|
Митник Кевин. Искусство обмана.Категория: Библиотека » Ложь и её выявление. | Просмотров: 14158
Автор: Митник Кевин.
Название: Искусство обмана. Формат: HTML, RTF Язык: Русский Скачать по прямой ссылке Когда в тот полдень я подъехал к воротам, у них не только было мое имя в списке посетителей, но и место на стоянке для меня. У меня был небольшой ланч с интендантом и мне бы хотелось большего до конца дня. Я даже пробрался на пару сцен и посмотрел, как снимают фильмы. Я был там до 7 часов. Это был мой самый интересный день.
Анализ обмана Все когда то были вновь пришедшими служащими. Все мы помним, что было в первый день, особенно когда мы были молодыми и неопытными. Так что, когда новичок просит о помощи, он может ожидать, что много людей вспомнят о своих первых шагах на этом поприще и протянут ему руку помощи. Социальный инженер знает это и понимает, что может использовать данное знание, чтобы сыграть на симпатиях своей жертвы. Мы слишком просто позволяем чужакам пробраться в наши компании и офисы. Даже с охранниками на входе и входными процедурами для не служащих компании, какая нибудь из разнообразных уловок, использующихся в этой истории позволит злоумышленнику получить бэджик посетителя и пройти вовнутрь. А если ваша компания предоставляет сопровождающих для таких посетителей? Это хорошее правило, но оно эффективно лишь в том случае, если ваши работники добросовестно останавливают всех с или без бэджика посетителя, разгуливающего в одиночку. И если он не скажет ничего вразумительного, его стоит передать службе безопасности. Позволяя чужакам беспрепятственно разгуливать по вашим сооружениям, вы подвергаете опасности частную информацию вашей компании. В наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно рисковать. «Сделайте это сейчас» Не каждый, кто использует тактику социальной инженерии, является идеальным социальным инженером. Любой, кто владеет внутренней информацией компании, может принести опасность. Риск тем больше для тех компаний, которые хранят в своих файлах и базах данных персональную информацию служащих, и конечно, большинство компаний именно так и поступают. Когда рабочие не достаточно образованы или натренированы для распознавания атаки социального инжиниринга, даже самый твердый человек будет вести себя, как та леди в предыдущей истории. История Дуга У нас с Линдой все шло не так уж хорошо, так что, когда я встретил Айрин, я знал, что она предназначена для меня. Линда, как… немного… в общем, относится к типу не особо неуравновешенных людей, но может пойти на любой шаг, когда у нее депрессия. Будучи джентльменом, я вежливо объяснил, что она должна съехать от меня, и помог упаковать ее вещи, даже разрешил прихватить пару дисков, которые принадлежали мне. Как только она ушла, я поехал в магазин за новым дверным замком и поставил его в ту же ночь. На следующее утро я позвонил в телефонную компанию и попросил изменить мой номер, а также не опубликовывать его нигде. Это сделало меня свободным и позволило продолжать ухаживать за Айрин. История Линды Я была готова уехать, но еще не наметила дату. Но никто не любит чувствовать себя отброшенным. Вопросом было лишь то, как дать ему понять, какое он ничтожество. Это не заставило долго себя ждать. Там была другая девчонка, иначе он не стал бы с такой скоростью паковать мои вещи. Так что я подождала немного и начала звонить ему каждый день поздно вечером. Знаете, такие действия отбивают у людей желание общаться с кем либо по телефону. Я дождалась следующих выходных и позвонила в 11 часов вечера в субботу. Только он сменил номер. И этот номер не был опубликован. Это показывает, каким сукиным сыном он был. Я стала перебирать бумаги, которые забрала с работы домой, когда ушла из телефонной компании. И там это было – я сохранила ремонтный талон с того раза, когда у Дуга были проблемы с телефонной линией, и на распечатке был указан кабель и пара его телефона. Вы можете поменять номер телефона, но пара медных проводов, идущих от вашего дома до офиса включений телефонной компании (мы называем это Центральным офисом или просто ЦО) останется той же. Набор медных проводов из каждого дома и квартиры идентифицируется по этим номерам, которые называем кабелем и парой. У меня был список ЦО всего города с их адресами и номерами телефонов. Я нашла номер ЦО по соседству с этим ничтожеством Дугом и позвонила, но, разумеется, там никого не