 |
 |
 |
 |
|
 |
 |
кому-нибудь из другого отдела. Мой следующий звонок св¸л меня с Крис, с ней уловка
сработала. В этот раз тактика заключалась в том, чтобы спрятать важные вопросы среди
несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем я задал
вопрос о номере Merchant ID в CreditChex, я провел небольшой тест, задав ей личный вопрос
о том, как долго она работает в банке.
Личный вопрос – это как скрытая мина, некоторые люди переступают через него, не
замечая; для других она взрывается и взывает в защите. Поэтому если я задаю личный
вопрос и она отвечает, и тон е¸ голоса не меняется, это означает, что, возможно, она не
относится подозрительно к природе вопроса. После этого я могу спокойно задать нужный
вопрос, не вызывая у не¸ подозрений, и она скорее всего даст мне необходимый ответ.
Есть ещ¸ одна вещь, о которой знают частные сыщики: никогда не заканчивать
разговор сразу после получения нужной информации. Ещ¸ два-три вопроса, немного
болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о ч¸м вы
спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно
забываются.
Итак, Крис дала мне е¸ номер Merchant ID и телефонный номер, по которому они
делают запросы. Я хотел задать ещ¸ несколько вопросов, чтобы узнать, как много
информации можно узнать от CreditChex. Но лучше было не рисковать.
Теперь я мог в любое время позвонить в CreditChex и получить информацию. При
таком повороте событий служащий CreditChex был счастлив поделиться со мной точной
информацией касающихся двух мест, в которых муж моей клиентки недавно открыл счета.
Итак, куда же подевались деньги, которые разыскивала его потенциальная бывшая жена?
Ещ¸ куда-нибудь, кроме банковских учреждений, о которых сообщил парень из CreditChex?
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной
инженерии: получение доступа к информации, которую работники компании считают
безвредной, когда на самом деле она опасна.
Первая банковская служащая подтвердила термин для описания номера
идентификации, используемого для звонков в CreditChex: Merchant ID. Вторая выдала
телефонный номер для звонков в CreditChex и самый важный кусок информации: номер
Merchant ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь
банковская служащая думала, что она говорит с кем-то из CreditChex – так что плохого было
в раскрытии номера?
Вс¸ это было положено в основу для третьего звонка. У Грейса было вс¸ необходимое,
чтобы позвонить в CreditChex. Он представился служащим одного из банков-клиентов, –
Национального банка, – и просто спросил вс¸, что нужно.
Помимо хороших навыков в краже информации, которыми обладает любой хороший
карманник, Грейс обладал талантом незаметно угадывать настроение людей. Он знал об
обычной тактике прятанья ключевых вопросов среди безвредных. Он знал, что личный
вопрос проверит второго клера на желание сотрудничать, прежде чем спрашивать о номере
Merchant ID.
Ошибку первого служащего, касающуюся подтверждения терминологии номера ID
CreditChex, практически невозможно предотвратить. Эта информация столь широко известна
в банковской индустрии, что кажется незначительной – хорошая модель безвредной
информации. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки,
действительно ли звонивший был тем, кем назвался. По крайней мере, ей следовало спросить
у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного
труднее замаскироваться под представителя CreditChex.
Сообщение от Митника
В этой ситуации Merchant ID – аналог пароля. Если бы персонал банка относился к
нему как к ATM PIN, они бы лучше оценивали критичность природы этой информации. А в
вашей организации есть внутренний номер, к которому люди относятся без особой
