Для звонков в CreditChex было бы лучше использовать что-нибудь другое, вместо номера, сообщаемого звонившим, чтобы проверить действительно ли этот человек работает там, и действительно ли компания обрабатывает запросы своего клиента. Однако, учитывая практику настоящего мира и временной прессинг, в котором сегодня работают многие люди, этой проверки по телефону достаточно кроме случаев, когда служащий подозревает, что совершается атака.

Западня для инженера

Широко известно, что агентства по трудоустройству (т.н. охотники за головами) пользуются социальным инженерингом, чтобы переманивать корпоративные таланты. Вот пример того, как это может происходить.

В конце 1990-х одно не слишком этичное агентство подписало контракт с новым клиентом — компанией, ищущей инженеров-электронщиков с опытом в области телефонной промышленности. Исполнителем проекта стала леди с чувственным низким голосом и сексуальными манерами, которая научилась их использовать, чтобы вызывать первоначальные доверие и привязанность по телефону.

Леди решила организовать набег на провайдера услуг сотовой связи, чтобы посмотреть, можно ли было там найти несколько инженеров, которые могли бы поддаться соблазну перейти к конкуренту. Она не могла просто позвонить в центр связи и сказать: «Дайте мне поговорить с кем-нибудь с пятилетним опытом работы инженером.» Вместо этого по понятным причинам она начала охоту за талантами с поиска кусочков информации, которые кажутся совсем незначительными, информации, которую люди из компании скажут почти любому, кто спросит.

Первый звонок: Регистратор

Атакующая, пользуясь именем Диди Сэндс, сделала звонок в корпоративный офис по обслуживанию сотовых телефонов. Частично беседа проходила следующим образом:

Регистратор: Добрый вечер. Это Мари, чем я могу Вам помочь?

Диди: Вы можете соединить меня с Отделом Транспортировок?

Р: Я не уверена, что у нас есть такой, я посмотрю в справочнике. Это кто звонит?

Д: Это Диди.

Р: Вы находитесь в здании или…?

Д: Нет.

Р: Диди кто?

Д: Диди Сэндс. У меня был номер Транспортировки, но я его забыла.

Р: Один момент.

В этот момент, чтобы смягчить подозрения Диди случайно спросила, только ради того, чтобы дать понять, что она была «внутри», и знакома с местоположением компании.

Д: Вы в каком здании — Лейквью или Мэйн Плэйс?

Р: Мэйн Плэйс. (пауза) Вот: 805 555 6469.

Чтобы обеспечить себя запасным вариантом на случай если звонок в Транспортный отдел не даст то, что она искала, Диди также сказала, что она хочет поговорить с отделом по недвижимости. И регистратор так же дала ей этот номер. Когда Диди попросила соединить её с Транспортным, регистратор попробовала, но линия была занята.

Тогда Диди попросила третий номер — отдела работы со счетами — расположенного в штаб-квартире корпорации в Остине, Техас. Регистратор попросила подождать и отключилась от линии. Она сообщила в службу безопасности, что получила подозрительный телефонный звонок, и подумала, что происходит что-то странное. Это была небольшая, но типичная неприятность обыденной работы регистратора. Примерно через минуту регистратор вернулась на линию, посмотрела номер Счётного отдела и подключила Диди.

Второй звонок: Пэгги

Следующий разговор проходил следующим образом:

Пэгги: Счётный отдел, Пэгги.

Диди: Привет, Пэгги. Это Диди из Thousand Oaks.

П: Привет, Диди.

Д: Как дела?

П: Отлично.

Затем Диди воспользовалась знакомым термином в корпоративном мире, который означает код оплаты для назначения расходов из бюджета определённой организации или рабочей группы:

Д: Превосходно. У меня есть для тебя вопрос. Как мне найти расчётный центр того или иного отдела?

П: Вы лучше бы обратились к бюджетному аналитику отдела (бухгалтеру).

Д: А Вы не знаете кто сейчас бюджетный аналитик в штаб-квартире Thousand Oaks? Я пытаюсь заполнить форму, но не знаю что это за расчётный центр.

П: Я знаю только, что Вам нужен номер расчётного центра, позвоните своему бюджетному аналитику.

Д: А у вашего отдела в Техасе есть свой расчётный центр?

П: У нас есть свой расчётный центр, но они не выдают полный список.

Д: Сколько цифр в этом расчётном центре? Ну, например, какой у Вас номер расчётного центра?

П: Хорошо, а Вы из 9WC или из SAT?

Диди не имела никаких представлений об этих отделах или группах, но это ничего не значило. Она ответила:

Д: 9WC.

П: Тогда там обычно 4 цифры. Откуда Вы, Вы сказали?

Д: Штаб-квартира — Thousand Oaks.

П: Хорошо, вот один для Thousand Oaks. 1A5N, Н — как в Нэнси.

Всего лишь поболтав достаточно долго с кем-нибудь, желающим быть полезным, Диди заполучила номер расчётного центра, который ей был нужен — один из тех кусочков информации, которые никто не думает защищать, потому что он не может представлять какую-нибудь ценность для постороннего.

Третий звонок: Полезный неправильный номер

Следующий шаг Диди должен был превратить номер расчётного центра в нечто по-настоящему ценное.