|
Митник Кевин. Искусство обмана.Категория: Библиотека » Ложь и её выявление. | Просмотров: 14143
Автор: Митник Кевин.
Название: Искусство обмана. Формат: HTML, RTF Язык: Русский Скачать по прямой ссылке Когда дежурный электромонтер отвечает на звонок, Стив заявляет, что он из подразделения компании, которое издает и распространяет печатные материалы. «У нас есть новый справочник тестовых номеров, – говорит он. – Но из соображений безопасности мы не можем отдать ваш экземпляр, пока не получим старый. Посыльный будет позже. Если вы хотите, оставьте ваш экземпляр прямо за дверью, он может заехать, забрать его и положить новый».
Ничего не подозревающему электромонтеру это кажется разумным. Он делает так, как его попросили, кладет на пороге здания свой справочник, на обложке которого ясно написано большими красными буквами: «СЕКРЕТНЫЙ ДОКУМЕНТ КОМПАНИИ . В СЛУЧАЕ НЕНАДОБНОСТИ УНИЧТОЖИТЬ». Стив приезжает и осторожно оглядывается вокруг в поисках полицейских или сотрудников службы безопасности компании, которые могли спрятаться за деревьями, или ждать его в припаркованных машинах. Никого в поле зрения. Он небрежно берет справочник и уезжает. Заговаривание зубов (Отвлекающая болтовня) Не только активы компании находятся под угрозой сценария социальной инженерии. Иногда жертвами являются клиенты компании. Работа по обслуживанию клиентов несет с собой отчасти разочарование, отчасти смех, отчасти невинные ошибки, которые могут привести к плохим последствиям для клиентов компании. История Дженни Эктон Дженни Эктон более трех лет работала в службе клиентов компании «Hometown Electric Power» в Вашингтоне, округ Колумбия. Она считалась одним из лучших служащих, проворной и добросовестной. Была Неделя благодарения, когда раздался этот звонок. Звонящий сказал: «Это Эдуардо из отдела счетов (Blling department). У меня на проводе дама, секретарь исполнительных органов, работающих для одного из вице президентов, она запрашивает информацию, но у меня не работает компьютер. Я получил письмо от девушки из кадровой службы, в котором было написано „ILOVEYOU“. Когда я открыл вложение, то не мог больше работать на своем компьютере. Вирус. Я подхватил дурацкий вирус. Не могли бы вы найти для меня некоторые сведения о клиенте?». – Конечно, – ответила Дженни. – Он повредил ваш компьютер? Это ужасно. – Да. «Чем я могу помочь?» – спросила Дженни. Атакующий сообщил сведения, собранные во время тщательного поиска, чтобы подтвердить свою подлинность. Он узнал, что необходимые ему данные хранятся в информационной системе счетов клиентов (CBIS), и выяснил, как служащие обращаются к системе. Он спросил: «Вы можете посмотреть учетную запись в системе счетов?» – Да, какой номер? – У меня нет номера, мне нужно посмотреть по имени. – Хорошо, какое имя? «Хитер Марнинг» – он произнес имя по буквам, Дженни ввела его. – О.К. Я нашла запись. – Отлично. Запись действительна? – Да, действительна «Какой номер записи?»– спросил он. – У вас есть карандаш? – Я готов записывать. – Номер записи BAZ6573NR27Q. Он повторил номер и сказал: «Какой это адрес?» Она сообщила ему адрес. – Какой там телефон? Дженни любезно зачитала ему и эти сведения. Звонивший поблагодарил ее, попрощался и повесил трубку. Дженни продолжила работу со следующим звонком, никогда не вспоминая об этом. Проект Арт Сили Арт Сили отказался от работы свободного редактора, когда открыл, что мог заработать больше денег, делая исследования для писателей и коммерческих фирм. Он вскоре понял, что гонорар растет пропорционально тому, насколько близко требуется находиться к черте между законным и незаконным. Даже не осознавая этого, не называя это именем, Арт стал социальным инженером, применяя технологии, знакомые каждому информационному брокеру (information broker). У него оказался прирожденный талант к делу, он постиг методы, которым большинство социальных инженеров учатся у других. Спустя некоторое время он пересек черту без малейшего чувства вины. Со мной связался человек, который писал книгу о кабинете министров в годы правления Никсона. Он искал того, кто мог бы найти сенсационную новость о Уильяме Саймоне (William E. Simon), министре финансов. Мистер Саймон умер, но автору было известно имя женщины, которая состояла в его штате. Он был уверен, что она жила в округе Колумбия, но не мог узнать адрес. Для ее имени не было указано