информационная безопасность
без паники и всерьез
 подробно о проекте
Все любят медЗа кого нас держат?Атака на Internet Rambler's Top100
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Ноябрьский перевыпуск октябрьского... 
 Закопать Flash 
 Октябрьские патчи от MS и перевыпуск... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / the art of deception / ответный удар
THE ART OF DECEPTION
главная
от переводчиков
unprinted chapter
введение
предисловие
вступление
самое слабое звено в безопасности
когда безвредная информация опасна
прямая атака: просто попроси
внушая доверие
"разрешите вам помочь"
"не могли бы вы помочь?"
фальшивые сайты и опасные приложения
используя чувство симпатии, вины и запугивание
ответный удар
проникновение на территорию
сочетая технологию и социальную инженерию
aтака на служащего низшего звена
умные мошенники
знание об информационной безопасности и тренировки
краткое описание безопасности в организации
библиография
благодарности




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон



The Bat!

Глава 9: Ответный удар

(Chapter 9 The Reverse Sting)

//Глава еще редактируется

Перевод: Vedmak (wiz_ard[at]mail.ru)

The String, упомянутый где-либо в этой книге (и, по моему мнению, самый лучший фильм, когда-либо снятый о мошенничестве), изображает ловкую задумку в массе обворожительных деталей. Операция, описанная в фильме - удачный пример того, как лучшие мошенники проделывают "the wire," один из трех видов обманов, которых называют «большими мошенничествами». Если вы хотите знать, как команда профессионалов проделывает аферу, загребая большое количество денег за один вечер, что лучшего учебника не найти.

Но обычные мошенники, со всеми их специфическими уловками, в целом действуют по определенной схеме. Иногда уловка работает в обратном направлении, что и называется "обратный обман". Трюк в том, что злоумышленник организует ситуацию так, что жертва просит его о помощи, либо злоумышленник отвечает на просьбу коллеги. Как это работает? Сейчас Вы это узнаете.

LINGO
ОБратный обман Мошенничество, в котором жертвы сама просит мошенника о помощи.

Исскуство дружелюбного убеждения

Когда среднестатистический пользователь воображает компьютерного хакера, на ум обычно приходит нелестный образ одинокого, замкнутого умника, лучший друг которого - компьютер и которому трудно общаться средствами, отличными от IM. Социальный инженер, кстати, часто обладающий определенными навыками взлома, имеет массу коммуникативных качеств и развитые способности для использования и манипулирования людьми. Это позволяет ему получать необходимую информацию способами, о возможности которых Вы даже не подозреваете.

Звонок Анжеле

Место: Valley branch, Industrial Federal Bank.
Время: 11:27

Анжела Висновски ответила на телефонный звонок человека, который вот-вот должен был получить приличное наследство и интересовался различными вариантами накопительных вкладов, депозитных сертификатов и других вариантов инвестирования, которые она могла бы ему порекомендовать как надежные, но приносящие определенный доход. Она обяснила, что существует достаточно много вариантов и спросила, не будет ли лучше ему подъехать и на месте обсудить их. Человек ответил, что сразу по получении отправляется в командировку и запланировал еще массу мероприятий. Поэтому она начала рекомендовать некоторые из возможностей, сообщая размеры процентных ставок, что будет, если продать CD (имхо какой-то специальный банковский термин) раньше и т.д., попутно пытаясь определить предполагаемые цели инвестиций.

Ей даже удалось достигнуть определенных успехов в этом вопросе, когда он сказал: "О, простите, мне нужно ответить на другой звонок. Когда я смогу закончить этот разговор и принять решение? Когда у Вас обед?". Она ответила ему 12:30 и он обещал позвонить до обеда или на следующий день.

Звонок Льюису

Крупные банки используют защитные коды для внутреннего пользования, которые меняются каждый день. Когда кому-то из сотрудников требуется информация из другого подразделения, он подтверждает свои права на информацию называя код дня. Для дополнительной защиты некоторые банки используют несколько кодов каждый день. На Западном Берегу в вышеупомянутом Industrial Federal Bank каждый сотрудник получает список из пяти кодов (обозначаемых A – E) на своем компьютере каждое утро.

