Перевод: ext3 (www.hackzona.ru ) cha0s@ua.fm
Как обсуждалось в Главе 15,социальный инженер использует психологию влияния в достижении своей цели и исполнения просьб. Опытные социальные инженеры очень сведущи в развитии уловок, симулирующих эмоции, такие как страх, возбуждение или вина. Они делают это, используя психологические рычаги – автоматические механизмы, которые ведут людей к исполнению требований без всякой доступной им информации.
Мы все хотим избежать трудных ситуаций для нас и окружающих. Базируясь на этом позитивном импульсе, атакующий может сыграть на симпатии человека, заставить жертву чувствовать свою вину или использовать запугивание в роли оружия.
Вот вам несколько прогрессивных уроков в известной тактике игре на эмоциях.
Вы когда-нибудь замечали, как некоторые люди проходят через охрану на танцевальный вечер в отеле, приватную вечеринку, или презентацию книги без всякого билета или приглашения?
В большинстве случаев, социальный инженер может добиться прохода в такие места, о которых вы и не думали, что это возможно. В этом вы убедитесь на примере следующей истории об индустрии создания фильмов.
Телефонный звонок
"«Офис Рона Хилларда. Это Дороти»
«Привет Дороти. Меня зовут Кайл Беллами. Я только что приступил к работе в отделе Анимации в компании Брайана Глассмана. Вы, ребята, занимаетесь совсем другой деятельностью».
«Я понимаю. Я мало работала над другими фильмами, поэтому не являюсь знатоком. Что я могу для вас сделать?»
«Честно говоря, я чувствую себя довольно тупо. В послеобеденное время ко мне должен прийти писатель, но я даже не знаю, с кем буду говорить и как помочь ему влиться в компанию. Люди из офиса Брайана очень милые, но я не хочу лишний раз надоедать им, как мне сделать это, как мне сделать то. Это как будто я только перешел в старшие классы и не могу найти дорогу в уборную. Вы понимаете о чем я?»
Дороти засмеялась.
«Вам следует поговорить с отделом безопасности. Наберите 7,а потом 6138.Если попадете на Лорен, то скажите, что Дороти просит помочь вам».
«Спасибо, Дороти. И если я не найду уборную, я позвоню вам!»
Они посмеялись над этой фразой и завершили телефонный разговор.
История Дэвида Гарольда
Я люблю фильмы, и когда я переехал в Лос-Анджелес, думал, что повстречаю много людей, работающих в кино – индустрии и они проведут меня на вечеринки и ланчи в студиях. Я был там где-то год, мне исполнилось 26 лет и самое лучшее, чего я достиг – это тур по студии Юниверсал с другими милыми людьми из Феникса и Кливленда. Все подошло к тому, что если бы они не пригласили меня, то я сам сделал бы это. Собственно говоря, так и получилось.
Я купил экземпляр Лос-Анджелес Таймс и читал колонку развлечений на ближайшие пару дней, записывая имена продюсеров различных студий. Я решил попробовать пробиться на одну из больших студий. Так, я позвонил на коммутатор и спросил номер офиса продюсера, о котором я прочитал в газете. Голос секретарши звучал по-матерински, так что мне удавалось добиться удачи. Если бы на ее месте была молоденькая девушка, она бы не стала тратить на меня время.
Но эта Дороти, ее голос напоминал человека, который обязательно подберет заблудившегося на улице котенка и чувствует жалость по отношению к коллеге, подавленному на своей новой работе. И конечно, я нашел к ней верный подход. Не каждый день получается обдурить кого-то так, что он даст вам даже больше, чем вы желали. Она дала мне не только имя одного из людей из отдела Безопасности, но и велела сказать девушке, что Дороти просит ее помочь мне.
Конечно, я в любом случае планировал использовать имя Дороти. И это даже лучше. Ведь Лорен даже не побеспокоится, чтобы проверить, существует ли мое имя в списке служащих.
Когда в тот полдень я подъехал к воротам, у них не только было мое имя в списке посетителей, но и место на стоянке для меня. У меня был небольшой ланч с интендантом и мне бы хотелось большего до конца дня. Я даже пробрался на пару сцен и посмотрел, как снимают фильмы. Я был там до 7 часов. Это был мой самый интересный день.
Анализ обмана
Все когда-то были вновь пришедшими служащими. Все мы помним, что было в первый день, особенно когда мы были молодыми и неопытными. Так что, когда новичок просит о помощи, он может ожидать, что много людей вспомнят о своих первых шагах на этом поприще и протянут ему руку помощи. Социальный инженер знает это и понимает, что может использовать данное знание, чтобы сыграть на симпатиях своей жертвы.
Мы слишком просто позволяем чужакам пробраться в наши компании и офисы. Даже с охранниками на входе и входными процедурами для не служащих компании, какая-нибудь из разнообразных уловок, использующихся в этой истории позволит злоумышленнику получить бэджик посетителя и пройти вовнутрь. А если ваша компания предоставляет сопровождающих для таких посетителей? Это хорошее правило, но оно эффективно лишь в том случае, если ваши работники добросовестно останавливают всех с или без бэджика посетителя, разгуливающего в одиночку. И если он не скажет ничего вразумительного, его стоит передать службе безопасности.
Позволяя чужакам беспрепятственно разгуливать по вашим сооружениям, вы подвергаете опасности частную информацию вашей компании. В наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно рисковать.
Не каждый, кто использует тактику социальной инженерии, является идеальным социальным инженером. Любой, кто владеет внутренней информацией компании, может принести опасность. Риск тем больше для тех компаний, которые хранят в своих файлах и базах данных персональную информацию служащих, и конечно, большинство компаний именно так и поступают.
Когда рабочие не достаточно образованы или натренированы для распознавания атаки социального инжиниринга, даже самый твердый человек будет вести себя, как та леди в предыдущей истории.
История Дуга
У нас с Линдой все шло не так уж хорошо, так что, когда я встретил Айрин, я знал, что она предназначена для меня. Линда, как… немного… в общем, относится к типу не особо неуравновешенных людей, но может пойти на любой шаг, когда у нее депрессия.
Будучи джентльменом, я вежливо объяснил, что она должна съехать от меня, и помог упаковать ее вещи, даже разрешил прихватить пару дисков, которые принадлежали мне. Как только она ушла, я поехал в магазин за новым дверным замком и поставил его в ту же ночь. На следующее утро я позвонил в телефонную компанию и попросил изменить мой номер, а также не опубликовывать его нигде. Это сделало меня свободным и позволило продолжать ухаживать за Айрин.
