Искусство обмана

       

Что знает о вас администрация общественной безопасности


Нам нравится думать, что правительственные организации хранят данные о нас надежно охраняемые от посторонних. Реальность заключается в том, что федеральные управления не так устойчивы к проникновениям, как нам хочется думать.

Звонок от Мэй Линн

Место: региональный офис администрации общественной безопасности

Время: 10.18 утра, четверг

«Это Мэй Линн Ванг»

Голос на другом конце провода звучал примирительно, почти робко.

«Мисс Ванг, это Артур Арондэйл, офис главного инспектора. Могу я звать вас Мэй?»

«Это – Мэй Линн» – отвечает она.

«Хорошо, это так, Мэй Линн. У нас тут новый парень, у которого нет компьютера и прямо сейчас у него приоритетный проект, поэтому он использует мой. Мы работаем в правительстве Америки, и они нам говорят, что у них нет достаточно денег в бюджете, чтобы купить этому парню компьютер. А сейчас мой босс думает, что я опаздываю с выполнением своей работы, и не хочет слышать никакие извинения, вы знаете?»

«Я знаю, о чем вы, хорошо»

«Не могли бы вы мне помочь с быстрым запросом на MCS?»?он использует имя системы, где записаны все налогоплательщики.

«Конечно, что вам нужно?»

«Первое, поиск счета на Джозефа Джонсона, дата рождения 07.04.69»



После небольшой паузы она спрашивает:

«Что именно вы хотите знать?»

«Какой номер его счета?»

Она прочитывает его.

«Отлично, теперь мне нужен идентификационный номер на этот счет», говорит звонящий.

Это был запрос на базовую информацию о налогоплательщике, и Мэй Линн говорит место жительства, девичью фамилию матери и имя отца. Звонящий внимательно слушает, пока она говорит ему месяц и год заведения карточки и офис, где она была заведена.

Затем он спрашивает о подробном заработке человека.

Данный запрос вызывает ответ, «За какой год?»

Он отвечает, «за 2001»

Мэй Линн говорит, «он равен $190,286,плательщик Джонсон МикроТек»

«Какие?нибудь другие зарплаты?»

«Нет»

«Спасибо», – говорит он, « вы были очень добры».

Теперь он всегда звонит ей, когда ему нужна какая?либо информация, а у него нет доступа к компьютеру.
Он снова использует любимый трюк социальных инженеров, установив связь с человеком однажды – всегда возвращаться к нему, чтобы избежать ненужных поисков.

«Не на следующей неделе», говорит она ему, потому что собирается поехать в Кентукки на свадьбу своей сестры. В любое другое время, когда она будет свободна.

Когда она кладет трубку, Мэй Линн чувствует радость, что хоть немного помогла недооцененному государственному работнику.

История Кейт Картер

Если судить по фильмам и хорошо продающимся криминальным новеллам, частные сыщики отлично разбираются в том, как выудить факты у людей. Они делают это, используя совершенно нелегальные методы. Но, по правде говоря, большинство ЧС ведут законный бизнес. С тех пор, как большинство из них начинали свою работу в роли полицейских, они отлично знают, что легально, а что нет, и большинство из них не желают переступать эту линию.

Но есть, разумеется, и исключения. Некоторые ЧС создают алиби для парней, замешанных в криминальных историях. Эти парни известны на рынке как информационные брокеры, утонченное оружие для людей, готовых нарушить законы. Они знают, что могут выполнить любое задание быстрее, если используют некоторые ускоренные методы. Эти ускоренные методы могут являться преступными и отправить этих людей за решетку на несколько лет, но это не пугает некоторых, особенно беспринципных личностей.

Между тем, ЧС уровнем выше среднего – те, кто работают не в шикарных костюмах в офисах, расположенных в самой высокооплачиваемой части города, – не делают такие типы работ самостоятельно. Намного проще нанять информационного брокера, чтобы он сделал все за него.

Парень, которого мы назовем Кейт Картер, был не обременен нормами этики.

Это было типичное дело «Где он прячет деньги?» или иногда «Где она прячет деньги?» Иногда это была богатая женщина, желающая знать, куда муж спрятал ее деньги (вопрос, почему женщина с деньгами выходила замуж за мужчину без них, всегда оставался для Кейта Картера неразрешимой загадкой).



