Заговаривание зубов (Отвлекающая болтовня)

We use cookies. Read the Privacy and Cookie Policy

Заговаривание зубов (Отвлекающая болтовня)

Не только активы компании находятся под угрозой сценария социальной инженерии. Иногда жертвами являются клиенты компании.

Работа по обслуживанию клиентов несет с собой отчасти разочарование, отчасти смех, отчасти невинные ошибки, которые могут привести к плохим последствиям для клиентов компании.

История Дженни Эктон

Дженни Эктон более трех лет работала в службе клиентов компании «Hometown Electric Power» в Вашингтоне, округ Колумбия. Она считалась одним из лучших служащих, проворной и добросовестной.

Была Неделя благодарения, когда раздался этот звонок. Звонящий сказал: «Это Эдуардо из отдела счетов (Blling department). У меня на проводе дама, секретарь исполнительных органов, работающих для одного из вице-президентов, она запрашивает информацию, но у меня не работает компьютер. Я получил письмо от девушки из кадровой службы, в котором было написано „ILOVEYOU“. Когда я открыл вложение, то не мог больше работать на своем компьютере. Вирус. Я подхватил дурацкий вирус. Не могли бы вы найти для меня некоторые сведения о клиенте?».

– Конечно, – ответила Дженни. – Он повредил ваш компьютер? Это ужасно.

– Да.

«Чем я могу помочь?» – спросила Дженни.

Атакующий сообщил сведения, собранные во время тщательного поиска, чтобы подтвердить свою подлинность. Он узнал, что необходимые ему данные хранятся в информационной системе счетов клиентов (CBIS), и выяснил, как служащие обращаются к системе. Он спросил: «Вы можете посмотреть учетную запись в системе счетов?»

– Да, какой номер?

– У меня нет номера, мне нужно посмотреть по имени.

– Хорошо, какое имя?

«Хитер Марнинг» – он произнес имя по буквам, Дженни ввела его.

– О.К. Я нашла запись.

– Отлично. Запись действительна?

– Да, действительна

«Какой номер записи?»– спросил он.

– У вас есть карандаш?

– Я готов записывать.

– Номер записи BAZ6573NR27Q.

Он повторил номер и сказал: «Какой это адрес?»

Она сообщила ему адрес.

– Какой там телефон?

Дженни любезно зачитала ему и эти сведения.

Звонивший поблагодарил ее, попрощался и повесил трубку. Дженни продолжила работу со следующим звонком, никогда не вспоминая об этом.

Проект Арт Сили

Арт Сили отказался от работы свободного редактора, когда открыл, что мог заработать больше денег, делая исследования для писателей и коммерческих фирм. Он вскоре понял, что гонорар растет пропорционально тому, насколько близко требуется находиться к черте между законным и незаконным. Даже не осознавая этого, не называя это именем, Арт стал социальным инженером, применяя технологии, знакомые каждому информационному брокеру (information broker). У него оказался прирожденный талант к делу, он постиг методы, которым большинство социальных инженеров учатся у других. Спустя некоторое время он пересек черту без малейшего чувства вины.

Со мной связался человек, который писал книгу о кабинете министров в годы правления Никсона. Он искал того, кто мог бы найти сенсационную новость о Уильяме Саймоне (William E. Simon), министре финансов. Мистер Саймон умер, но автору было известно имя женщины, которая состояла в его штате. Он был уверен, что она жила в округе Колумбия, но не мог узнать адрес. Для ее имени не было указано телефона, или по крайней мере не было среди перечисленных. Поэтому он позвонил мне. Конечно, нет проблем, сказал я ему.

Это работа, которую обычно можно выполнить с помощью одного или двух звонков, если вы знаете, что делаете. Можно считать, что каждая местная коммунальная компания выдает информацию за свои пределы. Конечно, вам придется немного наврать. Но что если немного невинной лжи сейчас, а потом – правда?