было. Где находится коммутаторщик, когда он вам нужен? Разработка плана заняла у меня 20 секунд. Я начала звонить на остальные ЦО и, наконец, застала на одной из них парня. Но я знала, что он находится очень далеко и скорей всего, сидит с задранными на стол ногами. И, конечно же, не захочет выполнить мою просьбу. Но у меня был план. «Это Линда, Ремонтный Центр» – сказала я. «У нас чрезвычайная ситуация. Вышел из строя сервис для медицинского блока. Мы пытаемся поднять сервис, но не можем найти проблему. Нам нужно, чтобы вы приехали на Вебстер ЦО сейчас же и посмотрели, может ли тоновый набор выйти из ЦО» И затем я сказала, «Я перезвоню вам, когда вы доберетесь до места», потому что, разумеется, я не могла позволить ему звонить в Ремонтный Центр и спрашивать меня. Я знала, что ему не захочется покидать комфортный ЦО и исполнять мою просьбу, но это была чрезвычайная ситуация, так что он не мог мне отказать. Когда я обнаружила его на Вебстер ЦО через 45 минут, я сказала ему проверить кабель 29 пару 2481,он ответил, что тоновый набор есть. Это я, конечно же, знала. Затем я говорю: «Отлично, мне нужно, чтобы вы сделали LV»,что значит подтверждение линии, которое запрашивает телефонный номер. Он выполнил это путем дозвона на специальный номер, который считывает и посылает обратно необходимый номер. Он не знал, что это неопубликованный и недавно измененный номер, так что он выполнил мою просьбу, и я услышала номер. Превосходно. Пустышка сработала великолепно. Я поблагодарила его и пожелала спокойной ночи. Сообщение от Митника Если однажды социальный инженер узнает, как вещи работают внутри целевой компании, становится очень просто использовать это знание, чтобы наладить связь с законными служащими. Компаниям необходимо готовить к такого рода атакам всех рабочих. Теневые проверки могут помочь определить людей, склонных к данному типу поведения. Но в большинстве случаев, таких людей слишком трудно обнаружить. Единственный выход это усилить и проверять процедуры идентификации, включая статус рабочего. Дуг так много сделал, чтобы спрятаться от меня за неопубликованным номером. Веселье только начиналось. Анализ обмана Молодая леди в этой истории смогла достать информацию, которая была необходима для осуществления мщения, потому что она владела знанием внутренней работы: телефонные номера, процедуры и жаргон телефонной компании. Обладая этим, она не только смогла найти новый, неопубликованный номер, но и смогла заставить коммутаторщика проехать снежной ночью через весь город ради ее просьбы. «Мистер Бигг хочет это» Популярная и высоко эффективная форма запугивания – популярна в больших масштабах, в силу простоты – основывается на влиянии на человеческое поведение, используя авторитет. Даже просто имя помощника в офисе CEO может быть ценным. Частные сыщики делают это все время. Они позвонят оператору коммутатора и скажут, что хотят подсоединиться к офису CEO.Когда секретарь или главный помощник ответит, они скажут, что у них в наличии имеется документ или пакет для CEO,или если они отправят е мэйл приложение, распечатает ли она его? Или иначе, они спросят, какой номер факса? И, кстати, как вас зовут? Затем они звонят следующему человеку и говорят, «Дженни из офиса мистера Бигса сказала, что вы мне можете помочь кое с чем». Эту технику можно назвать «бросанием имени», и обычно она используется как метод быстрой установки связи путем влияния на человека, которое заключается в том, что цель начинает верить в связь атакующего с кем то из крупных специалистов. Лучше всего, если цель оказывает услугу кому либо, кто знаком с тем, кого знает используемый человек. Если атакующий нацелился на довольно важную информацию, он может использовать такой вариант, как пробуждение нужных эмоций в жертве, таких как страх доставить неприятности кому либо из вышестоящих. Рассмотрим следующий пример. История Скотта «Скотт Абрамс.» «Скотт, это Кристофер Далбридж. Я только что разговаривал по телефону с мистером Бигли, и надо сказать, что он больше, чем невесел. Он говорит, что десять дней назад передал вашим людям записку об исследовании степени интеграции рынка, которую они должны были откопировать и отправить нам для анализа. И мы ее не получали». «Исследование степени интеграции рынка? Никто не говорил мне об этом. В каком вы ведомстве?» «Он нанял нашу консультационную фирму, и мы уже перед сдачей работы». «Послушайте, я