Митник Кевин. Искусство обмана.

Категория: Библиотека » Ложь и её выявление. | Просмотров: 14137

Автор:   
Название:   
Формат:   HTML, RTF
Язык:   Русский

Скачать по прямой ссылке

Если бы вчера позвонил кто нибудь и сказал, что он был из другого отдела вашей компании, и, учитывая вероятную причину, спросил ваш номер работника, вы бы отказались его сообщить?
А, между прочим, какой у Вас номер социального страхования?
Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную информацию или идентификаторы любому, если вы не узнаёте его или её голос.

Предотвращение обмана

Ваша компания ответственна за то, чтобы предупредить работников насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание работников о надлежащей работе с корпоративной бизнес информацией. Политика классификации данных поможет вам осуществить надлежащий контроль за раскрытием информации. Без политики классификации данных вся внутренняя информация должна рассматриваться как конфиденциальная, если не определено иначе.
Примите к сведению эти шаги для защиты вашей компании от распространения кажущейся безвредной информации:
Отдел информационной защиты должен проводить обучения, детализуя методы, используемые социальными инженерами. Один метод, описанный выше, касается получения кажущейся нечувствительной информации и использование её для получения краткосрочного доверия. Каждый работник должен знать, что когда у звонящего есть знания о процедурах компании, лексике и внутренних идентификаторах, он должен подтвердить личность звонящего или получить от него разрешение на получение того, что он хочет. Звонящий может быть обычным работником или подрядчиком с необходимой внутренней информацией. Соответственно, на каждой корпорации лежит ответственность за определение соответствующего опознавательного метода, для использования в случаях, когда работники взаимодействуют с людьми, которых не могут узнать по телефону.
Человек или люди, ответственные за составление политики классификации данных, должны исследовать типы данных, которые кажутся безвредными и могут быть использованы законными служащими для получения доступа, но могут привести к получению важной информации. Хотя вы никогда не открыли бы коды доступа к вашей карте ATM, вы сказали бы кому нибудь, какой сервер вы используете для разработки программных продуктов? Может ли кто нибудь, притворяющийся кем то с законным доступом к корпоративной сети, использовать эту информацию?
Иногда одно только знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым. Часто атакующий полагается на это общее неправильное представление, чтобы добиться согласия его/её жертвы. Например, Merchant ID – это идентификатор, который люди из Отдела Новых Счетов банка небрежно используют каждый день. Но такой идентификатор то же самое, что пароль. Если каждый работник будет понимать природу этого идентификатора, что он предназначен для подтверждения подлинности, он будет относиться к нему с большим уважением.
Сообщение от Митника
Согласно старой пословице: даже у настоящих параноиков, возможно, есть враги. Мы должны согласиться, что у любого бизнеса тоже есть враги – атакующие, которые целятся в инфраструктуру сети, чтобы скомпрометировать бизнес секреты. Недостаточно просто ознакомиться со статистикой по компьютерным преступлениям – пришло время поддерживать необходимую обороноспособность, осуществляя надлежащее средство управления через хорошо известные политики и процедуры безопасности.
Ни одна компания – хорошо, по крайней мере, очень немногие – дают прямые номера своих CEO или председателей правления. Однако большинство компаний не беспокоятся о выдаче телефонных номеров большинства отделов и рабочих групп в организации – особенно кому то, кто кажется или на самом деле является служащим. Возможная контрмера: осуществить политику, которая запрещает выдачу посторонним внутренних телефонных номеров работников, подрядчиков, консультантов и других. Ещё важнее разработать пошаговую процедуру для выяснения действительно ли звонящий, спрашивающий о номерах, является настоящим служащим.
Коды рабочих групп и отделов, также как и копии корпоративных справочников (не важно, печатная копия, файл данных или электронная телефонная книга) частые цели социальных инженеров. Любой компании нужна письменная, хорошо разработанная политика касательно открытия информации этого типа. Нужно также завести учетную книгу записей, в которую будут записываться случаи, когда важная информация открывалась людям вне компании.
Информацию, вроде номера работника, не стоит использовать для аутентификации саму по себе. Любой работник должен быть обучен проверять не только личность, но и разрешение на получение информации.
В своем обучении безопасности предусмотрите обучение работников следующим подходам: всякий раз, когда незнакомец задаёт вопрос, научитесь сначала вежливо отключаться, пока запрос не будет проверен. Затем, прежде подтвердив его личность, следуйте политикам и процедурам компании, с уважением относясь к проверке и раскрытию непубличной информации. Этот стиль может идти вразрез нашему естественному желанию помочь другим, но небольшая здоровая паранойя может оказаться полезной, чтобы не стать следующей жертвой социального инженера.
Как показано в историях в этой главе, кажущаяся безвредной информация может быть ключом к самым существенным секретам компании.

