Третий звонок: Генри МакКинси
«CreditChex, это Генри МакКинси, чем могу вам помочь?»
Звонивший сказал, что он из Национального Банка. Он назвал текущий Merchant ID и имя и номер социального страхования человека, о котором он искал информацию. Генри спросил дату рождения и звонивший сказал её тоже.
Через несколько секунд Генри прочитал список с экрана компьютера.
«Уэллс Фарго – есть сообщения о NSF однажды в 1998‑м, в $2 066.» NSF – это недостаточные фонды – типичный банковский термин, касающийся чеков, которые были выписаны, когда на счету не хватало денег, чтобы их покрыть.
«Что‑нибудь ещё после этого?»
«Ничего.»
«Были ли ещё какие‑нибудь запросы?»
«Сейчас посмотрю. Да, два, оба в прошлом месяце. Третий Объединённый Кредитный Союз Чикаго.» Он наткнулся на следующее имя, Взаимные Инвестиции Шенектеди. «Это в штате Нью‑Йорк», добавил он.
Частный сыщик в действии
Все три из этих звонков были сделаны одним человеком – частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое‑что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.
Популярные писатели любовных романов Сэм Спейдс и Филипп Марлоус проводили длинные ночи, сидя в машинах и следя за нечестными супругами. Частные сыщики в реальной жизни делают то же самое. Они также делают более обыденные, но не менее важные слежки за враждующими супругами. Большей частью они основываются на навыках в социальной инженерии, чем на борьбе с бессонницей с прибором ночного видения.
Новым клиентом Грейса была леди, и по виду своего платья и ожерелья довольно обеспеченная. Однажды она зашла в его офис и села в кожаное кресло, единственное, на котором не было сложенной кипы газет. Она поставила на стол свою сумочку от Гуччи, повернув логотипом в его направлении, и заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема».
Кажется, её муженёк был на шаг впереди. Он уже снял все наличные с их сберегательного счёта и даже гораздо большую сумму с их брокерского счёта. Она хотела знать, куда подевались их активы, и сказала, что её адвокат по разводу не смог вообще ничем помочь. Грейс предположил, что адвокат был одним из тех юристов, которые сидят на верхних этажах небоскрёбов и не желают пачкать свои руки ни в чём грязном, например, разбираясь, куда исчезли её деньги.
Не мог бы Грейс помочь?
Он уверил её, что это будет непросто, назвал примерную цену, накладные расходы и получил чек в качестве аванса.
Затем он столкнулся с проблемой. Что вы делаете, если вам никогда прежде не поручали подобную работу и даже не знаете с чего начать искать денежный след? Вы как ребёнок делаете первые шаги. Вот история Грейса согласно нашему источнику.
Я знал о CreditChex, и как банки им пользуются – моя бывшая жена работала в банке. Но я не знал терминов и процедур, и спрашивать её об этом было бы пустой тратой времени.
Шаг первый: Разузнать о терминологии и выяснить, как сделать запрос так, чтобы он звучал, как будто я знаю, о чём говорю. Первая молодая леди Ким в банке, в который я позвонил, была настроена подозрительно, когда я спросил, как они идентифицируют себя, когда звонят в CreditChex. Она колебалась, она не знала, стоит ли мне это говорить. Было ли это моим поражением? Нисколько. Фактически, колебание дало мне важный знак, что я должен сообщить причину, которой бы она поверила. Когда я обманул её, сказав, что провожу исследования для книги, это уменьшило её подозрения. Скажите, что вы писатель или сценарист и вам любой откроется.
У неё была информация, которая могла бы помочь – вроде необходимых данных, которые требует CreditChex относительно человека, о котором вы делаете запрос; о чём вы можете спрашивать; и главное, банковский номер Merchant ID Ким.
LINGO
Сжигать источник – считается, что нападающий сжигает источник, когда он даёт жертве понять, что атака имела место. Как только жертва узнаёт об этом и сообщает другим служащим или руководству о попытке, становится невероятно сложно использовать тот же источник для будущих атак.
Вы вынуждены опираться только на инстинкт, чутко вслушиваясь, что и как жертва говорит. Эта леди звучала достаточно настороженно и могла что‑нибудь заподозрить, если бы я задавал много необычных вопросов. Даже притом, что она не знала, кто я и с какого номера я звоню, нельзя вызывать подозрительности, потому что вы вряд ли захотите сжигать источник – возможно, вы захотите позвонить в этот офис в другой раз.
Я всегда слежу за маленькими знаками, которые дают понять, насколько человек поддаётся сотрудничеству. Это может варьироваться от «Вы располагаете к себе, и я верю всему, что вы говорите» до «Вызвать полицию, поднять Национальную Гвардию, этот парень замышляет что‑то нехорошее».
