Искусство обмана
ModernLib.Net / Компьютеры / Митник Кевин, Саймон Вильям Л. / Искусство обмана - Чтение
(Ознакомительный отрывок)
(стр. 3)
Сейчас больше, чем когда-либо, мы должны научиться перестать думать самонадеянно и побольше узнать о методах, которые пробуют использовать те, кто совершает атаки на конфиденциальность, целостность и работоспособность наших компьютерных систем и сетей.
Угроза взлома, который нарушит секретность вашей жизни или информационной системы вашей компании может казаться не настолько реальной, пока это не произойдёт однажды. Чтобы избежать столь дорогостоящей дозы действительности, нам нужно стать осведомлёнными, образованными, бдительными и настойчиво защищать наши информационные активы, нашу собственную персональную информацию и наши национальные критичные инфраструктуры. И мы должны научиться этому уже сегодня.
Террористы и обман
Конечно, обман это не эксклюзивное оружие социального инженера. Физический терроризм выходит на повестку дня и сейчас мы должны признать как никогда, что мир это опасное место. Цивилизация, в конце концов, только тонкая фанера.
Атаки на Нью-Йорк и Вашингтон, Округ Колумбия, в сентябре 2001 вселили печаль и страх в сердце каждого из нас — не только американцев, но и людей всех наций. Сейчас мы столкнулись с реальностью и знаем, что в любой точке планеты есть одержимые террористы, хорошо обученные и только ожидающие возможности начать атаку против нас.
Недавние усилия нашего правительства повысили уровень нашего осознания безопасности. Нам нужно оставаться на взводе, начеку против любых форм терроризма. Нам нужно понять, как террористы предательски изготавливают ложные удостоверения, играют роль студентов или соседей и проникают в толпу. Они скрывают свои истинные взгляды, устраивая против нас заговор — осуществляя фокусы с обманом, похожие на те, о которых вы прочитаете на этих страницах.
И пока, насколько я знаю, террористы ещё не использовали уловки социальной инженерии для проникновения в корпорации, плотины, электростанции или другие жизненные компоненты нашей национальной инфраструктуры, их возможность всё равно остаётся. Понимание безопасности и правила безопасности, я надеюсь, благодаря этой книге, будут достаточно скоро приняты к месту и взяты на вооружение главными управляющими структурами.
Об этой книге
Корпоративная безопасность — это вопрос баланса. Слишком низкая безопасность делает вашу компанию уязвимой, но излишний упор на безопасность приводит замедлению роста и процветания компании. Задача состоит в нахождении баланса между защищённостью и эффективностью.
Другие книги по корпоративной безопасности фокусируются на технологиях аппаратного и программного обеспечения и, соответственно, недостаточно широко охватывают главную угрозу безопасности: обман человека. Цель этой книги, по сравнению с ними, заключается в том, чтобы помочь вам понять как вами, вашими сослуживцами и другими людьми из вашей компании могут манипулировать, и избежать риска стать жертвой. В основном книга концентрируется на нетехнических методах, которые враждебные налётчики используют для воровства информации, компрометации целостности информации, которая на первый взгляд безопасна, но на самом деле таковой не является, или уничтожения рабочего продукта компании.
Моя задача гораздо сложнее. Это сразу понятно из следующего: каждый читатель будет подвержен манипулированию со стороны величайших экспертов всех времён в социальной инженерии — их родителям. Они найдут любые способы заставить вас сделать «для вашего же блага» то, что они сами считают лучшим. Родители становятся столь убедительными так же, как социальные инженеры умело выдумывают вероятные истории, причины и суждения для достижений своих целей. Да, каждого из нас наши родители обводили вокруг пальца: доброжелательные (и иногда не столь доброжелательные) социальные инженеры.
