матери, номер карты, кредитный лимит, доступный кредит, и историю оплаты. Перезвоните
мне на этот номер, говорит она, предоставляя внутренний номер расширения, который
администратор голосовой почты установил для нее. И если меня не будет, просто оставьте
информацию на мою голосовую почту.
Она остается занятой поручениями на остаток утра, а потом проверяет голосовую почту
в полдень. Оно все там, все что она просила. Перед тем как отсоединиться, Ширли стирает
исходящее сообщение; было бы небрежным оставить запись ее голоса на том конце.
Воровство личности, самое быстро растущее преступление в Америке, входящее
преступление нового века, почти обзавелось еще одной жертвой. Ширли использует
кредитную карту и инфомацию о личнсти которую она только что получила, и начинает
накручивать расходы на карту жертвы.
Анализ обмана
В этой уловке атакующая сначала одурачила администратора голосовой почты
компании, заставляя поверить что она сотрудник компании, так что он установил временный
ящик для голосовой почты. Если бы он вообще побеспокоился проверить, он бы обнаружил
что имя и номер телефона которые она дала совпадают со списком в базе данных
корпорации.
Остальное было просто делом предъявления разумного оправдания о компьютерной
проблеме, требованием нужной информации, и запросом оставить ответ на голосовой почте.
Да и зачем бы это любому сотруднику сопротивляться, не делясь информацией с коллегой?
Так как телефонный номер, который Ширли предоставила, был сугубо внутренним
расширением, то не было и причины для любого подозрения.
Сообщение от Митника
Попробуйте изредка названивать на вашу собственную голосовую почту; если вы
услышите исходящее сообщение и оно не ваше, может вы только что наткнулись на вашего
первого социального инженера.
Полезный секретарь
Взломщик Роберт Джордэй регулярно вламывался в компьютерные сети компании
мирового уровня Rudolfo Shipping, Inc. Компания в конце концов распознала, что кто-то
занимается хакингом на их терминальном сервере, и происходит это через тот сервер, через
который пользователь может присоединиться к любой компьютерной системе в компании.
Чтобы обезопасить корпоративную сеть, компания решила требовать пароль дозвона на
каждом терминальном сервере.
Роберт позвонил в Центр Сетевых Операций, позируя адвокатом из Юридического
Отдела и сказал, что у него неприятности с присоединением к сети. Сетевой администратор,
до которого он дозвонился, объяснил что недавно там были некоторые неувязки с
безопасностью, так что всем пользователям с доступом по дозвону необходимо получить
ежемесячный пароль у их менеджера. Роберт интересовался что за метод использовался для
передачи ежемесячного пароля менеджеру, и как он мог его получить. Обернулось тем, что
ответ был таков: пароль для следующего месяца посылался в деловой записке через офисную
почту каждому менеджеру компании.
Это все упрощало. Роберт провел мальнькое исследование, позвонил в компанию сразу
после первого числа месяца, и дозвонился до секретарши одного менеджера, которая
представилась как Джанет. Он сказал, Джанет, привет. Это Рэнди Голдштейн из отдела
Исследований и Разработок. Я знаю я наверное получил записку с паролем этого месяца для
залогинивания к терминальному серверу извне компании, но я не могу ее нигде найти. А вы
получили вашу записку на этот месяц?
Да, сказала она, получила.
Он спросил не могла бы она отправить эту записку ему по факсу, и она согласилась. Он
дал номер факса секретарши вестибюля в другом здании кампуса компании, где он уже
|