Место: то же
Время: 12:48 того же дня

Льюис Халпберн (Louis Halpburn) работал как ни в чем ни бывало, когда днем раздался телефонный звонок. Обычный звонок, один из тех, на которые он регулярно отвечал несколько раз в неделю.
- Здравствуйте, - сказал звонивший. - Это Нэйл Вебстер (Neil Webster). Я звоню из отделения 3182, это в Бостоне. Будьте добры Анжелу Висновски.
- Она обедает. Я могу помочь?
- Да, она оставила сообщение с просьбой прислать факсом информацию по одному из наших клиентов.

Казалось у звонившего был не самый удачный день.

- Обычно этим занимается другой человек, который сейчас заболел, - сказал он, - я уже совсем замотался с этим, уже 4 часа, а у меня назначен прием у врача через полчаса.

Тонкость в том, что рассказывая о причинах, вызывающих сочувствие у собеседника, злоумышленник как бы смягчает свою просьбу. Он продолжил:
- Кто-то принял ее звонок, номер факса записан неразборчиво… 213.. что-то там… Что там дальше?

Льюис назвал номер и звонивший сказал:
- ОК, спасибо. Но перед тем, как послать Вам факс, я должен знать код B.

- Но это ВЫ мне позвонили, - сказал Льюис достаточно холодно, чтобы человек из Бостона понял, что он имеет ввиду.

Это неплохо, подумал звонивший. Это даже хорошо, что люди не падают от одного вежливого пинка. Если бы они перестали хоть немного сопротивляться, работа бы стала совсем легкой, и я бы вконец обленился.

Льюису он сказал:
- Наш начальник отделения просто параноик, когда дело касается подтверждения полномочий при отсылке чего-либо куда либо. Но, послушайте, если Вам не особо нужна эта информация, я могу ничего не посылать. И не надо ничего подтверждать.
- Слушайте, - сказал Льюис, - Анжела вернется примерно через полчаса. Я могу сказать ей Вам перезвонить.
- Ладно, я просто скажу ей, что не мог послать информацию сегодня, потому что Вы не подтвердили законность этого запроса кодом. Если я не заболею завтра, я ей позвоню…

Хм… Сообщение помечено как «Срочное»… Ну да ладно, в любом случае без подтверждения у меня связаны руки. Вы ведь скажете ей , что я пытался послать, но вы не назвали код, хорошо?

Льюис оказался под давлением. Отчетливый признак раздражения слышался в голосе из телефонной трубки.

- Хорошо, - сказал он. – Минуту, мне нужно подойти к компьютеру. Какой Вам нужен код?
- В (читается ‘би’ – прим. переводчика), - сказал собеседник.

Он отложил трубку и вскоре взял ее снова. «3184»

- Это неправильный код.
- Нет, правильный: код B – 3184.
- Я не говорил B, я сказал «E» (читается ‘и’ – прим. переводчика).
- Черт. Минуту…
- Е – 9697.
- 9697, да, все правильно. Я отправляю факс, ок?
- Да… конечно.. спасибо.

Звонок Уолтеру

- Государственный индустриальный банк, это Уолтер.
- Привет, Уолтер, это Боб Грабовски (Bob Grabowski), Студио Сити (Studio City), 38-е отделение, мне нужно, чтобы Вы нашли образец подписи клиента. Образец подписи – это больше, чем просто подпись клиента, карточка содержит также удостоверяющую информацию вроде номера социального страхования, даты рождения, девичьейфамилии матери, иногда даже номер водительского удостоверения. Вообще очень полезная вещь для социального инженера.

- Да не вопрос. Какой код С?