телефона, или по крайней мере не было среди перечисленных. Поэтому он позвонил мне. Конечно, нет проблем, сказал я ему. Это работа, которую обычно можно выполнить с помощью одного или двух звонков, если вы знаете, что делаете. Можно считать, что каждая местная коммунальная компания выдает информацию за свои пределы. Конечно, вам придется немного наврать. Но что если немного невинной лжи сейчас, а потом – правда? Мне нравится каждый раз применять различные подходы, так интереснее. «Это такой то из исполнительных органов» всегда работало хорошо. «У меня на линии кто то из из офиса вице президента» сработало и в этот раз. Сообщение от Митника Никогда не думайте, что все атаки социальной инженерии нуждаются в тщательной разработке, такой сложной, что они могут быть опознаны до их окончания. Некоторые из них снаружи и изнутри, наступают и пропадают, очень простые атаки, которые не более чем… просьба. Вам следует развить инстинкт социального инженера, чувствовать, насколько готов «сотрудничать» с вами человек на другом конце провода. В этот раз мне повезло с дружелюбной леди. С помощью одного телефонного звонка я узнал адрес и номер телефона. Миссия выполнена. Анализ обмана Конечно, Дженни знала, что информация о клиенте конфиденциальна. Она никогда не говорила об учетной записи одного клиента с другим клиентом и не распространяла частную информацию. Но, естественно, для звонившего из компании применялись другие правила. В случае с сотрудником это рассматривалось как игра в команде и помощь друг другу в выполнении работы. Мужчина из отдела счетов мог бы сам уточнить подробности, если бы его компьютер не был выведен из строя вирусом, поэтому она была рада оказать помощь коллеге. Арт постепенно добрался до ключевой информации, попутно задав вопросы о вещах, которые не были нужны на самом деле, таких как номер учетной записи. Тем не менее, номер учетной записи давал возможность отступления? если бы служащий стал подозревать что либо, он позвонил бы второй раз, имея больше шансов на удачу, так как знание номера учетной записи внушало бы доверие следующему служащему. С Джейн никогда так не обманывали в таких вещах, когда звонивший мог вообще не работать в отделе счетов. Конечно, здесь нет ее вины. Она не руководствовалась правилом, согласно которому надо убедиться в том, что вы знаете, с кем говорите, прежде чем сообщать сведения о клиенте. Никто не рассказал ей об опасности телефонных звонков, подобных тому, что сделал Арт. Этого не было в политике компании, это не было частью ее обучения, и ее руководитель никогда не упоминал об этом. Предотвращение обмана В обучение безопасности следует включить следующий момент: звонящий или посетитель не является тем, за кого он себя выдает только потому, что он знает имена некоторых людей в компании или знает корпоративные терминологию или процессы. И это точно не доказывает, что он тот, кому разрешены выдача внутренней информации или доступ к компьютерной системе или сети. Обучение безопасности должно подчеркивать: когда сомневаетесь, проверяйте, проверяйте, и еще раз проверяйте! Раньше доступ к информации был признаком высокого положения и привилегии. Рабочие топили печи, запускали машины, печатали письма и сдавали отчеты. Мастер или начальник указывал, что, когда и как им делать. Мастер или начальник знал, сколько «штучек» (украшений) должен сделать работник за смену, сколько, каких цветов и размеров должна выпустить фабрик на этой неделе, на следующей, и к окончанию месяца. Работники работали с машинами, инструментами и материалами, начальники работали с информацией. Работникам нужна была только специфическая информация, присущая их работе. Сегодня немного другая картина, не так ли? Многие работники фабрик используют различные виды компьютеров и машин, управляемых компьютером. критическая информация на пользовательские компьютеры, чтобы они могли выполнить свою работу. В сегодняшних условиях почти все, чем занимаются служащие, связано с обработкой информации. Вот почему политика безопасности компании должна распространяться по всему предприятию, независимо от положения служащих. Каждый должен понимать, что не только руководители, располагающие информацией, могут стать целью атакующего. Сегодня работники всех уровней, даже те, которые не используют компьютер, могут быть мишенью. Новые работники в группе обслуживания