识。
这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。
社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。
在这个问题上黑客与系统管理员会更为侧重一点,特别是在某种事物与他们的领域有所关联的情况下。
为了说明上述的方法,我准备列举一个小型的范例。
范例如下,当你把某个个体“置于”群体和社会压力(其类型如舆论压力等)下的处境/形势时
个体很有可能会做出符合群体决定的行为,尽管这个决定很明显是错误的。
一致性
若在某些情况下有人坚信他们群体的决定是对的话,那么这将有可能导致他们做出不同于往常的判断和行为。
比方说如果我曾发表过某个结论,论点的理由非常充分(这里指的是符合群体中多数人的意愿)
那么往后无论我花多大的精力去尝试说服他们,都不可能令他们再改变自己的决定了。
另外,一个群体是由不同位置/层次的成员组成的。
这个位置/层次问题被心理学者称之为“demandcharac-teristics”(“意愿的特征性”),
这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。
不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。
这种运用到特征的处理方式是引导人们行为的一种有效途径。
情形
无论怎么说,大多数的社会工程学行为都是被一些单独的个体所运用的。
因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。
如果处于这样的情形下,当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。
这些固有特征包括:
·目标个体以外的压力问题。如让个体相信某个行为的后果并不是他一个人的责任。
·借助机会去迎合某人。这些行为更多取决于此个体是否认为某个决定能为某人带来“好处”。这样的行为可以使你与老板的关系更为融洽。
·道德上的责任。个体会遵从你是因为他们觉得自己(在道德上)有义务这么做。
这就是利用了内疚感。人们比较愿意逃避内疚感,因此如果有一个“可能”会让他们觉得有内疚感的话他们都会尽可能地去避免这个“可能”。
个人的说服力
个人的声望和说服能力是一种常被用于促使某人配合/顺从你的有利手段。
使用个人说服力的目的并不是要别人强行接受你所指派的“任务”,而是增强他们对完成你所指派的任务的主动顺从意识。
其实这是有些矛盾的。基本上,目标只是被我们简单地引导到一个已经设置好的、特定的(故意安排的)思维模式上去。
目标会认为他们可以控制住局面,在此同时他们也通过他们的力量帮助了你。
事实上,目标所得到的利益与他间接帮助你得到的利益此两者是没有冲突的。
社会工程师的目的是说服目标,使其有充分的理由去相信只需花费小量的时间与精力就可以“换取”得到利益了。
合作
存在着多个因素可以促使一个社会工程师增加与目标“合作”的机会。
尽量少与目标发生冲突。使用平和的态度去面对对方可以提高达成目的成功几率。
拉拢关系或者发展新的关系,共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。
在这里‘走向成功’的因素往往集中在你是否有能力去掌握与处理好你的说服力。
这是非常重要的,这一点常被“骗子”(常常使用欺骗手段的人)认为是万试万灵的手段。
心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作(并获得成功)时现在他/她就更可能会去遵照一个更大的(指引)了。
在这里如果曾有过合作的前科的话,那么这次再合作,达成的机会就很大了。
更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。
尤其是一些非常逼真的视听感观,目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。
这个观点一点也不稀奇,以书写形式或电子方式进行交流的信息是很难让人信服的。
这就如同拒绝某人进行某个IRC风格的通信一样。
关联
不管怎么说,社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。
我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机和网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。
有高度关联性的个体大多会被强而有利的论据所说服。
事实上你可以给予他们更多强而有利的论据来支持你的观点。
当然,那些观点也有薄弱的一面。你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。
当某人有可能直接被社会工程学攻击所影响,若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。
所以面对与你的目的有关联的人时你必须给予强而有力的论据,而避免出现理由薄弱的论据。
相对于对你的指引或你想得到的结果并不敢兴趣的人,你可以把他们列入“低关联的人”这个类别中去。
相关的例子如:一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。
因为低关联类别的个体并不会直接对你的目的/结果造成影响,而且他们往往不会去分析你用来说服他们的论点的双面性问题。
他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。
这些的“意识”如:社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。
凭经验而论,在这样的情况下我们只能尽可能地给予其更多的论据与理由了,估计这样的效果会更好一些。
基本上,对于那些与你的意识不一致的人,试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。
有一点是需要注意的:在进行某些工作的时候,能力低的个体更多会去仿效能力高的个体的行为模式。
在计算机系统管理方面,“能力低的个体”大多是指上文所提到的“低关联的人”。
站在上述的观点上考虑,不要试图对系统管理员这类别的个体进行社会工程学攻击,除非其能力不及你,不过这样的可能性非常的低。
防御他人的攻击
综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢?
