Читаем Искусство обмана полностью

Он хотел знать, назвать ли “телефон или номер отдела”, что довольно-таки глупо, потому что я только что набрал номер, не так ли? (скорее всего, это своеобразная процедура аутентификации на фирме — прим. Редактора)

“Номер отдела” — 3182, — ответил он. Вот так. Никаких там, «Зачем Вам это надо?» и т.п. Потому что это не секретная информация, это написано почти на каждом кусочке бумаги, с которым они работают.

Шаг второй: позвонить в отделение, где обслуживается моя цель, получить имя одного из их сотрудников и выяснить, кто из них будет отсутствовать во время обеда. Анжела. Уходит в 12:30. Все путём!

Шаг третий: звоним в то же отделение, пока Анжела обедает, говорим, что мы из отделения такого-то из Бостона, Анжеле нужна информация по факсу, давайте нам код дня. Это самая сложная часть. Если бы я придумывал тест для социального инженера, я бы обязательно включил бы в него что-нибудь подобное, когда твоя жертва становится подозрительной — и не без оснований — и ты продолжаешь давить пока не сломаешь ее и не получишь нужную информацию. Вы не сможете сделать это, повторяя строчки сценария или заучив процедуру, необходимо прочитать свою жертву, понять ее настроение, играть с ней, как с рыбкой, отпуская немного, а затем вновь подтягивая леску. И так пока не поймаешь ее в сеть, и она не шлепнется в лодку. Шлеп!

Итак, я его поймал и заполучил один из кодов дня. Это успех. Большинство банков используют один код, так что я уже мог бежать домой. Промышленный банк использует пять кодов, так что иметь один код из пяти маловато. С двумя из пяти у меня были бы существенно большие шансы пройти следующий эпизод этого маленького спектакля. Мне понравилась фишка про «Я не сказал ‘би’, я сказал ‘и’». Когда это срабатывает, это прекрасно. А срабатывает это в большинстве случаев.

Получить третий код было бы еще лучше. Причем у меня действительно получалось получить их за один звонок — ‘B’, ‘D’ и ‘E’ так похоже звучат, что вы можете настаивать на том, что вас снова не поняли. Но это только в разговоре с действительно слабым противником, а этот человек легкой добычей не был. Я ушел с двумя.

Коды дня станут моим ключом к получению образца подписи. Я звоню, а человек спрашивает код С. Но у меня только B и E. Но это совершенно не конец света. Необходимо оставаться хладнокровным в такие моменты, говорить уверенно, продолжать максимально ровно, я сыграл что-то типа: «Мой компьютер сейчас занят, спросите меня один из этих кодов».

Мы все сотрудники одной компании, мы все делаем одно дело, надо помочь напарнику — так, надо надеяться, думает жертва в этот момент. И он играл прямо по сценарию. Он выбрал вариант из предложенных, я дал ему правильный ответ, он отправил мне факс с образцом подписи.

Почти у цели. Еще один звонок дал мне номер телефона, по которому автоматическая служба зачитывает клиенту требуемую информацию. Из карточки с образцом подписи, я знал все номера счетов жертвы и его PIN-код, т.к. банк использует первые пять или последние 4 цифры номера карточки социального страхования. Итак, с ручкой в руках, я позвонил в службу и после нескольких минут и пары нажатий на кнопки я получил последние сведения о балансе на всех счетах, и плюс к этому — его последние депозиты и съемы средств по ним.

Все, что заказывал мой клиент и даже больше. Я всегда люблю дать немножко больше, чем требуется за те же деньги. Клиент должен быть счастлив. Кроме того, повторяемость бизнеса — это основа развития.

Анализируя обман

Ключевым моментов всего этого эпизода было получение всех необходимых кодов дня, и для достижения этого, атакующий, т.е. Винс использовал несколько различных приемов.

Он начал с небольшого словесного «выкручивания рук», когда Льюис отказался дать ему код. Льюис был прав в своей подозрительности — коды придуманы для того, что бы использовать их в противоположном направлении. Он знал, что при обычном порядке неизвестный звонящий сообщит ему защитный код. Это был критический момент для Винса, от этого зависел успех всей задуманной им операции.

Столкнувшись с подозрительностью Льюиса, Винс просто сгладил ее, вызывая симпатию («собирался к доктору»), используя давление (“мне уже надоело всем этим заниматься, уже 4 часа») и манипулирование («Скажите ей, что не дали мне код»). На самом деле, Винс не угрожал ему, он только подразумевал это: «Если вы не дадите мне защитный код, я не вышлю информацию о клиенте, которую просил ваш коллега, и я скажу ему, что собирался послать, но вы не согласились сотрудничать».

Не будем, однако, поспешно винить Льюиса. В конце концов, человек, звонивший по телефону знал (или по крайней мере похоже, что знал), что Анжела запрашивала факс. Звонивший знал о защитных кодах, и знал, что они называются буквами алфавита. Он сказал, что начальник его отделения требует их для большей защищенности. На самом деле нет причин не дать ему подтверждение, о котором он просит.

Льюис не одинок. Сотрудники банков сообщают защитные коды социальным инженерам каждый день. Невероятно, но факт.