История Линды
Я была готова уехать, но еще не наметила дату. Но никто не любит чувствовать себя отброшенным. Вопросом было лишь то, как дать ему понять, какое он ничтожество.
Это не заставило долго себя ждать. Там была другая девчонка, иначе он не стал бы с такой скоростью паковать мои вещи. Так что я подождала немного и начала звонить ему каждый день поздно вечером. Знаете, такие действия отбивают у людей желание общаться с кем-либо по телефону.
Я дождалась следующих выходных и позвонила в 11 часов вечера в субботу. Только он сменил номер. И этот номер не был опубликован. Это показывает, каким сукиным сыном он был.
Я стала перебирать бумаги, которые забрала с работы домой, когда ушла из телефонной компании. И там это было – я сохранила ремонтный талон с того раза, когда у Дуга были проблемы с телефонной линией, и на распечатке был указан кабель и пара его телефона. Вы можете поменять номер телефона, но пара медных проводов, идущих от вашего дома до офиса включений телефонной компании (мы называем это Центральным офисом или просто ЦО) останется той же. Набор медных проводов из каждого дома и квартиры идентифицируется по этим номерам, которые называем кабелем и парой. У меня был список ЦО всего города с их адресами и номерами телефонов. Я нашла номер ЦО по соседству с этим ничтожеством Дугом и позвонила, но, разумеется, там никого не было. Где находится коммутаторщик, когда он вам нужен? Разработка плана заняла у меня 20 секунд. Я начала звонить на остальные ЦО и, наконец, застала на одной из них парня. Но я знала, что он находится очень далеко и скорей всего, сидит с задранными на стол ногами. И, конечно же, не захочет выполнить мою просьбу. Но у меня был план.
«Это Линда, Ремонтный Центр» – сказала я. «У нас чрезвычайная ситуация. Вышел из строя сервис для медицинского блока. Мы пытаемся поднять сервис, но не можем найти проблему. Нам нужно, чтобы вы приехали на Вебстер ЦО сейчас же и посмотрели, может ли тоновый набор выйти из ЦО»
И затем я сказала, «Я перезвоню вам, когда вы доберетесь до места», потому что, разумеется, я не могла позволить ему звонить в Ремонтный Центр и спрашивать меня. Я знала, что ему не захочется покидать комфортный ЦО и исполнять мою просьбу, но это была чрезвычайная ситуация, так что он не мог мне отказать.
Когда я обнаружила его на Вебстер ЦО через 45 минут, я сказала ему проверить кабель 29 пару 2481,он ответил, что тоновый набор есть. Это я, конечно же, знала. Затем я говорю: «Отлично, мне нужно, чтобы вы сделали LV»,что значит подтверждение линии, которое запрашивает телефонный номер. Он выполнил это путем дозвона на специальный номер, который считывает и посылает обратно необходимый номер. Он не знал, что это неопубликованный и недавно измененный номер, так что он выполнил мою просьбу, и я услышала номер. Превосходно. Пустышка сработала великолепно. Я поблагодарила его и пожелала спокойной ночи.
Сообщение от Митника
Если однажды социальный инженер узнает, как вещи работают внутри целевой компании, становится очень просто использовать это знание, чтобы наладить связь с законными служащими. Компаниям необходимо готовить к такого рода атакам всех рабочих. Теневые проверки могут помочь определить людей, склонных к данному типу поведения. Но в большинстве случаев, таких людей слишком трудно обнаружить. Единственный выход-это усилить и проверять процедуры идентификации, включая статус рабочего.
Дуг так много сделал, чтобы спрятаться от меня за неопубликованным номером. Веселье только начиналось.
Анализ обмана
Молодая леди в этой истории смогла достать информацию, которая была необходима для осуществления мщения, потому что она владела знанием внутренней работы: телефонные номера, процедуры и жаргон телефонной компании. Обладая этим, она не только смогла найти новый, неопубликованный номер, но и смогла заставить коммутаторщика проехать снежной ночью через весь город ради ее просьбы.
Популярная и высоко эффективная форма запугивания – популярна в больших масштабах, в силу простоты – основывается на влиянии на человеческое поведение, используя авторитет.
Даже просто имя помощника в офисе CEO может быть ценным. Частные сыщики делают это все время. Они позвонят оператору коммутатора и скажут, что хотят подсоединиться к офису CEO.Когда секретарь или главный помощник ответит, они скажут, что у них в наличии имеется документ или пакет для CEO,или если они отправят е-мэйл приложение, распечатает ли она его?
Или иначе, они спросят, какой номер факса? И, кстати, как вас зовут?
Затем они звонят следующему человеку и говорят, «Дженни из офиса мистера Бигса сказала, что вы мне можете помочь кое с чем».
Эту технику можно назвать «бросанием имени», и обычно она используется как метод быстрой установки связи путем влияния на человека, которое заключается в том, что цель начинает верить в связь атакующего с кем-то из крупных специалистов. Лучше всего, если цель оказывает услугу кому-либо, кто знаком с тем, кого знает используемый человек.
Если атакующий нацелился на довольно важную информацию, он может использовать такой вариант, как пробуждение нужных эмоций в жертве, таких как страх доставить неприятности кому-либо из вышестоящих. Рассмотрим следующий пример.
История Скотта
«Скотт Абрамс.»
«Скотт, это Кристофер Далбридж. Я только что разговаривал по телефону с мистером Бигли, и надо сказать, что он больше, чем невесел. Он говорит, что десять дней назад передал вашим людям записку об исследовании степени интеграции рынка, которую они должны были откопировать и отправить нам для анализа. И мы ее не получали».
«Исследование степени интеграции рынка? Никто не говорил мне об этом. В каком вы ведомстве?»
«Он нанял нашу консультационную фирму, и мы уже перед сдачей работы».
«Послушайте, я сейчас направляюсь на встречу. Скажите мне свой номер телефона и»…
Фразы атакующего звучат поистине победно: "Это то, что вы хотите, чтобы я сказал мистеру Бигли? Послушайте, завтра утром он ожидает итога работы наших аналитиков и нам придется работать над этим всю ночь. А теперь, вы хотите, чтобы я сказал ему, что мы не смогли выполнить работу из-за того, что не получили заметку от вас, или, быть может, вы сами хотите сказать ему об этом?"