- За моим компьютером сейчас другой сотрудник, - сказал звонивший, - Но я только что называл коды B и E, и помню их так. Спроси меня один из них?
- Ок, код Е?
- Е – 9697.
Через несколько минут Уолтер отправил по факсу образец подписи по запросу.

Звонок Донне Плейс

- Здравствуйте, это мр. Ансельмо.
- Чем я могу Вам помочь на этот раз?
- Какой номер на 800 мне надо набрать, когда я хочу проверить кредитован ли уже вклад?
- Вы клиент банка?
- Да, я долго не пользовался номером и теперь забыл, где он записан.
- Номер 800-555-8600.

История Винса Капели

Сын уличного полицейского из Спокана ( США, штат Вашингтон – прим. переводчика) Винс с ранних лет знал, что не собирается надрываться часами и рисковать своей шеей за маленькие деньги. Двумя принципиальными целями его жизни стало: уехать из Спокана и начать работать на себя. Когда он учился в старших классах, усмешки его знакомых только раззадорили его еще больше – они думали, что это невероятно смешно, что он так хочет открыть дело, но не знает какое.

В глубине души Винс знал, что они правы. Единственное, что у него получалось хорошо, - это играть принимающим в школьной бейсбольной команде. Но не настолько хорошо, чтобы получать стипендию и совсем нехорошо для профессионального бейсбола. Какой бизнес он мог бы начать?

И только одного никогда не понимали одногруппники Винса: Если у кого-то из них что-то было, скажем новый складной нож, модные теплые перчатки или новая симпатичная подружка, если это нравилось Винсу, вскоре он это получал. Нет, он не крал ничего за чьей-либо спиной, этого не требовалось. Владелец сам охотно отказывался и потом удивлялся, как такое могло произойти. Не помогали даже расспросы самого Винса: Он сам не знал, как это получается. Люди, казалось, разрешали ему все, что он хотел.

Винс Капели был социальным инженером с ранних лет, даже никогда не слышав этого термина.

Его друзья разом перестали смеяться, когда все они получили по диплому. Пока другие слонялись по городу в поисках работы, на которой не надо было говорить «Не желаете ли картошку-фри?» отец Винса отослал его к старому полицейскому, который уволился со службы, чтобы открыть свое частное детективное агентство в Сан-Франциско. Тот быстро увидел талант Винса и взял его на работу.

Это было 6 лет назад. Он ненавидел работу, заключавшуюся в сборе компромата на неверных супругов, которая превращалась в мучительные часы тупого сидения и наблюдения, но чувствовал постоянный интерес к заданиям раскопать информацию о капиталах для адвокатов, пытающихся выяснить, что жалкий нищий достаточно богат и стоит подачи иска.

Как, например, когда ему требовалось заглянуть в банковские счета парня по имени Джо Марковиц (Joe Markowitz). Джо, вероятно, провернул темное дельце с своим бывшим другом и это друг теперь хотел знать, был ли Марковиц достаточно богат, чтобы в случае подачи иска вернуть с него некоторую сумму денег.

Для начала Винсу желательно было бы узнать по меньшей мере один, но лучше два, банковских защитных кода на текущий день. Это звучит почти нереально, что может заставить банковского работника открыть лазейку в собственной системе безопасности? Спросите себя, если бы вам потребовалось что-нибудь подобное, как бы вы этого добились?

Для людей вроде Винса это очень просто.

Люди доверяют тебе, если ты знаешь их профессиональный жаргон, некую внутреннюю форму общения их компании, скрытую от посторонних глаз. Это как бы способ показать, что ты один из них, своего рода секретное рукопожатие.

Мне не требовалось знать много для подобной операции. Уж точно не операция на мозге. Для начала потребовался лишь номер отделения банка. Когда я позвонил в отделение на Бикэн Стрит (Beacon Street) в Буффало, человек, который ответил, был похож на болтуна.

- Это Тим Экерман, - сказал я. Подойдет любое имя, он, очевидно, не собирался его никуда записывать. – Какой у Вас номер отделения?

