Глава 2: Когда безвредная информация опасна
(Chapter 2 When Innocuous Information Isn't)
Перевод: Yarlan Zey ([email protected])
Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого‑нибудь очень ценного приза – скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно – это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого‑нибудь фрагмента информации или какого‑нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин почему им следовало бы её защищать и ограничивать к ней доступ.
Скрытая ценность информации
Многое из кажущейся безвредной информации, находящейся во владении компании, ценно для социального инженера, потому что может сыграть существенную роль в его попытке прикрыться плащом правдоподобности.
На страницах этой главы я буду вам показывать, что делают социальные инженеры, чтобы добиться успеха. Вы станете «свидетелем» атак, сможете, время от времени наблюдать действие с точки зрения атакуемой жертвы и, становясь на их место, оценить как бы вы (или, может быть, один из ваших работников или сослуживцев) сами могли себя повести. Во многих случаях вы также увидите эти же события с перспективы социального инженера.
В первой истории речь пойдёт об уязвимости в финансовой индустрии.
CREDITCHEX
В течение долгого времени британцы имели дело с очень консервативной банковской системой. Вы как обычный добропорядочный гражданин не могли просто зайти с улицы и открыть банковский счёт. Нет, банк не рассматривал вас в качестве своего клиента, пока какой‑нибудь уже хорошо зарекомендовавший себя клиент не даст вам своё рекомендательное письмо.
Несомненно, это очень сильно отличается от сегодняшнего банковского мира. И наша современная лёгкость в совершении сделок нигде так не развита, как в дружелюбной, демократичной Америке, где почти кто угодно может зайти в банк и легко открыть расчётный счёт, правильно? Да, но не совсем. На самом деле, банки не желают открывать счёт для кого‑нибудь, кто может иметь за собой ситуации с неоплаченными счетами – это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.
Одной из больших компаний, которые предоставляют банкам такую информацию, является CreditChex (все названия изменены). Они предоставляют своим клиентам ценную услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником информации для социальных инженеров.
Первый звонок: Ким Эндрюс
«Национальный Банк, это Ким. Вы хотели открыть сегодня счёт?»
«Привет, Ким. У меня есть к вам вопрос. Вы пользуетесь CreditChex?»
«Да.»
«Когда вы звоните в CreditChex, номер, который вы им даёте – это „Merchant ID“?»
Пауза. Она взвешивала вопрос, удивляясь, к чему это всё, и следует ли ей отвечать.
Звонивший быстро продолжил, не теряя времени:
«Потому что, Ким, я работаю над книгой. Это касается частных исследований.»
«Да», сказала она, отвечая на вопрос под воздействием новых обстоятельств, польщённая тем, что помогает писателю.
«Итак, это называется Merchant ID, правильно?»
«Эээ, ага.»
«ОК, отлично. Я хотел убедиться, что примечание в книге правильно. Спасибо за помощь. До свидания, Ким.»
Второй звонок: Крис Тэлберт
«Национальный банк, новые счета, это Крис.»
«Привет, Крис. Это Алекс», ответил звонивший. «Я из отдела обслуживания клиентов CreditChex. Мы делаем обзор по улучшению нашей службы. У вас есть для меня пара минут?»
Она была рада помочь, и звонивший продолжил:
«ОК, в какие часы ваш отдел открыт?» Она ответила и продолжала отвечать на его список вопросов.
«Сколько служащих в вашем отделении пользуются нашей службой?»
«Как часто вы звоните нам с запросами?»
«Какой из наших номеров 800– вы используете для звонков?»
«Наши представители всегда были вежливы?»
«Сколько времени занимает наш ответ?»
«Как давно вы работаете в банке?»
«Какой Merchant ID вы сейчас используете?»
«Вы когда‑нибудь обнаруживали неточности в информации, которую мы вам предоставляем?»
«Есть ли у вас советы по улучшению нашей службы?»
И:
«Вы не могли бы заполнить наши периодические анкеты с вопросами, которые мы пришлём в ваш отдел?»
Она согласилась, они ещё немного поболтали, незнакомец повесил трубку, и Крис вернулась к работе.