V77
Пользователь
- Сообщения
- 14
Вы знаете, как социальные инженеры обманывают людей, предлагая им свою помощь. Другой излюбленный подход основан на обратном: социальный инженер делает вид, что нуждается в помощи другого человека.
Чужак
Вы уже знаете, как атакующий может заставить служащего сообщить свой (табельный) номер. В этой истории применяется другой подход, чтобы добиться того же результата, и показывает, как атакующий может им воспользоваться.
Взломщик Брайан Аттерби знал, что почти всегда легче проникнуть в сеть в одном из отдаленных мест, где уровень безопасности компании должен быть ниже, чем в головном офисе. Он позвонил в офис в Чикаго и попросил соединить с мистером Джонсом.
Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас.
Атакующий тщательно подготовился и держал ответ наготове.
Анализ обмана
С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании.
Атакующий получил номер для удаленного доступа и учетную запись. Поэтому ему даже не надо было беспокоиться о проникновении через Интернет. Будучи внутри, он легко мог скомпрометировать большинство систем во внутренней сети.
Неосторожный руководитель
Эта история рассказывает о том, как руководитель компьютерного центра – тот, кто является частью отдела информационных технологий компании – окажется жертвой явной игры социальной инженерии.
Социальный инженер Дэнни надеялся получить доступ к коду, который позволил бы ему узнать, как прослушивать разговоры правоохранительных органов и, возможно, использовать технологию так, чтобы даже самым влиятельным государственным органам было сложно отследить его разговоры с друзьями.
Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.
Анализ обмана
Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился.
Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого нибудь принести жетон из своего стола, он настаивал на том, чтобы кто то «принес» его для него. «Принеси» – это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели принести что нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была отклонена, было принято другое решение, именно то, которое хотелось ему.
Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен людей, которых он знал. Но почему руководитель Ковальски – IT руководитель, не меньше, – позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи может быть мощным убедительным инструментом в арсенале социального инженера.
Предотвращение обмана
Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом атакующего.
Чужак
Вы уже знаете, как атакующий может заставить служащего сообщить свой (табельный) номер. В этой истории применяется другой подход, чтобы добиться того же результата, и показывает, как атакующий может им воспользоваться.
Взломщик Брайан Аттерби знал, что почти всегда легче проникнуть в сеть в одном из отдаленных мест, где уровень безопасности компании должен быть ниже, чем в головном офисе. Он позвонил в офис в Чикаго и попросил соединить с мистером Джонсом.
Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас.
Атакующий тщательно подготовился и держал ответ наготове.
Анализ обмана
С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании.
Атакующий получил номер для удаленного доступа и учетную запись. Поэтому ему даже не надо было беспокоиться о проникновении через Интернет. Будучи внутри, он легко мог скомпрометировать большинство систем во внутренней сети.
Неосторожный руководитель
Эта история рассказывает о том, как руководитель компьютерного центра – тот, кто является частью отдела информационных технологий компании – окажется жертвой явной игры социальной инженерии.
Социальный инженер Дэнни надеялся получить доступ к коду, который позволил бы ему узнать, как прослушивать разговоры правоохранительных органов и, возможно, использовать технологию так, чтобы даже самым влиятельным государственным органам было сложно отследить его разговоры с друзьями.
Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.
Анализ обмана
Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился.
Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого нибудь принести жетон из своего стола, он настаивал на том, чтобы кто то «принес» его для него. «Принеси» – это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели принести что нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была отклонена, было принято другое решение, именно то, которое хотелось ему.
Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен людей, которых он знал. Но почему руководитель Ковальски – IT руководитель, не меньше, – позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи может быть мощным убедительным инструментом в арсенале социального инженера.
Предотвращение обмана
Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом атакующего.