Анализ обмана
Уловка с использованием запугивания со ссылкой на авторитет работает особенно хорошо в том случае, если другой человек имеет достаточно низкий статус в компании. Использование важного человеческого имени помогает не только побороть нормальное чувство подозрения, но и делает человека более внимательным; врожденный инстинкт желания быть полезным увеличивается, когда вы думаете, что персона, которой вы помогаете, важна и влиятельна.
Социальный инженер также знает, что лучший путь использования данного трюка – использовать имя кого-то более вышестоящего, чем босс жертвы. И данный трюк довольно ненадежен, если использовать его внутри малой организации: атакующий не хочет, чтобы его жертва могла отпустить комментарий кому-нибудь из отдела маркетинга. «Я отправил тот план, о котором говорил мне один из ваших парней», – это может легко вызвать встречный вопрос вроде: "Какой план? Какой парень? " И это может привести к открытию, что компания стала жертвой.
Сообщение от Митника
Запугивание может вызвать страх перед наказанием, который заставит людей сотрудничать. Также запугивание может пробудить страх запутаться в делах или быть вычеркнутым из плана по повышению.
Люди должны знать, что неприемлемо зависеть от чьего-либо авторитета, когда на кону безопасность. Тренировка сотрудников должна включать в себя обучение персонала избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством.
Нам нравится думать, что правительственные организации хранят данные о нас надежно охраняемые от посторонних. Реальность заключается в том, что федеральные управления не так устойчивы к проникновениям, как нам хочется думать.
Звонок от Мэй Линн
Место: региональный офис администрации общественной безопасности
Время: 10.18 утра, четверг
«Это Мэй Линн Ванг»
Голос на другом конце провода звучал примирительно, почти робко.
«Мисс Ванг, это Артур Арондэйл, офис главного инспектора. Могу я звать вас Мэй?»
«Это – Мэй Линн» – отвечает она.
«Хорошо, это так, Мэй Линн. У нас тут новый парень, у которого нет компьютера и прямо сейчас у него приоритетный проект, поэтому он использует мой. Мы работаем в правительстве Америки, и они нам говорят, что у них нет достаточно денег в бюджете, чтобы купить этому парню компьютер. А сейчас мой босс думает, что я опаздываю с выполнением своей работы, и не хочет слышать никакие извинения, вы знаете?»
«Я знаю, о чем вы, хорошо»
«Не могли бы вы мне помочь с быстрым запросом на MCS?»-он использует имя системы, где записаны все налогоплательщики.
«Конечно, что вам нужно?»
«Первое, поиск счета на Джозефа Джонсона, дата рождения 07.04.69»
После небольшой паузы она спрашивает:
«Что именно вы хотите знать?»
«Какой номер его счета?»
Она прочитывает его.
«Отлично, теперь мне нужен идентификационный номер на этот счет», говорит звонящий.
Это был запрос на базовую информацию о налогоплательщике, и Мэй Линн говорит место жительства, девичью фамилию матери и имя отца. Звонящий внимательно слушает, пока она говорит ему месяц и год заведения карточки и офис, где она была заведена.
Затем он спрашивает о подробном заработке человека.
Данный запрос вызывает ответ, «За какой год?»
Он отвечает, «за 2001»
Мэй Линн говорит, «он равен $190,286,плательщик Джонсон МикроТек»
«Какие-нибудь другие зарплаты?»
«Нет»
«Спасибо», – говорит он, « вы были очень добры».
Теперь он всегда звонит ей, когда ему нужна какая-либо информация, а у него нет доступа к компьютеру. Он снова использует любимый трюк социальных инженеров, установив связь с человеком однажды – всегда возвращаться к нему, чтобы избежать ненужных поисков.
«Не на следующей неделе», говорит она ему, потому что собирается поехать в Кентукки на свадьбу своей сестры. В любое другое время, когда она будет свободна.
Когда она кладет трубку, Мэй Линн чувствует радость, что хоть немного помогла недооцененному государственному работнику.
История Кейт Картер
Если судить по фильмам и хорошо продающимся криминальным новеллам, частные сыщики отлично разбираются в том, как выудить факты у людей. Они делают это, используя совершенно нелегальные методы. Но, по правде говоря, большинство ЧС ведут законный бизнес. С тех пор, как большинство из них начинали свою работу в роли полицейских, они отлично знают, что легально, а что нет, и большинство из них не желают переступать эту линию.
Но есть, разумеется, и исключения. Некоторые ЧС создают алиби для парней, замешанных в криминальных историях. Эти парни известны на рынке как информационные брокеры, утонченное оружие для людей, готовых нарушить законы. Они знают, что могут выполнить любое задание быстрее, если используют некоторые ускоренные методы. Эти ускоренные методы могут являться преступными и отправить этих людей за решетку на несколько лет, но это не пугает некоторых, особенно беспринципных личностей.
Между тем, ЧС уровнем выше среднего – те, кто работают не в шикарных костюмах в офисах, расположенных в самой высокооплачиваемой части города, – не делают такие типы работ самостоятельно. Намного проще нанять информационного брокера, чтобы он сделал все за него.
Парень, которого мы назовем Кейт Картер, был не обременен нормами этики.
Это было типичное дело «Где он прячет деньги?» или иногда «Где она прячет деньги?» Иногда это была богатая женщина, желающая знать, куда муж спрятал ее деньги (вопрос, почему женщина с деньгами выходила замуж за мужчину без них, всегда оставался для Кейта Картера неразрешимой загадкой).
В этом деле муж, которого звали Джо Джонсон, был «очень умным парнем, который открыл компанию, занимающуюся высокими технологиями, стартовав с 10 тысяч долларов, которые одолжил у семьи жены, и в итоге фирма превратилась в много – миллионную компанию». Согласно адвокату, занимающемуся разводом, он произвел изумительную работу по сокрытию своих активов, и все уже сбились с ног, разыскивая их.
Кейт наметил отправной точкой Администрацию общественной безопасности, концентрируя их файлы на Джонсона, которые содержали весьма полезную информацию для ситуации, подобной данной. Вооруженный их информацией, Кейт мог притвориться мишенью и заставить банки, брокерские конторы и оффшорные организации рассказать ему все.