Глава 3: Прямая атака: просто попроси

(Chapter 3 The Direct Attack: Just Asking for it)
Перевод: Artem ([email protected])

Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания.
Но меня всегда поражает, как искусный социальный инженер может достичь своей цели с помощью простой прямой атаки. Как вы увидите, все, что может понадобиться – просто попросить информацию.

Случай с центром назначения линий

Хотите узнать чей нибудь неопубликованный номер телефона? Социальный инженер может сообщить вам полдюжины способов (некоторые из них вы найдете в других историях книги), но, возможно, самым простым из них будет обычный телефонный звонок, как этот.
Номер, пожалуйста
Атакующий позвонил по неофициальному номеру телефонной компании, в механизированный центр назначения линий (Mechanized Line Assignment Center). Он сказал женщине, поднявшей трубку:
«Это Пол Энтони, кабельный монтер. Послушайте, здесь загорелась распределительная коробка. Полицейские считают, кто то пытался поджечь собственный дом, чтобы получить страховку. Я остался здесь заново монтировать целый терминал из двухсот пар. Мне сейчас очень нужна помощь. Какое оборудование должно работать по адресу Саут Мэйн (South Main), 6723?»
В других подразделениях компании человек, которому позвонили, должен знать, что сведения о неопубликованных номерах предоставляются только уполномоченным лицам. Предполагается, что о центре известно только служащим компании. И если информация никогда не оглашалась, кто мог отказать в помощи сотруднику компании, выполняющему тяжелую работу? Она сочувствовала ему, у нее самой были нелегкие дни на работе, и она немного нарушила правила, чтобы помочь коллеге с решением проблемы. Она сообщила ему действующий номер и адрес для каждой из кабельных пар.
Сообщение от Митника
В человеческой натуре заложено доверять, особенно когда просьба кажется обоснованной. Социальные инженеры используют это, чтобы эксплуатировать свои жертвы и достичь своих целей.
Анализ обмана
Вы заметите, что в этих историях знание терминологии компании, ее структуры – различных офисов и подразделений, что делает каждое из них и какой информацией владеет – часть ценного багажа приемов успешного социального инженера.

Юноша в бегах

Человек, которого мы назовем Фрэнк Парсонс, был в бегах долгие годы, находясь в федеральном розыске за участие в подпольной антивоенной группировке в 1960 х гг. В ресторанах он сидел лицом к дверям и периодически оглядывался, что смущало других людей. Он переезжал каждые несколько лет.
В некоторый момент времени Фрэнк остановился в городе, который не знал, и приступил к поиску работы. Для таких как Фрэнк, с его развитыми компьютерными навыками (и навыками социального инженера, хотя он никогда не упоминал об этом при соискании) поиск хорошей работы обычно не составляет проблемы. За исключением случаев, когда организация ограничена в средствах, люди с хорошими компьютерными навыками обычно пользуются высоким спросом и им несложно обосноваться. Фрэнк быстро нашел высокооплачиваемое, постоянное место работы рядом со своим домом.
Просто объявление, подумал он. Но когда он начал заполнять анкеты, то столкнулся с неожиданностью. Работодатель требовал от соискателя предоставить копию криминальной характеристики, которую он должен был принести сам из полиции штата. Пачка документов включала в себя бланк с местом для отпечатков пальцев. Даже если требовался только отпечаток правого указательного пальца, но его сверили бы с отпечатком из базы данных ФБР, то вскоре ему пришлось бы работать в продовольственной службе федеральной тюрьмы (приюта).
С другой стороны, Фрэнку пришло в голову, что он мог бы избежать этого. Возможно, образцы отпечатков пальцев не отправлялись из штата в ФБР. Как он мог выяснить это?
Как? Он был социальным инженером – как, вы думаете, он разузнал это? Он позвонил в патруль штата: «Привет. Мы выполняем исследование для министерства юстиции. Мы изучаем требования к новой системе идентификации отпечатков пальцев. Могу я поговорить с кем нибудь, кто действительно разбирается в этом, и мог бы нам помочь?»
Когда к телефону подошел местный специалист, Фрэнк задал ряд вопросов о том, какие системы они используют, о возможностях исследования и хранения отпечатков пальцев. Были у них проблемы с оборудованием? Связаны они с картотекой отпечатков национального информационного центра или работают в пределах штата? Является ли оборудование достаточно простым для всех, кто обучается его использованию?
Ответ был музыкой для его ушей: они не связаны с национальным центром, они только сверяются по криминальной базе данных штата (Criminal Information Index).
Сообщение от Митника
Сообразительные похитители информации не стесняются звонить должностным лицам из органов штата, федеральных и местных органов, чтобы узнать о процедурах правоприменения. Располагая такой информацией, социальный инженер может обойти типовые проверки безопасности вашей компании.
Это было все, что нужно было знать Фрэнку. На него не было записей в этом штате, поэтому он заполнил анкету, был принят на работу, и никто не появился однажды у его стола со словами: «Это джентльмены из ФБР, они хотят немного поговорить с вами».
И, по его словам, он показал себя образцовым служащим.

На пороге

Несмотря на миф о безбумажном офисе, компании продолжают печатать стопки бумаг каждый день. Печатная информация в в вашей компании может быть уязвимой, даже если вы предпринимаете меры предосторожности и помечаете ее как конфиденциальную.
Вот одна история, показывающая, как социальные инженеры могут получить ваши самые секретные документы.
Обман с номерами обратного вызова
Каждый год телефонная компания издает справочник тестовых номеров (или по крайней мере издавали, но, поскольку я все еще нахожусь под надзором, то не собираюсь спрашивать об этом). Этот документ высоко ценился фрикерами, так как содержал список тщательно скрываемых телефонных номеров, которые использовались мастерами, техниками и другими работниками компании для таких вещей как тестирование магистрали или проверки всегда занятых номеров.
Один из таких тестовых номеров, называемых на профессиональном языке «Loop Around» (номер обратного вызова), был особенно полезен. Фрикеры использовали его как способ бесплатно поговорить друг с другом. Фрикеры также использовали его как номер обратного вызова, чтобы дать его, например, в банке. Социальный инженер сообщал кому нибудь в банке телефонный номер в своем офисе. Когда из банка звонили по тестовый номеру, фрикер мог получить звонок, кроме того, по этому номеру его не могли выследить.
В справочнике тестовых номеров содержал информацию, в которой нуждался фрикер. Поэтому, когда издавались новые справочники, они разыскивались множеством подростков, для которых любимым занятием было исследовать телефонную сеть.
Сообщение от Митника
Обучение безопасности в рамках политики компании по защите информации должно проводиться для всех сотрудников, а не только для служащих, у которых есть электронный или физический доступ к ИТ активам компании.
Афера Стива
Конечно, телефонные компании не допускают свободного распространения этих книг, поэтому фрикерам приходится быть изобретательными. Как они делают это? Энергичный подросток, разыскивающий справочник , может разыграть такой сценарий.
Тихим осенним вечером в южной Калифорнии, парень, которого я назову Стив, звонит в центральный офис небольшой телефонной компании, здание, от которого отходят телефонные линии ко всем домам и фирмам в зоне обслуживания.



