欺骗的艺术（第四章 建立信任五）

入侵FBI

　　人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目，节目制作者在网上做了一次搜索，发现了一份访问国家犯罪信息中心（NCIC）的操作说明拷贝。不久他发现，真正的NCIC操作说明原件就在网上，这是一份相当敏感的文档，它记录着从FBI的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门，这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信息，手册里包含了数据库中用来标明各种信息的代码，从各种各样的纹身到各式各样的轮船外壳，再到失窃纸币和债券的面额。

任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则，然后依据手册上的步骤指导，再加一点胆量，人人都可以从数据库中提取信息，而且手册还提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏感信息的代码手册。

FBI几乎肯定不知道如此敏感的资料暴露在网上，我想如果他们知道此事一定会很恼火的。一份拷贝是由俄勒冈州政府部门放到网上的，另一份是由得克萨斯州的执法机构传到网上。为什么？这都是因为，也许某人觉得这些信息可能没什么价值，放到网上也不会有什么害处。也许有人为了内部人员使用上的方便，而它放到内网上，却从未想到会被在网上使用搜索引擎（如Google）的人找到，包括仅仅是好奇的人、还有想当警察的人、黑客，以及有组织的犯罪团伙。

　　接入系统

利用这样的信息来欺骗有政府或企业背景的人，使用的准则是相同的：由于社会工程师知道如何访问特定的数据库或应用程序，或是知道公司的服务器名称等类似的事情，他因此具备可信性，这种可信导致信任。一旦社会工程师拥有了这样的代码，获得所需信息就十分简单。在这个例子中，他首先给当地的州警察局电讯室打电话，针对手册上的一个代码，提出问题。比如，犯罪代码。他可能这样说，“我在NCIC做犯罪记录查询时，碰到‘系统发生问题’的错误提示。你做记录查询时碰到过这种情况么？能帮我试一下么？”或者他会说正在查询WPF（警方用语，被通辑人的档案）。电话另一端，电讯室的工作人员就会意识到对方熟悉查询NCIC数据库的操作程序和命令，除了受过训练的人，谁会知道这些操作程序呢？

工作人员确定她的系统运行正常后，谈话可能像这样进行：

“我可以帮点儿忙。你要查什么？”
“我要查瑞尔顿·马丁的犯罪记录，出生日期66年10月18日。”
“索什（SOSH，执行部门的人有时把社会保险号简称为索什）是多少？”
“700-14-7435。”
找到名单后，她可能这样说：“他的犯罪记录代码是2602。”

现在，攻击者只需到NCIC的网站上查一下这个号码的含义了――这个人有一桩诈骗的犯罪记录。

　　过程分析

　　一个出色的社会工程师一刻也不会停止思考闯入NCIC数据库的办法，往当地警察局打上一个电话，花言巧语一番让对方认为自己是内部人员，这就足以能够得到他所需的信息。下一次，他只需使用相同的借口往另一个警察局打电话就是了。为什么获得信息如此容易？