Читаем Социальная инженерия и социальные хакеры полностью

Наиболее просто добыть клиентские базы данных — это воспользоваться беспечностью сотрудников, работающих на предприятии. Нередко счета фактуры и прочие документы валяются на столах у сотрудников, которые еще имеют привычку выходить из своего кабинета минут на 10–30, так что, если и не надо, со скуки все пересмотришь. В некоторых магазинах, допустим по продаже офисной техники, мебели и т. д., многие продавцы оформляют счета, отвернувшись к своему компьютеру, а то, что я, к примеру, могу быть сотрудником конкурирующей фирмы, и мне ничто не мешает постоять за спиной и посмотреть список клиентов, это никого не волнует. Однажды одной даме, которая слишком долго оформляла мою покупку (в компьютерном магазине), я сказал: "Девушка, я вижу, что вы еще не очень освоились с 1С-предприятием, давайте, я вам помогу". Девушка с удовольствием приняла мою просьбу, встала из-за компьютера и …вообще ушла на 15 минут. Вероятно, пить чай. Что еще интереснее, ни один из сотрудников, которые туда-сюда сновали мимо меня (ее компьютер стоял в центре магазина), не поинтересовался, чего это собственно я (посторонний человек) за ним сижу.

Случаи, когда похищаются клиентские базы данных, пользуясь беспечностью работающих на предприятии кадров, очень нередки.

К примеру, для начала можно представиться сотрудником фирмы, которая устанавливает базы данных, и, проникнув таким образом за компьютер, или просто спросив у сотрудников, узнать, какие базы данных уже установлены на пользовательских машинах. А если повезет, то заодно их и скачать.

Можно поступить так, как было в одной энергетической компании Санкт-Петербурга (этот случай мы описывали в главе 1), когда человек, представившись другом заболевшего сотрудника (системного администратора), сказал, что друг попросил его сегодня заменить. Хотя выяснить, друг попросил или кто-то еще, можно очень просто: позвонив своему сотруднику и перепроверив информацию. Правда, можно поступить хитрее и действительно сделать так, что друг подтвердит эту информацию. Можно ведь просто стать на некоторое время другом системного администратора. Пусть и не лучшим. Главное, чтобы этой дружбы было достаточно для того, что когда он действительно заболеет (или просто по каким-то причинам не сможет прийти на работу), он обратился за помощью к кому нужно. К другу, то есть, который только этого и ждет. Или не просто ждет, а пытается форсировать ситуацию. К примеру, вам вдруг неожиданно пришла повестка в военкомат, и, надо же какое совпадение, в тот вечер, когда вы обнаружили ее в своем ящике, вы как раз шли к себе домой вместе с другом попить пивка.

— Ой, е…, — говорите вы "другу", — мне же завтра обязательно нужно быть на работе. Чего же делать то…

А друг он на то и друг, чтобы подстраховать товарища в нужную минуту.

— Да ерунда, — говорит он вам, — дел-то на три копейки. Давай я завтра вместо тебя схожу и все сделаю. Позвони своему боссу, предупреди, что, так, мол, и так, у меня такая ситуация и вместо меня придет мой хороший товарищ.

И, радуясь, как удачно все разрешилось, вы вместе с "другом" со спокойной душой идете пить пиво.

Можно на месяц устроиться в фирму, у которой надо украсть базы, менеджером по продажам. И уйти из нее на второй день, сказав, что не устроил коллектив вообще и директор в частности.

Один из самых простых способов своровать нужную базу данных. Таким образом одна московская часовая мастерская своровала клиентскую базу данных у своего конкурента. Цена вопроса составила около $1500.

Ну и, наконец, самый распространенный тип кражи баз данных, это их "уход" с предприятия вместе с сотрудниками, как это произошло некоторое время назад с одной московской фирмой по продаже мебели, когда все ключевые менеджеры ушли и открыли свое дело. Аналогичная ситуация случилась недавно в Санкт-Петербурге у крупной компании, занимающейся продажей сотовых телефонов. В обоих случаях только умение директоров договариваться с партнерами, которым они объяснили ситуацию, помогло спасти дело. Известен случай в Новосибирске, когда из компании, занимающейся корпоративной поставкой компьютеров, ушли ключевые менеджеры и создали собственную фирму, естественно, под работу с теми клиентами, которых они обслуживали, трудясь в прежней организации. Примеры приводить можно долго.

Как же защититься от воровства клиентских баз? Самое простое — соблюдать те правила защиты, о которых мы говорили в предыдущем разделе, дополнив их еще несколькими. Итак.

• Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности.

• В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной.