Что знает о вас администрация общественной безопасности

Нам нравится думать, что правительственные организации хранят данные о нас надежно охраняемые от посторонних. Реальность заключается в том, что федеральные управления не так устойчивы к проникновениям, как нам хочется думать.

Звонок от Мэй Линн

Место: региональный офис администрации общественной безопасности

Время: 10.18 утра, четверг

«Это Мэй Линн Ванг»

Голос на другом конце провода звучал примирительно, почти робко.

«Мисс Ванг, это Артур Арондэйл, офис главного инспектора. Могу я звать вас Мэй?»

«Это — Мэй Линн» — отвечает она.

«Хорошо, это так, Мэй Линн. У нас тут новый парень, у которого нет компьютера и прямо сейчас у него приоритетный проект, поэтому он использует мой. Мы работаем в правительстве Америки, и они нам говорят, что у них нет достаточно денег в бюджете, чтобы купить этому парню компьютер. А сейчас мой босс думает, что я опаздываю с выполнением своей работы, и не хочет слышать никакие извинения, вы знаете?»

«Я знаю, о чем вы, хорошо»

«Не могли бы вы мне помочь с быстрым запросом на MCS?»-он использует имя системы, где записаны все налогоплательщики.

«Конечно, что вам нужно?»

«Первое, поиск счета на Джозефа Джонсона, дата рождения 07.04.69»

После небольшой паузы она спрашивает:

«Что именно вы хотите знать?»

«Какой номер его счета?»

Она прочитывает его.

«Отлично, теперь мне нужен идентификационный номер на этот счет», говорит звонящий.

Это был запрос на базовую информацию о налогоплательщике, и Мэй Линн говорит место жительства, девичью фамилию матери и имя отца. Звонящий внимательно слушает, пока она говорит ему месяц и год заведения карточки и офис, где она была заведена.

Затем он спрашивает о подробном заработке человека.

Данный запрос вызывает ответ, «За какой год?»

Он отвечает, «за 2001»

Мэй Линн говорит, «он равен $190,286,плательщик Джонсон МикроТек»

«Какие-нибудь другие зарплаты?»

«Нет»

«Спасибо», — говорит он, « вы были очень добры».

Теперь он всегда звонит ей, когда ему нужна какая-либо информация, а у него нет доступа к компьютеру. Он снова использует любимый трюк социальных инженеров, установив связь с человеком однажды — всегда возвращаться к нему, чтобы избежать ненужных поисков.

«Не на следующей неделе», говорит она ему, потому что собирается поехать в Кентукки на свадьбу своей сестры. В любое другое время, когда она будет свободна.

Когда она кладет трубку, Мэй Линн чувствует радость, что хоть немного помогла недооцененному государственному работнику.

История Кейт Картер

Если судить по фильмам и хорошо продающимся криминальным новеллам, частные сыщики отлично разбираются в том, как выудить факты у людей. Они делают это, используя совершенно нелегальные методы. Но, по правде говоря, большинство ЧС ведут законный бизнес. С тех пор, как большинство из них начинали свою работу в роли полицейских, они отлично знают, что легально, а что нет, и большинство из них не желают переступать эту линию.

Но есть, разумеется, и исключения. Некоторые ЧС создают алиби для парней, замешанных в криминальных историях. Эти парни известны на рынке как информационные брокеры, утонченное оружие для людей, готовых нарушить законы. Они знают, что могут выполнить любое задание быстрее, если используют некоторые ускоренные методы. Эти ускоренные методы могут являться преступными и отправить этих людей за решетку на несколько лет, но это не пугает некоторых, особенно беспринципных личностей.

Между тем, ЧС уровнем выше среднего — те, кто работают не в шикарных костюмах в офисах, расположенных в самой высокооплачиваемой части города, — не делают такие типы работ самостоятельно. Намного проще нанять информационного брокера, чтобы он сделал все за него.

Парень, которого мы назовем Кейт Картер, был не обременен нормами этики.

Это было типичное дело «Где он прячет деньги?» или иногда «Где она прячет деньги?» Иногда это была богатая женщина, желающая знать, куда муж спрятал ее деньги (вопрос, почему женщина с деньгами выходила замуж за мужчину без них, всегда оставался для Кейта Картера неразрешимой загадкой).

В этом деле муж, которого звали Джо Джонсон, был «очень умным парнем, который открыл компанию, занимающуюся высокими технологиями, стартовав с 10 тысяч долларов, которые одолжил у семьи жены, и в итоге фирма превратилась в много — миллионную компанию». Согласно адвокату, занимающемуся разводом, он произвел изумительную работу по сокрытию своих активов, и все уже сбились с ног, разыскивая их.

Кейт наметил отправной точкой Администрацию общественной безопасности, концентрируя их файлы на Джонсона, которые содержали весьма полезную информацию для ситуации, подобной данной. Вооруженный их информацией, Кейт мог притвориться мишенью и заставить банки, брокерские конторы и оффшорные организации рассказать ему все.

Его первый звонок был в офис местной администрации, номер которой был размещен в телефонной книге. Когда служащий взял трубку, Кейт попросил соединить его с кем-нибудь из отдела подачи исков заказчикам. Еще одна пауза — и, наконец, голос. Кейт изменил схему действия и начал: «Привет. Это Грегори Адамс, местный офис 329.Слушай, я пытаюсь добраться до хранилища, которое содержит номер счета, оканчивающегося на 6363.»

«Это Мод2»,ответил мужчина. Он проверил номер и дал его Кейту.

Затем он позвонил на Мод2.Когда Мэй Линн ответила, он придумал, что звонит из офиса главного инспектора и о проблеме, что кому-то другому приходится сидеть за его компьютером. Она дала ему всю информацию, в которой он нуждался, и пообещала сделать все возможное, если ему понадобится помощь в будущем.

Анализ обмана

Что сделало его попытку эффективной, так это умелая игра на симпатии работника к нему после рассказа истории о занятом компьютере и о том, что «мой босс недоволен мной». Люди не проявляют на работе свои эмоции очень часто, но если они это делают, то успех атакующему обеспечен. И эмоциональная уловка «Я в беде, не могли бы вы помочь мне?» — это все, что нужно, чтобы выиграть.

Общественная незащищенность

Администрация общественной безопасности разместила копию их полного справочника действий в сети, в котором много информации, полезной для их работников, но еще более важной для социальных инженеров. Он содержит аббревиатуры, жаргонизмы и инструкции, как делать запрос относительно интересующей вас информации, как описано в предыдущей истории.

Вы хотите знать больше об Администрации общественной безопасности? Просто поищите в Google или введите следующий адрес в вашем браузере:

http://policy.ssa.gov/poms.nsf/

Несмотря на то, что в агенстве уже прочитали эту историю и удалили руководство к тому времени, как вы читаете эти строки, вы найдете он-лайн инструкции, которые даже дают детальную информацию о том, какие данные служащий АОБ вправе давать определенному кругу людей. Практически же, этот круг включает в себя любого социального инженера, который может убедить служащего, что он из законной организации.

Атакующий не сможет добиться успеха в добыче информации у служащего, который отвечает на звонки всех людей. Тип атаки, использованной Кейтом, работает лишь тогда, когда человек получает конец разговора с кем-то, чей номер телефона не доступен широкой публике и к тому же создается впечатление, что тот, кто звонит, работает в компании. Элементы, которые сделали эту атаку возможной:

знание номера телефона Мод

владение необходимой терминологией

выдумка, что он из офиса главного инспектора, о котором каждый государственный служащий знал как об агентстве, обладающем властью. Это дает атакующему некую ауру авторитета.

Одна интересная деталь: кажется, что социальные инженеры знают, как правильно делать запросы, так что никому и в голову не придет подумать, "Почему вы звоните мне? " — даже тогда, когда с точки зрения здравого смысла будет логичней обратиться к другому человеку из другого департамента. Возможно, это работает потому, что разрушает чрезмерную обыденность рабочего дня, и звонок кажется чем-то необычным.

И в завершение, атакующий не удовлетворяется разовым получением информации, но и желает установить более прочный контакт, которым можно будет воспользоваться в будущем. Он мог использовать другие уловки, вроде «Я пролил кофе на клавиатуру». Но в данной ситуации это было бы плохой идеей, так как клавиатуру можно поменять очень быстро.

Итак, он использовал историю о ком-то другом, использующим его компьютер, которая могла растянуться на недели: «Да, я думал, что вчера ему дадут компьютер, но кто-то более ловкий договорился и забрал компьютер себе. Так что этот шутник все еще находится на моем месте»… И так далее.

