Ещё одна «ничего не стоящая» информация
Ещё одна «ничего не стоящая» информация
Помимо номера расчётного центра и внутренних номеров, какая еще, по-видимому, бесполезная информация может быть чрезвычайно ценной для вашего врага?
Телефонный звонок Питера Абеля
«Привет», сказал человек на другом конце линии. «Это Том из Parkhurst Travel. Ваш билет в Сан-Франциско готов. Вы хотите, чтобы Вам его доставили или Вы хотите забрать его сами?»
«Сан-Франциско?» сказал Питер. «Я не собираюсь в Сан-Франциско.»
«Это Питер Абель?»
«Да, но у меня не намечается никаких поездок.»
«Хорошо», сказал звонивший с дружелюбным смехом, «Вы уверены, что вы не собираетесь ехать в Сан-Франциско?»
«Если Вы сомневаетесь, вы можете поговорить с моим боссом…», сказал Питер, подыгрывая дружеской беседе.
«Звучит как путаница», ответил звонивший. «В нашей системе мы заказываем билеты, ссылаясь на номера работников. Возможно, кто-то использовал неправильный номер. Какой у Вас номер служащего?»
Питер любезно сказал свой номер. А почему нет? Он пишет его почти на каждой персональной форме, когда их заполняет, многие люди в компании имеют к нему доступ – человеческие ресурсы, платёжные ведомости и, очевидно, внешние транспортные агентства. Никто не относится к номеру работника как к чему-то секретному. Так какая разница?
Ответ нетрудно предсказать. Два или три куска информации – это иногда всё, что нужно для эффективного превращения, когда социальный инженер скрывается под чьей-то персоной. Узнать имя работника, его телефонный номер, его номер работника и, возможно, на всякий случай, имя и телефон его начальника, – и тогда компетентный социальный инженер будет знать почти всё, что ему нужно, чтобы звучать правдоподобно, когда он позвонит его следующей жертве.
Если бы вчера позвонил кто-нибудь и сказал, что он был из другого отдела вашей компании, и, учитывая вероятную причину, спросил ваш номер работника, вы бы отказались его сообщить?
А, между прочим, какой у Вас номер социального страхования?
Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную информацию или идентификаторы любому, если вы не узнаёте его или её голос.