Библибоба

Читаем Искусство обмана полностью

Искусство обмана

Кристофер Хэднеги

Однако, прежде чем делать вывод о неуместности манипуляций в работе социального инженера, позвольте перечислить несколько ситуаций, в которых я все же использую манипуляции и не вижу в этом ничего плохого.

Мы довольно часто используем манипуляции в рамках деятельности фонда «Невинные жизни». Мы охотимся на «хищников», которые пытаются навредить детям и совершают ужасные преступления, а в борьбе с такими негодяями все средства хороши. Кроме того, я использую манипуляции, когда меня об этом просят сами клиенты. Обычно это происходит, когда ставки очень высоки: например, когда мой клиент — крупная финансовая компания, национальный гигант или организация, отвечающая за работу крупной инфраструктуры. В таких случаях проверки должны проводиться самым тщательным образом. Некоторые клиенты напрямую просят использовать манипуляцию, а не влияние, чтобы подвергнуть протоколы безопасности настоящему испытанию. Обычно такой запрос поступает после нескольких успешных проверок, когда клиент хочет перейти на новый уровень. Но даже при организации подобных тестов мы стараемся придумывать сценарии, которые в результате обучили бы клиентов чему-то полезному.

Например, одному клиенту необходимо было проверить работу лучших сотрудников телефонной поддержки. Вопрос стоял о защите информации стоимостью в миллионы долларов, и заказчику нужно было убедиться, что эти люди смогут противостоять самым жестким атакам.

Мы несколько раз попробовали применить к ним техники оказания влияния, но так и не выявили нарушений протокола безопасности. Тогда мы решили пойти еще дальше и придумали легенду, в которой приняли участие две представительницы моей СИ-команды.

Агент 1 позвонила в департамент и запросила информацию для заполнения платежной ведомости, используя при этом очень убедительную легенду.


СИ-агент 1: Добрый день! Меня зовут Сара, я звоню от компании АБВ. У нас только что уволили женщину, которая отвечала за заполнение платежных ведомостей, и сегодня эту задачу передали мне. А мне через неделю рожать, так что нужно закончить поскорее, прежде чем я уйду в декрет.

Представитель службы поддержки: О, поздравляю! Не переживайте, я вам помогу. Вам нужно только пройти верификацию, после чего мы перенастроим аккаунт, чтобы вы смогли в него войти.

СИ-агент 1: Отлично, спасибо. Ой!

Представитель службы поддержки: Сара, с вами все в порядке?

СИ-агент 1: Да, просто что-то странно кольнуло. Наверное, это просто стресс. Ничего, давайте все доделаем, и я, наконец, пойду домой. Что от меня требуется?

Представитель службы поддержки: Мне нужен номер аккаунта и PIN-код для идентификации.

СИ-агент 1: Сэр, но я же только что сказала: сотрудницу, отвечавшую за ведомости, уволили, так что PIN’а у меня нет. Она его поменяла, но теперь войти в аккаунт нужно мне.

Представитель службы поддержки: Простите Сара, но я не могу…

СИ-агент 1[ «начинает рожать» и бросает (но не выключает) трубку]: О господи, о господи, у меня воды отходят!

Представитель службы поддержки: Мэм, с вами все в порядке? Мэм?

СИ-агент 1 [кричит, будто бы обращаясь к коллеге]: Эй! Иди возьми трубку! [якобы обращаясь к другому коллеге]: А ты ВЫЗЫВАЙ СКОРУЮ!!!

СИ-агент 2: Алло, кто это?

Представитель службы поддержки: О боже. Это Стив из компании БВГ. Я помогал Саре войти в аккаунт с платежными ведомостями, но ей, кажется нужна помощь. Лучше побудьте с ней.

СИ-агент 1 [кричит неподалеку]: Если ты сейчас повесишь трубку, я тебя уволю. Нужно заполнить эти чертовы ведомости, или НИКТО НА СЛЕДУЮЩЕЙ НЕДЕЛЕ ЗАРПЛАТЫ НЕ ПОЛУЧИТ!

СИ-агент 2 [очень напряженно]: Ммм, Стив… Сара требует, чтобы я сначала решила проблему с доступом, в противном случае она отказывается ехать в больницу.


После этого Стив назвал номер аккаунта и всю необходимую нам информацию.

Изобретательно? Да. Манипуляция? Безусловно! Но компании было важно узнать, сумеют ли ее представители противостоять реальной атаке, организованной злоумышленниками, — это мы и проверили.

Конечно, список ситуаций, в которых вас могут попросить использовать манипуляции в процессе работы, на этом не исчерпывается. Тем не менее мы обговорили самые важные вопросы, которые вам необходимо обдумать, если вы собираетесь стать или уже являетесь социальным инженером. Будете ли вы использовать манипуляции? Если да, то в каких случаях? И в какой мере?

Перейти на страницу:
Читать далее

Похожие книги

Полное руководство по Microsoft Windows XP
Полное руководство по Microsoft Windows XP

В книге известного американского автора описывается среда ОС Windows XP и принципы ее функционирования, приведен сравнительный анализ Windows XP с предшествующими версиями операционной системы Windows. Рассматриваются вопросы применения и модификации нового интерфейса с целью получения прямого доступа ко всем функциям Windows XP обсуждаются варианты подключения к компьютерным сетям. Несколько разделов посвящены работе с реестром и конфигурационными файлами, мультимедийным функциям и разнообразным системным службам, а также методам решения проблем с программным обеспечением и оборудованием. Особое внимание уделено обеспечению безопасности операционной системы.Издание адресовано пользователям и сетевым администраторам, желающим активно применять возможности операционной системы Windows XP (в том числе и недокументированные).

Джон Поль Мюллер , Питер Нортон

ОС и Сети, интернет / ОС и Сети / Книги по IT
Читать бесплатно
Создание микросервисов
Создание микросервисов

Книга посвящена программированию микросервисов — небольших автономных компонентов, позволяющих добиться модульности и отказоустойчивости любой программы. Теория микросервисов тесно связана с философией Unix, способствует улучшению архитектуры любых приложений, дает возможность избегать громоздкого и запутанного кода. Эта книга поможет читателю заново взглянуть на многие, казалось бы, трудноразрешимые проблемы, масштабировать любые проекты, ювелирно разрабатывать даже самые сложные системы.

Unknown , Сэм Ньюмен

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Программирование, программы, базы данных
Без регистрации
Домены. Все, что нужно знать о ключевом элементе Интернета
Домены. Все, что нужно знать о ключевом элементе Интернета

Без доменов современный Интернет невозможен. Читатель найдет сведения о том, как домены появились, как устроена система доменов и как ими эффективно управлять, как домены связаны с информационной безопасностью, какие административные, технические и правовые коллизии возникают вокруг них и что ждет доменные имена в будущем.

Александр Венедюхин

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Полная версия
Linux
Linux

Книга посвящена операционной системе Linux. Приводятся подробные сведения о ее особенностях и возможностях, идеологии файловой системы, инсталляции и основных командах, вопросах компиляции ядра, настройках и сервисах. Большое внимание уделяется организации на базе Linux различных серверов и служб: электронной почты, WWW, FTP, INN, Proxy, NTP, а также проблемам администрирования сети, обеспечения безопасной работы и другим вопросам. Описаны способы настройки под Linux рабочих станций, в т. ч. и бездисковых, установки и эксплуатации на них графических сред типа X Window, а также конфигурирование модемных соединений, принтеров и сканеров, отладка взаимодействия с Linux-машинами такой «экзотической» периферии, как карманные компьютеры, мобильные телефоны, TV-тюнеры и т. п. Рассматриваемые в книге конфигурационные файлы и структура каталогов соответствуют дистрибутиву Red Hat Linux 7.x, тем не менее, при минимальной адаптации все упоминаемые в книге пакеты устанавливаются в любом дистрибутиве Linux.Для начинающих администраторов или пользователей Linux.

Алексей Александрович Стахнов

ОС и Сети, интернет
Читать Онлайн
Избранное