Его первый звонок был в офис местной администрации, номер которой был размещен в телефонной книге. Когда служащий взял трубку, Кейт попросил соединить его с кем-нибудь из отдела подачи исков заказчикам. Еще одна пауза – и, наконец, голос. Кейт изменил схему действия и начал: «Привет. Это Грегори Адамс, местный офис 329.Слушай, я пытаюсь добраться до хранилища, которое содержит номер счета, оканчивающегося на 6363.»
«Это Мод2»,ответил мужчина. Он проверил номер и дал его Кейту.
Затем он позвонил на Мод2.Когда Мэй Линн ответила, он придумал, что звонит из офиса главного инспектора и о проблеме, что кому-то другому приходится сидеть за его компьютером. Она дала ему всю информацию, в которой он нуждался, и пообещала сделать все возможное, если ему понадобится помощь в будущем.
Анализ обмана
Что сделало его попытку эффективной, так это умелая игра на симпатии работника к нему после рассказа истории о занятом компьютере и о том, что «мой босс недоволен мной». Люди не проявляют на работе свои эмоции очень часто, но если они это делают, то успех атакующему обеспечен. И эмоциональная уловка «Я в беде, не могли бы вы помочь мне?» – это все, что нужно, чтобы выиграть.
Общественная незащищенность
Администрация общественной безопасности разместила копию их полного справочника действий в сети, в котором много информации, полезной для их работников, но еще более важной для социальных инженеров. Он содержит аббревиатуры, жаргонизмы и инструкции, как делать запрос относительно интересующей вас информации, как описано в предыдущей истории.
Вы хотите знать больше об Администрации общественной безопасности? Просто поищите в Google или введите следующий адрес в вашем браузере:
http://policy.ssa.gov/poms.nsf/
Несмотря на то, что в агенстве уже прочитали эту историю и удалили руководство к тому времени, как вы читаете эти строки, вы найдете он-лайн инструкции, которые даже дают детальную информацию о том, какие данные служащий АОБ вправе давать определенному кругу людей. Практически же, этот круг включает в себя любого социального инженера, который может убедить служащего, что он из законной организации.
Атакующий не сможет добиться успеха в добыче информации у служащего, который отвечает на звонки всех людей. Тип атаки, использованной Кейтом, работает лишь тогда, когда человек получает конец разговора с кем-то, чей номер телефона не доступен широкой публике и к тому же создается впечатление, что тот, кто звонит, работает в компании. Элементы, которые сделали эту атаку возможной:
знание номера телефона Мод
владение необходимой терминологией
выдумка, что он из офиса главного инспектора, о котором каждый государственный служащий знал как об агентстве, обладающем властью. Это дает атакующему некую ауру авторитета.
Одна интересная деталь: кажется, что социальные инженеры знают, как правильно делать запросы, так что никому и в голову не придет подумать, "Почему вы звоните мне? " – даже тогда, когда с точки зрения здравого смысла будет логичней обратиться к другому человеку из другого департамента. Возможно, это работает потому, что разрушает чрезмерную обыденность рабочего дня, и звонок кажется чем-то необычным.
И в завершение, атакующий не удовлетворяется разовым получением информации, но и желает установить более прочный контакт, которым можно будет воспользоваться в будущем. Он мог использовать другие уловки, вроде «Я пролил кофе на клавиатуру». Но в данной ситуации это было бы плохой идеей, так как клавиатуру можно поменять очень быстро.
Итак, он использовал историю о ком-то другом, использующим его компьютер, которая могла растянуться на недели: «Да, я думал, что вчера ему дадут компьютер, но кто-то более ловкий договорился и забрал компьютер себе. Так что этот шутник все еще находится на моем месте»… И так далее.
Какой же я несчастный, мне нужна помощь. Эти фразы заколдовывают.
Один из главных барьеров для атакующего – заставить звучать свой запрос обоснованно и типично, чтобы сильно не выделяться в течение рабочего дня жертвы. Как и с другими вещами в нашей жизни, составление правильного запроса может быть соревнованием сегодня, а завтра куском торта.
Телефонный звонок Мэри Х'з
Дата / Время: понедельник, 23 ноября,7.49 утра
Место: Мауэрсбай и Сторч бухгалтерия, Нью-Йорк
Для большинства людей бухгалтерия-это процесс подсчета денег, который так же приятен, как и root аккаунт. К счастью, не все рассматривают работу с этих позиций. Мэри Харрис, например, находит свою работу захватывающей, и это-часть причины, почему она считается одной из лучших служащих в своей фирме.
В этот обычный понедельник, Мэри приехала на работу в ожидании длинного рабочего дня и была очень удивлена телефонным звонком. Она подняла трубку и представилась.
«Привет, это Питер Шеппард. Я из Arbuclde Support,компании, которая занимается технической поддержкой вашей фирмы. Мы получили несколько жалоб за выходные от людей, у которых были проблемы с компьютерами. Я подумал, что мне следует узнать все ли в порядке, перед тем, как все выйдут на работу. У вас не было проблем с компьютером или с подключением к сети?»
Она ответила, что еще не знает. Она включила компьютер, и пока он загружался, он объяснил, что от нее требуется.
«Нужно, чтобы мы сделали парочку тестов. Я могу видеть на своем мониторе то, что вы печатаете, и мне нужно проверить, не нарушается ли это во время работы сети. Так что каждый раз, когда вы печатаете строку, говорите мне, что это, чтобы я мог сравнить. Хорошо?»
С ночными кошмарами о сломанном компьютере и потерянном впустую дне, она была более чем счастлива от предложения помощи. После нескольких моментов она сказала ему: «Передо мной экран идентификации, и я собираюсь ввести свой логин. Я печатаю его сейчас М Э Р И Д»
"Отлично, "ответил он. "Я все вижу. Далее, напечатайте свой пароль, но не говорите мне его. Вы никогда не должны говорить кому-либо свой пароль, даже тех. службе. Я лишь увижу звездочки у себя – ваш пароль защищен, так что я не могу увидеть его. "Ничего из вышесказанного не было правдой, но это повлияло на Мэри. И затем он сказал: «Скажите мне, когда ваш компьютер включится».
Когда она сказала об этом, он попросил ее запустить два приложения, и она ответила, что они работают нормально.
