Разбор полетов
Вся эта махинация основана на одном из фундаментальных методов социальной инженерии. А метод этот заключается в получении доступа к информации, которую атакуемый служащий должен был бы расценивать, но не расценивает в качестве служебной тайны.
Первый банковский служащий, с которым разговаривал Оскар Грейс, подтвердил значение термина «Идентификатор коммерческого банкаКоммерческий идентификатор». Второй снабдил атакующего номером контактного телефона и ключевой информацией, которой без сомнения является номер идентификатора. Клерк думал, что все эти данные безвредны и незначительны, тем более, что он разговаривал, по его мнению, с представителем той самой компании CreditChex.
Все этиЭти предпосылки сделали возможным третий звонок. У Грэйс на руках были все нужные карты: он позвонил в CreditChex от имени служащего Банка Нэшнл и получил то, за чем охотился.
В нашей истории Грейс не только умеет красть информацию, как карманник кошельки, но и хорошо разбирается в людях. Он знает, что ключевой вопрос можно спрятать среди обыденных и понимает, как использовать личные вопросы для оценки расположенности своей жертвы.
Защититься от ошибки, которую допустил первый клерк практически невозможно. Идентификатор БанкаКоммерческий идентификатор – это настолько привычная и широко известная вещь в банковской сфере, что кажется несущественной. Но второй клерк, Крис, повела себя безрассудно, так как обязана была идентифицировать личность звонящего человека – проверить, является ли он тем, за кого себя выдает. По крайней мере, можно было спросить номер телефона и имя, чтобы затем перезвонить по этому номеру. Таким образомПотому что, если впоследствии возникнут вопросы, то можно будет обратиться к записям об именах и телефонных номерах звонивших.
Комментарий Митника
Коммерческий идентификаторИдентификатор Коммерческого Банка в данной ситуации аналогичен паролю. И если банковские служащие будут относиться к этому ID, как к PIN-коду карточки для банкомата, то и ценность этого идентификатора будет восприниматься адекватно. Задумайтесь, а нет ли на вашей фирме внутреннего кода или номера, к которому служащие относятся недостаточно внимательно?
Еще лучше, воВо всех отношениях, правильней было бы перезвонить в CreditChex по заранее известному номеру, а не по тому, который сказал сам звонящий. Тогда появилась бы возможность проверить, работает ли там сейчас этот человек и если работает, то проводит ли он опрос по телефону. Конечно, благодаря современной атмосфере и сжатым графикам работы, требовать такой доскональной верификации от служащих тяжело. Нужно понимать, что,но сотрудник обязан перезвонить, как только если у него возникли некоторые малейшие подозрения.
В этой социоинженерной атаке Диди начала с «уточнения» телефонных номеров трех отделов компании-мишени. Это не представляло трудностей, так как нужные ей данные не скрывались, - тем более для своих сотрудников. Социальный инженер умеет выглядеть и говорить, как твой коллега, а Диди владела своей профессией в превосходстве. Один из полученных телефонных номеров привел ее к коду калькуляции (субсчету) отдела, без которого вряд ли было возможно получить внутренний справочник.
Во время работы ей понадобилось: приветливо вести разговор, использовать корпоративный язык, и, в последнем эпизоде, немного словесно заиграть со своей жертвой.
И, кроме прочего, присутствовал один непростой элемент – опыт манипулирования, отточенный практикой и неписаными уроками поколений самоуверенных людей.
Вы, наверное, не первый раз замечаете, что знание внутреннего, профессионального языка компании – корпоративного сленга, структуры компании и обязанностей служащих тех или иных подразделений, - все это неотъемлемая часть багажа знаний ухищрений предприимчивого социоинженера.
Комментарий Митника
Мы часто отвечаем на вопросы только благодаря доброте своей душевной доброте. Особенно, если кто-то задает справедливый и кажущийся разумным вопрос. Социоинженеры знают об этом и не брезгуют пользоваться наивностью своих жертв.
Джейн, без сомнения, знала, что данные о клиентах – это конфиденциально. Она бы никогда не рассказала одному клиенту о другом. А тем более постороннему человеку.
