2.2.3  垃圾堆里找信息

难以相信在垃圾堆里能找出让我们获利丰厚的信息,就像难以想象我们为什么要去乐呵呵地翻垃圾一样。人们经常会扔掉发票、通知、信件、CD光盘、电脑、U盘以及其他种类繁多的设备和报告,我们可以从中收集到特别多的信息。正如前面提到的,如果人们连价值数百万的艺术品都会扔掉,那么只要认为某物是垃圾,人们都会不假思索地直接扔掉。

有时,公司认为直接将重要文件扔掉会不安全,于是便用碎纸机碎掉再扔,然而一些碎纸颗粒度不高的碎纸机粉碎过的文件还是能轻易拼回去的。如图2-5所示。

图2-5 粗线条单向粉碎过的文件依然有些文字可读

这张图展示的是粉碎后的一些文件,有些字还是可以被整体辨认的。这种情况下,只要肯花时间耐心地用胶带黏一下(如图2-6所示),便能将部分文件拼接回去,从而得到破坏性极强的信息。

图2-6 只要肯花时间且有耐心,文档是能拼接回去的

不过,使用双向粉碎机进行销毁,就会粉碎得相当细,几乎不可能再拼接起来,如图2-7所示。

图2-7 很难想象粉碎前它是纸币

很多公司付费将已经粉碎了的文件交给专业公司焚烧。也有一些公司直接将粉碎完毕的文件丢给第三方处理,之后就不管不问了。你大概也能猜到,这样会令入侵者有机可乘。社会工程人员只要找到提供该服务的厂商,就可以轻而易举地冒充成过去收“垃圾”(粉碎过的文件)的工作人员。无论如何,翻找垃圾箱是一种快速收集所需信息的方法。不过,翻垃圾箱时一定要记住以下几点。

  • 穿质量好的鞋子或靴子。没有比跳进垃圾堆,然后被钉子戳到脚更令人抓狂的事了。确保你的鞋子合脚且鞋带系紧了,并能保护脚不为利器所伤。

  • 穿深颜色的衣服。这点不需要过多的解释。你肯定会穿那些丢掉也不会心疼的衣服,而且深色的衣服不容易被发现。

  • 带一个手电筒。

  • 拿到了赶紧溜。除非你是在偏僻到不可能被抓到的地方,否则最好是拿走一些垃圾袋,到其他地方去翻找。

翻找垃圾桶几乎总能找到一些非常有用的信息。只是有的时候,社会工程人员不需要去翻垃圾桶就能得到这些信息。第1章中有一个例子,详见http://www.social-engineer.org/resources/book/TopSecretStolen.htm。加拿大反恐部队计划建造一栋新的办公大楼,然而这栋大楼的一些规划蓝图被当做垃圾扔掉了,甚至都没有经过粉碎。蓝图中包括监控摄像头的安装位置、围栏及其他绝密信息。还好,发现这一图纸的人没有恶意,否则后果不堪设想。

正如该文章所写的,这则故事只是用来展示很多“愚蠢至极”行为中的一种,但是从社会工程人员的角度来看,翻垃圾桶确实是最好的一种信息收集方式。

目录