Для Мэри было большим облегчением, что компьютер работает нормально. Питер сказал: «Я рад, что смог убедиться в работоспособности вашего компьютера. Послушайте», – он продолжил", мы только что установили обновление, которое позволит людям менять их пароли. Не могли бы вы потратить еще парочку минут и проверить, правильно ли оно работает?"
Она была благодарна за помощь и потому с радостью согласилась. Питер помог ей запустить приложения, позволяющие поменять пароль, стандартные элементы ОС Windows 2000."Давайте дальше и введите свой пароль" – сказал он ей. «Но не произносите его вслух».
Когда она сказала, что выполнила задачу, Питер ответил, "Для быстрой проверки, когда у вас запросят пароль, напишите «test123».Затем подтвердите его и нажмите enter "
Он провел ее через процесс отсоединения от сервера. Он попросил ее подождать пару минут, затем присоединиться вновь, пытаясь в это время использовать ее новый пароль. Это работало, как по мановению волшебной палочки, Питер казался очень услужливым, и посоветовал ей сменить пароль на свой прежний или выбрать более безопасный пароль и так же не произносить его вслух.
«Отлично Мэри», – сказал Питер. "Мы не обнаружили никаких сбоев, и это здорово. Послушайте, если какие-то проблемы все же возникнут, просто позвоните на Arbucle. Обычно я принимаю участие в особых проектах, но кто-нибудь обязательно поможет вам. " Она поблагодарила его и они попрощались.
История Питера
Вокруг Питера ходили определенные слухи – когда он еще учился в школе, его товарищи знали, что он был кем-то вроде компьютерного мага, который мог достать любую информацию. Когда Элис Конрад обратилась к нему за помощью, сначала он отказался. С какой это стати он должен ей помогать? Когда он ухаживал за ней и пригласил на свидание, она ответила ему довольно прохладно.
Но его отказ помочь не удивил ее очень сильно. Она говорила, что отсутствует гарантия, что он выполнит ее просьбу, но это было как приключение. И вот как он все-таки согласился.
Элис заключила контакт с маркетинговой фирмой на должность консультанта, но положения контракта ее не устраивали. Перед тем, как изменить свой договор, ей хотелось узнать, на каких условиях работают другие консультанты.
Вот то, как Питер рассказывает эту историю.
Я не сказал Элис, что был знаком с людьми, которые не ожидали, что я могу провернуть некоторые делишки, а для меня это было сущим пустяком. Конечно, не совсем пустяком, но достаточно просто. Ее дело тоже было не слишком трудным.
Где-то после 7. 30 утра в понедельник, я позвонил в маркетинговую компанию и разговаривал с регистратором, сказав, что я работаю в компании, занимающейся планированием их пособий и мне нужно связаться с кем-нибудь из бухгалтерии. Не знает ли она, кто-нибудь уже пришел? Она ответила, «Мне кажется, я видела Мэри. Я отправлю вас к ней».
Когда Мэри подняла трубку, я рассказал ей мою маленькую историю про компьютер, которая позволила расположить ее ко мне. Пока я объяснял, как сменить пароль, я быстро залогинился под этим временным паролем в системе.
Затем, я установил небольшую программу, дающую доступ к их компьютерной системе в любое время. После того, как я попрощался с Мэри, моим первым действием было замести следы, так что никто не мог узнать о моем пребывании в системе. Это было просто. После повышения моих привилегий, я мог скачать простую программку для очистки логов с сайта www.ntsecurity.nu
Затем пришло время для настоящей работы. Я запустил поиск любых документов по ключевому слову «контракт» и скачал эти файлы. Затем я поискал еще немного и зашел в основную директорию, где хранились все финансовые отчеты. Так что я сложил вместе файлы контактов и списки платежей.
Элис могла изучить контакты и увидеть, сколько они платят другим консультантам. Разбирать все эти файлы – это ее работа. Свою задачу я выполнил.
Я распечатал некоторые файлы, которые скопировал себе на диск, чтобы она поверила. Я попросил ее встретить меня и купить обед. Вы бы видели ее лицо, когда она увидела кипу бумаг. «Не может быть,» – сказала она, «не может быть».
Я не принес диски с собой. Они были для нее приманкой. Я сказал, что ей придется зайти ко мне, чтобы забрать их. Разумеется, я надеялся, что она выскажет свою признательность за оказанную мной услугу.
Сообщение от Митника
Это удивительно, как многого может добиться социальный инженер, правильно составляя свой запрос. Основная предпосылка-привлечение человека автоматически к ответу, базируясь на психологических принципах, и способность положиться на ментальные особенности человека, принимающего звонящего за своего союзника.
Анализ обмана
Звонок Питера в маркетинговую компанию представляет собой наиболее основную форму социальной инженерии – простой запрос, который требует небольшой подготовки, базирующийся на первом подходе и занимающий пару минут.
Так что у Мэри не было основания предполагать, что ее обманули.
Это дело прошло успешно благодаря трем тактикам. Первое, он сыграл на чувству страха Мэри – заставил ее подумать, что компьютер может сломаться. Затем он дал ей время запустить пару приложений, так что она могла убедиться, что все работает нормально. Затем, он сыграл на ее чувстве благодарности за помощь в проверке компьютера.
Не позволяя ей произнести новый пароль вслух, даже ему, Питер укрепил ее во мнении, что безопасность компьютерной системы фирмы играет для него большую роль. Это укрепило ее уверенность, что он – законный работник, так как защищает ее и компанию.
Представьте себе такую картину: Правительство пытается поймать человека по имени Артуро Санчез, который распространяет бесплатно фильмы через интернет. Голливудские компании утверждают, что он нарушает их права, а он считает, что лишь пытается подтолкнуть их к решению о размещении фильмов в сети для скачки. Он делает вывод, что такое действо может стать хорошим источником доходов для студий, которые обычно игнорируются всеми.
Ордер на обыск, пожалуйста
Придя поздно ночью домой, он еще издалека заметил, что окна в его квартире не горят, хотя в одном из них он оставлял свет.
Он разбудил соседей и выяснил, что в здании был совершен полицейский рейд. Но они заставили всех жильцов выйти на улицу, и никто не знал, в чьей квартире они устроили засаду. Он только мог добавить, что они выносили какие-то тяжелые предметы. И они не выводили никого в наручниках.
Артуро проверил свою квартиру. Плохой новостью было уведомление из полиции, чтобы он связался с ними через три дня. А еще худшей новостью было то, что они забрали все его компьютеры.