Выросшие в этих условиях, мы становимся уязвимыми к манипулированию. Нам жилось бы очень тяжело, если бы мы всё время стояли начеку, были недоверчивыми к другим, уверенными, что кто-нибудь может нас обмануть, чтобы нас провести. В идеальном мире мы бы слепо верили друг другу, верили, что люди, с которыми мы сталкиваемся, собираются быть честными и правдивыми. Но мы живём не в идеальном мире, и поэтому мы должны быть бдительны, чтобы отразить попытки противников ввести нас в заблуждение.
Основные части это книги, — части 2 и 3, — составлены из вымышленных историй, которые покажут вам социальных инженеров в действии. В этих разделах вы прочитаете о следующем:
Что телефонные фрикеры обнаружили несколько лет назад — гибкий метод получения неизвестных телефонных номеров у телефонной компании.
О нескольких различных методах, используемых нападающими, и не вызывающих тревоги даже у подозрительных служащих во время выдачи их компьютерных имён и паролей.
Как менеджер операционного центра сотрудничал с налётчиком, позволив ему украсть самую секретную информацию о продукте компании.
Методах налётчика, который обманул даму, заставив ее скачать и установить программное обеспечение, которое шпионит за набираемыми клавишами и отсылает ему по е-мейлу различные детали.
Как частные сыщики получают информацию о вашей компании и вашу персональную информацию. Это, я могу гарантировать, вызовет у вас мурашки на спине.
Возможно, вы подумаете, читая некоторые из историй во второй и третьей частях, что они нереальны, но ещё никто не смог преуспеть в противодействии лжи, грязным уловкам и схемам, описанным на этих страницах. Действительность состоит в том, что в каждом случае эти истории изображают события, которые могут и на самом деле происходят; многие из них каждый день происходят где-нибудь на планете, возможно даже с вашим собственным бизнесом, пока вы читаете эту книгу.
Материал в этой книге будет действительно разоблачительным, когда он станет защищать ваш бизнес, но также защитит вас лично от попыток социального инженера нарушить целостность информации в вашей частной жизни.
В четвёртой части книги я сменил тему. Здесь моя цель помочь вам разработать необходимые бизнес-правила и тренинги, чтобы минимизировать риски ваших работников быть обманутыми социальным инженером. Понимание стратегии, методов и тактики социального инженера поможет вам подготовиться к применению разумных средств управления для охраны ваших ИТ активов без подрыва эффективности вашей компании.
Короче говоря, я написал эту книгу, чтобы повысить вашу осведомлённость о серьёзности угроз, исходящих от социальной инженерии, и помочь вам стать уверенней, что ваша компания и работники в меньшей степени будут подвержены угрозе с этой стороны.
Или, возможно, я должен сказать, гораздо меньше будут подвержены снова .
Глава 2: Когда безвредная информация опасна
Перевод: Yarlan Zey (yarlan@pisem.net)
Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого-нибудь очень ценного приза — скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно — это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого-нибудь фрагмента информации или какого-нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин почему им следовало бы её защищать и ограничивать к ней доступ.
Скрытая ценность информации
Многое из кажущейся безвредной информации, находящейся во владении компании, ценно для социального инженера, потому что может сыграть существенную роль в его попытке прикрыться плащом правдоподобности.
На страницах этой главы я буду вам показывать, что делают социальные инженеры, чтобы добиться успеха. Вы станете «свидетелем» атак, сможете, время от времени наблюдать действие с точки зрения атакуемой жертвы и, становясь на их место, оценить как бы вы (или, может быть, один из ваших работников или сослуживцев) сами могли себя повести. Во многих случаях вы также увидите эти же события с перспективы социального инженера.
В первой истории речь пойдёт об уязвимости в финансовой индустрии.
CREDITCHEX
В течение долгого времени британцы имели дело с очень консервативной банковской системой. Вы как обычный добропорядочный гражданин не могли просто зайти с улицы и открыть банковский счёт. Нет, банк не рассматривал вас в качестве своего клиента, пока какой-нибудь уже хорошо зарекомендовавший себя клиент не даст вам своё рекомендательное письмо.