Но, как водится, в разговоре с коллегами действуют иные правила. Джейн всегда готова помочь человеку из своей команды, ведь в работе надо помогать друг другу. Тот парень из отдела расчетов с клиентами и сам мог бы найти интересующие его данные, если бы не вирус. А так она с удовольствием ему помогла выйти из затруднительной ситуации.
Арт выудил ключевую информацию, задавая различные вопросы, ответы на которые его совершенно не интересовали. Однако, если быть точным, то номер счета, например, мог пригодиться в последствии, если бы служащий что-то заподозрил в процессе диалога. Клиентский счет позволит выглядеть более осведомленным, если придется искать очередную возможность выудить данные.
Джейн даже не приходило никогда в голову, что ее могут обмануть подобным образом, представившись сотрудником ее же компании. И винить Джейн не в чем, на самом деле. Никто и никогда не предупреждал ее об атаках на информацию, подобных той, которую инициировал Арт. И она никогда не слышала о правилах идентификации телефонного собеседника. Таких правил нет в ее рабочих инструкциях, ни к чему подобному ее не подготавливали, и ее менеджер никогда об этом не думал.
Когда Томми звонил Джинни, он просто входил к ней в доверие. А когда пришло время для настоящей атаки, она уже не сопротивлялась и воспринимала Томми именно в качестве того человека, чьим именем он прикрывался: как менеджера одного из филиалов их сети видео-проката.
И почему она не должна была его принять – она уже была с ним знакома. Конечно, она «встречала» его только по телефону, но у них возникло знакомство на почве деловых отношений, – а это отличная основа для доверия. Как только она приняла его в качестве авторизированного менеджера своей компании, доверие уже появилось, а остальное было пустяком – не сложнеекак прогулки прогулка в парке.
Комментарий Митника
Обманная техника, позволяющая завоевывать доверие к себе – это один из наиболее эффективных приемов социоинженерии. Вы должны думать о том, с кем вы разговариваете на самом деле. Знаете ли вы этого человека на самом деле? В некоторых, пусть и редких, случаях ваш собеседник может оказаться вовсе не тем, за кого себя выдает. Это факт, и в соответствии с этим фактом мы все должны учиться наблюдать, думать и задавать грамотные вопросы.
Подумайте о своей собственной реакции на просьбу незнакомого стороннего человека... Если на пороге вашего дома появится незнакомец в потрепанной одежде, вы вряд ли захотите его впустить. Но если это будет дорого хорошо одетый человек в блестящих ботинках и с безупречной прической, вежливый и улыбающийся, вы будете к нему гораздо менее подозрительны. Вполне возможно, что это Джейсон из Пятницы 13-ое, но вы, тем не менееоднако, доверитесь ему, пока он нормально выглядит и не держит в руке окровавленное мачете.
Менее очевидно для нас то, что мы судим о телефонном собеседнике точно таким же образом. Этот человек говорит со мной так, как будто пытается что-то продать? Он Его голос дружелюбный и располагающий располагает к разговору и дружелюбный или я чувствую некоторую враждебность и давление? Похожа ли его или ее речь на речь образованного человека? Мы неосознанно, бегло и незаметно для себя оцениваем все эти и множество других различных факторов. Причем чаще всего для этого нам достаточно нескольких секунд разговора.
Комментарий Митника
Человеческая натура заставляет нас не думать об обмане, во всяком случае до тех пор, пока что-то не подскажет нам обратное. Мы взвешиваем риск, но практически всегда наши сомнения играют на руку тем, кого стоит опасаться. Это часть обычного поведения цивилизованных людей... во всяком случае тех цивилизованных людей, которых никогда не обманывали на крупную сумму денег.
Родители учат детей не верить посторонним. Возможно, стоит придерживаться этого старинного правила и на современном рабочем месте современности.
На работе люди постоянно обрабатывают запросы. У тебя есть email
адрес электронной почты этого парня? Где последняя версия клиентского реестра? Кто отвечает за эту часть проекта? Пожалуйста пришли мне последнее обновление проектных файлов. Мне нужна более новая версия исходников.