В этом деле муж, которого звали Джо Джонсон, был «очень умным парнем, который открыл компанию, занимающуюся высокими технологиями, стартовав с 10 тысяч долларов, которые одолжил у семьи жены, и в итоге фирма превратилась в много – миллионную компанию». Согласно адвокату, занимающемуся разводом, он произвел изумительную работу по сокрытию своих активов, и все уже сбились с ног, разыскивая их.

Кейт наметил отправной точкой Администрацию общественной безопасности, концентрируя их файлы на Джонсона, которые содержали весьма полезную информацию для ситуации, подобной данной. Вооруженный их информацией, Кейт мог притвориться мишенью и заставить банки, брокерские конторы и оффшорные организации рассказать ему все.

Его первый звонок был в офис местной администрации, номер которой был размещен в телефонной книге. Когда служащий взял трубку, Кейт попросил соединить его с кем?нибудь из отдела подачи исков заказчикам. Еще одна пауза – и, наконец, голос. Кейт изменил схему действия и начал: «Привет. Это Грегори Адамс, местный офис 329.Слушай, я пытаюсь добраться до хранилища, которое содержит номер счета, оканчивающегося на 6363.»

«Это Мод2»,ответил мужчина. Он проверил номер и дал его Кейту.

Затем он позвонил на Мод2.Когда Мэй Линн ответила, он придумал, что звонит из офиса главного инспектора и о проблеме, что кому?то другому приходится сидеть за его компьютером. Она дала ему всю информацию, в которой он нуждался, и пообещала сделать все возможное, если ему понадобится помощь в будущем.

Анализ обмана

Что сделало его попытку эффективной, так это умелая игра на симпатии работника к нему после рассказа истории о занятом компьютере и о том, что «мой босс недоволен мной». Люди не проявляют на работе свои эмоции очень часто, но если они это делают, то успех атакующему обеспечен. И эмоциональная уловка «Я в беде, не могли бы вы помочь мне?» – это все, что нужно, чтобы выиграть.

Общественная незащищенность

Администрация общественной безопасности разместила копию их полного справочника действий в сети, в котором много информации, полезной для их работников, но еще более важной для социальных инженеров.


Он содержит аббревиатуры, жаргонизмы и инструкции, как делать запрос относительно интересующей вас информации, как описано в предыдущей истории.

Вы хотите знать больше об Администрации общественной безопасности? Просто поищите в Google или введите следующий адрес в вашем браузере:

http://policy.ssa.gov/poms.nsf/

Несмотря на то, что в агенстве уже прочитали эту историю и удалили руководство к тому времени, как вы читаете эти строки, вы найдете он?лайн инструкции, которые даже дают детальную информацию о том, какие данные служащий АОБ вправе давать определенному кругу людей. Практически же, этот круг включает в себя любого социального инженера, который может убедить служащего, что он из законной организации.

Атакующий не сможет добиться успеха в добыче информации у служащего, который отвечает на звонки всех людей. Тип атаки, использованной Кейтом, работает лишь тогда, когда человек получает конец разговора с кем?то, чей номер телефона не доступен широкой публике и к тому же создается впечатление, что тот, кто звонит, работает в компании. Элементы, которые сделали эту атаку возможной:

знание номера телефона Мод

владение необходимой терминологией

выдумка, что он из офиса главного инспектора, о котором каждый государственный служащий знал как об агентстве, обладающем властью. Это дает атакующему некую ауру авторитета.

Одна интересная деталь: кажется, что социальные инженеры знают, как правильно делать запросы, так что никому и в голову не придет подумать, "Почему вы звоните мне?  " – даже тогда, когда с точки зрения здравого смысла будет логичней обратиться к другому человеку из другого департамента. Возможно, это работает потому, что разрушает чрезмерную обыденность рабочего дня, и звонок кажется чем?то необычным.

И в завершение, атакующий не удовлетворяется разовым получением информации, но и желает установить более прочный контакт, которым можно будет воспользоваться в будущем. Он мог использовать другие уловки, вроде «Я пролил кофе на клавиатуру».Но в данной ситуации это было бы плохой идеей, так как клавиатуру можно поменять очень быстро.

Итак, он использовал историю о ком?то другом, использующим его компьютер, которая могла растянуться на недели: «Да, я думал, что вчера ему дадут компьютер, но кто?то более ловкий договорился и забрал компьютер себе. Так что этот шутник все еще находится на моем месте»… И так далее.

Какой же я несчастный, мне нужна помощь.  Эти фразы заколдовывают.


Содержание раздела