Анализируя жульничество
Каждый из нас когда-то был новичком. Мы все храним воспоминания о первом рабочем дне, когда мы были молоды и неопытны. Именно поэтому, если новый сотрудник просит о помощи, он вправе рассчитывать на нее, и особенно на помощь молодых сотрудников, кто хорошо помнит свои ощущения в подобной ситуации. Любой социальный инженер знает об этом и понимает, что может сыграть на таких чувствах своих жертв.
Мы сами упрощаем посторонним людям путь в наши компании, фабрики и офисы. Даже с охранниками на входе и строгой пропускной системой для тех, кто не является сотрудником, существует немало способов получить карточку посетителя и проникнуть внутрь. А есть ли в вашей компании правило, чтобы посетителей обязательно сопровождали сотрудники? Это хорошее правило, но оно эффективно лишь в том случае, когда сотрудники компании внимательно следят за наличием карточки посетителя на груди каждого проходящего мимо них человека и останавливают любого, у которого нет такой карточки. Если объяснения пришельца будут недостаточно убедительны, сотрудники компании должны незамедлительно обратиться в службу безопасности.
Простота проникновения пришельцев на территорию компании угрожает безопасности Вашей информации. А в современных условиях, когда повсюду существует угроза терроризма, риску подвергается не только информация.
Линда смогла получить сведения, необходимые для осуществления своей мести, поскольку у нее была важная дополнительная информация - номера телефонной компании и знания о механизмах ее работы. Поэтому она сумела отправить техника ночью через весь город на другую телефонную станцию и с его помощью определить телефонный номер, который не был предназначен для раскрытия.
Уловка устрашения при помощи ссылки на руководство работает особенно хорошо, если ваш собеседник занимает в компании невысокий пост. Использование имени руководящего сотрудника не только заставляет забыть о подозрительности, и делает человека готовым к сотрудничеству; естественное желание быть полезным усиливается многократно, если человек, которому оказывают услугу, занимает высокий пост.
Опытный социальный инженер знает, что лучше всего использовать не имя непосредственного начальника, а кого-то из руководства более высокого уровня. Подобный обман бывает сложно реализовать в небольшой компании: атакующий наверняка не захочет, чтобы его жертва могла быстро вычислить обман, связавшись с вышестоящей персоной, допустим, из отдела маркетинга. Заявление такого рода: «Я послал маркетинговый план по продукту, о котором меня спрашивал тот парень», может легко породить встречный вопрос: «Какой план и кто конкретно его запрашивал?». Отсюда недалеко до открытия, что компания подверглась нападению.
Совет Митника
Запугивание может вызвать у людей страх, склоняя их к сотрудничеству. Запугивание может вызвать боязнь наказания или боязнь показаться некомпетентным.
Сотрудники компании должны быть специально обучены тому, что безопасность важнее слепого поклонения перед руководством. Во время специальных тренингов надо учить людей вежливо, не обостряя взаимоотношения, отказывать руководству, получая указания, противоречащие политике безопасности. Мало того, подобное поведение должно утверждаться руководством любого уровня. Если не поддерживать принципиальность поведения сотрудников, то они, в конце концов, откажутся от нее.
Эффективность такого подхода основана на симпатии тем, кому приходится работать за чужим компьютером и тому, что «начальник очень недоволен мной». Люди не слишком часто проявляют эмоции во время работы, поэтому призыв: «я в беде, помогите мне» обычно обречен на успех.
Звонок Петера в маркетинговую компанию – пример наиболее распространенной формы социальной инженерии - простой попытки, которая не требует большой подготовки, удается с первого раза и занимает всего несколько минут.
Мэри, оказавшись в роли жертвы, просто не подозревала, что с ней может быть сыграна такая шутка, поэтому и не стала писать отчета о произошедшем инциденте.
В этом случае все сработало, поскольку Петер использовал три приема социальной инженерии. Во-первых, он сразу же заручился ее желанием сотрудничать, запугав ее, заставив поверить, что ее компьютер может выйти из строя. Затем он потратил некоторое время, дав Мэри запустить два приложения и убедиться в том, что они работают нормально. Это укрепило связь между ними, возникло ощущение сотрудничества. Далее в благодарность за то, что он убедил ее в работоспособности компьютера, Мэри пошла на дальнейшее сотрудничество с ним, что и было основным этапом его работы.
Повторив несколько раз, чтобы она ни в коем случае не произносила вслух свой пароль, Петер выполнил важную и трудную часть работы: убедил Мэри в том, что не хочет нарушать безопасность файлов компании. Это убедило ее в том, что он стоит на страже ее интересов и интересов компании.
Сотрудники офиса районного прокурора в любом районе постоянно общаются с сотрудниками правоохранительных органов – отвечают на вопросы, организуют встречи, передают послания. Если человек звонит и представляется офицером полиции, заместителем шерифа или кем-то еще из работников этой области, ему обычно верят на слово. Если только его речь не звучит совсем неадекватно, он правильно употребляет термины и не говорит откровенных глупостей, ему не зададут ни одного дополнительного вопроса. Именно это и произошло в нашем случае с двумя сотрудниками.
Для получения нужной информации Артуро очень помогла игра на сочувствии, когда он рассказал о встрече с сотрудниками секретной службы и о забытых дома материалах. Услышавшая эту «трогательную» историю, секретарь, конечно же, решила помочь попавшему в трудную ситуацию коллеге.
В процессе этой атаки использовался еще один прием, о котором я не говорил раньше: атакующий попросил администратора базы данных университета провести его по всем этапам процесса, который он не знал, как реализовать. Это похоже на то, что владелец магазина помог бы вам вынести из магазина коробку с продуктами, которые вы только что украли с полок.
