Истории из книг про социальную инженерию (VI)

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Tetrahedron

Автор

Регистрация
Сообщений
491
Репутация
17
Сделок
Когда Вы воруете деньги или вещи, кто-то замечает, что они пропали. Если Вы украли информацию, часто никто этого не заметит, так как информация по-прежнему остается у владельца.

Искусство дружелюбного убеждения
Социальный инженер имеет массу коммуникативных качеств, развитые способности для использования людей и манипулирования ими.
Эта история Винса Капели, сына уличного полицейского, которому удалось заглянуть в банковские счета парня по имени Джо Марковиц. Было подозрение, что он провернул темное дело с бывшим другом. Друг захотел узнать, достаточно ли богат Джо, чтобы в случае подачи иска получить с него некоторую сумму денег.

Звонок Анжеле

Висновски ответила на телефонный звонок человека, который должен был получить приличное наследство и интересовался различными вариантами накопительных вкладов.
Неожиданно он сказал:
— О, простите, мне нужно ответить на другой звонок. Когда я смогу закончить этот разговор и принять решение? Когда у Вас обед?
Она ответила ему 12:30, и он обещал позвонить до обеда или на следующий день.

Звонок Льюису

– Здравствуйте. Это Нэйл Вебстер. Я звоню из отделения 3182, это в Бостоне. Будьте добры Анжелу Висновски.
– Она обедает. Я могу помочь?
– Да, она оставила сообщение с просьбой прислать факсом информацию по одному из наших клиентов.
– Обычно этим занимается другой человек, который сейчас заболел. Я уже совсем замотался с этим, уже 4 часа, а у меня назначен прием у врача через полчаса. Кто-то принял ее звонок, номер факса записан неразборчиво… 213... что-то там… Что там дальше?
Льюис назвал номер и звонивший сказал:
– ОК, спасибо. Но перед тем, как послать Вам факс, я должен знать код B.
– Но это Вы мне позвонили.
– Наш начальник отделения просто параноик, когда дело касается подтверждения полномочий при отсылке чего-либо куда-либо. Но послушайте, если Вам не особо нужна эта информация, я могу ничего не посылать. И не надо ничего подтверждать.
– Слушайте. Анжела вернется примерно через полчаса. Я могу сказать ей Вам перезвонить.
– Ладно, я просто скажу ей, что не мог послать информацию сегодня, потому что Вы не подтвердили законность этого запроса кодом. Если я не заболею завтра, я ей позвоню…
– Хорошо. Минуту, мне нужно подойти к компьютеру. Какой Вам нужен код?
– В (читается «би»).
Он отложил трубку и вскоре взял ее снова. «3184»
– Это неправильный код.
– Нет, правильный: код B – 3184.
– Я не говорил B, я сказал «E» (читается «и»).
– Черт. Минуту…
– 9697, да, все правильно. Я отправляю факс, ок?
– Да… конечно… спасибо.

Звонок Уолтеру

– Государственный индустриальный банк, это Уолтер.
– Привет, Уолтер, это Боб Грабовски, Студио Сити, 38-е отделение, мне нужно, чтобы Вы нашли образец подписи клиента (образец подписи содержит удостоверяющую информацию вроде номера социального страхования, даты рождения, девичьей фамилии матери, иногда даже номер водительского удостоверения).
– Да не вопрос. Какой код С?
– За моим компьютером сейчас другой сотрудник. Но я только что называл коды B и E, и помню их так. Спроси меня один из них?
Через несколько минут Уолтер отправил по факсу образец подписи по запросу.

Звонок Донне Плейс

– Здравствуйте, это мистер Ансельмо.
– Чем я могу Вам помочь на этот раз?
– Какой номер на 800 мне надо набрать, когда я хочу проверить кредитован ли уже вклад?
– Вы клиент банка?
– Да, я долго не пользовался номером и теперь забыл, где он записан.
– Номер 800-555-8600.

Анализ обмана
Столкнувшись с подозрительностью Льюиса, Винс просто сгладил ее:

  • вызывая симпатию («собирался к доктору»);
  • используя давление («мне уже надоело всем этим заниматься, уже 4 часа»);
  • манипулирование («cкажите ей, что не дали мне код»).
На самом деле, Винс не угрожал ему, он только подразумевал это: «Если Вы не дадите мне защитный код, я не вышлю информацию о клиенте, которую просил Ваш коллега, и я скажу ему, что собирался послать, но Вы не согласились сотрудничать».

Полицейские – жертва обмана
Эрику Мантини необходимо было регулярно узнавать номер удостоверений и регистрационные номера транспортных средств. Он понимал, что бессмысленно раз за разом рисковать, звоня в Управление Транспорта. Эрик захотел выяснить, а нет ли способа упростить процесс.

Хитрость Эрика

Сначала Эрик позвонил в справочную и спросил номер телефона центрального офиса Управления Транспорта в столице штата. Ему дали номер 503-555-5000. Затем он позвонил в ближайший полицейский участок и спросил номер телетайпной. Позвонив в телетайпную, социальный инженер спросил номер телефона, по которому сотрудники должны звонить в управление транспорта.
– Вы кто? – спросил офицер из телетайпной.
– Это А1. Я набирал 503-555-5753.
В телетайпную не звонят «с улицы», а звонивший уже знал большую часть номера. Конечно, это был кто-то из сотрудников.
– Номер 503-555-6127, – сказал офицер.

Коммутатор

Чтобы осуществить задуманное, Эрику нужно было получить доступ к телефонному коммутатору, который управлял телефонной связью между полицией и УТ. Он позвонил на телефонный узел и представился сотрудником компании Нортел, одного из наиболее распространенных коммерческих телефонных коммутаторов. Эрик спросил:
– Не могли бы Вы переключить меня на техника, который обслуживает DMS-100?
Технику он сказал, что из Центра Поддержки Технических Специалистов Нортела в Техасе, и объяснил, что они создают базу данных для обновления всех коммутаторов свежими версиями ПО. Но ему нужен входной номер дозвона на коммутатор, чтобы произвести обновление прямо из Центра Поддержки.
Техник дал Эрику номер. Теперь он мог напрямую звонить на один из государственных телефонных коммутаторов. Эрику потребовалось подобрать пароль, с чем он успешно справился.
Для каждого входящего звонка коммутатор был запрограммирован перебирать 20 телефонных линий до нахождения первой незанятой.
Он выбрал восемнадцатую по счету линию в последовательности и ввел код, который подключал переадресацию вызова для нее. В качестве номера для переадресации он ввел номер своего нового, дешевого, заранее предоплаченного сотового телефона.
С подключенной переадресацией на восемнадцатой линии, как только отдел будет достаточно занят, обрабатывая 17 звонков, следующий пришедший звонок не прозвонит в отделе управления транспорта, а будет переброшен на сотовый Эрика. И он приготовился ждать.

Звонок в управление

Поговорив по телефону несколько часов и получив дюжину кодов запрашивающего, Эрик позвонил на коммутатор и отключил переадресацию звонков.
Многие месяцы после этого он получал денежные отчисления от законных частных детективных агентств, которым было все равно, как он добывал информацию. При необходимости Эрик звонил на коммутатор, включал переадресацию и собирал очередную пачку удостоверений личности полицейских.

Предотвратить обман

Служащий должен записывать фамилию звонившего, телефон и название офиса или подразделения, прежде чем повесить трубку. А до того, как перезвонить, он должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации. В большинстве случаев это простая тактика — практически все, что нужно, чтобы убедиться, что звонящий на самом деле тот, за кого себя выдает.
 
Сверху