Он хотел знать, назвать ли “телефон или номер отдела”, что довольно-таки глупо, потому что я только что набрал номер, не так ли? (скорее всего, это своеобразная процедура аутентификации на фирме – прим. Редактора)

“Номер отдела”

- 3182, - ответил он. Вот так. Никаких там, «Зачем Вам это надо?» и т.п. Потому что это не секретная информация, это написано почти на каждом кусочке бумаги, с которым они работают.

Шаг второй: позвонить в отделение, где обслуживается моя цель, получить имя одного из их сотрудников и выяснить, кто из них будет отсутствовать во время обеда. Анжела. Уходит в 12:30. Все путём!

Шаг третий: звоним в то же отделение, пока Анжела обедает, говорим, что мы из отделения такого-то из Бостона, Анжеле нужна информация по факсу, давайте нам код дня. Это самая сложная часть. Если бы я придумывал тест для социального инженера, я бы обязательно включил бы в него что-нибудь подобное, когда твоя жертва становится подозрительной – и не без оснований – и ты продолжаешь давить пока не сломаешь ее и не получишь нужную информацию. Вы не сможете сделать это, повторяя строчки сценария или заучив процедуру, необходимо прочитать свою жертву, понять ее настроение, играть с ней, как с рыбкой, отпуская немного, а затем вновь подтягивая леску. И так пока не поймаешь ее в сеть, и она не шлепнется в лодку. Шлеп!

Итак, я его поймал и заполучил один из кодов дня. Это успех. Большинство банков используют один код, так что я уже мог бежать домой. Промышленный банк использует пять кодов, так что иметь один код из пяти маловато. С двумя из пяти у меня были бы существенно большие шансы пройти следующий эпизод этого маленького спектакля. Мне понравилась фишка про «Я не сказал ‘би’, я сказал ‘и’». Когда это срабатывает, это прекрасно. А срабатывает это в большинстве случаев.

Получить третий код было бы еще лучше. Причем у меня действительно получалось получить их за один звонок – ‘B’, ‘D’ и ‘E’ так похоже звучат, что вы можете настаивать на том, что вас снова не поняли. Но это только в разговоре с действительно слабым противником, а этот человек легкой добычей не был. Я ушел с двумя.


Коды дня станут моим ключом к получению образца подписи. Я звоню, а человек спрашивает код С. Но у меня только B и E. Но это совершенно не конец света. Необходимо оставаться хладнокровным в такие моменты, говорить уверенно, продолжать максимально ровно, я сыграл что-то типа: «Мой компьютер сейчас занят, спросите меня один из этих кодов».

Мы все сотрудники одной компании, мы все делаем одно дело, надо помочь напарнику – так, надо надеяться, думает жертва в этот момент. И он играл прямо по сценарию. Он выбрал вариант из предложенных, я дал ему правильный ответ, он отправил мне факс с образцом подписи.


Почти у цели. Еще один звонок дал мне номер телефона, по которому автоматическая служба зачитывает клиенту требуемую информацию. Из карточки с образцом подписи, я знал все номера счетов жертвы и его PIN-код, т.к. банк использует первые пять или последние 4 цифры номера карточки социального страхования. Итак, с ручкой в руках, я позвонил в службу и после нескольких минут и пары нажатий на кнопки я получил последние сведения о балансе на всех счетах, и плюс к этому – его последние депозиты и съемы средств по ним.

Все, что заказывал мой клиент и даже больше. Я всегда люблю дать немножко больше, чем требуется за те же деньги. Клиент должен быть счастлив. Кроме того, повторяемость бизнеса – это основа развития.

Анализируя обман

Ключевым моментов всего этого эпизода было получение всех необходимых кодов дня, и для достижения этого, атакующий, т.е. Винс использовал несколько различных приемов.

Он начал с небольшого словесного «выкручивания рук», когда Льюис отказался дать ему код. Льюис был прав в своей подозрительности – коды придуманы для того, что бы использовать их в противоположном направлении. Он знал, что при обычном порядке неизвестный звонящий сообщит ему защитный код. Это был критический момент для Винса, от этого зависел успех всей задуманной им операции.

