Читаем Искусство обмана полностью

Это совершенный инструмент для построения убедительности социального инженера. Если, для примера, в течение исследовательской стадии цикла атаки социального инжиниринга было обнаружено, что у цели был caller ID, атакующий мог бы подменить его или ее собственный номер как будто будучи от доверительной компании или сотрудника. Коллекционер счетов может выдать его или ее звонки за исходящие с вашего места работы.

Но остановитесь и задумайтесь о подтекстах. Компьютерный злоумышленник может позвонить вам на дом, утверждая что он из отдела Информационных Технологий в вашей компании. Человеку на линии насущно требуется ваш пароль для восстановления ваших файлов после сбоя сервера. Или caller ID показывает имя и номер вашего банка или брокерского дома, девушке с милым голосом просто понадобилось проверить номер вашего счета и девичью фамилию вашей матери. Для ровного счета, ей так же нужно проверить ваш ATM PIN[2] по причине какой-то системной проблемы. Управление котельной на фондовой бирже может сделать свои звонки похожими на исходящие от Мэрил Линч или Городского Банка. Кто-то вознамерился украсть вашу личность и позвонить, очевидно из компании Visa, и убедить вас сказать ему номер вашей кредитной карты Visa. Злостный парень мог бы позвонить и заявить, что он из налоговой инспекции или ФБР.

Если у вас есть доступ к телефонной системе, подключенной к Интерфейсу Основного Тарифа(PRI), плюс небольшие познания в программировании, которые вы, вероятнее всего, приобретете на веб-сайте поставщика системы, вы сможете использовать такую тактику для разыгрывания крутых трюков над своими друзьями. Есть на примете кто-нибудь с раздутыми политическими устремлениями? Вы бы могли запрограммировать выдаваемый номер как 202 456-1414, и его caller ID-дисплей будет показывать имя “БЕЛЫЙ ДОМ.”

Он подумает что ему звонит президент!

Мораль истории проста: нельзя доверять caller ID, за исключением использования для проверки внутренних звонков. На работе или дома, все должны остерегаться трюка с caller ID и иметь ввиду что имени или телефонному номеру, отображаемому на caller ID-дисплее, нельзя доверять для удостоверения личности.

Сообщение от Митника

В следующий раз, когда вам звонят и ваш caller ID-дисплей показывает что звонок от вашей дорогой престарелой мамы, никогда не знаешь — он может быть от старого доброго социального инженера.

Ширли Кутласс нашла новый и захватывающий путь сделать быстрые деньги. Больше не надо долгими часами вкалывать на соляной шахте. Она присоединилась к сотням других артистов-мошеннков, вовлеченных в преступление десятилетия. Она вор личности.

Сегодня она устремила свои взгляды на получение конфиденциальной информации от службы поддержки потребителей компании, занимающейся кредитными картами. После проделывания обычного рода домашней работы, она звонит компании-цели и говорит оператору коммутационной панели, который отвечает, чтобы ее переключили на отдел Телекоммуникаций. Добравшись до отдела Телекоммуникаций, она просит администратора голосовой почты.

Используя информацию, собранную в процессе ее исследований, она объясняет что ее зовут Норма Тодд, она из офиса в Кливленде. Пользуясь уловкой, которая к данному моменту уже должна быть вам знакома, она говорит что она собирается в штабквартиру корпорации на неделю, и что ей потребуется там ящик голосовой почты, так что ей не надо будет делать междугородние звонки для проверки сообщений ее голосовой почты. Нет нужды в физическом телефонном соединении, говорит она, просто ящик для голосовой почты. Он говорит, что позаботится об этом, перезвонит ей когда все будет готово чтобы передать требуемую информацию.

Соблазнительным голосом она говорит “Я на пути к собранию, могу я перезвонить через час? ”

Когда она перезванивает, он говорит что все готово и передает ей информацию — ее номер расширения и временный пароль. Он спрашивает, занает ли она как сменить паоль к голосовой почте, и она позволяет провести себя по шагам, хотя и знает их, по крайней мере, настолько же хорошо как и он.

“А кстати,” спрашивает она, “какой номер мне надо набрать чтобы проверить свои сообщения из отеля?” Он дает ей номер.

Ширли звонит, меняет пароль, и записывает свое новое исходящее приветствие.

Ширли атакует

До этих пор все это было легким маневром. Теперь же она готова использовать искусство обмана.