其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。
这不但需要你无条件地增强他们的安全防范意识,而且你自身也必须具备更高的警惕性。
打个比方,如果你让某人专门负责保护你的计算机系统安全的话,那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。
无论如何,对付与防御这类型攻击的最有效手段,也作为最常见的手段,就是“教育/培训”了。
第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。
直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。
不过要记着,在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。
这并不是我自己的个人喜好哦。当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。
而且如果他们是专注于计算机安全技术的话,那么他们更有可能会站在维护你的数据安全的立场上。
也有不会遵从人们的说服力倾向而作出行动的思维因素的。
在这里你必须有清晰的思维、高度的创造力、可以应付和处理压力的能力与适当的自信。
压力的处理能力与自信可以通过后天培养。
至于自身的主张和见解常常被用于对员工的管理方面,训练它可以减少某些个体被施行社会工程学攻击的机会,也有助于其他方面的工作。
了解各种使人们的信息安全意识降低与威胁你的安全策略的因素。
其实这方面只需要投入小量的精力就可以在降低安全风险方面产生很大的成效了。
结论
与普遍的思想观念相反,运用社会工程学捕捉人们的心理状态的技巧要比入侵一个邮件服务器容易得多。
但如果你想让你的员工去预防与检测社会工程学攻击的话,其效果绝对不会比你让他们去维护UNIX系统安全的效果明显。
站在系统管理员的立场上,不要让“人之间的关系”问题介入你的信息安全链路之中,以至于让你的努力前功尽弃。
站在黑客的立场上呢,当系统管理员的“工作链”上存放有你所需要的数据时,千万不要让他“摆脱”自身的脆弱环节。
社会工程学(Social Engineering)
一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。
取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?
它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。
社会工程学是一种与普通的欺骗和诈骗不同层次的手法。
因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。
系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。
社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。
借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。
熟练的社会工程师都是擅长进行信息收集的身体力行者。
很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。
比如说一个电话号码,一个人的名字。后者工作ID的号码,都可能会被社会工程师所利用。
在网上发现流传着一句话,那就是我们所说的→人肉搜索达人,社会工程学身体力行者。
“黑客社会工程学”攻击的八种常用伎俩编辑本段回目录
著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩。
1、十度分隔法
利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员)。但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X。
在社会心理学中,六度分隔的古老游戏是由很多分隔层的。纽约市警察局的一位老资格探员Sal Lifrieri,如今正定期举办一个叫做“防范性运营”的企业培训课程,教授如何识别黑客穿透某个组织的社会工程学攻击手段。他说,黑客在一个组织中开始接触的人可能会与他所瞄准的目标或人隔着十层之远。