Артуро растворился в ночи, оставшись ночевать у своего друга. Но неизвестность мучила его. Как полиция все узнала? Неужели они следили за ним, но дали ему шанс уйти? Или случилось что-то другое? А может ли он предпринять что-то, чтобы не уезжать из города?
Прежде чем читать дальше, остановитесь и задумайтесь: Вы можете представить, каким образом полиция может пронюхать про вас все? Учитывая, что вы не засветились в политической деятельности, у вас нет друзей в полиции, каким образом они могут знать о вас, простом горожанине, всю информацию? Или это постарался социальный инженер?
Обдуривая полицию
Артуро удовлетворил свою потребность в информации следующим способом: для начала, он нашел номер ближайшего магазина видео-проката, позвонил им и узнал номер их факса.
Затем он позвонил в адвокатскую контору и запросил отдел по записям. Когда его соединили, он представился следователем округа Lake и заявил, что ему необходимо переговорить с клерком, хранящим информацию о доказательствах.
«Это я», – ответила женщина. «О, отлично», – сказал он. «Дело в том, что прошлой ночью был рейд в квартире подозреваемого и сейчас я пытаюсь найти показание присяжного».
«Мы располагаем информацию по адресу», – ответила она ему.
Он дал ей свой адрес, и ее голос зазвучал взволнованно. «О, да», – выдохнула она, «Я знаю о чем речь. Дело о нарушении авторских прав».
"Да, то самое. Я ищу показание присяжного и копию уведомления. "
"Отлично, они совсем недалеко. "
«Великолепно. Послушайте, я сейчас не на рабочем месте и через 15 минут у меня встреча по этому делу. И я был настолько рассеянным, что забыл файлы дома. Но времени вернуться у меня уже нет. Не могли бы вы отправить мне копии?»
«Конечно, без проблем. Я сделаю копии, вы можете прийти прямо сейчас и забрать их».
«Здорово, но понимаете, я сейчас на другом конце города. Не могли бы вы отправить их мне по факсу?»
Это создало небольшую проблему, но вполне преодолимую. «У нас здесь нет факса», – ответила она. «Но факс есть в офисе этажом ниже. Думаю, они позволят мне воспользоваться им».
Он сказал: «давайте я позвоню в этот офис и попрошу их».
Леди в офисе ответила, что может помочь, но ей бы хотелось знать, кто за это заплатит. Ей нужен был номер счета.
«Я узнаю номер счета и перезвоню вам», – ответил он.
Затем он снова позвонил в адвокатскую контору, представился полицейским и просто спросил секретаря номер счета данного офиса. Без малейшего сомнения ему ответили.
Звоня обратно в офис, чтобы предоставить номер счета, он попутно извинился перед леди, которой пришлось спускаться этажом ниже, чтобы отправить ему факс.
Заметка
Откуда социальный инженер знает детали многих операций-полицейских департаментов, офисов прокуратуры, деятельности телефонных компаний, специфических организаций, чья деятельность связана с телекоммуникациями и компьютерами, и может помочь в его атаках? Потому что его работа-знать это. Такие знания – товар социального инженера, так как являются оружием в достижении цели.
Сокрытие его пути
Артуро также предстояло предпринять еще пару шагов. Всегда была возможность, что кто-нибудь все разнюхает и, приехав в магазин, столкнется с парочкой копов, которые обнаружат свое присутствие лишь тогда, когда кто-нибудь попробует узнать про пришедший факс. Он выждал немного и затем вновь позвонил в офис, чтобы убедиться, что леди отправила факс.
Затем он позвонил в другой магазин и использовал уловку по теме «как он благодарен за предоставление работы и ему хочется написать благодарственное письмо менеджеру, которого, кстати, как зовут?» С этим маленьким кусочком информации он позвонил в первый магазин и сказал, что ему необходимо переговорить с их менеджером. Когда на другом конце провода подняли трубку, Артуро сказал: "здравствуйте, это Эдвард из магазина на 628 в Хартфильде. Мой менеджер, Анна сказала позвонить вам. У нас есть клиент, который чрезвычайно расстроен – кто-то дал ему факс не того магазина. Он здесь, ждет очень важного факса, который по ошибке был направлен в ваш магазин. "Менеджер пообещал найти этот факс и отправить в магазин в Хартфильде сразу же.
Артуро уже ждал во втором магазине, когда факс пришел туда. Заполучив копии, он позвонил леди из офиса и поблагодарил ее, добавив, что эти копии необязательно возвращать, их можно выкинуть. Затем он позвонил менеджеру первого магазина и также попросил его выкинуть копии факса. Таким образом, не осталось улик о его деятельности, кроме разговоров. Социальные инженеры знают, что безопасность никогда не бывает лишней.
Действуя в данном направлении, Артуро даже не пришлось платить денег за получение факса, и даже если бы полиция появилась в первом магазине, у него уже были на руках копии, и к тому времени он бы уже был вне пределов их досягаемости.
Конец этой истории: показание присяжного и предупреждение показали, что полиции было хорошо известно о деятельности Артуро. Это то, что ему следовало знать. К полуночи он пересек границу штата. Артуро был на пути к новой жизни, готовый начать свою деятельность заново.
Анализ обмана
Люди, которые напрямую работают в каких-либо поверенных офисах, в любом случае, находятся в прямом контакте с исполнителями закона – отвечают на вопросы, делают договоренности, получают сообщения. Кто-нибудь достаточно храбрый, чтобы назваться полицейским, представителем шерифа или кем-то еще, может добиться многого. Разумеется, если он не владеет терминологией или спотыкается через каждое слово от страха, никто не ответит на его запрос.
Сообщение от Митника
Вся правда заключается в том, что никто не застрахован от обмана со стороны социального инженера. Из-за темпа нашей повседневной жизни нам не хватает времени, чтобы задуматься над принятием какого-то решения, даже очень важного для нас. Запутанные ситуации, нехватка времени, эмоциональное напряжение могут очень легко сбить нас с толку. Таким образом, мы принимаем решение в спешке, не анализируя полученную информацию, такой процесс называется автоматическим ответом. Это работает и с государственными, городскими и местными представителями закона. Мы все-люди.
