Navigation bar
  Print document Start Previous page
 87 of 131 
Next page End  

заставить банковского работника открыть лазейку в собственной системе безопасности?
Спросите себя, если бы вам потребовалось что-нибудь подобное, как бы вы этого добились?
Для людей вроде Винса это очень просто.
Люди доверяют тебе, если ты знаешь их профессиональный жаргон, некую
внутреннюю форму общения их компании, скрытую от посторонних глаз. Это как бы способ
показать, что ты один из них, своего рода секретное рукопожатие.
Мне не требовалось знать много для подобной операции. Уж точно не операция на
мозге. Для начала потребовался лишь номер отделения банка. Когда я позвонил в отделение
на Бикэн Стрит (Beacon Street) в Буффало, человек, который ответил, был похож на болтуна.
Это Тим Экерман, – сказал я. Подойдет любое имя, он, очевидно, не собирался его
никуда записывать. – Какой у Вас номер отделения?
Он хотел знать, назвать ли “телефон или номер отдела”, что довольно-таки
глупо, потому что я только что набрал номер, не так ли? (скорее всего, это своеобразная
процедура аутентификации на фирме – прим. Редактора)
“Номер отдела”
3182, – ответил он. Вот так. Никаких там, «Зачем Вам это надо?» и т.п. Потому что
это не секретная информация, это написано почти на каждом кусочке бумаги, с которым они
работают.
Шаг второй: позвонить в отделение, где обслуживается моя цель, получить имя одного
из их сотрудников и выяснить, кто из них будет отсутствовать во время обеда. Анжела.
Уходит в 12:30. Все пут¸м!
Шаг третий: звоним в то же отделение, пока Анжела обедает, говорим, что мы из
отделения такого-то из Бостона, Анжеле нужна информация по факсу, давайте нам код дня.
Это самая сложная часть. Если бы я придумывал тест для социального инженера, я бы
обязательно включил бы в него что-нибудь подобное, когда твоя жертва становится
подозрительной – и не без оснований – и ты продолжаешь давить пока не сломаешь ее и не
получишь нужную информацию. Вы не сможете сделать это, повторяя строчки сценария или
заучив процедуру, необходимо прочитать свою жертву, понять ее настроение, играть с ней,
как с рыбкой, отпуская немного, а затем вновь подтягивая леску. И так пока не поймаешь ее
в сеть, и она не шлепнется в лодку. Шлеп!
Итак, я его поймал и заполучил один из кодов дня. Это успех. Большинство банков
используют один код, так что я уже мог бежать домой. Промышленный банк использует пять
кодов, так что иметь один код из пяти маловато. С двумя из пяти у меня были бы
существенно большие шансы пройти следующий эпизод этого маленького спектакля. Мне
понравилась фишка про «Я не сказал ‘би’, я сказал ‘и’». Когда это срабатывает, это
прекрасно. А срабатывает это в большинстве случаев.
Получить третий код было бы еще лучше. Причем у меня действительно получалось
получить их за один звонок – ‘B’, ‘D’ и ‘E’ так похоже звучат, что вы можете настаивать на
том, что вас снова не поняли. Но это только в разговоре с действительно слабым
противником, а этот человек легкой добычей не был. Я ушел с двумя.
Коды дня станут моим ключом к получению образца подписи. Я звоню, а человек
спрашивает код С. Но у меня только B и E. Но это совершенно не конец света. Необходимо
оставаться хладнокровным в такие моменты, говорить уверенно, продолжать максимально
ровно, я сыграл что-то типа: «Мой компьютер сейчас занят, спросите меня один из этих
кодов».
Мы все сотрудники одной компании, мы все делаем одно дело, надо помочь напарнику
– так, надо надеяться, думает жертва в этот момент. И он играл прямо по сценарию. Он
выбрал вариант из предложенных, я дал ему правильный ответ, он отправил мне факс с
образцом подписи.
Почти у цели. Еще один звонок дал мне номер телефона, по которому автоматическая
служба зачитывает клиенту требуемую информацию. Из карточки с образцом подписи, я
знал все номера счетов жертвы и его PIN-код, т.к. банк использует первые пять или
Hosted by uCoz