Столкнувшись с подозрительностью Льюиса, Винс просто сгладил ее, вызывая симпатию («собирался к доктору»), используя давление (“мне уже надоело всем этим заниматься, уже 4 часа») и манипулирование («Скажите ей, что не дали мне код»). На самом деле, Винс не угрожал ему, он только подразумевал это: «Если вы не дадите мне защитный код, я не вышлю информацию о клиенте, которую просил ваш коллега, и я скажу ему, что собирался послать, но вы не согласились сотрудничать».

Не будем, однако, поспешно винить Льюиса. В конце концов, человек, звонивший по телефону знал (или по крайней мере похоже, что знал), что Анжела запрашивала факс. Звонивший знал о защитных кодах, и знал, что они называются буквами алфавита. Он сказал, что начальник его отделения требует их для большей защищенности. На самом деле нет причин не дать ему подтверждение, о котором он просит.

Льюис не одинок. Сотрудники банков сообщают защитные коды социальным инженерам каждый день. Невероятно, но факт.

Существует грань, за которой действия частного детектива перестают быть законными и становятся преступными. Винс не нарушил закон, когда он узнал номер отделения. Он даже не нарушил закон, когда обманом заставил Льюиса выдать ему два защитных кода. Он перешел грань, когда получил по факсу конфиденциальную информацию о клиенте банка.

Но для Винса и его нанимателя это не слишком рискованное преступление. Когда Вы воруете деньги или вещи, кто-то замечает, что они пропали. Если Вы украли информацию, часто никто этого не заметит, так как информация по прежнему остается у владельца.

Сообщение Митника

Устные защитные коды эквивалентны паролям в обеспечении удобных и надежных средств защиты информации. Но сотрудники должны быть осведомлены об уловках, применяемых социальными инженерами, и обучены не выдавать ключи от королевства.


Полицейские - жертвы обмана

Для не слишком чистого на руку частного детектива или социального инженера часто бывает весьма сподручно знать номер чьего-нибудь водительского удостоверения, например, если необходимо притвориться другим человеком с целью получения информации о его банковских счетах.

Исключая кражу бумажника или подсматривание через плечо при удобной возможности, выяснение номера водительского удостоверения представляется практически невозможным. Но для любого человека даже с самыми скромными навыками в социальной инженерии это вряд ли проблема. Конкретному социальному инженеру – назовем его Эрик Мантини (Eric Mantini), необходимо было регулярно узнавать номер удостоверений и регистрационные номера транспортных средств. Эрик понимал, что бессмысленно раз за разом рисковать, звоня в Управление Транспорта (Department of Motor Vehicles, DMV) и используя всяческие ухищрения всякий раз, когда ему нужна подобная информация. Он захотел выяснить, а нет ли способа упростить процесс.

Возможно, никто не думал об это прежде, но он нашел способ получать информацию в мгновение ока, когда она требовалась. Он сделал это воспользовавшись преимуществами услуги, предоставляемой Управлением Транспорта (УТ) его штата. Многие УТ (или аналогичное управление в вашем штате) делают секретную информацию о гражданах доступной страховым компаниям, частным детективам и некоторым другим лицам, которые законодательный орган штата считает в праве пользоваться ей для пользы экономической и социальной жизни в целом.

УТ, конечно, имеет соответствующие ограничения на типы информации, которую можно предоставлять. Страховщики могут иметь доступ к определенным типам информации из досье, но не ко всем. Различные ограничения установлены для частных детективов и т.д.

Для сотрудников правоохранительных органов в основном применяется другое правило: УТ обеспечит любой информацией из архива любого блюстителя порядка, правильно подтвердившего свою личность. В штате, где жил Эрик для идентификации требовался Код Запрашивающего (Requestor Code), назначаемый УТ, и номер водительского удостоверения. Сотрудник Управления должен был всегда сверять имя офицера с его номером водительского удостоверения и еще какой-то информацией – обычно датой рождения – перед передачей какой-либо информации.

