Искусство обмана
Шрифт:
Диди сказала, что у неё нет под рукой форм, и не мог бы Барт любезно заполнить форму за неё? Он согласился с не слишком большим энтузиазмом, и Диди сообщила ему данные. Вместо адреса вымышленного подрядчика она сообщила номер, которые социальные инженеры называют сбросом почты , в данном случае адрес почтовой компании, в которой её компания арендовала почтовые ящики специально для ситуаций вроде этой.
Теперь вместо работы лопатой нужно было потрудиться ручками: Нужен был расчётный центр, в который придёт счёт за доставку справочника. Прекрасно —
«IA5N, Н — как в Нэнси.»
Несколькими днями позже, когда прибыл корпоративный справочник, Диди обнаружила, что он был даже большей наградой, чем она ожидала: В нем не только был список с именами и телефонами, но также показывалось кто на кого работал — корпоративная структура целой организации.
Леди с хриплым голосом была готова начать охоту за головами, делая набеги при помощи телефонных звонков. Она умыкнула информацию, которая была необходима для начала набега, пользуясь хорошо подвешенным языком, который наточен до зеркального блеска у любого социального инженера.
LINGO
Сброс почты — термин социального инженера касательно почтового ящика, обычно арендованного на вымышленное имя, который используется для доставки документов или посылок обманутой жертвы.
Сообщение от Митника
Подобно кусочкам паззла, каждый кусок информации может быть несущественным сам по себе. Однако когда эти куски соединяются вместе, появляется ясная картина. В данном случае картиной, которую увидел социальный инженер, была полная внутренняя структура компании.
Анализ обмана
Эту атаку социального инженера Диди начала с получения телефонных номеров трёх отделов в компании. Это было легко, потому что спрашиваемые номера не были секретны, особенно для служащих. Социальный инженер учится звучать как посвящённое лицо, и Диди преуспела в этой игре. Один из телефонных номеров привёл её к номеру расчётного центра, который она затем использовала, чтобы получить копию справочника работников фирмы. Основные инструменты, которые ей были нужны: звучать дружелюбно, пользоваться корпоративной лексикой, и, в случае с последней жертвой, небольшой флирт.
И ещё один инструмент, существенный элемент, который нелегко достаётся — навыки социального инженера в манипулировании, появляющиеся после обширной практики и неписаных уроков доверенных людей прошлых поколений.
Ещё одна «ничего не стоящая» информация
Помимо номера расчётного центра и внутренних номеров, какая еще, по-видимому, бесполезная информация может быть чрезвычайно ценной для вашего врага?
Телефонный звонок Питера Абеля
«Привет», сказал человек на другом конце линии. «Это Том из Parkhurst Travel. Ваш билет в Сан-Франциско готов. Вы хотите, чтобы Вам его доставили или Вы хотите забрать его сами?»
«Сан-Франциско?» сказал Питер. «Я не собираюсь в Сан-Франциско.»
«Это Питер Абель?»
«Да, но у меня не намечается никаких поездок.»
«Хорошо», сказал звонивший с дружелюбным смехом, «Вы уверены, что вы не собираетесь ехать в Сан-Франциско?»
«Если Вы сомневаетесь, вы можете поговорить с моим боссом…», сказал Питер, подыгрывая дружеской беседе.
«Звучит как путаница», ответил звонивший. «В нашей системе мы заказываем билеты, ссылаясь на номера работников. Возможно, кто-то использовал неправильный номер. Какой у Вас номер служащего?»
Питер любезно сказал свой номер. А почему нет? Он пишет его почти на каждой персональной форме, когда их заполняет, многие люди в компании имеют к нему доступ — человеческие ресурсы, платёжные ведомости и, очевидно, внешние транспортные агентства. Никто не относится к номеру работника как к чему-то секретному. Так какая разница?
Ответ нетрудно предсказать. Два или три куска информации — это иногда всё, что нужно для эффективного превращения, когда социальный инженер скрывается под чьей-то персоной. Узнать имя работника, его телефонный номер, его номер работника и, возможно, на всякий случай, имя и телефон его начальника, — и тогда компетентный социальный инженер будет знать почти всё, что ему нужно, чтобы звучать правдоподобно, когда он позвонит его следующей жертве.
Если бы вчера позвонил кто-нибудь и сказал, что он был из другого отдела вашей компании, и, учитывая вероятную причину, спросил ваш номер работника, вы бы отказались его сообщить?
А, между прочим, какой у Вас номер социального страхования?
Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную информацию или идентификаторы любому, если вы не узнаёте его или её голос.
Предотвращение обмана
Ваша компания ответственна за то, чтобы предупредить работников насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание работников о надлежащей работе с корпоративной бизнес-информацией. Политика классификации данных поможет вам осуществить надлежащий контроль за раскрытием информации. Без политики классификации данных вся внутренняя информация должна рассматриваться как конфиденциальная, если не определено иначе.
Примите к сведению эти шаги для защиты вашей компании от распространения кажущейся безвредной информации:
Отдел информационной защиты должен проводить обучения, детализуя методы, используемые социальными инженерами. Один метод, описанный выше, касается получения кажущейся нечувствительной информации и использование её для получения краткосрочного доверия. Каждый работник должен знать, что когда у звонящего есть знания о процедурах компании, лексике и внутренних идентификаторах, он должен подтвердить личность звонящего или получить от него разрешение на получение того, что он хочет. Звонящий может быть обычным работником или подрядчиком с необходимой внутренней информацией. Соответственно, на каждой корпорации лежит ответственность за определение соответствующего опознавательного метода, для использования в случаях, когда работники взаимодействуют с людьми, которых не могут узнать по телефону.