Несомненно, это очень сильно отличается от сегодняшнего банковского мира. И наша современная лёгкость в совершении сделок нигде так не развита, как в дружелюбной, демократичной Америке, где почти кто угодно может зайти в банк и легко открыть расчётный счёт, правильно? Да, но не совсем. На самом деле, банки не желают открывать счёт для кого-нибудь, кто может иметь за собой ситуации с неоплаченными счетами — это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.
Одной из больших компаний, которые предоставляют банкам такую информацию, является CreditChex (все названия изменены). Они предоставляют своим клиентам ценную услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником информации для социальных инженеров.
Первый звонок: Ким Эндрюс
«Национальный Банк, это Ким. Вы хотели открыть сегодня счёт?»
«Привет, Ким. У меня есть к вам вопрос. Вы пользуетесь CreditChex?»
«Да.»
«Когда вы звоните в CreditChex, номер, который вы им даёте — это „Merchant ID“?»
Пауза. Она взвешивала вопрос, удивляясь, к чему это всё, и следует ли ей отвечать.
Звонивший быстро продолжил, не теряя времени:
«Потому что, Ким, я работаю над книгой. Это касается частных исследований.»
«Да», сказала она, отвечая на вопрос под воздействием новых обстоятельств, польщённая тем, что помогает писателю.
«Итак, это называется Merchant ID, правильно?»
«Эээ, ага.»
«ОК, отлично. Я хотел убедиться, что примечание в книге правильно. Спасибо за помощь. До свидания, Ким.»
Второй звонок: Крис Тэлберт
«Национальный банк, новые счета, это Крис.»
«Привет, Крис. Это Алекс», ответил звонивший. «Я из отдела обслуживания клиентов CreditChex. Мы делаем обзор по улучшению нашей службы. У вас есть для меня пара минут?»
Она была рада помочь, и звонивший продолжил:
«ОК, в какие часы ваш отдел открыт?» Она ответила и продолжала отвечать на его список вопросов.
«Сколько служащих в вашем отделении пользуются нашей службой?»
«Как часто вы звоните нам с запросами?»
«Какой из наших номеров 800— вы используете для звонков?»
«Наши представители всегда были вежливы?»
«Сколько времени занимает наш ответ?»
«Как давно вы работаете в банке?»
«Какой Merchant ID вы сейчас используете?»
«Вы когда-нибудь обнаруживали неточности в информации, которую мы вам предоставляем?»
«Есть ли у вас советы по улучшению нашей службы?»
И:
«Вы не могли бы заполнить наши периодические анкеты с вопросами, которые мы пришлём в ваш отдел?»
Она согласилась, они ещё немного поболтали, незнакомец повесил трубку, и Крис вернулась к работе.
Третий звонок: Генри МакКинси
«CreditChex, это Генри МакКинси, чем могу вам помочь?»
Звонивший сказал, что он из Национального Банка. Он назвал текущий Merchant ID и имя и номер социального страхования человека, о котором он искал информацию. Генри спросил дату рождения и звонивший сказал её тоже.
Через несколько секунд Генри прочитал список с экрана компьютера.
«Уэллс Фарго — есть сообщения о NSF однажды в 1998-м, в $2 066.» NSF — это недостаточные фонды — типичный банковский термин, касающийся чеков, которые были выписаны, когда на счету не хватало денег, чтобы их покрыть.
«Что-нибудь ещё после этого?»
«Ничего.»
«Были ли ещё какие-нибудь запросы?»
«Сейчас посмотрю. Да, два, оба в прошлом месяце. Третий Объединённый Кредитный Союз Чикаго.» Он наткнулся на следующее имя, Взаимные Инвестиции Шенектеди. «Это в штате Нью-Йорк», добавил он.
Частный сыщик в действии
Все три из этих звонков были сделаны одним человеком — частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое-что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.