Социальный инженер Эрик захотел никак не меньше, как надеть маску полицейского! Как ему это удалось? С помощью обратного обмана полицейских!

Хитрость Эрика

Сначала он позвонил в справочную и спросил номер телефона центрального офиса Управления Транспорта в столице штата. Ему дали номер 503-555-5000. Естественно, это был номер для обычных звонков населения. Затем он позвонил в ближайший полицейский участок и спросил номер телетайпной - откуда передавалась и где принималась информация от других правоохранительных органов, государственной базы данных о преступлениях, местных ордерах и постановлениях и т.п. Позвонив в телетайпную, он спросил номер телефона, по которому сотрудники должны звонить в управление транспорта.

- Вы кто? – спросил офицер из телетайпной.

- Это А1. Я набирал 503-555-5753, - ответил Эрик. Номер основывался частично на предположении, частично был взять с потолка: совершенно очевидно, что подразделение в УТ, отвечающее на звонки сотрудников правоохранительных органов будет иметь тот же код области, что и номер для публичных звонков; и практически наверняка следующие 3 цифры номера (префикс) тоже совпадут. И, по-хорошему, все что нужно – это выяснить последние 4 цифры.

В телетайпную не звонят «с улицы», а звонивший уже знал большую часть номера. Конечно, это был кто-то из сотрудников.

- Номер 503-555-6127, - сказал офицер.

Итак, Эрик теперь знал специальный телефонный номер управления транспорта для сотрудников правоохранительных органов. Но одного номера было недостаточно; отдел управления должен был иметь гораздо больше, чем одна телефонная линия и Эрику требовалось знать, сколько там линий и номер каждой из них.

Коммутатор

Чтобы осуществить задуманное, ему нужно было получить доступ к телефонному коммутатору, который управлял телефонной связью между полицией и УТ. Он позвонил на телефонный узел и представился сотрудником компании Нортел (Nortel), производителя DMS-100, одного из наиболее распространенных коммерческих телефонных коммутаторов. Эрик спросил:
- Не могли бы Вы переключить меня на техника, который обслуживает DMS-100?

Технику он сказал, что из Центра Поддержки Технических Специалистов Нортела в Техасе, и объяснил, что они создают базу данных для обновления всех коммутаторов свежими версиями ПО. Предполагается, что обновление будет происходить удаленно, без вмешательства техников. Но ему нужен входной номер дозвона на коммутатор, чтобы произвести обновление прямо из Центра Поддержки.

Все это звучало полностью правдоподобно, и техник дал Эрик номер. Теперь Эрик могу напрямую звонить на один из государственных телефонных коммутаторов.

Для предотвращения проникновения извне, коммерческие коммутаторы этого типа защищены паролем, как и любая корпоративная компьютерная сеть. Любой хороший социальный инженер с некоторой подготовкой в области фрикинга (phreaking) знает, что нортеловские коммутаторы имеют специальную учетную запись для обновления программного обеспечения: NTAS (Nortel Technical Assistance Support). Но каков пароль? Эрик звонил несколько раз, пробуя один из очевидных или часто используемых вариантов. Пароль NTAS не подошел… Также как и «helper», и «patch»…

Тогда он попробовал «update» … и он подошел. Типично. Использование очевидных, легко угадываемых паролей лишь слегка лучше, чем отсутствие пароля.

Полезно хорошо разбираться в своей сфере деятельности; Эрик, пожалуй, знал о коммутаторе и о том, как его программировать столько же, сколько хороший техник. Имея авторизированный доступ к коммутатору, он получил полный контроль над телефонными линиями, среди которых была его цель. Со своего компьютера, Эрик сделал на коммутаторе запрос по номеру телефона, выданного ему для звонков в УТ, 555-6127. Он обнаружил еще 19 других линий, расположенных в том же отделе. Очевидно, что там обрабатывают большой объем звонков.

