Искусство обмана, стр. 40
«Sure, let me bring up the record,» Eric would say. «And, Detective Cole, what's your agency?»
«Jefferson County.» And then Eric would ask the hot questions:
"Detective, what's your requestor code?
What's your driver's license number. «What's your date of birth»
The caller would give his personal identifying information. Eric would go through some pretense of verifying the information, and then tell the caller that the identifying information had been confirmed, and ask for the details of what the caller wanted to find out from the DMV. He'd pretend to start looking up the name, with the caller able to hear the clicking of the keys, and then say something like, «Oh, damn, my computer just went down again. Sorry, detective, my computer has been on the blink, all week. Would you mind calling back and getting another clerk to help you?»
— Мне нужно Soundex по водительскому удостоверению 005602789, — мог спросить полицейский, используя знакомый правоохранительным органам термин.
Таким способом он заканчивал разговор, не вызывая никаких подозрений по поводу того, что не смог обработать запрос офицера полиции. А между тем Эрик уже владел украденной личностью, которую мог использовать для получения конфиденциальной информации из управления в любое время.
Поговорив по телефону несколько часов и получив дюжину кодов запрашивающего, Эрик позвонил на коммутатор и отключил переадресацию звонков.
Многие месяцы после этого он получал денежные отчисления от законных частных детективных агентств, которым было все равно, как он добывал информацию. При необходимости Эрик звонил на коммутатор, включал переадресацию и собирал очередную пачку удостоверений личности полицейских.
Анализируя обман
Давайте взглянем еще раз на хитрости, с помощью которых Эрику удалось обмануть стольких людей. На первом шаге он заставил помощника шерифа в телетайпной ему конфиденциальный номер телефона управления транспорта совершеннейшему незнакомцу, принимая собеседника за свое без проверки его личности.
Затем кто-то на телефонном узле сделал то же самое, веря, что Эрик из компании-производителя оборудования, и сообщил ему номер телефона для дозвона прямо на коммутатор, обслуживающий управление транспорта.
Эрик имел широкие возможности для взлома коммутатора из-за слабой политики безопасности фирмы-производителя, которая использует одну и ту же сервисную учетную запись на всех своих коммутаторах. Для соц. инженера эта беспечность превращает процесс угадывания пароля в легкую прогулку, учитывая, что технический персонал, обслуживающий коммутатор, как, в общем-то, и все люди, выбирают пароли, которые им просто запомнить.
Имея доступ к коммутатору, он настроил переадресацию вызова для одной из телефонных линий управления транспорта на свой сотовый телефон.
И, наконец, в последней и самой ужасающей части истории, Эрик обманом заставлял одного офицера полиции за другим выдавать ему не только их код запрашивающего, но и персональную приватную информацию, знание которой позволило Эрику играть роль полицейского. Несмотря на необходимость обладать определенными техническими знаниями для того, чтобы справиться с задачей, вряд ли бы мошеннику удалось осуществить задуманное без помощи многих людей, у которых не возникло даже мысли о том, что они разговаривают с самозванцем.
Эта история — еще одна иллюстрация феномена, почему люди не спрашивают себя «Почему я?» Почему офицер из телетайпной предоставил информацию какому-то представителю шерифа, которого он не знал или, в нашем случае, незнакомцу, выдающему себя за помощника шерифа, вместо того, чтобы посоветовать тому узнать телефон у напарника или собственного сержанта? И опять, единственное объяснение, которое приходит мне на ум, что люди редко задают себе этот вопрос. И с чего бы им задавать этот вопрос? А, может быть, они не хотят показаться проблемными или бесполезными? Дальше можно только строить догадки на этот счет. Но соц. инженеру не важно «почему», им важно лишь то, что эта маленькая деталь позволяет легко получить информацию, которую существенно сложнее добыть другими путями.
Сообщение Митника
Если в вашей компании используется телефонный коммутатор, что будет делать ответственный сотрудник, если ему позвонить производитель оборудования с просьбой сообщить номер для дозвона на коммутатор? И, кстати, этот сотрудник вообще когда-либо менял на коммутаторе пароль по умолчанию для служебной учетной записи? Этот пароль легко угадывается или подбирается по словарю?
Предотвратить обман
Грамотно используемый защитный код существенно повышает уровень безопасности. Неграмотно используемый защитный код может быть даже хуже, чем вообще отсутствие кода, так как он создает иллюзию защиты, которой на самом деле нет. Что хорошего в кодах, если ваши сотрудники не хранят их в секрете?
Любой компании, использующий устные защитные коды, необходимо ясно и четко объяснить сотрудникам, когда и как эти коды используются. Правильно проинструктированный персонаж из первой части этой главы не должен был бы полагаться на свою интуицию, когда незнакомец спросил его про защитный код. Он почувствовал, что у него не должны спрашивать эту информацию в данной ситуации, но отсутствие четкой политики безопасности и хороший здравый смысл — и он сдался.
Инструкции по безопасности должны включать в себя описание действий служащего, получающего несанкционированный запрос защитного кода. Все сотрудники должны быть обучены немедленно сообщать обо всех запросах защитных кодов (таких как код дня или пароль), сделанных при необычных обстоятельствах. Они также должны сообщать обо всех неудачных попытках установить личность запрашивающего.
Наконец, служащий должен записывать фамилию звонившего, телефон и название офиса или подразделения, прежде чем повесить трубку. А до того, как перезвонить, он должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации. В большинстве случаев это простая тактика — практически все, что нужно, чтобы убедиться, что звонящий на самом деле тот, за кого себя выдает.
Проверка становится несколько сложнее, когда у компании есть только напечатанный телефонный справочник вместе с электронной онлайновой версии. Люди нанимаются, люди увольняются, они переходят из отдела в отдел, меняют должности и телефоны. Твердая копия телефонного справочника устаревает в день публикации, еще даже до распространения. И даже электронным справочникам нельзя доверять, потому что соц. инженеры знают, как их подделать. Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к старшему менеджеру.
Глава 11: Сочетая технологию и социальную инженерию
Социальный инженер живет своей возможностью манипулировать людьми, заставлять делать то, что поможет ему достичь своей цели, но успех обычно требует большого количества знаний и навыков в использовании компьютеров и телефонных систем.
Взлом решетки
Какие системы вы можете вспомнить, защищенные от взлома — физического, телекоммуникационного или электронного? Форт Нокс ? Конечно. Белый Дом? Абсолютно точно. NORAD (North American Air Defence), Северно-американская воздушно-защитная база, расположенная глубоко под горой? Определенно.
А как насчет тюрем и мест заключений? Они должны быть не менее безопасны, чем другие места в стране, верно? Люди редко убегают, и даже если это им удается, их обычно вскоре ловят. Вы можете думать, что государственная организация будет неуязвима для атак социальных инженеров. Но вы будете не правы — нигде нет такой вещи, как «защита от дурака».
Несколько лет назад, пара профессиональных мошенников столкнулись с проблемой. Так получилось, что они унесли большую сумку наличных у местного судьи. У этой пары уже не первый год были проблемы с законом, но сейчас федеральные власти особо заинтересовались. Они поймали одного из мошенников, Чарльза Гондорффа, и посадили его в исправительную колонию рядом с Сан-Диего. Федеральный судья приказал удерживать его как угрозу обществу и потенциального беглеца.