клиентов могут быть самым слабым звеном, которое социальный инженер использует для достижения своей цели. Обучение безопасности и корпоративная политика безопасности должны усилить это звено. Глава 4: Внушая доверие (Chapter 4 Building Trust) Перевод: (Теневой Георг, [email protected], ICQ 118145). Некоторые рассказы могли заставить Вас думать, будто я верю в то, что все на самом деле полные идиоты, готовые, даже жаждущие, отдать каждый секрет. Социальный инженер знает, что это неправда. Почему атака социальной инженерией так успешна? Это так, не потому что люди глупы или им не хватает здравого смысла… Просто мы, как люди, полностью уязвимы перед обманом, поскольку люди могут изменить доверие, если манипулировать определенным образом. Социальный инженер ожидает подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие. Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые цель атаки может задать, так что у него могут быть готовы подходящие ответы. Одна из его основных техник включает создание чувства доверия со стороны его жертв. Как он заставляет Вас верить ему? Поверьте мне, может. Доверие: ключ к обману Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение. Когда у людей нет причины для подозрений, социальному инженеру становится легко приобрести доверие жертвы. Как только он получает ваше доверие, разводной мост опускается, и дверь замка распахивается, и он может зайти и взять ту информацию, что он хочет. Заметка: Вы можете заметить, как я ссылался на социальных инженеров, на телефонных фрикеров, и жуликов (con game operators) в большинстве этих рассказов как «он». Это не – шовинизм; просто такова истина – большинство практикующий в этих областях – мужчины. Но, несмотря на это, среди социальных инженеров есть и женщины, число которых растет. Вы не должны терять бдительность и осторожность просто из за того, что слышите женский голос. Фактически, женщины социальные инженеры имеют четкое преимущество из за того, что они могут использовать свою сексуальность, чтобы получить сотрудничество. Вы найдете немножко так называемого слабого пола, представленного на этих страницах. Первый звонок: Андреа Лопес Андреа Лопес ответила на телефонный звонок в видео прокате, где она работала, и сразу улыбнулась: всегда приятно, когда клиент говорит много хорошего про сервис. Тот, кто позвонил, сказал, что у него осталось очень хорошее впечатление о сервисе видео проката, и он хотел послать менеджеру письмо, и сообщить об этом. Он спросил имя менеджера и его почтовый адрес. Андреа сообщила ему, что менеджер это Томми Элисон, и дала адрес. Когда звонивший хотел положить трубку, у него появилась другая идея, и он сказал: «Я б мог написать в офис вашей компании, тоже. Какой номер вашего магазина?» Девушка также дала ему и эту информацию. Он поблагодарил, добавил что то приятное про то, насколько полезной была она, и попрощался. «Звонок подобный этому» – подумала Андреа, – «всегда помогает сделать карьерное продвижение быстрее. Как мило было бы, если люди делали подобное более часто». Второй звонок: Джинни «Спасибо за звонок в Видео Студию. Это – Джинни, чем могу Вам помочь?» «Привет, Джинни», звонящий сказал с большим энтузиастом, как будто бы он говорил с Джинни каждую неделю или что то вроде того. "Это – Томми Элисон, менеджер магазин 863 в Форест Парке. У нас есть клиент здесь, что хочет арендовать Рокки 5 , но у нас нет ни одного экземпляра. Вы можете проверить, есть ли у вас?" Она вернулась на линию через несколько секунд и сказала: «Да, у нас есть три копии». «Хорошо, я спрошу, хочет ли он подъехать к вам. Спасибо. Если Вам когда либо будет нужна любая помощь нашего магазина, просто позвоните и попросите Томми. Я буду рад сделать для Вас все, что смогу». Три или четыре раза на протяжении следующих нескольких недель, Джинни получала звонки от Томми для помощи в том или ином деле. Это были на вид законные просьбы, и он был всегда очень дружественным, не пытался сильно надавить. Он был очень болтливым, когда они общались, например – «Ты слышала о большом пожаре на Oak Park? Там, на перекрестке…», и тому подобное. Звонки были небольшим перерывом в рутине дня, и Джинни была всегда рада услышать его. Связаться с администратором Похожие публикации: Код для вставки на сайт или в блог: Код для вставки в форум (BBCode): Прямая ссылка на эту публикацию:
|
|