Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Вариации по теме: Сбор кредитных карт
Строя доверие не обязательно требуется делать целую серию звонков, как в предыдущей истории. Я расскажу один случай, где мне потребовалось всего пять минут. Сюрприз для Папы Я один раз сидел за столом в ресторане с Генри и его отцом. В ходе разговора, Генри упрекал отца в раздаче номера его кредитной карточки как если бы, это был его номер телефона. «Конечно, ты должен дать номер карты, когда ты покупаешь что‑ то», он сказал. «Но давать номер карточки в магазине, что записывает номер – это действительно глупо». «Единственное место, где я сделал это, была Видео Студия», – сказал мистер Конклин, назвав ту самую сеть видео магазинов. " Но я проверяю мои счета в Visa каждый месяц. Если расходы будут превышать ожидаемое, я узнаю об этом. “Уверен", сказал Генри, «но как только у них появится твой номер, очень легко можно будет его украсть». “Ты имеешь в виду плохого служащего”? “Нет, кто‑ нибудь – не обязательно служащий". “Ты говоришь глупости, " сказал мистер Конклин. “Я могу позвонить прямо сейчас и заставить их, чтобы сообщили мне твой номер карточки Visa, " – не успокоился Генри. “Нет, ты не сможешь ” – ответил отец. «Я могу сделать это прямо перед тобой за 5 минут, не покидая стола». Мистер Конклин огляделся, со взглядом того, кто чувствует уверенность в себе, но не хочет показывать это. «Я говорю что ты не знаешь, что говоришь», – гаркнул он, вытаскивая бумажник и ложа пятьдесят долларов на столе. " Если ты сможешь сделать то, про что ты говоришь, то это твое”. «Мне не нужно твоих денег, папа», –сказал Генри. Он вытащил сотовый телефон, спросил отца, каким филиалом он пользуется, и позвонил помощнику директора также как и на номер магазина в соседнем Sherman Oaks. Затем он позвонил в магазин на Sherman Oaks. Используя тот же метод, что описывался в предшествующем рассказе, он быстро узнал имя менеджера и номер магазина. Затем он позвонил в магазин, где у его отца был счет. Он использовал старый трюк с менеджером, используя имя менеджера как его собственное и номер магазина, который он только что получил. Потом использовал ту же уловку: «Ваши компьютеры работают хорошо? Наши сильно заглючили». Он услышал ответ менеджера и затем сказал: «Хорошо, у меня здесь один из ваших клиентов, который хочет арендовать видео, но наши компьютеры сейчас не работают. Мне нужно чтобы вы нашли счет клиента и убедились что он – клиент вашего филиала». Генри дал ему имя отца. Затем, использовав только легкое изменение в технике, он попросил прочитать информацию о счете: адрес, номер телефона, и дату когда счет был открыт. И затем он сказал, «Слушайте, у меня тут большая очередь клиентов. Какой номер кредитной карточки и дата истечения срока? » Генри прижал телефон одной рукой к уху, пока он писал на бумажной салфетке другой рукой. Когда разговор был завершен, он положил салфетку перед его отцом, который пристально наблюдал за этим с открытым ртом. Мистер Конклин выглядел полностью потрясенным, как если бы его доверие только что рухнуло. Анализ обмана Думайте что говорите, когда кто‑ то неизвестный вам спрашивает о чем‑ то. Если грязный незнакомец постучит в вашу дверь, вы вряд ли позволите ему войти, а если незнакомец постучит в вашу дверь хорошо одетый, с начищенными до блеска туфлями, хорошей прической, с хорошими манерами и улыбкой, Вы, вероятно, будете значительно меньше подозрительными. Может быть он – действительно Джейсон из фильма Пятница 13‑ е, но вы начинаете ему доверять, пока он нормально выглядит и без ножа в руке. Что менее очевидно – то, что мы судим людей по телефону точно так же, как и обычно. Говорит ли этот человек так, как будто пытается продать мне что‑ то? Он дружелюбный и общительный или я чувствую враждебность или давление? Говорит ли он или она как образованный человек? Мы судим по этим вещам и возможно, многим другим бессознательно, в спешке, часто во время первых секунд разговора. Сообщение от Митника Человеку свойственно думать, что вряд ли его обманут именно в этой конкретной сделке, по крайней мере, пока нет причин предполагать обратное. Мы взвешиваем риски и затем, в большинстве случаев, доверяем без всяких сомнений. Это естественное поведение цивилизованного человека… по крайней мере, цивилизованных людей, которыми никогда не манипулировали или не обманывали на крупную суму денег. Когда мы были детьми, наши родители учили нас не верить незнакомцам. Может быть, нам всем следовало бы придерживаться этому вековому принципу в сегодняшней рабочей