Лекция: Таковыми являться
Так в чем заключается опасность столкновения с социальным инженером? Как правильно защищаться и что делать? Если его цель — завладеть высоко ценимой желанной добычей — скажем, жизненно необходимым компонентом интеллектуальной собственности компании, то, выражаясь образно, нужны высокие стены и хорошо вооруженные охранники. Верно?
Но на практике проникновение и взлом корпоративной защиты начинается с кражи документа, содержащего на первый взгляд абсолютно невинную информацию. Такого обыденного и неважного документа, что практически каждый сотрудник организации уверен в бесполезности его охраны и защиты.
СКРЫТАЯ ЦЕННОСТЬ ИНФОРМАЦИИ
Многие безобидные документы, однако, высоко ценятся социоин-женерами, так как в основном именно благодаря содержащейся в них информации шпионам удается без затруднений входить в доверие к служащим.
В этой и последующих главах я попробую показать, как действуют соционженеры, а вы будете соучаствовать в атаках, смотреть на вещи с точки зрения жертвы и оценивать происходящее, пытаясь понять
свою собственную реакцию {или реакцию своих коллег). Одновременно вам предоставляется возможность переживать события в перспективе социоинженера.
Итак, в первой истории речь пойдет об одной «дыре» в финансовой отрасли.
ОРГАНИЗАЦИЯ CREDITCHEX
На протяжении многих лет Англия славилась своей консервативной банковской системой. Обычный честный горожанин не мог зайти в банк и открыть счет на свое имя. Почему? Банк не воспринимал его в качестве клиента, пока другой клиент с незапятнанной финансовой репутацией не представит рекомендательное письмо.
Сегодня дела обстоят немного по-другому. Это не удивительно с точки зрения развития принципов равноправия, которые не могли не коснуться банковской сферы. Современная легкость ведения деловых отношений более всего очевидна в демократичной Америке, где любой гражданин может открыть дверь банка, подойти к клерку и открыть счет, верно? Не совсем. На самом деле банки с завидным упорством не желают открывать счета лицам, которые хотя бы потенциально могут выписать фальшивый чек. Так что обычная практика, не зависящая от принципов равноправия, заключается в оперативной экспертной оценке плюсов и минусов открытия нового счета для потенциального клиента.
Одна из основных компаний, помогающих банкам в такой оценке — это организация, которую мы назовем CreditChex. Парни из этой организации не только отлично работают на поприще информационного обслуживания банковских структур, но и помогают социоинженерам, пусть и не специально.
Первый звонок: Ким Эндрюс______________________
— Национальный банк. У телефона Ким. Вы хотите открыть счет?
— Привет Ким! У меня к вам вопрос. Пользуются ли ваши парни
CreditChex?
-Да.
— Когда вы звоните в CreditChex, тот номер, который вы сообщаете...
Это Коммерческий идентификатор?
Возникла пауза. Ким взвешивала вопрос, оценивая, должна ли она отвечать. Не дожидаясь ответа, голос на другом конце провода продолжил:
— Ким, я работаю над книгой. Материал касается частного расследс
вания.
— Да, я понимаю, — Ким ответила с доверием в голосе. Она была бы
рада оказаться полезной писателю.
— Так номер называется Коммерческий идентификатор?
-Да.
— О'кей, великолепно. Я хотел быть точным в повествовании и не
ошибаться в употреблении терминов. Серьезная книга, вы же по
нимаете. Спасибо за помощь. Всего хорошего, Ким.
Второй звонок: Кристина Талберт__________________
~ Национальный банк. Отдел открытия новых счетов, — говорит Крис.
— Привет Крис. Это Алекс. Я из отдела CreditChex по работе с клиента
ми. Мы проводим опрос — хотим повысить уровень обслуживания.
Вы можете уделить мне пару минут?
Крис согласилась, и «Алекс» продолжил:
— Хорошо. По какому графику работает ваше отделение?
Она ответила на этот вопрос, впрочем, как и на все остальные, которые последовали далее.
— Сколько служащих вашего банка непосредственно работают с на
шей службой?
— С какой интенсивностью вы запрашиваете CreditChex?
— Какими из наших выделенных восьмисот линий вы пользуетесь,
звоня по телефону в CreditChex?
— Вежливо ли общаются с вами наши представители?
— Как вы оцениваете нашу оперативность?
— Долго ли вы работаете в этом банке?
— Ваш текущий Коммерческий идентификатор?
— Не находили ли вы неточностей в данных, которые поступали от
нас?
— Если вы имеете собственные пожелания, касающиеся качества на
шей услуги, то не могли бы вы их озвучить?
И последнее:
— Если вам будет угодно, мы пришлем нашу анкету, и вы ее заполните.
Она согласилась, они еще немного поболтали, после чего звонящий
повесил трубку, а Крис вернулась к своим делам.
Третий звонок: Генри Мак-Кинси___________________
— CreditChex, это Генри Мак-Кинси, чем могу быть полезен?
Звонящий представился служащим Национального банка. Он назвал
текущий идентификатор и затем имя и номер страхового свидетель
ства человека, на которого хотел получить финансовое досье. Генри
попросил уточнить дату рождения, и сотрудник банка ответил ему. Че
рез несколько секунд Генри начал зачитывать информацию со своего
дисплея:
-Уэльское отделение Fargo в 1998 заявило о недостаче 2066 долларов (N5F — nonsufficient funds. Недостача, банковский термин, означающий ситуацию, при которой клиент выписывает чек на свое
имя, а позже обнаруживается, что сумма банковского счета не способна покрыть этот чек).
— Что-нибудь еще за ним числится?
— Нет, больше ничего.
— Кто еще запрашивал досье на этого человека?
— Сейчас посмотрим. Вот здесь два запроса, и оба за последний ме
сяц. Третий Юнайтед Кредит Юнион в Чикаго.
Генри не смог сразу произнести второе название и прочел его по буквам:
— Шенектеди Мьюшал Инвестментс. Это в штате Нью-Йорк.