Догадайтесь, о чем я. Иногда люди, спрашивающие вас о чем-то – это люди, которых вы прежде в лицо не видели, люди, работающие в совершенно другой части вашей компании.
Нет ничего странного в том, что люди легче принимают того, кто уверяет, что является коллегой, кто знаком с деловыми процессами фирмы и знает сленг. Социоинженер из последней истории получил преимущество, изучив когда изучил подробности рекламной акции, выдав выдал себя за сотрудника и попросив попросил помощи у коллеги из соседнего филиала. Такая ситуация более чем возможна в сети розничных магазинов или в компании с большим количеством подразделений, где люди физически разъединены и вынуждены работатьсотрудничают с коллегами, которых никогда не видели ни на работе, ни в свободное от работы время.
Состоявшийся Настоящий социоинженер вряд ли остановится перед взломом базы данных NCIC. И зачем ему лишний раз раздумывать, когда достаточно позвонить в местное полицейское управление и деловито пообщаться, играя роль в роли осведомленного человека? А в следующий раз, в крайнем случае, можно перезвонить в другое управление и повторить все сначала.
Вы, наверное, спрашиваете себя, а разве не рискованно звонить в полицейское управление, шерифу или в дорожную инспекцию? Атакующий развеРазве атакующий не рискует?
Ответ отрицательный... обоснованно Обоснованно отрицательный. Люди, работающие в правоохранительных органах, как и военные, взращены на уважении к званию, вышестоящему чину. И пока социоинженер маскируется под капитана или майора – присваивает себе более высокое звание, чем то, которым располагает его собеседник – он в безопасности. Жертва прошла хороший урок на своей службе и не привыкла задавать вопросы начальникам. Другими словами, звание имеет свои привилегии, и в частности, привилегию не затрудняться вопросами со стороны подчиненных.
Но не думайте, что чинное уважение присуще только военным или полицейским. Социоинженер может воспользоваться оружием доверия к должности и в деловых кругах, что неоднократно подтверждается историями из этой книги.
Атакующий сплел сеть-ловушку и заставил попасть в нее свою жертву, которая столкнулась с несуществующей проблемой. В нашем случае, еще до того, как проблема проявилась, атакующий знал, что она обязательно появитсявозникнет, так как сам собирался вызвать эту проблему. Далее он представил себя, как в качестве человека, способного разрешить возникшие трудности.
Эта стратегия отлично подходит для злоумышленника. Все, что необходимо сделать, это заранее позиционировать себя для мишени в качестве человека, способного помочь в затруднительной ситуации. Мишени остается самому позвонить После этого мишень сама позвонит и обратиться за помощью к атакующему, который только этого и ждет.
Подобная афера попадает под категорию реверсивной социоинженерии. Атакующий, которому звонит жертва по доброй воле, получает огромный кредит доверия. Согласитесь, если я сам звоню сотруднику службы поддержки, я не буду проверять его личность и полномочия их сотрудников. Эту работу за меня уже «сделал» злоумышленник.
Чем больше знает жертва, тем подозрительнее она отнесется к производимым на ней манипуляциям, так что в подобной афере атакующий постарается найти мишень, слабо знакомую с компьютерами. Такая жертва быстрее согласится «просто скачать эту небольшую программку», так как слабо представляет последствия и степень потенциального риска. Кроме того, сильно сокращаются шансы, что жертва понимает ценность информации, к которой может получить доступ посторонний посредством захваченного компьютера.
Сленг
Удаленная командная строка (rshell) – неграфический интерфейс, принимающий текстовые команды и исполняющий определенные функции ОС или программы. Атакующий, используя технические недостатки узла-жертвы или установивший троянскую систему, вместе с этим, скорее всего, получает удаленный доступ и к командной строке захваченной операционной системы.
Реверсивная социальная инженерия – социоинженерная атака, при которой нападающий создает все условия для того, чтобы жертва попала в затруднительное положение и при этом попросила помощи у самого нападающего. Другая разновидность реверсивности играет может быть направлена против злоумышленника. Жертва при этом распознает атаку и, используя психологические методы, пытается выяснить как можно больше о нападающем, например для того, чтобы обезопасить свой бизнес от подобного нападения в дальнейшем.