обстановке. В работе, люди просят нас все время о чем‑ то. Вы имеете электронный адрес этого парня? Где самая последняя версия списка клиентов? Кто субподрядчик в этой части проекта? Пожалуйста, пошлите мне самое последнее обновление проекта. Мне нужна новая версия исходного кода. И как можно догадаться: иногда люди, которые просят о чем‑ либо, являются людьми, которых вы не знаете лично, к примеру, те, кто работает в другой части компании. Но если информация, которую они дают, подтверждается, и, оказывается, что они знакомы («Марианна сказала…»; «Это находится на сервере K‑ 16…»; «… исправленное издание 26 нового продукта планируется»), мы расширяем наш круг доверия, чтобы включить их, и радостно даем им то, о чем они просят. Конечно, мы не всегда спрашиваем себя: «Почему кому‑ то на заводе в Далласе нужно увидеть новые планы продукта? » или « могло бы навредить чему‑ нибудь, если дать имя сервера, где они находятся? » Итак, мы задаем иные вопросы. Если ответы являются разумными и произносятся в нормальном тоне, мы понижаем бдительность, возвращаясь к нашей естественной склонности доверять нашему «приятелю» мужчине или женщине, и сделаем (в рамках разумного) все, что нас попросят сделать. И не думайте, что нападающий атакует только тех людей, которые пользуются компьютерной системой компании. Как насчет парня в почтовой комнате? «Вы хотите меня о чем‑ то попросить? Бросить это во внутренний почтовый ящик компании? » Клерк из комнаты почты знает, что там дискетка со специальной небольшой программой для секретаря CEO, управляющего делами? Теперь нападающий получает собственную персональную копию email CEO. ОПА! Могло ли что‑ то подобное случаться в вашей компании? Ответ – конечно.
Одноцентовый сотовый телефон
Многие люди оглядываются пока не найдут лучшую сделку; социальные инженеры не ищут лучшую сделку, они ищут путь, чтобы сделать сделку выгоднее. Например, иногда компания запускает маркетинговую кампанию, так что вы не можете пропустить ее, пока социальный инженер смотрит на предложение и гадает, как он может улучшить сделку. Недавно, у национальной сотовой компании была акция: предлагали новый телефон за один цент, если вы подпишете контракт. Очень много людей обнаружило слишком поздно, что есть много вопросов, которые предусмотрительный покупатель должен спрашивать прежде, чем подписаться на контракт сотовой связи: план услуг аналоговый, цифровой, или комбинированный; количество бесплатных минут в месяц; включена ли в цену плата за роуминг, и так далее. Особенно важно, чтобы понять перед заключением контракта, на сколько месяцев или лет Вы заключаете контракт? Одного социального инженера в Филадельфии привлек дешевый телефон, предложенный сотовой компанией в контракте, но он ненавидел тарифные планы, которые были в контракте. Не проблема. Вот один путь, по которому он мог управлять ситуацией. Первый звонок: Тед Сначала, социальный инженер звонит в магазин электроники в West Girard. «Электронный Город. Это Тед.» " Привет, Тед. Это – Адам. Слушай, Я пару дней назад говорил с продавцом о сотовом телефоне. Я сказал ему что перезвоню, когда решу, какой тарифный план выбрать, и я забыл его имя. Кто тот парень, который работал в этом отделе на днях? «Тут не один продавец. Это был Вильям? » «Я не уверен. Может быть, это было Вильям. Как он выглядит? » «Высокий худой парень». «Я думаю, это был он. Повторите пожалуйста, как его фамилия? » «Хедли Х–Е–Д–Л–И» «Да, вроде это был он. Когда он снова будет? » Я не знаю его расписание на эту неделю, но на вторую смену люди приходят около пяти". «Хорошо. Я проговорю с ним сегодня вечером. Спасибо, Тед.» Второй Звонок: Кети Следующий звонок – в магазин той же самой компании на North Broad Street. «Привет, Электронный Город. Кети на проводе, чем могу вам помочь? » «Кети, Привет. Это – Вильям Хедли, из магазина на West Girard. Как идут сегодня дела? » «Неважно, а что случилось» «У меня есть клиент, который пришел по акции “сотовый телефон за один цент”. Знаешь что я имею в виду? » «Знаю. Я продала пару таких на прошлой неделе». «У вас еще есть телефоны, которые идут с этой акцией? » «Получили кучу таких». «Прекрасно. Я только что продал один клиенту. Парень заплатил кредит; мы подписали с ним контракт. Телефон оказался бракованным, и у нас больше нет ни одного телефона. Я так смущен. Вы можете мне помочь? Я пошлю его в ваш магазин, чтобы приобрести телефон. Вы можете продать ему телефон за один цент? И он обязан перезвонить мне, как только он получит телефон, чтобы я смог ему рассказать про