Cкрытая ценность информации
Кажущаяся безвредной информация ценна для социального инженера, потому что может сыграть существенную роль в его попытке казаться правдоподобным.
Уязвимость финансовой индустрии
В странах с развитой банковской системой почти кто угодно может зайти в банк и легко открыть расчётный счёт. Но банки не будут открывать счёт для кого-нибудь, кто может иметь за собой ситуации с неоплаченными счетами – это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.
Социальный инженер в действии
Пусть одной из компаний, которые предоставляют банкам такую информацию, будет вымышленная PayBillChex. Они предоставляют своим клиентам ценную услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником информации для социальных инженеров.
Первый звонок: Ким Эндрюс
Второй звонок: Крис Тэлберт
Третий звонок: Генри МакКинси
Частный сыщик
Все три из этих звонков были сделаны одним человеком – частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое-что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.
Новым клиентом Грейса была леди, которая заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема». Кажется, её муженёк был на шаг впереди. Он уже снял все наличные с их сберегательного счёта и даже гораздо большую сумму с их брокерского счёта. Она хотела знать, куда подевались их активы, и сказала, что её адвокат по разводу не смог вообще ничем помочь.
Помощь Грейса
Шаг первый: разузнать о терминологии и выяснить, как сделать запрос так, чтобы он звучал, как будто вы знаете, о чём говорите. Ким в банке была настроена подозрительно, когда был задан вопрос, как клиенты идентифицируют себя, звоня в PayBillChex. Она колебалась, но когда её обманули, сказав, что проводится исследование для книги, это уменьшило её подозрения. Скажите, что вы писатель или сценарист и вам любой откроется.
Шаг второй: следующий звонок свёл сыщика с Крис. Тактика заключалась в том, чтобы спрятать важные вопросы среди несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем были заданы вопросы о номере Chex ID в PayBillChex, был проведен небольшой тест, заданы личные вопрос о том, как долго она работает в банке.
Есть одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два-три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.
Итак, Крис дала свой номер Chex ID и телефонный номер, по которому они делают запросы.
Шаг третий: теперь сыщик мог в любое время позвонить в PayBillChex и получить необходимую информацию. При таком повороте событий служащий PayBillChex был счастлив поделиться точной информацией касающихся двух мест, в которых муж клиентки недавно открыл счета.
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опасна.
Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в PayBillChex: Chex ID. Вторая выдала телефонный номер для звонков в PayBillChex и самый важный кусок информации: номер Chex ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь банковская служащая думала, что она говорит с кем-то из PayBillChex – так что плохого было в раскрытии номера?
Всё это было положено в основу для третьего звонка. У Грейса было всё необходимое, чтобы позвонить в PayBillChex. Он представился служащим одного из банков-клиентов, - Национального банка, - и просто спросил всё, что нужно.
Ошибку первого служащего, касающуюся подтверждения терминологии номера ID PayBillChex, практически невозможно предотвратить. Эта информация столь широко известна в банковской индустрии, что кажется незначительной – хорошая модель безвредной информации. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки, действительно ли звонивший был тем, кем назвался. По крайней мере, ей следовало спросить у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного труднее замаскироваться под представителя PayBillChex.
Кажущаяся безвредной информация ценна для социального инженера, потому что может сыграть существенную роль в его попытке казаться правдоподобным.
Уязвимость финансовой индустрии
В странах с развитой банковской системой почти кто угодно может зайти в банк и легко открыть расчётный счёт. Но банки не будут открывать счёт для кого-нибудь, кто может иметь за собой ситуации с неоплаченными счетами – это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.
Социальный инженер в действии
Пусть одной из компаний, которые предоставляют банкам такую информацию, будет вымышленная PayBillChex. Они предоставляют своим клиентам ценную услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником информации для социальных инженеров.
Первый звонок: Ким Эндрюс
Второй звонок: Крис Тэлберт
Третий звонок: Генри МакКинси
Частный сыщик
Все три из этих звонков были сделаны одним человеком – частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое-что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.
Новым клиентом Грейса была леди, которая заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема». Кажется, её муженёк был на шаг впереди. Он уже снял все наличные с их сберегательного счёта и даже гораздо большую сумму с их брокерского счёта. Она хотела знать, куда подевались их активы, и сказала, что её адвокат по разводу не смог вообще ничем помочь.
Помощь Грейса
Шаг первый: разузнать о терминологии и выяснить, как сделать запрос так, чтобы он звучал, как будто вы знаете, о чём говорите. Ким в банке была настроена подозрительно, когда был задан вопрос, как клиенты идентифицируют себя, звоня в PayBillChex. Она колебалась, но когда её обманули, сказав, что проводится исследование для книги, это уменьшило её подозрения. Скажите, что вы писатель или сценарист и вам любой откроется.
Шаг второй: следующий звонок свёл сыщика с Крис. Тактика заключалась в том, чтобы спрятать важные вопросы среди несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем были заданы вопросы о номере Chex ID в PayBillChex, был проведен небольшой тест, заданы личные вопрос о том, как долго она работает в банке.
Есть одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два-три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.
Итак, Крис дала свой номер Chex ID и телефонный номер, по которому они делают запросы.
Шаг третий: теперь сыщик мог в любое время позвонить в PayBillChex и получить необходимую информацию. При таком повороте событий служащий PayBillChex был счастлив поделиться точной информацией касающихся двух мест, в которых муж клиентки недавно открыл счета.
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опасна.
Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в PayBillChex: Chex ID. Вторая выдала телефонный номер для звонков в PayBillChex и самый важный кусок информации: номер Chex ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь банковская служащая думала, что она говорит с кем-то из PayBillChex – так что плохого было в раскрытии номера?
Всё это было положено в основу для третьего звонка. У Грейса было всё необходимое, чтобы позвонить в PayBillChex. Он представился служащим одного из банков-клиентов, - Национального банка, - и просто спросил всё, что нужно.
Ошибку первого служащего, касающуюся подтверждения терминологии номера ID PayBillChex, практически невозможно предотвратить. Эта информация столь широко известна в банковской индустрии, что кажется незначительной – хорошая модель безвредной информации. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки, действительно ли звонивший был тем, кем назвался. По крайней мере, ей следовало спросить у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного труднее замаскироваться под представителя PayBillChex.