“我讲课时不断地在告诫人们,多少得具备一些放人之心,因为你不知道某人到底想从你这儿获得什么,”Lifrieri说。渗透进入组织的起点“可能是前台或门卫。所以企业必须培训员工彼此相识。而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远。”
Lifrieri说,犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息。
“他们常用的技巧就是伪装友好,”Lifrieri说。“其言辞有曰:'我很想跟您认识一下。我很想知道在您的生活中哪些东西是最有用的。'然后他们很快就会从你那里获得很多你原本根本不会透露的信息。”
2、学会说行话
每个行业都有自己的缩写术语。而社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感。
“这其实就是一种环境提示,”Lifrieri说,“假如我跟你讲话,用你熟悉的话语来讲,你当然就会信任我。要是我还能用你经常在使用的缩写词汇和术语的话,那你就会更愿意向我透露更多的我想要的信息。”
3、借用目标企业的“等待音乐”
Lifrieri说,成功的骗子需要的是时间、坚持不懈和耐心。攻击常常是缓慢而讲究方法地进行的。这不仅需要收集目标对象的各种轶事,还要收集其他的“社交线索”以建立信任感,他甚至可能会哄骗得你以为他是你还未到这家企业之前的一位同事。
另外一种成功的技巧是记录某家公司所播放的“等待音乐”,也就是接电话的人尚未接通时播放的等待乐曲。
“犯罪分子会有意拨通电话,录下你的等待音乐,然后加以利用。比如当他打给某个目标对象时,他会跟你谈上一分钟然后说:'抱歉,我的另一部电话响了,请别挂断,'这时,受害人就会听到很熟悉的公司定制的等待音乐,然后会想:'哦。此人肯定就在本公司工作。这是我们的音乐。'这不过是又一种心理暗示而已。”
4、电话号码欺诈
但最分子常常会利用电话号码欺诈术,也就是在目标被叫者的来电显示屏上显示一个和主叫号码不一样的号码。
“犯罪分子可能是从某个公寓给你打的电话,但是显示在你的电话上的来电号码却可能会让你觉得好像是来自同一家公司的号码,”Lifrieri说。
于是,你就有可能轻而易举地上当,把一些私人信息,比如口令等告诉对方。而且,犯罪分子还不容易被发现,因为如果你回拨过去,可能拨的是企业自己的一个号码。
5、利用坏消息作案
“只要报纸上已刊登什么坏消息,坏分子们就会利用其来发送社会工程学式的垃圾邮件、网络钓鱼或其它类型的邮件,”McAfee Avert实验室的安全研究主任Dave Marcus说。
Marcus说,他们的实验室在这次的美国总统大选和经济危机中看到了此类活动的增多趋势。
“有大量的网络钓鱼攻击是和银行间的并购有关的,”Marcus说。“钓鱼邮件会告诉你说,'你的存款银行已被他们的银行并购了。请你点击此处以确保能够在该银行关张之前修改你的信息。'这是诱骗你泄露自己的信息,他们便能够进入你的账户窃取钱财,或者倒卖储户的信息。”
6、滥用网民对社交网站的信任
Facebook、MySpace和LinkedIn都是非常受欢迎的社交网站。很多人对这些网站十分信任。而最近的一次钓鱼欺诈事件就瞄上了 LinkedIn的用户,这次攻击让很多人感到震惊。Marcus说,已经有越来越多的社交网站迷们收到了自称是Facebook网站的假冒邮件,结果上了当。
“用户们会收到一封邮件称:'本站正在进行维护,请在此输入信息以便升级之用。'只要你点进去,就会被链接到钓鱼网站上去。”Marcus因此建议人恩最好手工输入网址以避免被恶意链接。并应该记住,很少有某个网站会寄发要求输入更改口令或进行账户升级的邮件。
7、输入错误捕获法
犯罪分子还常常会利用人们在输入网址时的错误来作案,Marcus说。比如当你输入一个网址时,常常会敲错一两个字母,结果转眼间你就会被链接到其他网站上去,产生了意想不到的结果。
“坏分子们早就研究透了各种常见的拼写错误,而他们的网站地址就常常使用这些可能拼错的字母来做域名。”
8、利用FUD操纵股市
一些产品的安全漏洞,甚至整个企业的一些漏洞都会被利用来影响股市。根据Avert的最新研究报告,例如微软产品的一些关键性漏洞就会对其股价产生影响,每一次有重要的漏洞信息被公布,微软的股价就会出现反复的波动。
