(Chapter 2 When Innocuous Information Isn't)
Перевод: Yarlan Zey (yarlan@pisem.net)
Что большинство людей считает настоящей угрозой, исходящей от социальных
инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого-нибудь очень ценного приза скажем, важного
компонента интеллектуальной собственности компании, тогда, возможно, вс¸ что нужно
это просто более недоступное хранилище и более тяжело вооруженные охранники.
Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с
получения какого-нибудь фрагмента информации или какого-нибудь документа, которые
кажутся такими безвредными, такими обычными и незначительными, что большинство
людей в организации не нашли бы причин почему им следовало бы е¸ защищать и
ограничивать к ней доступ.
Скрытая ценность информации
Многое из кажущейся безвредной информации, находящейся во владении компании,
ценно для социального инженера, потому что может сыграть существенную роль в его
попытке прикрыться плащом правдоподобности.
На страницах этой главы я буду вам показывать, что делают социальные инженеры,
чтобы добиться успеха. Вы станете «свидетелем» атак, сможете, время от времени
наблюдать действие с точки зрения атакуемой жертвы и, становясь на их место, оценить как
бы вы (или, может быть, один из ваших работников или сослуживцев) сами могли себя
повести. Во многих случаях вы также увидите эти же события с перспективы социального
инженера.
В первой истории речь пойд¸т об уязвимости в финансовой индустрии.
CREDITCHEX
В течение долгого времени британцы имели дело с очень консервативной банковской
системой. Вы как обычный добропорядочный гражданин не могли просто зайти с улицы и
открыть банковский сч¸т. Нет, банк не рассматривал вас в качестве своего клиента, пока
какой-нибудь уже хорошо зарекомендовавший себя клиент не даст вам сво¸
рекомендательное письмо.
Несомненно, это очень сильно отличается от сегодняшнего банковского мира. И наша
современная л¸гкость в совершении сделок нигде так не развита, как в дружелюбной,
демократичной Америке, где почти кто угодно может зайти в банк и легко открыть
расч¸тный сч¸т, правильно? Да, но не совсем. На самом деле, банки не желают открывать
сч¸т для кого-нибудь, кто может иметь за собой ситуации с неоплаченными счетами это
вс¸ равно, что соглашаться на граб¸ж. Поэтому для многих банков стала стандартной
практика быстрой оценки перспектив нового клиента.
Одной из больших компаний, которые предоставляют банкам такую информацию,
является CreditChex (все названия изменены). Они предоставляют своим клиентам ценную
услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником
информации для социальных инженеров.
Первый звонок: Ким Эндрюс
«Национальный Банк, это Ким. Вы хотели открыть сегодня сч¸т?»
«Привет, Ким. У меня есть к вам вопрос. Вы пользуетесь CreditChex?»
«Да.»
«Когда вы звоните в CreditChex, номер, который вы им да¸те это Merchant ID?»
Пауза. Она взвешивала вопрос, удивляясь, к чему это вс¸, и следует ли ей отвечать.
|