Связаться с администратором



Похожие публикации:

  • Заговор, чтобы парень или мужчина позвонил
  • Заговор, чтобы парень или мужчина позвонил
  • Заговор чтобы любимый позвонил
  • Притча «Миссионер в каменноугольной шахте»
  • «Администратор гостиницы».
  • Заговор, чтобы парень написал сообщение
  • Притча «Про парикмахера»
  • Притча «Звонок от Бога»
  • Приворот с замком
  • Метафоры, для воодушевления людей, для создания команды.
  • Притча «Магазин истины»
  • Приворот на звонок
  • Притча «Рай богача»
  • Вопросы, которые может оказаться полезным задать если вы проходите собеседование при приеме на работу
  • Невербальные признаки лжи и обмана
  • Притча «Магазин мужей и жен»
  • Притча «Только дождись момента»
  • Бэйдер Э., Пирсон П. Преодоление пассивности и пассивно-агрессивного поведения на ранних стадиях терапии пар
  • Главный Редактор. 1 апреля - розыгрыши большой группы людей
  • Заговоры чтобы найти работу - быстро и эффективно
  • Притча «Получасовая лекция»
  • Притча «Сказка о фонарике»
  • Притча «В парикмахерской»
  • Заговор на хорошую работу, чтобы получить высокооплачиваемую должность
  • Притча «Шесть воплощений»
  • Таро – искусство задавать вопросы
  • Притча «Последствия»
  • Заговор на возврат долга
  • Притча «Бесстрастие»
  • Притча «Возможности»
  • Притча «Шесть, живущих в одном»
  • Заговор на звонок действует как магнит, парень скоро позвонит
  • Притча «Что на самом деле хотят женщины?»
  • Притча «Совершенство»
  • Мани-Кёрл Р. Цель психоанализа
  • Социальные сети ухудшают память
  • Притча «Собственные выводы»
  • Типичные ошибки в проведении собеседования.
  • Интервью с сюрпризом. Нестандартные методы проведения собеседований.
  • Заговор на удачу сделан, какие могут быть последствия?
  • Притча «Думай своей головой»
  • Приворот на быстрый возврат любимого
  • Олег Точеный. Телефонный маркетинг. Продажи по телефону. - Из цикла "Психология продаж"
  • Анна Паулсен. ЕЩЁ О НАРЦИССИЧЕСКОЙ ТРАВМЕ
  • Гурджиев Г.И. ВСТРЕЧИ С ЗАМЕЧАТЕЛЬНЫМИ ЛЮДЬМИ ("все и вся" – вторая серия)
  • Ларсон У. «Как проводить собеседование при приеме на работу. 10-минутный тренинг для менеджера».
  • Заговор, чтобы выиграть суд в свою пользу
  • Приворот на ногтях
  • Притча «Ясновидящий»
  • Притча «Сказки для сына (про то, когда больно)»



  • Разместите, пожалуйста, ссылку на эту страницу на своём веб-сайте:

    Код для вставки на сайт или в блог:      
    Код для вставки в форум (BBCode):      
    Прямая ссылка на эту публикацию:      


     (голосов: 0)

    Данный материал НЕ НАРУШАЕТ авторские права никаких физических или юридических лиц.
    Если это не так - свяжитесь с администрацией сайта.
    Материал будет немедленно удален.
    Электронная версия этой публикации предоставляется только в ознакомительных целях.
    Для дальнейшего её использования Вам необходимо будет
    приобрести бумажный (электронный, аудио) вариант у правообладателей.

    На сайте «Глубинная психология: учения и методики» представлены статьи, направления, методики по психологии, психоанализу, психотерапии, психодиагностике, судьбоанализу, психологическому консультированию; игры и упражнения для тренингов; биографии великих людей; притчи и сказки; пословицы и поговорки; а также словари и энциклопедии по психологии, медицине, философии, социологии, религии, педагогике. Все книги (аудиокниги), находящиеся на нашем сайте, Вы можете скачать бесплатно без всяких платных смс и даже без регистрации. Все словарные статьи и труды великих авторов можно читать онлайн.







    Locations of visitors to this page



          <НА ГЛАВНУЮ>      Обратная связь