- •Кевин Митник Искусство обмана
- •Рассказ Кевина
- •Финальные выводы
- •Введение
- •Предисловие
- •С чего всё начиналось
- •От телефонного фрикинга к хакингу
- •Становление социальным инженером
- •Финальные выводы
- •Вступление
- •Глава 1: Самое слабое звено в безопасности
- •Человеческий фактор
- •Классический случай обмана
- •Характер угрозы
- •Злоупотребление доверием
- •Террористы и обман
- •Об этой книге
- •Глава 2: Когда безвредная информация опасна
- •Скрытая ценность информации
- •Частный сыщик в действии
- •Западня для инженера
- •Ещё одна «ничего не стоящая» информация
- •Предотвращение обмана
- •Глава 3: Прямая атака: просто попроси
- •Случай с центром назначения линий
- •Юноша в бегах
- •На пороге
- •Заговаривание зубов (Отвлекающая болтовня)
- •Глава 4: Внушая доверие
- •Доверие: ключ к обману
- •Вариации по теме: Сбор кредитных карт
- •Одноцентовый сотовый телефон
- •Взлом федералов
- •Предотвращение обмана
- •Глава 5: «Разрешите Вам помочь»
- •Неполадки в сети
- •Немного помощи для новенькой девушки.
- •Не так безопасно, как думаешь
- •Предотвращение обмана
- •Глава 6: «Не могли бы Вы помочь?»
- •Неосторожный руководитель
- •Глава 7: Фальшивые сайты и опасные приложения
- •«Не желаете ли вы бесплатно …?»
- •Сообщение от друга
- •Вариации по теме
- •Вариации по вариации
- •Глава 8: Используя чувство симпатии, вины и запугивание
- •Визит в студию
- •«Сделайте это сейчас»
- •«Мистер Бигг хочет это»
- •Что знает о вас администрация общественной безопасности
- •Один простой звонок
- •Полицейский набег
- •Переводя стрелки
- •Предупреждение обмана
- •Глава 9: Ответный удар
- •Исскуство дружелюбного убеждения
- •Глава 11: Сочетая технологию и социальную инженерию
- •Взлом решетки
- •Быстрое скачивание
- •Легкие деньги
- •Словарь как орудие атаки
- •Предотвращение обмана
- •Глава 13: Умные мошенники
- •Несоответствующий “Caller id”
- •Вариация: Звонит президент Соединенных Штатов
- •Невидимый сотрудник
- •Полезный секретарь
- •Суд по делам дорожного движения
- •Возмездие Саманты
- •Предотвращение обмана
- •Глава 15: Знание об информационной безопасности и тренировки
- •Обеспечение безопасности с помощью технологии, тренировки и процедуры
- •Понимание того, как атакующий может воспользоваться человеческой природой
- •Создание тренировочных и образовательных программ
- •Тестирование
- •Поддержание бдительности
- •«Зачем мне все это?»
- •Краткое описание безопасности в организации
- •Определение атаки
- •Проверка и классификация информации
На пороге
Несмотря на миф о безбумажном офисе, компании продолжают печатать стопки бумаг каждый день. Печатная информация в в вашей компании может быть уязвимой, даже если вы предпринимаете меры предосторожности и помечаете ее как конфиденциальную.
Вот одна история, показывающая, как социальные инженеры могут получить ваши самые секретные документы.
Обман с номерами обратного вызова
Каждый год телефонная компания издает справочник тестовых номеров (или по крайней мере издавали, но, поскольку я все еще нахожусь под надзором, то не собираюсь спрашивать об этом). Этот документ высоко ценился фрикерами, так как содержал список тщательно скрываемых телефонных номеров, которые использовались мастерами, техниками и другими работниками компании для таких вещей как тестирование магистрали или проверки всегда занятых номеров.
Один из таких тестовых номеров, называемых на профессиональном языке «Loop‑Around» (номер обратного вызова), был особенно полезен. Фрикеры использовали его как способ бесплатно поговорить друг с другом. Фрикеры также использовали его как номер обратного вызова, чтобы дать его, например, в банке. Социальный инженер сообщал кому‑нибудь в банке телефонный номер в своем офисе. Когда из банка звонили по тестовый номеру, фрикер мог получить звонок, кроме того, по этому номеру его не могли выследить.
В справочнике тестовых номеров содержал информацию, в которой нуждался фрикер. Поэтому, когда издавались новые справочники, они разыскивались множеством подростков, для которых любимым занятием было исследовать телефонную сеть.
Сообщение от Митника
Обучение безопасности в рамках политики компании по защите информации должно проводиться для всех сотрудников, а не только для служащих, у которых есть электронный или физический доступ к ИТ‑активам компании.
Афера Стива
Конечно, телефонные компании не допускают свободного распространения этих книг, поэтому фрикерам приходится быть изобретательными. Как они делают это? Энергичный подросток, разыскивающий справочник , может разыграть такой сценарий.
Тихим осенним вечером в южной Калифорнии, парень, которого я назову Стив, звонит в центральный офис небольшой телефонной компании, здание, от которого отходят телефонные линии ко всем домам и фирмам в зоне обслуживания.
Когда дежурный электромонтер отвечает на звонок, Стив заявляет, что он из подразделения компании, которое издает и распространяет печатные материалы. «У нас есть новый справочник тестовых номеров, – говорит он. – Но из соображений безопасности мы не можем отдать ваш экземпляр, пока не получим старый. Посыльный будет позже. Если вы хотите, оставьте ваш экземпляр прямо за дверью, он может заехать, забрать его и положить новый».
Ничего не подозревающему электромонтеру это кажется разумным. Он делает так, как его попросили, кладет на пороге здания свой справочник, на обложке которого ясно написано большими красными буквами: «СЕКРЕТНЫЙ ДОКУМЕНТ КОМПАНИИ . В СЛУЧАЕ НЕНАДОБНОСТИ УНИЧТОЖИТЬ».
Стив приезжает и осторожно оглядывается вокруг в поисках полицейских или сотрудников службы безопасности компании, которые могли спрятаться за деревьями, или ждать его в припаркованных машинах. Никого в поле зрения. Он небрежно берет справочник и уезжает.