“公开披露信息肯定会对股价产生影响,”Marcus说。“另有一个例子表明,还有人故意传播斯蒂夫•乔布斯的死讯,结果导致苹果的股价大跌。这是一个利用了FUD(恐慌、不确定、怀疑),从而对股价产生作用的明显事例。”
当然,反向操纵的手法也会发生,这很像以前的所谓“哄抬股价”的伎俩。垃圾邮件的发送者会购买大量的垃圾股,然后伪装成投资顾问疯狂发送邮件,兜售所谓的 “潜力股”。如果有足够多的邮件接收者相信了这一骗局并购买了这种垃圾股,其股价就会被哄抬起来。而始作俑者便会迅速卖空获利。
从电影《防火墙》看黑客的社会工程学编辑本段回目录
名词解释:黑客的社会工程
什么是社会工程?在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。
以下是正文:
我这个人比较落伍,经常在电影热放很久以后才会去看,比如这次的firewall。
因为是自己的本行,所以对这部电影有很高的兴趣,对整个过程也看的比较仔细。看完以后不仅慨叹,这是多么经典的一次暴力社会工程呀,只可惜精明的劫匪犯了一系列低级错误,造成最后的功亏一篑。真的应该好好总结一下这次的经验教训,以为后来者鉴。
郑重声明,以下评论仅做技术性讨论,并不代表本人支持任何类似的行为,或为其出谋划策。任何人利用本评论做任何事情都与本人无关。简而言之,我最多就是一个磨菜刀的(连卖菜刀的都不算),持菜刀抢劫的行为与本人无关。
言归正传。首先来名词解释一下,什么是社会工程。在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。这里介绍一个著名的针对Microsoft的社会工程案例,一个黑客给Microsoft的网管发了一封邮件,声称自己是Microsoft的员工,在欧洲出差,但是忘记的密码,大意的网管就发送了新的密码给这个人,黑客由此轻松的完成了入侵。这方面的详细信息,建议大家看美国著名黑客Kevin Mitnick的著作《The Art of Deception》,网上有下载,文笔很好,可以当小说看,还可以顺便练习一下E文。
回到电影中来,《firewall》这部电影被我定义为典型的暴力社会工程案例,之所以这么说,是因为劫匪并没有依靠导演,尤其是国内导演,非常喜欢的有神迹的黑客完成抢劫,而是采用利用银行内部人员的方式完成抢劫,这显然属于社会工程的范畴。同时,显而易见,劫匪的社会工程属于非典型性的社会工程,因为他依靠的是暴力,而不是欺骗,这显然是Kevin Mitnick没有利用也没有介绍过的手段,估计真正社会工程黑客也不屑与用这种手段。
这里面劫匪的领袖显然是一个很专业的劫匪,整个计划设计的很完善(并不完美,不完美的部分就是下面要讨论的),盗取并模仿签名以及跟踪、监控、伪装等手段都非常的专业,估计这位兄弟有FBI或者CIA的背景。但是这位兄弟显然对信息技术的了解有限,所以这方面的工作更多的是依靠那位带着眼镜的文质彬彬的小伙,这小伙应该是一个写病毒和木马的高手。不过尽管劫匪都非常专业,团队的组合也是各有所长,几近完美。但是劫匪的整个计划却有若干重大的缺陷,下面就简单讨论一下。
首先,劫匪们没有一个完整清晰的战略原则,这个原则就是——杀还是不杀,这是一个问题。劫匪们似乎想要杀死此次事件的所有被利用者,但是却莫名其妙的留下了人质,带着人质逃亡显然不是一个好主意,如果不想留尸体在家里,可以带着尸体上路。当然,好莱坞的导演可能为了一个大团员的结局不得不这样安排,但是我们这里讨论的是技术,而不是电影。那么究竟应该杀还是不杀呢?个人认为要么全杀要么不杀,而我比较倾向于不杀,因为寡人悟到了,最高的剑道是不杀,是和平。至于不杀的原因嘛,因为杀人太不优雅了,对于有追求有境界的劫匪来说,完全可以通过技术手段躲避警察的追踪,甚至可以让对方完全不发觉不报警。这在下面还有讨论。
其次,劫匪的计划尽管完善,但是却有画蛇添足之感,比如逼迫女主人打电话假装婚外情,伪造情杀。这对于了解这对夫妇的人来说,显然很难让人相信。并且杀死那个人也很没有必要。劫匪完全可以找一个人来和那个人周旋(劫匪的人力资源很充足),这个人只负责套取情报,并不直接参与事件的其他部分,没有人会将投资计划与抢劫计划联系在一起,这样也可以留下更少的线索。越简单的计划就越容易成功,当有更简单的方法的时候,为什么还要采用那么复杂的方法呢?