Популярные писатели любовных романов Сэм Спейдс и Филипп Марлоус проводили длинные ночи, сидя в машинах и следя за нечестными супругами. Частные сыщики в реальной жизни делают то же самое. Они также делают более обыденные, но не менее важные слежки за враждующими супругами. Большей частью они основываются на навыках в социальной инженерии, чем на борьбе с бессонницей с прибором ночного видения.
Новым клиентом Грейса была леди, и по виду своего платья и ожерелья довольно обеспеченная. Однажды она зашла в его офис и села в кожаное кресло, единственное, на котором не было сложенной кипы газет. Она поставила на стол свою сумочку от Гуччи, повернув логотипом в его направлении, и заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема».
Кажется, её муженёк был на шаг впереди. Он уже снял все наличные с их сберегательного счёта и даже гораздо большую сумму с их брокерского счёта. Она хотела знать, куда подевались их активы, и сказала, что её адвокат по разводу не смог вообще ничем помочь. Грейс предположил, что адвокат был одним из тех юристов, которые сидят на верхних этажах небоскрёбов и не желают пачкать свои руки ни в чём грязном, например, разбираясь, куда исчезли её деньги.
Не мог бы Грейс помочь?
Он уверил её, что это будет непросто, назвал примерную цену, накладные расходы и получил чек в качестве аванса.
Затем он столкнулся с проблемой. Что вы делаете, если вам никогда прежде не поручали подобную работу и даже не знаете с чего начать искать денежный след? Вы как ребёнок делаете первые шаги. Вот история Грейса согласно нашему источнику.
Я знал о CreditChex, и как банки им пользуются — моя бывшая жена работала в банке. Но я не знал терминов и процедур, и спрашивать её об этом было бы пустой тратой времени.
Шаг первый: Разузнать о терминологии и выяснить, как сделать запрос так, чтобы он звучал, как будто я знаю, о чём говорю. Первая молодая леди Ким в банке, в который я позвонил, была настроена подозрительно, когда я спросил, как они идентифицируют себя, когда звонят в CreditChex. Она колебалась, она не знала, стоит ли мне это говорить. Было ли это моим поражением? Нисколько. Фактически, колебание дало мне важный знак, что я должен сообщить причину, которой бы она поверила. Когда я обманул её, сказав, что провожу исследования для книги, это уменьшило её подозрения. Скажите, что вы писатель или сценарист и вам любой откроется.
У неё была информация, которая могла бы помочь — вроде необходимых данных, которые требует CreditChex относительно человека, о котором вы делаете запрос; о чём вы можете спрашивать; и главное, банковский номер Merchant ID Ким.
LINGO
Сжигать источник — считается, что нападающий сжигает источник, когда он даёт жертве понять, что атака имела место. Как только жертва узнаёт об этом и сообщает другим служащим или руководству о попытке, становится невероятно сложно использовать тот же источник для будущих атак.
Вы вынуждены опираться только на инстинкт, чутко вслушиваясь, что и как жертва говорит. Эта леди звучала достаточно настороженно и могла что-нибудь заподозрить, если бы я задавал много необычных вопросов. Даже притом, что она не знала, кто я и с какого номера я звоню, нельзя вызывать подозрительности, потому что вы вряд ли захотите сжигать источник — возможно, вы захотите позвонить в этот офис в другой раз.
Я всегда слежу за маленькими знаками, которые дают понять, насколько человек поддаётся сотрудничеству. Это может варьироваться от «Вы располагаете к себе, и я верю всему, что вы говорите» до «Вызвать полицию, поднять Национальную Гвардию, этот парень замышляет что-то нехорошее».
Я понял, что Ким находится на грани последнего, поэтому я просто позвонил кому-нибудь из другого отдела. Мой следующий звонок свёл меня с Крис, с ней уловка сработала. В этот раз тактика заключалась в том, чтобы спрятать важные вопросы среди несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем я задал вопрос о номере Merchant ID в CreditChex, я провел небольшой тест, задав ей личный вопрос о том, как долго она работает в банке.