Мне нравится каждый раз применять различные подходы, так интереснее. «Это такой-то из исполнительных органов» всегда работало хорошо. «У меня на линии кто-то из из офиса вице-президента» сработало и в этот раз.

Сообщение от Митника

Никогда не думайте, что все атаки социальной инженерии нуждаются в тщательной разработке, такой сложной, что они могут быть опознаны до их окончания. Некоторые из них снаружи и изнутри, наступают и пропадают, очень простые атаки, которые не более чем… просьба.

Вам следует развить инстинкт социального инженера, чувствовать, насколько готов «сотрудничать» с вами человек на другом конце провода. В этот раз мне повезло с дружелюбной леди. С помощью одного телефонного звонка я узнал адрес и номер телефона. Миссия выполнена.

Анализ обмана

Конечно, Дженни знала, что информация о клиенте конфиденциальна. Она никогда не говорила об учетной записи одного клиента с другим клиентом и не распространяла частную информацию.

Но, естественно, для звонившего из компании применялись другие правила. В случае с сотрудником это рассматривалось как игра в команде и помощь друг другу в выполнении работы. Мужчина из отдела счетов мог бы сам уточнить подробности, если бы его компьютер не был выведен из строя вирусом, поэтому она была рада оказать помощь коллеге.

Арт постепенно добрался до ключевой информации, попутно задав вопросы о вещах, которые не были нужны на самом деле, таких как номер учетной записи. Тем не менее, номер учетной записи давал возможность отступления? если бы служащий стал подозревать что-либо, он позвонил бы второй раз, имея больше шансов на удачу, так как знание номера учетной записи внушало бы доверие следующему служащему.

С Джейн никогда так не обманывали в таких вещах, когда звонивший мог вообще не работать в отделе счетов. Конечно, здесь нет ее вины. Она не руководствовалась правилом, согласно которому надо убедиться в том, что вы знаете, с кем говорите, прежде чем сообщать сведения о клиенте. Никто не рассказал ей об опасности телефонных звонков, подобных тому, что сделал Арт. Этого не было в политике компании, это не было частью ее обучения, и ее руководитель никогда не упоминал об этом.

Предотвращение обмана

В обучение безопасности следует включить следующий момент: звонящий или посетитель не является тем, за кого он себя выдает только потому, что он знает имена некоторых людей в компании или знает корпоративные терминологию или процессы. И это точно не доказывает, что он тот, кому разрешены выдача внутренней информации или доступ к компьютерной системе или сети.

Обучение безопасности должно подчеркивать: когда сомневаетесь, проверяйте, проверяйте, и еще раз проверяйте!

Раньше доступ к информации был признаком высокого положения и привилегии. Рабочие топили печи, запускали машины, печатали письма и сдавали отчеты. Мастер или начальник указывал, что, когда и как им делать. Мастер или начальник знал, сколько «штучек» (украшений) должен сделать работник за смену, сколько, каких цветов и размеров должна выпустить фабрик на этой неделе, на следующей, и к окончанию месяца.

Работники работали с машинами, инструментами и материалами, начальники работали с информацией. Работникам нужна была только специфическая информация, присущая их работе.

Сегодня немного другая картина, не так ли? Многие работники фабрик используют различные виды компьютеров и машин, управляемых компьютером. критическая информация на пользовательские компьютеры, чтобы они могли выполнить свою работу. В сегодняшних условиях почти все, чем занимаются служащие, связано с обработкой информации.

Вот почему политика безопасности компании должна распространяться по всему предприятию, независимо от положения служащих. Каждый должен понимать, что не только руководители, располагающие информацией, могут стать целью атакующего. Сегодня работники всех уровней, даже те, которые не используют компьютер, могут быть мишенью. Новые работники в группе обслуживания клиентов могут быть самым слабым звеном, которое социальный инженер использует для достижения своей цели. Обучение безопасности и корпоративная политика безопасности должны усилить это звено.