再次,劫匪犯了一个非常低级的错误,就是在资金到位以后没有立刻更改那五个帐户的密码,正式这个疏忽造成了最后的功败垂成。如果抢劫成功后立刻更改密码,那么主人公的反击手段就不会成功。当然劫匪安排了干掉主人公的计划,但是任何行动都有成功与失败两种可能,所谓小心使得万年船,改个密码不是什么难事,却可以保证万无一失。况且我是不支持杀人的。
最后讨论一下劫匪的一个非常好的方法,就是调出资金额度最高的一万个帐户,从每个帐户划取1万美元。这么做其实是降低案发的可能性的手段。这是因为一般人,除非对数字特别敏感的人比如会计什么的,一般只会关注数字的头两位,能够记住的也只是头两位,最多到第三位。比如现在我的帐户的头两位就是16,后面的就记不住了。那么如此大银行的前一万名大户应该都在千万百万的级别,少个1万什么的很难被发现,即使发现了也不会太在乎。比如我的帐户的第四位如果少了1,我也很难发现,即使发现了也绝对不会报案,你问我为什么?废话帐户少一毛钱就报案,你不怕警察告你妨碍公务呀,在说了,跨行查询还要3毛呢,谁知道这一毛钱是被黑客黑了还是被银行黑了。因为降低了案发的可能性,杀人的必要就更加不大了。
需要注意的是,现在很多钓鱼的骇客们其实用的就是这种方法,钓鱼者们成功得到被害人的帐号及密码,取得了自由划拨资金的权限的时候,一般不会划走大量的资金,往往只是划走几十块钱就收手。你也许会认为这么点钱有点得不偿失,其实一个用户几十块,一万个用户就是就是几十万,十万个用户就是几百万,所谓积少成多集腋成裘是也。每个帐户由于损失很小,受害人常常不会发现,即使发现一般也不会报案,即使报案警察也不会重视,即使最终案发由于案值小也不会受到很严重的刑罚,甚至不会判刑,教育两句关几天就算了。所以作贼一定要做毛贼而不要做大盗,树大招风,做大盗虽然风光,但是下场嘛……
现在总结一下,这个劫案其实可以更加完美。改进的方案是,由单独的人充当投资方出面和主人公的朋友接触套取情报,甚至真的可以注册一个这样的公司,完事以后继续经营。然后一拨兄弟出面绑架跟踪干脏活,但注意对人质要和气,向对待客户一样对待他们,毕竟要靠他们才有钱赚嘛,做人要讲道理,做匪更要讲道理,要做匪先做人呀。资金到位后立刻更改帐户密码,然后释放人质从人间蒸发,地点推荐南美,那里银行提出来的款直接就干净了,没有记录的。况且最近巴西的事情大家都知道吧,能让警察惶惶不可终日的国家是什么样的境界呀,简直是匪的天堂。如果匪一并有了仁慈之心的话,临走之前可以与主人公神谈一次,分析一下案发的可能性和案发后主人公有嘴说不清的现实,再分几百万美元给主人公以示感谢和收买。当然不排除正义感极强的人还是会报案,但是绝大多数情况下,在有口难辩和有利可图之间,你会选择什么?这样一来,有了钱又不伤人,这是什么样的境界呀!这才是新一代有理想有道德有文化有知识有仁慈之心的匪呀!
讨论完了劫匪,再来讨论一下银行,也省得警察叔叔认为我在这鼓励抢银行。这家银行在管理上显然存在一定的问题,最大的问题就是分权不够。在理论上,管理权和操作权是不能同时具有的,也就是说网络管理员是不可以拥有系统操作员的权限的,这应该是依靠严格的技术和管理保障的。这家银行显然没有做到这一点,从主人公几次轻易的转帐操作上就可以看出来。当然在现实中处于调试的方便,网管人员一般都会建立一个测试用的具有操作员权限的系统用户,一旦系统出现问题或者调试的时候就用这个用户做些操作来进行故障重现或者测试系统是否恢复正常。但是系统在设计的时候应该有足够的技术保障测试帐号不能操作正常帐户,并留下充分的审计记录。片中的银行显然没有做到这一点。此外银行内部员工之间缺乏强有力的相互制约机制,对主人公的充分信任,使得主人公可以轻易的做任何想做的操作,包括在监控台上自行操作的权利,从而删除了监控录像。诸如此类的管理问题,在这家银行里面应该是非常常见的,其实在现实的银行中也是非常常见的,但是确实是一个非常严重的安全隐患。
最后说一下人身安全的问题,劫匪进入主人公家里的方式非常简单。这提醒我们,无论什么时候有人敲门,都要问清楚再开门,我们教育孩子的话,自己先要做到,所谓言教不如身教嘛,现在的家长就是。
参考文献编辑本段回目录
http://safe.csdn.net/n/20090518/1535.html
http://subject.csdn.net/social.html