Получение необходимого дебетного кода было решено с помощью обыкновенного телефонного звонка. Затем Артуро сыграл на симпатии собеседника с помощью карты а-ля «через 15 минут у меня встреча по этому делу». И я был настолько рассеянным, что забыл файлы дома. Но времени вернуться у меня уже нет. " Она действительно пожалела его и решила помочь.
Затем, используя не один, а два магазина, Артуро обезопасил себя от ареста во время получения факса. Существуют и другие способы затруднения отслеживания факса: вместо отправки его в другой магазин, атакующий может дать номер, который будет похож на номер факса, но на самом деле будет являться номером бесплатного интернет – сервиса, который при получении факса для вас, автоматически перешлет его на ваш е-мэйл. Таким образом, он может быть скачан прямо на компьютер атакующего, который нигде не засветится, и в будущем у него не возникнет проблем. К тому же, адрес е-мэйл или электронный номер факса могут быть уничтожены, как только задание будет выполнено.
Молодой человек, которого я назову Майклом Паркером, был из тех людей, которые соображают немного поздно, что хорошо оплачиваемая работа достается обычно людям, окончившим колледж. У него был шанс поступить в местный колледж с получением частичной стипендии и займа на обучение, но это значило работать ночами и выходными, чтобы платить за аренду, еду, газ и авто страховку. Майкл, который всегда любил находить короткие пути решения проблемы, подумал, что, возможно, существует другой путь, который позволит быстрее выплатить долг и затратить меньше усилий. Дело в том, что он занимался изучением компьютеров с десяти лет и находил заманчивым изучать их работу, так что он решил посмотреть, может ли он создать себе ускоренный диплом бакалавра компьютерных наук.
Получение диплома без почета
Он мог вломиться в компьютерную систему государственного университета, найти записи того, кто получил диплом с оценками «хорошо» и «отлично», скопировать их, вписать свое имя и добавить в записи выпускников того года. Обдумывая эту идею, он понял, что существуют и другие записи и студентах, проживающих в кампусе, их платежах. И создавая записи лишь о прослушанных курсах и классах, можно сильно проколоться.
Составляя план дальше, он понял, что может достичь своей цели, посмотрев, нет ли выпускников с его фамилией, получивших степень компьютерных наук в соответствующий отрезок времени. Если так, можно лишь изменить личный социальный номер на рабочих формах; любая компания, проверяющая его имя и личный социальный номер, увидит, что он действительно владеет указанным званием (это не понятно большинству людей, но очевидно для него, что если он укажет один социальный номер на заявлении о приеме на работу и затем, если его наймут, укажет свой реальный. Большинство компаний никогда не проверяют, чей номер указал нанимающийся).
Включаясь к проблеме
Как найти Майкла Паркера в университетских записях? Он представлял себе это так: пойти в главную библиотеку в университетском кампусе, сесть за компьютерный терминал, выйти в интернет и получить доступ к сайту университета. Затем он позвонил в регистрационный офис. С ответившим человеком он провел стандартную для социального инженера беседу: «Я звоню из компьютерного центра, мы меняем конфигурацию сети и хотим убедиться, что не нарушили ваш доступ. К какому серверу вы подключаетесь?»
«Что значит сервер?» – спросили его.
«К какому компьютеру вы присоединяетесь, когда хотите получить академическую информацию о студентах?»
Ответ admin.rnu.edu дал ему имя компьютера, в котором хранились записи о студентах. Это был первый кусочек головоломки. Теперь он знал свою цель.
LINGO:
Dumb terminal -"немой терминал". терминал, который не содержит свой микропроцессор. Такие терминалы могут принимать лишь простые команды и отображать буквы и цифры
Он впечатал тот URL и не получил ответа – как и ожидалось, там стоял файрвол, блокирующий доступ. Он запустил программу, отображающую наличие сервисов, которые он мог запустить на удаленном компьютере и нашел открытый порт телнета, который позволял компьютеру удаленно присоединиться к другому компьютеру и получить к нему доступ, так как можно было использовать dumb terminal . Все, что ему нужно было знать, чтобы получить доступ-это обычный логин пользователя и пароль.
Он еще раз позвонил в регистрационный офис, прислушиваясь внимательно, чтобы убедиться, что разговаривает с другим человеком. Ему ответила женщина, и он опять представился работником компьютерного центра. Он сказал, что они установили новый продукт для хранения административных записей и просит, чтобы она присоединилась к новой системе, которая все еще в стадии теста, чтобы проверить, правильно ли она работает. Он дал ей IP-адрес и провел через весь процесс.
Фактически, IP —адрес принадлежал компьютеру Майкла в библиотеке кампуса. Используя вышеназванный в этой главе процесс, он создал симулятор программы – ловушки, чтобы узнать под каким логином и паролем она заходит в систему студенческих записей. «Не работает», – ответила она. «Выдается сообщение, что логин неверен».
К этому моменту, симулятор передал символы имени ее аккаунта и пароля на терминал Майкла; миссия выполнена. Он ответил ей, что некоторые аккаунты еще не перенесены на эту машину. Но сейчас он внесет ее аккаунт и перезвонит ей. Очень внимательный к сокрытию следов, как и всякий опытный социальный инженер, он мог уточнить, что перезвонит позже, чтобы сказать, что тестовая система плохо работает, но если все будет хорошо, то ей перезвонят.
Полезный секретарь
Теперь Майкл знал, к какой системе необходимо получить доступ, имел логин и пароль. Но какими командами ему надо пользоваться, чтобы найти файлы с необходимой информацией, верным именем и датой? Студенческая база данных явно отвечает специфическим требованиям регистрационного офиса и имеет особый путь доступа к информации.
Первым шагом в решении этой проблемы было найти человека, который провел бы его через все ужасы поиска студенческой базы данных. Он вновь позвонил в регистрационный офис, опять выйдя на другого человека. Сказав, что звонит из деканата факультета инжиниринга, он спросил у женщины, кто бы мог помочь ему, так как возникли некоторые проблемы с доступом к студенческим академическим записям.
Немного позже он уже разговаривал с администратором базы данных и успешно играл на его симпатиях.
"Меня зовут Марк Селлерс, из офиса регистрации. Вы чувствуете ко мне жалость, да? Извините за звонок, но дело в том, что все старшие на совещании и вокруг нет никого, кто бы мог помочь мне. Мне необходимо восстановить список выпускников со степенью бакалавра компьютерных наук в период между 1990 и 2000 годами. Он нужен им к концу дня, но у меня он отсутствует, а я так долго стремился получить эту работу. Не будете ли вы так добры помочь парню, попавшему в беду? "Помогать людям, попавшим в беду было тем, что обычно делал администратор базы данных, и он терпеливо объяснил Майклу каждый шаг.