Какой же я несчастный, мне нужна помощь. Эти фразы заколдовывают.

Один простой звонок

Один из главных барьеров для атакующего — заставить звучать свой запрос обоснованно и типично, чтобы сильно не выделяться в течение рабочего дня жертвы. Как и с другими вещами в нашей жизни, составление правильного запроса может быть соревнованием сегодня, а завтра куском торта.

Телефонный звонок Мэри Х'з

Дата / Время: понедельник, 23 ноября,7.49 утра

Место: Мауэрсбай и Сторч бухгалтерия, Нью-Йорк

Для большинства людей бухгалтерия-это процесс подсчета денег, который так же приятен, как и root аккаунт. К счастью, не все рассматривают работу с этих позиций. Мэри Харрис, например, находит свою работу захватывающей, и это-часть причины, почему она считается одной из лучших служащих в своей фирме.

В этот обычный понедельник, Мэри приехала на работу в ожидании длинного рабочего дня и была очень удивлена телефонным звонком. Она подняла трубку и представилась.

«Привет, это Питер Шеппард. Я из Arbuclde Support,компании, которая занимается технической поддержкой вашей фирмы. Мы получили несколько жалоб за выходные от людей, у которых были проблемы с компьютерами. Я подумал, что мне следует узнать все ли в порядке, перед тем, как все выйдут на работу. У вас не было проблем с компьютером или с подключением к сети?»

Она ответила, что еще не знает. Она включила компьютер, и пока он загружался, он объяснил, что от нее требуется.

«Нужно, чтобы мы сделали парочку тестов. Я могу видеть на своем мониторе то, что вы печатаете, и мне нужно проверить, не нарушается ли это во время работы сети. Так что каждый раз, когда вы печатаете строку, говорите мне, что это, чтобы я мог сравнить. Хорошо?»

С ночными кошмарами о сломанном компьютере и потерянном впустую дне, она была более чем счастлива от предложения помощи. После нескольких моментов она сказала ему: «Передо мной экран идентификации, и я собираюсь ввести свой логин. Я печатаю его сейчас М Э Р И Д»

"Отлично, "ответил он. "Я все вижу. Далее, напечатайте свой пароль, но не говорите мне его. Вы никогда не должны говорить кому-либо свой пароль, даже тех. службе. Я лишь увижу звездочки у себя — ваш пароль защищен, так что я не могу увидеть его. "Ничего из вышесказанного не было правдой, но это повлияло на Мэри. И затем он сказал: «Скажите мне, когда ваш компьютер включится».

Когда она сказала об этом, он попросил ее запустить два приложения, и она ответила, что они работают нормально.

Для Мэри было большим облегчением, что компьютер работает нормально. Питер сказал: «Я рад, что смог убедиться в работоспособности вашего компьютера. Послушайте», — он продолжил", мы только что установили обновление, которое позволит людям менять их пароли. Не могли бы вы потратить еще парочку минут и проверить, правильно ли оно работает?"

Она была благодарна за помощь и потому с радостью согласилась. Питер помог ей запустить приложения, позволяющие поменять пароль, стандартные элементы ОС Windows 2000."Давайте дальше и введите свой пароль" — сказал он ей. «Но не произносите его вслух».

Когда она сказала, что выполнила задачу, Питер ответил, "Для быстрой проверки, когда у вас запросят пароль, напишите «test123».Затем подтвердите его и нажмите enter "

Он провел ее через процесс отсоединения от сервера. Он попросил ее подождать пару минут, затем присоединиться вновь, пытаясь в это время использовать ее новый пароль. Это работало, как по мановению волшебной палочки, Питер казался очень услужливым, и посоветовал ей сменить пароль на свой прежний или выбрать более безопасный пароль и так же не произносить его вслух.

«Отлично Мэри», — сказал Питер. "Мы не обнаружили никаких сбоев, и это здорово. Послушайте, если какие-то проблемы все же возникнут, просто позвоните на Arbucle. Обычно я принимаю участие в особых проектах, но кто-нибудь обязательно поможет вам. " Она поблагодарила его и они попрощались.