Личный вопрос — это как скрытая мина, некоторые люди переступают через него, не замечая; для других она взрывается и взывает в защите. Поэтому если я задаю личный вопрос и она отвечает, и тон её голоса не меняется, это означает, что, возможно, она не относится подозрительно к природе вопроса. После этого я могу спокойно задать нужный вопрос, не вызывая у неё подозрений, и она скорее всего даст мне необходимый ответ.
Есть ещё одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два-три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.
Итак, Крис дала мне её номер Merchant ID и телефонный номер, по которому они делают запросы. Я хотел задать ещё несколько вопросов, чтобы узнать, как много информации можно узнать от CreditChex. Но лучше было не рисковать.
Теперь я мог в любое время позвонить в CreditChex и получить информацию. При таком повороте событий служащий CreditChex был счастлив поделиться со мной точной информацией касающихся двух мест, в которых муж моей клиентки недавно открыл счета. Итак, куда же подевались деньги, которые разыскивала его потенциальная бывшая жена? Ещё куда-нибудь, кроме банковских учреждений, о которых сообщил парень из CreditChex?
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опасна.
Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в CreditChex: Merchant ID. Вторая выдала телефонный номер для звонков в CreditChex и самый важный кусок информации: номер Merchant ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь банковская служащая думала, что она говорит с кем-то из CreditChex — так что плохого было в раскрытии номера?
Всё это было положено в основу для третьего звонка. У Грейса было всё необходимое, чтобы позвонить в CreditChex. Он представился служащим одного из банков-клиентов, — Национального банка, — и просто спросил всё, что нужно.
Помимо хороших навыков в краже информации, которыми обладает любой хороший карманник, Грейс обладал талантом незаметно угадывать настроение людей. Он знал об обычной тактике прятанья ключевых вопросов среди безвредных. Он знал, что личный вопрос проверит второго клера на желание сотрудничать, прежде чем спрашивать о номере Merchant ID.
Ошибку первого служащего, касающуюся подтверждения терминологии номера ID CreditChex, практически невозможно предотвратить. Эта информация столь широко известна в банковской индустрии, что кажется незначительной — хорошая модель безвредной информации. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки, действительно ли звонивший был тем, кем назвался. По крайней мере, ей следовало спросить у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного труднее замаскироваться под представителя CreditChex.
Сообщение от Митника
В этой ситуации Merchant ID — аналог пароля. Если бы персонал банка относился к нему как к ATM PIN, они бы лучше оценивали критичность природы этой информации. А в вашей организации есть внутренний номер, к которому люди относятся без особой осторожности?
Для звонков в CreditChex было бы лучше использовать что-нибудь другое, вместо номера, сообщаемого звонившим, чтобы проверить действительно ли этот человек работает там, и действительно ли компания обрабатывает запросы своего клиента. Однако, учитывая практику настоящего мира и временной прессинг, в котором сегодня работают многие люди, этой проверки по телефону достаточно кроме случаев, когда служащий подозревает, что совершается атака.
Западня для инженера
Широко известно, что агентства по трудоустройству (т.н. охотники за головами) пользуются социальным инженерингом, чтобы переманивать корпоративные таланты. Вот пример того, как это может происходить.
В конце 1990-х одно не слишком этичное агентство подписало контракт с новым клиентом — компанией, ищущей инженеров-электронщиков с опытом в области телефонной промышленности. Исполнителем проекта стала леди с чувственным низким голосом и сексуальными манерами, которая научилась их использовать, чтобы вызывать первоначальные доверие и привязанность по телефону.
Леди решила организовать набег на провайдера услуг сотовой связи, чтобы посмотреть, можно ли было там найти несколько инженеров, которые могли бы поддаться соблазну перейти к конкуренту. Она не могла просто позвонить в центр связи и сказать: «Дайте мне поговорить с кем-нибудь с пятилетним опытом работы инженером.» Вместо этого по понятным причинам она начала охоту за талантами с поиска кусочков информации, которые кажутся совсем незначительными, информации, которую люди из компании скажут почти любому, кто спросит.
