Полезный секретарь
Полезный секретарь
Взломщик Роберт Джордэй регулярно вламывался в компьютерные сети компании мирового уровня Rudolfo Shipping, Inc. Компания в конце концов распознала, что кто-то занимается хакингом на их терминальном сервере, и происходит это через тот сервер, через который пользователь может присоединиться к любой компьютерной системе в компании. Чтобы обезопасить корпоративную сеть, компания решила требовать пароль дозвона на каждом терминальном сервере.
Роберт позвонил в Центр Сетевых Операций, позируя адвокатом из Юридического Отдела и сказал, что у него неприятности с присоединением к сети. Сетевой администратор, до которого он дозвонился, объяснил что недавно там были некоторые неувязки с безопасностью, так что всем пользователям с доступом по дозвону необходимо получить ежемесячный пароль у их менеджера. Роберт интересовался что за метод использовался для передачи ежемесячного пароля менеджеру, и как он мог его получить. Обернулось тем, что ответ был таков: пароль для следующего месяца посылался в деловой записке через офисную почту каждому менеджеру компании.
Это все упрощало. Роберт провел мальнькое исследование, позвонил в компанию сразу после первого числа месяца, и дозвонился до секретарши одного менеджера, которая представилась как Джанет. Он сказал, “Джанет, привет. Это Рэнди Голдштейн из отдела Исследований и Разработок. Я знаю я наверное получил записку с паролем этого месяца для залогинивания к терминальному серверу извне компании, но я не могу ее нигде найти. А вы получили вашу записку на этот месяц?”
Да, сказала она, получила.
Он спросил не могла бы она отправить эту записку ему по факсу, и она согласилась. Он дал номер факса секретарши вестибюля в другом здании кампуса компании, где он уже наладил все так чтобы факсы держали для него, и потом собирался устроить пересылку факса с паролем. Однако в этот раз Роберт использовал другой способ пересылки факса. Секретарю он дал номер факса который шел на онлайновую факсовую службу. Когда эта служба получила факс, авоматизированная система переслала его на адрес электронной почты подписчика.
Новый пароль пришел на электронный адрес мертвого сброса почты, который Роберт создал на бесплатной почтовой службе в Китае. Он был уверен, что даже если факс вообще отследили, расследователь рвал бы на себе волосы, пытаясь наладить сотрудничество с официальными лицами в Китае, которые, как он знал, более чем противились помогать в подобных делах. Лучшее из всего, ему вообще не надо было физически показываться в месте расположения факс-машины.
Сообщение от Митника
Искусный социальный инженер очень умен в побуждении других людей делать ему одолжения. Получение факса и перенаправление его в другое место выглядит настолько безобидно, что все это слишком просто убедить секретаря или кого-нибудь еще согласиться сделать это.