История Питера

Вокруг Питера ходили определенные слухи — когда он еще учился в школе, его товарищи знали, что он был кем-то вроде компьютерного мага, который мог достать любую информацию. Когда Элис Конрад обратилась к нему за помощью, сначала он отказался. С какой это стати он должен ей помогать? Когда он ухаживал за ней и пригласил на свидание, она ответила ему довольно прохладно.

Но его отказ помочь не удивил ее очень сильно. Она говорила, что отсутствует гарантия, что он выполнит ее просьбу, но это было как приключение. И вот как он все-таки согласился.

Элис заключила контакт с маркетинговой фирмой на должность консультанта, но положения контракта ее не устраивали. Перед тем, как изменить свой договор, ей хотелось узнать, на каких условиях работают другие консультанты.

Вот то, как Питер рассказывает эту историю.

Я не сказал Элис, что был знаком с людьми, которые не ожидали, что я могу провернуть некоторые делишки, а для меня это было сущим пустяком. Конечно, не совсем пустяком, но достаточно просто. Ее дело тоже было не слишком трудным.

Где-то после 7. 30 утра в понедельник, я позвонил в маркетинговую компанию и разговаривал с регистратором, сказав, что я работаю в компании, занимающейся планированием их пособий и мне нужно связаться с кем-нибудь из бухгалтерии. Не знает ли она, кто-нибудь уже пришел? Она ответила, «Мне кажется, я видела Мэри. Я отправлю вас к ней».

Когда Мэри подняла трубку, я рассказал ей мою маленькую историю про компьютер, которая позволила расположить ее ко мне. Пока я объяснял, как сменить пароль, я быстро залогинился под этим временным паролем в системе.

Затем, я установил небольшую программу, дающую доступ к их компьютерной системе в любое время. После того, как я попрощался с Мэри, моим первым действием было замести следы, так что никто не мог узнать о моем пребывании в системе. Это было просто. После повышения моих привилегий, я мог скачать простую программку для очистки логов с сайта www.ntsecurity.nu

Затем пришло время для настоящей работы. Я запустил поиск любых документов по ключевому слову «контракт» и скачал эти файлы. Затем я поискал еще немного и зашел в основную директорию, где хранились все финансовые отчеты. Так что я сложил вместе файлы контактов и списки платежей.

Элис могла изучить контакты и увидеть, сколько они платят другим консультантам. Разбирать все эти файлы — это ее работа. Свою задачу я выполнил.

Я распечатал некоторые файлы, которые скопировал себе на диск, чтобы она поверила. Я попросил ее встретить меня и купить обед. Вы бы видели ее лицо, когда она увидела кипу бумаг. «Не может быть,» — сказала она, «не может быть».

Я не принес диски с собой. Они были для нее приманкой. Я сказал, что ей придется зайти ко мне, чтобы забрать их. Разумеется, я надеялся, что она выскажет свою признательность за оказанную мной услугу.

Сообщение от Митника

Это удивительно, как многого может добиться социальный инженер, правильно составляя свой запрос. Основная предпосылка-привлечение человека автоматически к ответу, базируясь на психологических принципах, и способность положиться на ментальные особенности человека, принимающего звонящего за своего союзника.

Анализ обмана

Звонок Питера в маркетинговую компанию представляет собой наиболее основную форму социальной инженерии — простой запрос, который требует небольшой подготовки, базирующийся на первом подходе и занимающий пару минут.

Так что у Мэри не было основания предполагать, что ее обманули.

Это дело прошло успешно благодаря трем тактикам. Первое, он сыграл на чувству страха Мэри — заставил ее подумать, что компьютер может сломаться. Затем он дал ей время запустить пару приложений, так что она могла убедиться, что все работает нормально. Затем, он сыграл на ее чувстве благодарности за помощь в проверке компьютера.

Не позволяя ей произнести новый пароль вслух, даже ему, Питер укрепил ее во мнении, что безопасность компьютерной системы фирмы играет для него большую роль. Это укрепило ее уверенность, что он — законный работник, так как защищает ее и компанию.

Полицейский набег

Представьте себе такую картину: Правительство пытается поймать человека по имени Артуро Санчез, который распространяет бесплатно фильмы через интернет. Голливудские компании утверждают, что он нарушает их права, а он считает, что лишь пытается подтолкнуть их к решению о размещении фильмов в сети для скачки. Он делает вывод, что такое действо может стать хорошим источником доходов для студий, которые обычно игнорируются всеми.