акцию». «Да, конечно. Пришлите его сюда». «Хорошо. Его имя Тед. Тед Янеси.» Когда парень, который назвал себя Тедом Янеси, появился в магазине на улице North Broad St. Кети выписала счет и продала сотовый телефон за один цент, так как ее просил коллега. Она попалась на трюк мошенника. Когда пришло время заплатить, покупатель не имел ни цента в кармане, так что он добрался до небольшой тарелки с мелочью у кассового аппарата, взял один, и дал девушке за регистрацию. Он получил телефон, не платя ни одного цента за это. Теперь он может прийти в другую компанию, которая использует телефоны того же стандарта и заказать себе другой тарифный план без контрактных обязательств. Анализ обмана Людям естественно доверять в более высокой степени коллеге, который что‑ то просит, и знает процедуры компании, жаргон. Социальный инженер в этом рассказе воспользовался преимуществом, узнав детали компании, выдавая себя за служащего компании, и прося помощи в другом филиале. Это случается между филиалами магазинов и между отделами в компании, люди физически разделяются и общаются по телефону, никогда не встречая друг друга.
Взлом федералов
Люди часто не думают, какие материалы их организации доступны через Интернет. Для моего еженедельного шоу на KFI Talk Radio, в Лос‑ Анджелесе продюсер покопался в сети и обнаружил копию руководства для получения доступа к базам данных Национального Центра Информационных Преступлений. Позже он обнаруживал реально работающее руководство NCIC, секретный документ, который дает возможность для поиска информации из национальной базы данных FBI. Руководство является справочником для агентств силовых ведомств, который дает коды для поиска информации о преступниках и преступлениях из национальной базы данных. Агентства всей страны могут найти ту же базу данных для информации, для помощи, в борьбе с преступностью в своей юрисдикции. Руководство содержит коды, использованные в базе данных начиная с татуировок, заканчивая маркировкой украденных денег и обязательств. Любой с доступом к руководству может найти синтаксис и команды, чтобы получить информацию из национальной базы данных. Затем, следуя инструкциям из руководства, каждый может извлечь информацию из базы данных. Руководство также дает телефонные номера технической поддержки в системы. Вы можете иметь аналогичные описания в вашей компании, предлагающей коды продуктов или коды для доступа к важной секретной информации. Несомненно, ФБР бы никогда не обнаружило, что их важнейшие руководства и инструкции доступны для каждого в сети, и я не думаю, что они были бы очень счастливы, узнав об этом. Одна копия была опубликована государственным отделом в Орегоне, другая правоохранительными органами в Техасе. Почему? В каждом случае, они, вероятно, подумали, что информация не была важна и, став доступной, она не могла причинить вред. Может быть, кто‑ то поместил это в их внутренней сети для удобства собственным служащим, иногда не понимая, что информация стала доступна для любого в Интернет, кто имеет доступ к хорошей поисковой машине, как, например, Google – включая просто любопытных, продажных полицейский, хакеров, и преступные организации. Подключение к системе Принцип использования такой информации для обмана кого‑ то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных или приложениям, или узнать имена серверов компании, жертвы начинают полагать, что он говорит правду. И это ведет к доверию. Если социального инженера есть такие коды, то получение информации для него – легкий процесс. В этом примере, он мог начать со звонка служащему местного полицейского управления, и задать вопросы относительно одного из кодов в руководстве – например, код правонарушения. Он мог, например, говорить «когда я делаю запрос в NCIC, я получаю ошибку „Системная ошибка“. Вы получаете то же самое, делая запрос? Вы не могли бы пробовать это для меня? » Или он может сказать, что попытался найти wpf – на полицейском жаргоне файл на разыскиваемую особу. Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с процедурами и командами запросов в базе данных NCIC. Кто еще кроме служащих может знать такие тонкости? После того, как служащий подтвердит, что система работает хорошо, разговор мог быть приблизительно таким: «Я мог бы вам немножко помочь. Что Вы ищете»? «Мне нужно сделать запрос про Редрона, Мартина. Дата рождения 10/18/66.» «Что какой у него SOSH? » (Служители закона иногда ссылаются на номер социального страхования как SOSH.) «700‑ 14‑ 7435.» После просмотра листинга, он могла бы сказать, например, «Его номер – 2602.» Атакующий должен только посмотреть в базе NCIC, чтобы узнать значение числа: какие преступления совершил человек. Анализ обмана Совершенный социальный инженер не остановится ни на минуту, чтобы обдумывать пути взлома базы данных NCIC. А зачем задумываться, когда он просто позвонил в местный полицейский отдел, спокойно говорил, и звучал убедительно, будто он работает в компании, – и это все, что потребовалось, чтобы получить нужную ему информацию? И в следующий раз, он просто позвонит в другой полицейский участок и использует тот же предлог. LINGO SOSH – сленг правоохранительных органов для номера социального страхования. Вы могли удивиться, не рискованно ли позвонить полицейский участок, офис шерифа, или в офис дорожного патруля? Не сильно ли атакующий рискует? Ответ – нет… и по особой причине. Служители закона, подобно военным, имеют укоренившееся в них из первого дня в академии отношение к высшим или низшим по званию (рангу). Пока социальный инженер выдает себя сержантом или лейтенантом – т.е человеком с более высоким званием, чем тот, с кем он общается – жертвой будет управлять этот хорошо запомненный урок, который говорит, что вы не должны задавать вопросы людям, что выше вас званием. Звание, другими словами, имеет привилегии над теми, у кого более низкий чин. Но не думайте что полицейские участки и военные структуры – единственные места, где социальный инженер может использовать привилегии в звании. Социальные инженеры часто используют «преимущество высокого ранга» в корпоративной иерархии как оружие в атаке на предприятиях – что демонстрируются во многих рассказах в этой книге.
Предотвращение обмана
Какими мерами может воспользоваться ваша организация, чтобы уменьшить вероятность, что социальные инженеры воспользуются преимуществом над природными инстинктами ваших служащих, чтобы поверить людям? Вот некоторые меры. Защитите ваших клиентов В наш электронный век многие компании, продающие что‑ то потребителю, сохраняют кредитные карты в файле. На то есть причины: он облегчает клиенту работу, обеспечивая информацией о кредитной карточке всякий раз, когда он посещает магазин или веб‑ сайт, чтобы оплатить. Тем не менее, практика огорчает. Если Вам приходится сохранять номера кредитных карточек в файле, то это должно сопровождаться мерами безопасности, которые включают шифрование или использование управления доступом. Служащие должны быть подготовленными, чтобы распознать трюки социальных инженеров, как в этой главе. Служащий компании, которого вы никогда лично не видели, ставший телефонным другом, может быть не тем, за кого он себя выдает. Ему необязательно знать, как получить доступ к секретной информации клиента, потому что он может вовсе не работать в вашей компании. Сообщение от Митника Все должны быть осведомлены о методах действия социальных инженеров: собрать как можно больше информации о цели, и использовать, эту информацию, чтобы приобрести доверие как будто он свой человек. А затем перейти в нападение! Разумное доверие Не только люди, имеющие доступ к важной информации – разработчики программного обеспечения, сотрудники в научно‑ исследовательских и опытно‑ конструкторских работ, должны быть защищены от атаки. Почти каждый в вашей организации должен быть обучен защищать предприятие от промышленных шпионов и похитителей информации. Создавая основы, нужно начать с обследования предприятия – доступ к банкам информации, уделяя внимание каждому важному, критическому аспекту, ценным активам, и спрашивая, какие методы нападения могут использовать, чтобы с помощью техники социальной инженерии получить доступ к этим ценным данным. Соответственная подготовка для людей, которые имеют доступ к такой информации, должна проектироваться вокруг ответов на эти вопросы. Когда кто‑ то незнакомый вам лично просит некоторую информацию или материал, или просит, чтобы вы выполнили любые команды на вашем компьютере, нужно задать себе следующие вопросы. Если я дал эту информацию моему наихудшему врагу, могло бы это использоваться, чтобы повредить мне или моей компании? Я полностью понимаю потенциальный результат команд, что меня попросили ввести в компьютер? Мы не хотим прожить жизнь, подозревая каждого нового человека, которого мы встречаем. Но чем больше мы доверчивы, тем больше вероятность того, что следующий социальный инженер, который появился в городе, сможет обмануть нас, заставить выдать конфиденциальную информацию нашей компании. Популярное:
|
Последнее изменение этой страницы: 2016-04-10; Просмотров: 752; Нарушение авторского права страницы