сейчас направляюсь на встречу. Скажите мне свой номер телефона и»… Фразы атакующего звучат поистине победно: "Это то, что вы хотите, чтобы я сказал мистеру Бигли? Послушайте, завтра утром он ожидает итога работы наших аналитиков и нам придется работать над этим всю ночь. А теперь, вы хотите, чтобы я сказал ему, что мы не смогли выполнить работу из за того, что не получили заметку от вас, или, быть может, вы сами хотите сказать ему об этом?" Анализ обмана Уловка с использованием запугивания со ссылкой на авторитет работает особенно хорошо в том случае, если другой человек имеет достаточно низкий статус в компании. Использование важного человеческого имени помогает не только побороть нормальное чувство подозрения, но и делает человека более внимательным; врожденный инстинкт желания быть полезным увеличивается, когда вы думаете, что персона, которой вы помогаете, важна и влиятельна. Социальный инженер также знает, что лучший путь использования данного трюка – использовать имя кого то более вышестоящего, чем босс жертвы. И данный трюк довольно ненадежен, если использовать его внутри малой организации: атакующий не хочет, чтобы его жертва могла отпустить комментарий кому нибудь из отдела маркетинга. «Я отправил тот план, о котором говорил мне один из ваших парней», – это может легко вызвать встречный вопрос вроде: "Какой план? Какой парень? " И это может привести к открытию, что компания стала жертвой. Сообщение от Митника Запугивание может вызвать страх перед наказанием, который заставит людей сотрудничать. Также запугивание может пробудить страх запутаться в делах или быть вычеркнутым из плана по повышению. Люди должны знать, что неприемлемо зависеть от чьего либо авторитета, когда на кону безопасность. Тренировка сотрудников должна включать в себя обучение персонала избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством. Что знает о вас администрация общественной безопасности Нам нравится думать, что правительственные организации хранят данные о нас надежно охраняемые от посторонних. Реальность заключается в том, что федеральные управления не так устойчивы к проникновениям, как нам хочется думать. Звонок от Мэй Линн Место: региональный офис администрации общественной безопасности Время: 10.18 утра, четверг «Это Мэй Линн Ванг» Голос на другом конце провода звучал примирительно, почти робко. «Мисс Ванг, это Артур Арондэйл, офис главного инспектора. Могу я звать вас Мэй?» «Это – Мэй Линн» – отвечает она. «Хорошо, это так, Мэй Линн. У нас тут новый парень, у которого нет компьютера и прямо сейчас у него приоритетный проект, поэтому он использует мой. Мы работаем в правительстве Америки, и они нам говорят, что у них нет достаточно денег в бюджете, чтобы купить этому парню компьютер. А сейчас мой босс думает, что я опаздываю с выполнением своей работы, и не хочет слышать никакие извинения, вы знаете?» «Я знаю, о чем вы, хорошо» «Не могли бы вы мне помочь с быстрым запросом на MCS?» он использует имя системы, где записаны все налогоплательщики. «Конечно, что вам нужно?» «Первое, поиск счета на Джозефа Джонсона, дата рождения 07.04.69» После небольшой паузы она спрашивает: «Что именно вы хотите знать?» «Какой номер его счета?» Она прочитывает его. «Отлично, теперь мне нужен идентификационный номер на этот счет», говорит звонящий. Это был запрос на базовую информацию о налогоплательщике, и Мэй Линн говорит место жительства, девичью фамилию матери и имя отца. Звонящий внимательно слушает, пока она говорит ему месяц и год заведения карточки и офис, где она была заведена. Затем он спрашивает о подробном заработке человека. Данный запрос вызывает ответ, «За какой год?» Он отвечает, «за 2001» Мэй Линн говорит, «он равен $190,286,плательщик Джонсон МикроТек» «Какие нибудь другие зарплаты?» «Нет» «Спасибо», – говорит он, « вы были очень добры». Теперь он всегда звонит ей, когда ему нужна какая либо информация, а у него нет доступа к компьютеру. Он снова использует любимый трюк социальных инженеров, установив связь с человеком однажды – всегда возвращаться к нему, чтобы избежать ненужных поисков. «Не на следующей неделе», говорит она ему, потому что собирается поехать в Кентукки на свадьбу своей сестры. В любое другое время, когда она будет свободна. Связаться с администратором Похожие публикации: Код для вставки на сайт или в блог: Код для вставки в форум (BBCode): Прямая ссылка на эту публикацию:
|
|