Для каждого входящего звонка коммутатор был запрограммирован перебирать 20 телефонных линий до нахождения первой незанятой.

Он выбрал восемнадцатую по счету линию в последовательности и ввел код, который подключал переадресацию вызова для нее. В качестве номера для переадресации он ввел номер своего нового, дешевого, заранее предоплаченного сотового телефона, из тех, что так любят драгдиллеры за дешевизну и, соответственно, возможность легко выкинуть, когда дело будет сделано.

С подключенной переадресацией на восемнадцатой линии, как только отдел будет достаточно занят, обрабатывая 17 звонков, следующий пришедший звонок не прозвонит в отделе управления транспорта, а будет переброшен на сотовый Эрика. И он приготовился ждать.

Звонок в управление

Незадолго до восьми утра зазвонил сотовый телефон. Это самая лучшая часть, просто прелесть. Здесь Эрик, соц. инженер, разговаривает с полицейским, человеком, наделенным властью прийти и арестовать его или получить ордер на обыск.

И даже не один коп, а несколько, один за другим. Однажды Эрик обедал в ресторане с друзьями, экспромтом отвечая на звонки примерно каждые пять минут, записывая информацию на бумажных салфетках. И он все еще находил это забавным.

Общение с полицейскими ничуть не беспокоит подготовленного соц. инженера. По сути, водить полицию за нос даже добавляло Эрику острых ощущений.

А звонки проходили примерно так:
- Управления транспорта, добрый день.
- Это детектив Андрю Коул (Andrew Cole).
- Здравствуйте, детектив. Чем я могу Вам помочь сегодня?

"I need a Soundex on driver's license 005602789," he might say, using the term familiar in law enforcement to ask for a photo--useful, for example, when officers are going out to arrest a suspect and want to know what he looks like.
"Sure, let me bring up the record," Eric would say. "And, Detective Cole, what's your agency?"
"Jefferson County." And then Eric would ask the hot questions:
"Detective, what's your requestor code?
What's your driver's license number. "What's your date of birth"
The caller would give his personal identifying information. Eric would go through some pretense of verifying the information, and then tell the caller that the identifying information had been confirmed, and ask for the details of what the caller wanted to find out from the DMV. He'd pretend to start looking up the name, with the caller able to hear the clicking of the keys, and then say something like, "Oh, damn, my computer just went down again. Sorry, detective, my computer has been on the blink, all week. Would you mind calling back and getting another clerk to help you?"
- Мне нужно Soundex по водительскому удостоверению 005602789, - мог спросить полицейский, используя знакомый правоохранительным органам термин


Таким способом он заканчивал разговор, не вызывая никаких подозрений по поводу того, что не смог обработать запрос офицера полиции. А между тем Эрик уже владел украденной личностью, которую мог использовать для получения конфиденциальной информации из управления в любое время.

Поговорив по телефону несколько часов и получив дюжину кодов запрашивающего, Эрик позвонил на коммутатор и отключил переадресацию звонков.

Многие месяцы после этого он получал денежные отчисления от законных частных детективных агентств, которым было все равно, как он добывал информацию. При необходимости Эрик звонил на коммутатор, включал переадресацию и собирал очередную пачку удостоверений личности полицейских.

Анализируя обман

Давайте взглянем еще раз на хитрости, с помощью которых Эрику удалось обмануть стольких людей. На первом шаге он заставил помощника шерифа в телетайпной ему конфиденциальный номер телефона управления транспорта совершеннейшему незнакомцу, принимая собеседника за свое без проверки его личности.

Затем кто-то на телефонном узле сделал то же самое, веря, что Эрик из компании-производителя оборудования, и сообщил ему номер телефона для дозвона прямо на коммутатор, обслуживающий управление транспорта.

