Читаем Искусство обмана полностью

Когда я обнаружила его на Вебстер ЦО через 45 минут, я сказала ему проверить кабель 29 пару 2481,он ответил, что тоновый набор есть. Это я, конечно же, знала. Затем я говорю: «Отлично, мне нужно, чтобы вы сделали LV»,что значит подтверждение линии, которое запрашивает телефонный номер. Он выполнил это путем дозвона на специальный номер, который считывает и посылает обратно необходимый номер. Он не знал, что это неопубликованный и недавно измененный номер, так что он выполнил мою просьбу, и я услышала номер. Превосходно. Пустышка сработала великолепно. Я поблагодарила его и пожелала спокойной ночи.

Сообщение от Митника

Если однажды социальный инженер узнает, как вещи работают внутри целевой компании, становится очень просто использовать это знание, чтобы наладить связь с законными служащими. Компаниям необходимо готовить к такого рода атакам всех рабочих. Теневые проверки могут помочь определить людей, склонных к данному типу поведения. Но в большинстве случаев, таких людей слишком трудно обнаружить. Единственный выход-это усилить и проверять процедуры идентификации, включая статус рабочего.

Дуг так много сделал, чтобы спрятаться от меня за неопубликованным номером. Веселье только начиналось.

Анализ обмана

Молодая леди в этой истории смогла достать информацию, которая была необходима для осуществления мщения, потому что она владела знанием внутренней работы: телефонные номера, процедуры и жаргон телефонной компании. Обладая этим, она не только смогла найти новый, неопубликованный номер, но и смогла заставить коммутаторщика проехать снежной ночью через весь город ради ее просьбы.

Популярная и высоко эффективная форма запугивания — популярна в больших масштабах, в силу простоты — основывается на влиянии на человеческое поведение, используя авторитет.

Даже просто имя помощника в офисе CEO может быть ценным. Частные сыщики делают это все время. Они позвонят оператору коммутатора и скажут, что хотят подсоединиться к офису CEO.Когда секретарь или главный помощник ответит, они скажут, что у них в наличии имеется документ или пакет для CEO,или если они отправят е-мэйл приложение, распечатает ли она его?

Или иначе, они спросят, какой номер факса? И, кстати, как вас зовут?

Затем они звонят следующему человеку и говорят, «Дженни из офиса мистера Бигса сказала, что вы мне можете помочь кое с чем».

Эту технику можно назвать «бросанием имени», и обычно она используется как метод быстрой установки связи путем влияния на человека, которое заключается в том, что цель начинает верить в связь атакующего с кем-то из крупных специалистов. Лучше всего, если цель оказывает услугу кому-либо, кто знаком с тем, кого знает используемый человек.

Если атакующий нацелился на довольно важную информацию, он может использовать такой вариант, как пробуждение нужных эмоций в жертве, таких как страх доставить неприятности кому-либо из вышестоящих. Рассмотрим следующий пример.

История Скотта

«Скотт Абрамс.»

«Скотт, это Кристофер Далбридж. Я только что разговаривал по телефону с мистером Бигли, и надо сказать, что он больше, чем невесел. Он говорит, что десять дней назад передал вашим людям записку об исследовании степени интеграции рынка, которую они должны были откопировать и отправить нам для анализа. И мы ее не получали».

«Исследование степени интеграции рынка? Никто не говорил мне об этом. В каком вы ведомстве?»

«Он нанял нашу консультационную фирму, и мы уже перед сдачей работы».

«Послушайте, я сейчас направляюсь на встречу. Скажите мне свой номер телефона и»…

Фразы атакующего звучат поистине победно: "Это то, что вы хотите, чтобы я сказал мистеру Бигли? Послушайте, завтра утром он ожидает итога работы наших аналитиков и нам придется работать над этим всю ночь. А теперь, вы хотите, чтобы я сказал ему, что мы не смогли выполнить работу из-за того, что не получили заметку от вас, или, быть может, вы сами хотите сказать ему об этом?"

Анализ обмана

Уловка с использованием запугивания со ссылкой на авторитет работает особенно хорошо в том случае, если другой человек имеет достаточно низкий статус в компании. Использование важного человеческого имени помогает не только побороть нормальное чувство подозрения, но и делает человека более внимательным; врожденный инстинкт желания быть полезным увеличивается, когда вы думаете, что персона, которой вы помогаете, важна и влиятельна.

Социальный инженер также знает, что лучший путь использования данного трюка — использовать имя кого-то более вышестоящего, чем босс жертвы. И данный трюк довольно ненадежен, если использовать его внутри малой организации: атакующий не хочет, чтобы его жертва могла отпустить комментарий кому-нибудь из отдела маркетинга. «Я отправил тот план, о котором говорил мне один из ваших парней», — это может легко вызвать встречный вопрос вроде: "Какой план? Какой парень? " И это может привести к открытию, что компания стала жертвой.

Сообщение от Митника