К тому времени, как они закончили разговор, Майкл загрузил вводный лист выпускников с необходимым дипломом за те года. Через несколько минут он обнаружил двух Майклов Паркеров, выбрал одного из них и получил его личный социальный номер, как и другую информацию, хранящуюся в базе данных.
Он только что стал Майклом Паркером, получившим звание бакалавра компьютерных наук в 1998 году.
Анализ обмана
Атакующий использовал одну уловку, о которой я раньше не упоминал: Атакующий попросил администратора провести его через весь процесс шаг за шагом. Достаточно сильное и эффективное действо, аналогичное тому, как если бы вы попросили владельца магазина помочь вынести вам предметы, которые вы только что из него украли.
Сообщение от Митника
Пользователи компьютера даже не подозревают о наличии угроз и уязвимостей, связанных с социальным инжинирингом, который существует в нашем мире высоких технологий. Они имеют доступ к информации, не разбираясь в деталях работы, не осознавая важности некоторых мелочей. Социальный инженер выберет своей целью работника с низким уровнем владения компьютером.
Симпатия, вина и запугивание-это три очень популярных психологических трюка, используемых социальным инженером, и вышеперечисленные истории продемонстрировали тактику действий. Но что можете сделать вы и ваша компания, чтобы избежать данных типов атак?
Защита информации
Некоторые истории в этой главе показывают опасность отправки файла кому-то незнакомому, даже человеку, который представляется работником вашей компании, а файл отправляется по внутренней сети на е-мэйл или факс.
Службе безопасности компании необходимо выстроить схему, обеспечивающую безопасность при пересылке важной информации какому-то незнакомому лично отправителю. Особые процедуры должны быть разработаны для передачи файлов с важной информацией. Когда запрос поступает от незнакомого человека, должны быть предприняты шаги к подтверждению его личности. Также должны быть установлены различные уровни доступа к информации.
Вот некоторые способы, которые следует обдумать:
Установите, насколько необходимо спрашивающему это знать (что может потребовать получения одобрения со стороны владельца информации)
Храните логи всех транзакций
Утвердите список людей, которые специально обучены процедурам передачи информации и которым вы доверяете отправку важной информации. Требуйте, чтобы лишь эти люди имели право отсылать информацию за пределы рабочей группы.
Если запрос на информацию пришел в письменном виде (е-мэйл, факс или почта), предпримите особые шаги, чтобы убедиться в верности указываемого источника.
О паролях
Все сотрудники, которые имеют доступ к важной информации, а в наше время это все, кто имеют доступ к компьютеру, должны понимать, что даже такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.
Занятия по безопасности должны включать в себя тему паролей и быть сфокусированы на процессе смены пароля, установки приемлемого пароля и опасностях, связанных с участием посторонних в этом. Занятия должны научить сотрудников подозрительно относиться к любому запросу по поводу их пароля.
Заметка
Именно на паролях сосредоточены атаки социальных инженеров, которые мы рассмотрели в отдельной секции в главе 16, где вы также найдете особые рекомендации по данной теме.
Группа по отчетам
Ваша служба безопасности должна предоставить человека или группу, сформированную, как орган, в который поступали бы отчеты о подозрительной деятельности, направленной на атаку вашей организации. Все рабочие должны знать, куда обратиться в случае подозрения на электронное или физическое вторжение. Телефонный номер такого места всегда должен быть на виду, чтобы служащим не приходилось разгребать кучи бумаг в поисках его, во время попытки атаки.
Защитите вашу сеть
Служащие должны осознавать, что имя сервера или компьютера в сети это не пустяковая информация, а важная настолько, что может дать атакующему знание своей цели.
В частности, люди, такие как администраторы баз данных, которые работают с программным обеспечением, принадлежат к категории людей, которые располагают технической информацией, так что они должны работать в условиях жестких правил, устанавливающих личность человека, обратившегося к ним за советом или информацией.
Люди, которые регулярно предоставляют помощь в компьютерной сфере, должны отлично распознавать запросы, на которые нельзя ни в коем случае отвечать, понимая, что это может быть атакой социального инженера.
Намного хуже осознавать, что в вышеупомянутой ситуации, атакующий подпадал под критерий законности: он звонил из кампуса, находился на сайте, требующем знание логина и пароля. Это лишь подтверждает необходимость наличия стандартной процедуры идентификации любого, запрашивающего информацию, особенно в данном случае, когда звонящий просил помощи в доступе к конфиденциальной информации.
Все эти советы особенно важны для колледжей и университетов. Ни для кого не новость, что хакинг – любимое времяпровождение для многих студентов, и также не секрет, что очень часто факультетские записи бывают целью их атак. Угрозы взлома стали настолько серьезны, что многие компании считают кампусы неким источником зла и добавляют в файрвол правило, блокирующее доступ с компьютеров, имеющих адрес *.edu
Короче говоря, все студенческие и персональные записи любого характера должны рассматриваться как возможные цели для атак и быть хорошо защищены.
Тренировочные советы
Большинство атак такого плана очень просто отразить для человека, знающего, чего ожидать.
Для корпораций необходимо проведение фундаментальной подготовки к такого рода ситуациям, но существует также необходимость напоминать людям об их знаниях.
Используйте яркие заставки, которые будут появляться при включении компьютера и содержать новый совет по безопасности каждый раз. Сообщение должно быть сделано таким образом, чтобы оно не исчезало автоматически, но требовало от пользователя нажатия на совет, который он / она только что прочитали.
Другой подход, который я могу посоветовать – это начать серию напоминаний о безопасности. Частые сообщения с напоминаниями очень важны; информирующие программы не должны иметь конца, сообщения должны иметь каждый раз разное содержание. Занятия показали, что такие сообщения более эффективны, когда написаны по-разному или используются различные примеры в них.
Еще один отличный способ – использовать короткие аннотации. Это не должна быть полная колонка, посвященная предмету. Лучше сделать пару-тройку маленьких колонок, как маленький экран в вашей собственной газете. В каждом случае такого письма представляйте очередное напоминание в коротком, хорошо запоминающемся виде.