Первый звонок: Регистратор
Атакующая, пользуясь именем Диди Сэндс, сделала звонок в корпоративный офис по обслуживанию сотовых телефонов. Частично беседа проходила следующим образом:
Регистратор: Добрый вечер. Это Мари, чем я могу Вам помочь?
Диди: Вы можете соединить меня с Отделом Транспортировок?
Р: Я не уверена, что у нас есть такой, я посмотрю в справочнике. Это кто звонит?
Д: Это Диди.
Р: Вы находитесь в здании или…?
Д: Нет.
Р: Диди кто?
Д: Диди Сэндс. У меня был номер Транспортировки, но я его забыла.
Р: Один момент.
В этот момент, чтобы смягчить подозрения Диди случайно спросила, только ради того, чтобы дать понять, что она была «внутри», и знакома с местоположением компании.
Д: Вы в каком здании — Лейквью или Мэйн Плэйс?
Р: Мэйн Плэйс. (пауза) Вот: 805 555 6469.
Чтобы обеспечить себя запасным вариантом на случай если звонок в Транспортный отдел не даст то, что она искала, Диди также сказала, что она хочет поговорить с отделом по недвижимости. И регистратор так же дала ей этот номер. Когда Диди попросила соединить её с Транспортным, регистратор попробовала, но линия была занята.
Тогда Диди попросила третий номер — отдела работы со счетами — расположенного в штаб-квартире корпорации в Остине, Техас. Регистратор попросила подождать и отключилась от линии. Она сообщила в службу безопасности, что получила подозрительный телефонный звонок, и подумала, что происходит что-то странное. Это была небольшая, но типичная неприятность обыденной работы регистратора. Примерно через минуту регистратор вернулась на линию, посмотрела номер Счётного отдела и подключила Диди.
Второй звонок: Пэгги
Следующий разговор проходил следующим образом:
Пэгги: Счётный отдел, Пэгги.
Диди: Привет, Пэгги. Это Диди из Thousand Oaks.
П: Привет, Диди.
Д: Как дела?
П: Отлично.
Затем Диди воспользовалась знакомым термином в корпоративном мире, который означает код оплаты для назначения расходов из бюджета определённой организации или рабочей группы:
Д: Превосходно. У меня есть для тебя вопрос. Как мне найти расчётный центр того или иного отдела?
П: Вы лучше бы обратились к бюджетному аналитику отдела (бухгалтеру).
Д: А Вы не знаете кто сейчас бюджетный аналитик в штаб-квартире Thousand Oaks? Я пытаюсь заполнить форму, но не знаю что это за расчётный центр.
П: Я знаю только, что Вам нужен номер расчётного центра, позвоните своему бюджетному аналитику.
Д: А у вашего отдела в Техасе есть свой расчётный центр?
П: У нас есть свой расчётный центр, но они не выдают полный список.
Д: Сколько цифр в этом расчётном центре? Ну, например, какой у Вас номер расчётного центра?
П: Хорошо, а Вы из 9WC или из SAT?
Диди не имела никаких представлений об этих отделах или группах, но это ничего не значило. Она ответила:
Д: 9WC.
П: Тогда там обычно 4 цифры. Откуда Вы, Вы сказали?
Д: Штаб-квартира — Thousand Oaks.
П: Хорошо, вот один для Thousand Oaks. 1A5N, Н — как в Нэнси.
Всего лишь поболтав достаточно долго с кем-нибудь, желающим быть полезным, Диди заполучила номер расчётного центра, который ей был нужен — один из тех кусочков информации, которые никто не думает защищать, потому что он не может представлять какую-нибудь ценность для постороннего.
Третий звонок: Полезный неправильный номер
Следующий шаг Диди должен был превратить номер расчётного центра в нечто по-настоящему ценное.