Ордер на обыск, пожалуйста

Придя поздно ночью домой, он еще издалека заметил, что окна в его квартире не горят, хотя в одном из них он оставлял свет.

Он разбудил соседей и выяснил, что в здании был совершен полицейский рейд. Но они заставили всех жильцов выйти на улицу, и никто не знал, в чьей квартире они устроили засаду. Он только мог добавить, что они выносили какие-то тяжелые предметы. И они не выводили никого в наручниках.

Артуро проверил свою квартиру. Плохой новостью было уведомление из полиции, чтобы он связался с ними через три дня. А еще худшей новостью было то, что они забрали все его компьютеры.

Артуро растворился в ночи, оставшись ночевать у своего друга. Но неизвестность мучила его. Как полиция все узнала? Неужели они следили за ним, но дали ему шанс уйти? Или случилось что-то другое? А может ли он предпринять что-то, чтобы не уезжать из города?

Прежде чем читать дальше, остановитесь и задумайтесь: Вы можете представить, каким образом полиция может пронюхать про вас все? Учитывая, что вы не засветились в политической деятельности, у вас нет друзей в полиции, каким образом они могут знать о вас, простом горожанине, всю информацию? Или это постарался социальный инженер?

Обдуривая полицию

Артуро удовлетворил свою потребность в информации следующим способом: для начала, он нашел номер ближайшего магазина видео-проката, позвонил им и узнал номер их факса.

Затем он позвонил в адвокатскую контору и запросил отдел по записям. Когда его соединили, он представился следователем округа Lake и заявил, что ему необходимо переговорить с клерком, хранящим информацию о доказательствах.

«Это я», — ответила женщина. «О, отлично», — сказал он. «Дело в том, что прошлой ночью был рейд в квартире подозреваемого и сейчас я пытаюсь найти показание присяжного».

«Мы располагаем информацию по адресу», — ответила она ему.

Он дал ей свой адрес, и ее голос зазвучал взволнованно. «О, да», — выдохнула она, «Я знаю о чем речь. Дело о нарушении авторских прав».

"Да, то самое. Я ищу показание присяжного и копию уведомления. "

"Отлично, они совсем недалеко. "

«Великолепно. Послушайте, я сейчас не на рабочем месте и через 15 минут у меня встреча по этому делу. И я был настолько рассеянным, что забыл файлы дома. Но времени вернуться у меня уже нет. Не могли бы вы отправить мне копии?»

«Конечно, без проблем. Я сделаю копии, вы можете прийти прямо сейчас и забрать их».

«Здорово, но понимаете, я сейчас на другом конце города. Не могли бы вы отправить их мне по факсу?»

Это создало небольшую проблему, но вполне преодолимую. «У нас здесь нет факса», — ответила она. «Но факс есть в офисе этажом ниже. Думаю, они позволят мне воспользоваться им».

Он сказал: «давайте я позвоню в этот офис и попрошу их».

Леди в офисе ответила, что может помочь, но ей бы хотелось знать, кто за это заплатит. Ей нужен был номер счета.

«Я узнаю номер счета и перезвоню вам», — ответил он.

Затем он снова позвонил в адвокатскую контору, представился полицейским и просто спросил секретаря номер счета данного офиса. Без малейшего сомнения ему ответили.

Звоня обратно в офис, чтобы предоставить номер счета, он попутно извинился перед леди, которой пришлось спускаться этажом ниже, чтобы отправить ему факс.

Заметка

Откуда социальный инженер знает детали многих операций-полицейских департаментов, офисов прокуратуры, деятельности телефонных компаний, специфических организаций, чья деятельность связана с телекоммуникациями и компьютерами, и может помочь в его атаках? Потому что его работа-знать это. Такие знания — товар социального инженера, так как являются оружием в достижении цели.

Сокрытие его пути

Артуро также предстояло предпринять еще пару шагов. Всегда была возможность, что кто-нибудь все разнюхает и, приехав в магазин, столкнется с парочкой копов, которые обнаружат свое присутствие лишь тогда, когда кто-нибудь попробует узнать про пришедший факс. Он выждал немного и затем вновь позвонил в офис, чтобы убедиться, что леди отправила факс.

Затем он позвонил в другой магазин и использовал уловку по теме «как он благодарен за предоставление работы и ему хочется написать благодарственное письмо менеджеру, которого, кстати, как зовут?» С этим маленьким кусочком информации он позвонил в первый магазин и сказал, что ему необходимо переговорить с их менеджером. Когда на другом конце провода подняли трубку, Артуро сказал: "здравствуйте, это Эдвард из магазина на 628 в Хартфильде. Мой менеджер, Анна сказала позвонить вам. У нас есть клиент, который чрезвычайно расстроен — кто-то дал ему факс не того магазина. Он здесь, ждет очень важного факса, который по ошибке был направлен в ваш магазин. "Менеджер пообещал найти этот факс и отправить в магазин в Хартфильде сразу же.

Артуро уже ждал во втором магазине, когда факс пришел туда. Заполучив копии, он позвонил леди из офиса и поблагодарил ее, добавив, что эти копии необязательно возвращать, их можно выкинуть. Затем он позвонил менеджеру первого магазина и также попросил его выкинуть копии факса. Таким образом, не осталось улик о его деятельности, кроме разговоров. Социальные инженеры знают, что безопасность никогда не бывает лишней.

Действуя в данном направлении, Артуро даже не пришлось платить денег за получение факса, и даже если бы полиция появилась в первом магазине, у него уже были на руках копии, и к тому времени он бы уже был вне пределов их досягаемости.

Конец этой истории: показание присяжного и предупреждение показали, что полиции было хорошо известно о деятельности Артуро. Это то, что ему следовало знать. К полуночи он пересек границу штата. Артуро был на пути к новой жизни, готовый начать свою деятельность заново.

Анализ обмана

Люди, которые напрямую работают в каких-либо поверенных офисах, в любом случае, находятся в прямом контакте с исполнителями закона — отвечают на вопросы, делают договоренности, получают сообщения. Кто-нибудь достаточно храбрый, чтобы назваться полицейским, представителем шерифа или кем-то еще, может добиться многого. Разумеется, если он не владеет терминологией или спотыкается через каждое слово от страха, никто не ответит на его запрос.

Сообщение от Митника

Вся правда заключается в том, что никто не застрахован от обмана со стороны социального инженера. Из-за темпа нашей повседневной жизни нам не хватает времени, чтобы задуматься над принятием какого-то решения, даже очень важного для нас. Запутанные ситуации, нехватка времени, эмоциональное напряжение могут очень легко сбить нас с толку. Таким образом, мы принимаем решение в спешке, не анализируя полученную информацию, такой процесс называется автоматическим ответом. Это работает и с государственными, городскими и местными представителями закона. Мы все-люди.

Получение необходимого дебетного кода было решено с помощью обыкновенного телефонного звонка. Затем Артуро сыграл на симпатии собеседника с помощью карты а-ля «через 15 минут у меня встреча по этому делу». И я был настолько рассеянным, что забыл файлы дома. Но времени вернуться у меня уже нет. " Она действительно пожалела его и решила помочь.

Затем, используя не один, а два магазина, Артуро обезопасил себя от ареста во время получения факса. Существуют и другие способы затруднения отслеживания факса: вместо отправки его в другой магазин, атакующий может дать номер, который будет похож на номер факса, но на самом деле будет являться номером бесплатного интернет — сервиса, который при получении факса для вас, автоматически перешлет его на ваш е-мэйл. Таким образом, он может быть скачан прямо на компьютер атакующего, который нигде не засветится, и в будущем у него не возникнет проблем. К тому же, адрес е-мэйл или электронный номер факса могут быть уничтожены, как только задание будет выполнено.

Переводя стрелки

Молодой человек, которого я назову Майклом Паркером, был из тех людей, которые соображают немного поздно, что хорошо оплачиваемая работа достается обычно людям, окончившим колледж. У него был шанс поступить в местный колледж с получением частичной стипендии и займа на обучение, но это значило работать ночами и выходными, чтобы платить за аренду, еду, газ и авто страховку. Майкл, который всегда любил находить короткие пути решения проблемы, подумал, что, возможно, существует другой путь, который позволит быстрее выплатить долг и затратить меньше усилий. Дело в том, что он занимался изучением компьютеров с десяти лет и находил заманчивым изучать их работу, так что он решил посмотреть, может ли он создать себе ускоренный диплом бакалавра компьютерных наук.