Эрик имел широкие возможности для взлома коммутатора из-за слабой политики безопасности фирмы-производителя, которая использует одну и ту же сервисную учетную запись на всех своих коммутаторах. Для соц. инженера эта беспечность превращает процесс угадывания пароля в легкую прогулку, учитывая, что технический персонал, обслуживающий коммутатор, как, в общем-то, и все люди, выбирают пароли, которые им просто запомнить.

Имея доступ к коммутатору, он настроил переадресацию вызова для одной из телефонных линий управления транспорта на свой сотовый телефон.

И, наконец, в последней и самой ужасающей части истории, Эрик обманом заставлял одного офицера полиции за другим выдавать ему не только их код запрашивающего, но и персональную приватную информацию, знание которой позволило Эрику играть роль полицейского. Несмотря на необходимость обладать определенными техническими знаниями для того, чтобы справиться с задачей, вряд ли бы мошеннику удалось осуществить задуманное без помощи многих людей, у которых не возникло даже мысли о том, что они разговаривают с самозванцем.

Эта история - еще одна иллюстрация феномена, почему люди не спрашивают себя "Почему я?" Почему офицер из телетайпной предоставил информацию какому-то представителю шерифа, которого он не знал или, в нашем случае, незнакомцу, выдающему себя за помощника шерифа, вместо того, чтобы посоветовать тому узнать телефон у напарника или собственного сержанта? И опять, единственное объяснение, которое приходит мне на ум, что люди редко задают себе этот вопрос. И с чего бы им задавать этот вопрос? А, может быть, они не хотят показаться проблемными или бесполезными? Дальше можно только строить догадки на этот счет. Но соц. инженеру не важно "почему", им важно лишь то, что эта маленькая деталь позволяет легко получить информацию, которую существенно сложнее добыть другими путями.

Сообщение Митника

Если в вашей компании используется телефонный коммутатор, что будет делать ответственный сотрудник, если ему позвонить производитель оборудования с просьбой сообщить номер для дозвона на коммутатор? И, кстати, этот сотрудник вообще когда-либо менял на коммутаторе пароль по умолчанию для служебной учетной записи? Этот пароль легко угадывается или подбирается по словарю?

Предотвратить обман

Грамотно используемый защитный код существенно повышает уровень безопасности. Неграмотно используемый защитный код может быть даже хуже, чем вообще отсутствие кода, так как он создает иллюзию защиты, которой на самом деле нет. Что хорошего в кодах, если ваши сотрудники не хранят их в секрете?

Любой компании, использующий устные защитные коды, необходимо ясно и четко объяснить сотрудникам, когда и как эти коды используются. Правильно проинструктированный персонаж из первой части этой главы не должен был бы полагаться на свою интуицию, когда незнакомец спросил его про защитный код. Он почувствовал, что у него не должны спрашивать эту информацию в данной ситуации, но отсутствие четкой политики безопасности и хороший здравый смысл - и он сдался.

Инструкции по безопасности должны включать в себя описание действий служащего, получающего несанкционированный запрос защитного кода. Все сотрудники должны быть обучены немедленно сообщать обо всех запросах защитных кодов (таких как код дня или пароль), сделанных при необычных обстоятельствах. Они также должны сообщать обо всех неудачных попытках установить личность запрашивающего.

Наконец, служащий должен записывать фамилию звонившего, телефон и название офиса или подразделения, прежде чем повесить трубку. А до того, как перезвонить, он должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации. В большинстве случаев это простая тактика - практически все, что нужно, чтобы убедиться, что звонящий на самом деле тот, за кого себя выдает.

Проверка становится несколько сложнее, когда у компании есть только напечатанный телефонный справочник вместе с электронной онлайновой версии. Люди нанимаются, люди увольняются, они переходят из отдела в отдел, меняют должности и телефоны. Твердая копия телефонного справочника устаревает в день публикации, еще даже до распространения. И даже электронным справочникам нельзя доверять, потому что соц. инженеры знают, как их подделать. Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к старшему менеджеру.





Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach