Даже когда компания установила процедуру, которой сотрудники тщательно следуют
для проверки звонящих, сообразительные атакующие все еще способны использовать набор
трюков для обмана своих жертв, заставляя поверить что они те, за кого себя выдают. Даже
сознательные в отношении безопасности сотрудники могут стать обманутыми методами,
такими как нижеприведенные.
Несоответствующий Caller ID
Любой кто хоть раз получал звонок на сотовой телефон, наблюдал в действии опцию,
называемую caller ID(дословно Идентификатор Вызывающего) этот знакомый дисплей,
отображающий телефонный номер звонящего. В рабочей обстановке эта функция предлагает
возможность рабочему одним взглядом оценить, от знакомого ли сотрудника идет вызов или
же откуда-то вне компании.
Много лет назад некие амбициозные телефонные фрикеры обнаружили для себя все
прелести caller ID еще даже до того как телефонная компания публично стала предлагать
подобный сервис абонентам. Они изрядно повесилились, одурачивая людей ответами по
телефону и приветствуя вызывающего по имени, в то время как тот даже не успевал сказать
ни слова.
Просто когда вы думаете что подобное безопасно, практика удостоверения личности
путем доверия тому что вы видите то, что появляется на дисплее caller ID это именно то,
на что атакующий может расчитывать.
Звонок Линды
День/время: Вторник, 23 июля, 15:12
Место: Офисы Финансового Отдела, Авиакомпания Starbeat
Телефон Линды Хилл зазвонил когда она записывала заметку для босса. Она взглянула
на дисплей caller ID, который показывал что звонок исходил из офиса корпорации в Нью
Йорке, но от кого-то по имени Виктор Мартин имя она не узнала.
Она подумала дождаться пока звонок переключится на автоответчик, так что ей не
придется отрываться от мысли заметки. Но любопытство взяло верх. Она подняла трубку и
звонящий представился и сказал что он из отдела рекламы и работает над некоторым
материалом для управляющего компании. Он на пути к деловой встрече в Бостоне с кем-то
из банкиров. Ему требуется первоклассный финансовый отчет на текущий квартал, сказал
он. И еще одна вещь. Еще ему нужны финансовые прогнозы на проект Апачи, добавил
Виктор, используя кодовое название продукта, который был одним из главных релизов этой
весной.
Она попросила его электронный адрес, но он сказал что у него проблема с получением
электронной почты и над этим работает служба технической поддержки, поэтому не могла
бы она использовать факс взамен? Она сказала что это тоже подойдет, и он дал
дополнительный внутренний код для его факс-машины.
Она отослала факс несолькими минутами позже.
Но Виктор не работал в отделе рекламы. К слову сказать, он даже в компании-то не
работал.
История Джека
Джек Доукинс начал свою профессиональную карьеру в раннем возрасте в качестве
карманного вора, промышляя на спортивных играх на стадионе команды Янки в оживленных
помещениях под трибунами и среди ночной толпы туристов на Таймс-Скуэйр. Он так
проворно и искусно доказывал что мог снять часы с запястья человека, так что тот даже не
узнает. Но в его трудные подростковые годы он рос неуклюжим и не был неуловим. В
компании Джувенил Холл(дворец молодежи?)) Джек обучился новому ремеслу с куда
меньшим риском быть схваченным.
Его текущее назначение взывало его получать информацию о квартальном доходе,
издержках и финансовом потоке компании до того как эти данные подавались в Комиссию
|