Я понял, что Ким находится на грани последнего, поэтому я просто позвонил кому‑нибудь из другого отдела. Мой следующий звонок свёл меня с Крис, с ней уловка сработала. В этот раз тактика заключалась в том, чтобы спрятать важные вопросы среди несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем я задал вопрос о номере Merchant ID в CreditChex, я провел небольшой тест, задав ей личный вопрос о том, как долго она работает в банке.
Личный вопрос – это как скрытая мина, некоторые люди переступают через него, не замечая; для других она взрывается и взывает в защите. Поэтому если я задаю личный вопрос и она отвечает, и тон её голоса не меняется, это означает, что, возможно, она не относится подозрительно к природе вопроса. После этого я могу спокойно задать нужный вопрос, не вызывая у неё подозрений, и она скорее всего даст мне необходимый ответ.
Есть ещё одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два‑три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.
Итак, Крис дала мне её номер Merchant ID и телефонный номер, по которому они делают запросы. Я хотел задать ещё несколько вопросов, чтобы узнать, как много информации можно узнать от CreditChex. Но лучше было не рисковать.
Теперь я мог в любое время позвонить в CreditChex и получить информацию. При таком повороте событий служащий CreditChex был счастлив поделиться со мной точной информацией касающихся двух мест, в которых муж моей клиентки недавно открыл счета. Итак, куда же подевались деньги, которые разыскивала его потенциальная бывшая жена? Ещё куда‑нибудь, кроме банковских учреждений, о которых сообщил парень из CreditChex?
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опасна.
Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в CreditChex: Merchant ID. Вторая выдала телефонный номер для звонков в CreditChex и самый важный кусок информации: номер Merchant ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь банковская служащая думала, что она говорит с кем‑то из CreditChex – так что плохого было в раскрытии номера?
Всё это было положено в основу для третьего звонка. У Грейса было всё необходимое, чтобы позвонить в CreditChex. Он представился служащим одного из банков‑клиентов, – Национального банка, – и просто спросил всё, что нужно.
Помимо хороших навыков в краже информации, которыми обладает любой хороший карманник, Грейс обладал талантом незаметно угадывать настроение людей. Он знал об обычной тактике прятанья ключевых вопросов среди безвредных. Он знал, что личный вопрос проверит второго клера на желание сотрудничать, прежде чем спрашивать о номере Merchant ID.
Ошибку первого служащего, касающуюся подтверждения терминологии номера ID CreditChex, практически невозможно предотвратить. Эта информация столь широко известна в банковской индустрии, что кажется незначительной – хорошая модель безвредной информации. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки, действительно ли звонивший был тем, кем назвался. По крайней мере, ей следовало спросить у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного труднее замаскироваться под представителя CreditChex.
Сообщение от Митника
В этой ситуации Merchant ID – аналог пароля. Если бы персонал банка относился к нему как к ATM PIN, они бы лучше оценивали критичность природы этой информации. А в вашей организации есть внутренний номер, к которому люди относятся без особой осторожности?
Для звонков в CreditChex было бы лучше использовать что‑нибудь другое, вместо номера, сообщаемого звонившим, чтобы проверить действительно ли этот человек работает там, и действительно ли компания обрабатывает запросы своего клиента. Однако, учитывая практику настоящего мира и временной прессинг, в котором сегодня работают многие люди, этой проверки по телефону достаточно кроме случаев, когда служащий подозревает, что совершается атака.
Западня для инженера
Широко известно, что агентства по трудоустройству (т.н. охотники за головами) пользуются социальным инженерингом, чтобы переманивать корпоративные таланты. Вот пример того, как это может происходить.
В конце 1990‑х одно не слишком этичное агентство подписало контракт с новым клиентом – компанией, ищущей инженеров‑электронщиков с опытом в области телефонной промышленности. Исполнителем проекта стала леди с чувственным низким голосом и сексуальными манерами, которая научилась их использовать, чтобы вызывать первоначальные доверие и привязанность по телефону.
Леди решила организовать набег на провайдера услуг сотовой связи, чтобы посмотреть, можно ли было там найти несколько инженеров, которые могли бы поддаться соблазну перейти к конкуренту. Она не могла просто позвонить в центр связи и сказать: «Дайте мне поговорить с кем‑нибудь с пятилетним опытом работы инженером.» Вместо этого по понятным причинам она начала охоту за талантами с поиска кусочков информации, которые кажутся совсем незначительными, информации, которую люди из компании скажут почти любому, кто спросит.