Комментарий Митника
Если незнакомец оказывает вам услугу, а затем просит взамен об оказании другой услуги, то прежде чем согласиться, хорошо подумайте, о чем именно вас просят.
История подтверждает факт, с которым вы не раз встречались и еще встретитесь на страницах этой книги: злоумышленник от сотрудника прежде всего хочет получить узнать пароль и имя пользователя. Получив эти данные от служащего в нужном подразделении компании, атакующему остается внедриться в систему от имени жертвы и найти искомое.
Комментарий Митника
Прежде чем новые сотрудники получат доступ к компьютерной технике, они должны закончить пройти соответствующий курс повышения компетентности в вопросах информационной безопасности. В частности, должны знать правила неразглашения своих пользовательских паролей.
Аутентификационные данные – это как ключ от города. С ключами в руке можно свободно передвигаться по корпоративной сети и искать нужную информацию.
Для человека, которого мы звали Крег Когбурн, как и для любого другого, хорошо знакомого с вороватым-но-не-всегда-преступным ремеслом социоинженерии, это задание было вполне обычным делом. Задача заключалась в нахождении и загрузке файлов, хранимых в хорошо защищенной брандмауэрами и другими технологиями локальной сети предприятия.
Большая часть работы Крега для него не представляла для него никаких сложностей. Начал он с того, что, представившись рабочим почтового отдела, настоятельно попросил получить посылку FedEx. Этот ход вывел его на лидера руководителя рабочей группы по разработке сердечного стента, который, правда, отбывал пребывал в отпуске, но услужливо оставил на автоответчике имя и телефон своего ассистента – более чем подходящая информация для любого социоинженера. Позвонив ассистенту, Крег сразу избавился от возможных подозрений, сказав, что исполняет распоряжение ведущего специалиста. А так как специалиста не было в городе, Мишель не смогла проверить его слова. Она поверила ему и без сомнений предоставила список сотрудников, входящих в группу разработчиков. Именно эта информация во всем мероприятии для Крега была ключевой.
У нее не возникло никаких подозрений даже тогда, когда Крег попросил послать данные по факсу, хотя было очевидно, что электронная почта в этом случае подходила больше, чем что бы то ни было. Почему Мишель оказалась такой доверчивой? Как и многие другие служащие, она бы не хотела, чтобы босс, вернувшись из отпуска, обнаружил ее несговорчивость в вопросе, который он (по легенде) и поставил перед своим подчиненным. Кроме того, звонящий не только упомянул о задании босса, но и о его словах об участии в деле Мишель. Это еще один пример того, как служащие стараются показать свое участие в общем делеприверженность общему делу, при этом становясь легкой мишенью обманамошенника.
Крег вовсе не хотел появляться в офисе компании и поэтому попросил принять факс секретаря. Он не зря надеялся на помощь секретаря, так как обычно людей на эту должность выбирают прежде всего за то, что они очаровательных очаровательные и умеющих могут произвести впечатление.
ЭтгарЭдгар попался на довольно распространенную в Internet интернете уловку. Такого рода жульничество может принимать различные формы. Например, одна интерпретация представляет собой поддельное, но в точности повторяющее оригинальное, окно входа в систему, где пользователь вводит свои свое имя и пароль доступа (об этом более подробно в Главе 9), которые незамедлительно «скармливаются» хакеру.
В нашем же случае имеет место подделка другого рода – пользователь пошел на поводу у злоумышленников лишь потому, что название сайта «paypal-secure.com» очень похоже на название защищенного сайта известной компании PayPal. Но это не так. Думая, что обновляет базу клиентов PayPal, ЭтгарЭдгар пополнял базу данных взломщиков.
Комментарий Митника
Если вы не комекадзекомикадзе, то, вводя конфиденциальные данные на каком-то сайте в Интернетинтернете, убедитесь, что соединение в данный момент зашифровано и заверено электронным сертификатом. И еще один важный момент. Никогда не нажимайте кнопку «Да», не ознакомившись с текстом в диалоговом окне, ведь довольно часто этот текст говорит о том, что сертификат отозван или не может быть подписан центром сертификации.