Она начала со звонка в Отдел по Недвижимости, притворившись, что попала на неправильный номер. Начав с «Извините за беспокойство, но …», она заявила, что она была служащей, которая потеряла свой корпоративный справочник, и спросила, не он ли звонил насчёт новой копии. Человек ответил, что печатная копия уже устарела, потому что всё это доступно на корпоративном сайте.
Диди сказала, что предпочитает пользоваться бумажной копией, и человек посоветовал ей позвонить в Издательство, а потом, возможно, только чтобы ещё немного поболтать с сексуально-звучащей леди по телефону, услужливо посмотрел номер и дал ей.
Четвёртый звонок: Барт из Издательства
В Издательстве она поговорила с человеком по имени Барт. Диди сказала, что она была из Thousand Oaks, и у них появился новый консультант, которому нужна была копия справочника компании. Она сказала, что печатная копия была бы предпочтительнее, даже если она будет немного устаревшей. Барт сказал, что она должна заполнить форму реквизиции и прислать ему.
Диди сказала, что у неё нет под рукой форм, и не мог бы Барт любезно заполнить форму за неё? Он согласился с не слишком большим энтузиазмом, и Диди сообщила ему данные. Вместо адреса вымышленного подрядчика она сообщила номер, которые социальные инженеры называют сбросом почты , в данном случае адрес почтовой компании, в которой её компания арендовала почтовые ящики специально для ситуаций вроде этой.
Теперь вместо работы лопатой нужно было потрудиться ручками: Нужен был расчётный центр, в который придёт счёт за доставку справочника. Прекрасно — Диди дала расчётный центр для Thousand Oaks:
«IA5N, Н — как в Нэнси.»
Несколькими днями позже, когда прибыл корпоративный справочник, Диди обнаружила, что он был даже большей наградой, чем она ожидала: В нем не только был список с именами и телефонами, но также показывалось кто на кого работал — корпоративная структура целой организации.
Леди с хриплым голосом была готова начать охоту за головами, делая набеги при помощи телефонных звонков. Она умыкнула информацию, которая была необходима для начала набега, пользуясь хорошо подвешенным языком, который наточен до зеркального блеска у любого социального инженера.
LINGO
Сброс почты — термин социального инженера касательно почтового ящика, обычно арендованного на вымышленное имя, который используется для доставки документов или посылок обманутой жертвы.
Сообщение от Митника
Подобно кусочкам паззла, каждый кусок информации может быть несущественным сам по себе. Однако когда эти куски соединяются вместе, появляется ясная картина. В данном случае картиной, которую увидел социальный инженер, была полная внутренняя структура компании.
Анализ обмана
Эту атаку социального инженера Диди начала с получения телефонных номеров трёх отделов в компании. Это было легко, потому что спрашиваемые номера не были секретны, особенно для служащих. Социальный инженер учится звучать как посвящённое лицо, и Диди преуспела в этой игре. Один из телефонных номеров привёл её к номеру расчётного центра, который она затем использовала, чтобы получить копию справочника работников фирмы. Основные инструменты, которые ей были нужны: звучать дружелюбно, пользоваться корпоративной лексикой, и, в случае с последней жертвой, небольшой флирт.
И ещё один инструмент, существенный элемент, который нелегко достаётся — навыки социального инженера в манипулировании, появляющиеся после обширной практики и неписаных уроков доверенных людей прошлых поколений.
Ещё одна «ничего не стоящая» информация
Помимо номера расчётного центра и внутренних номеров, какая еще, по-видимому, бесполезная информация может быть чрезвычайно ценной для вашего врага?
Телефонный звонок Питера Абеля
«Привет», сказал человек на другом конце линии. «Это Том из Parkhurst Travel. Ваш билет в Сан-Франциско готов. Вы хотите, чтобы Вам его доставили или Вы хотите забрать его сами?»
«Сан-Франциско?» сказал Питер. «Я не собираюсь в Сан-Франциско.»
«Это Питер Абель?» Конец бесплатного ознакомительного фрагмента.
Страницы: 1, 2, 3
|
|