- •Кевин Митник Искусство обмана
- •Рассказ Кевина
- •Финальные выводы
- •Введение
- •Предисловие
- •С чего всё начиналось
- •От телефонного фрикинга к хакингу
- •Становление социальным инженером
- •Финальные выводы
- •Вступление
- •Глава 1: Самое слабое звено в безопасности
- •Человеческий фактор
- •Классический случай обмана
- •Характер угрозы
- •Злоупотребление доверием
- •Террористы и обман
- •Об этой книге
- •Глава 2: Когда безвредная информация опасна
- •Скрытая ценность информации
- •Частный сыщик в действии
- •Западня для инженера
- •Ещё одна «ничего не стоящая» информация
- •Предотвращение обмана
- •Глава 3: Прямая атака: просто попроси
- •Случай с центром назначения линий
- •Юноша в бегах
- •На пороге
- •Заговаривание зубов (Отвлекающая болтовня)
- •Глава 4: Внушая доверие
- •Доверие: ключ к обману
- •Вариации по теме: Сбор кредитных карт
- •Одноцентовый сотовый телефон
- •Взлом федералов
- •Предотвращение обмана
- •Глава 5: «Разрешите Вам помочь»
- •Неполадки в сети
- •Немного помощи для новенькой девушки.
- •Не так безопасно, как думаешь
- •Предотвращение обмана
- •Глава 6: «Не могли бы Вы помочь?»
- •Неосторожный руководитель
- •Глава 7: Фальшивые сайты и опасные приложения
- •«Не желаете ли вы бесплатно …?»
- •Сообщение от друга
- •Вариации по теме
- •Вариации по вариации
- •Глава 8: Используя чувство симпатии, вины и запугивание
- •Визит в студию
- •«Сделайте это сейчас»
- •«Мистер Бигг хочет это»
- •Что знает о вас администрация общественной безопасности
- •Один простой звонок
- •Полицейский набег
- •Переводя стрелки
- •Предупреждение обмана
- •Глава 9: Ответный удар
- •Исскуство дружелюбного убеждения
- •Глава 11: Сочетая технологию и социальную инженерию
- •Взлом решетки
- •Быстрое скачивание
- •Легкие деньги
- •Словарь как орудие атаки
- •Предотвращение обмана
- •Глава 13: Умные мошенники
- •Несоответствующий “Caller id”
- •Вариация: Звонит президент Соединенных Штатов
- •Невидимый сотрудник
- •Полезный секретарь
- •Суд по делам дорожного движения
- •Возмездие Саманты
- •Предотвращение обмана
- •Глава 15: Знание об информационной безопасности и тренировки
- •Обеспечение безопасности с помощью технологии, тренировки и процедуры
- •Понимание того, как атакующий может воспользоваться человеческой природой
- •Создание тренировочных и образовательных программ
- •Тестирование
- •Поддержание бдительности
- •«Зачем мне все это?»
- •Краткое описание безопасности в организации
- •Определение атаки
- •Проверка и классификация информации
Вариация: Звонит президент Соединенных Штатов
Как соведущий радиошоу в Лос Анджелесе, которое называется “Темная сторона Интернета” на KFI Talk Radio, я работал под руководством директора по программам станции. Дэвида, одного из самых посвященных и вкалывающих людей которых я когда‑либо встречал, очень сложно застать по телефону, так как он очень занят. Он один из тех людей, который не отвечает на звонок, если только не видит на caller ID‑дисплее что это кто‑то с кем ему нужно поговорить.
Когда я ему звонил, по причине наличия блокировки вызова на моем сотовом телефоне, он не мог сказать кто звонил и не отвечал на звонок. Звонок переключался на автоответчик, и для меня это стало изматывающим.
Я переговорил по поводу того, что с этим делать с моим давним другом, основателем фирмы по работе с недвижимостью, предоставлявшей офисные помещения для хайтек‑компаний. Вместе мы разработали план. У него был доступ к телефонному коммутатору Meridian его компании, который дает ему возможность программирования номера вызывающей стороны, как описано в предыдущей истории. В любой момент, когда мне было нужно дозвониться до директора по программам и не удавалось пробиться, я просил своего друга запрограммировать любой номер на мой выбор, который должен был появится на caller ID. Иногда он делал так, чтобы выглядело что звонок исходит от офисного ассистента Дэвида, или иногда от холдинговой компании, которая владеет станцией.
Но самым излюбленным было запрограммировать звонок, как будто он с собственного домашнего телефонного номера Дэвида, на который он всегда снимал трубку. Черт возьми, однако надо отдать этому парню должное. У него всегда было хорошее чувство юмора на этот счет, когда он брал трубку и обнаруживал что я его снова одурачил. Самым лучшим было то, что он оставался на линии достаточно долго чтобы выяснить чего я хотел и разрешить любую неувязку, какой бы она не была.
Когда я демонстрировал этот маленький трюк на шоу Арта Белла, я подменил свой caller ID так, чтобы он отображал имя и адрес штабквартиры ФБР в Лос Анджелесе. Арт был совершенно шокирован по поводу всей затеи и убеждал меня в совершении чего‑то нелегального. Но я указал ему на то, что это вполне легально, до тех пор пока это не является попыткой совершения мошенничества. После программы я получил несолько сотен писем по электронной почте с просьбой объяснить как я это сделал. Теперь вы знаете.
Это совершенный инструмент для построения убедительности социального инженера. Если, для примера, в течение исследовательской стадии цикла атаки социального инжиниринга было обнаружено, что у цели был caller ID, атакующий мог бы подменить его или ее собственный номер как будто будучи от доверительной компании или сотрудника. Коллекционер счетов может выдать его или ее звонки за исходящие с вашего места работы.
Но остановитесь и задумайтесь о подтекстах. Компьютерный злоумышленник может позвонить вам на дом, утверждая что он из отдела Информационных Технологий в вашей компании. Человеку на линии насущно требуется ваш пароль для восстановления ваших файлов после сбоя сервера. Или caller ID показывает имя и номер вашего банка или брокерского дома, девушке с милым голосом просто понадобилось проверить номер вашего счета и девичью фамилию вашей матери. Для ровного счета, ей так же нужно проверить ваш ATM PIN2 по причине какой‑то системной проблемы. Управление котельной на фондовой бирже может сделать свои звонки похожими на исходящие от Мэрил Линч или Городского Банка. Кто‑то вознамерился украсть вашу личность и позвонить, очевидно из компании Visa, и убедить вас сказать ему номер вашей кредитной карты Visa. Злостный парень мог бы позвонить и заявить, что он из налоговой инспекции или ФБР.
Если у вас есть доступ к телефонной системе, подключенной к Интерфейсу Основного Тарифа(PRI), плюс небольшие познания в программировании, которые вы, вероятнее всего, приобретете на веб‑сайте поставщика системы, вы сможете использовать такую тактику для разыгрывания крутых трюков над своими друзьями. Есть на примете кто‑нибудь с раздутыми политическими устремлениями? Вы бы могли запрограммировать выдаваемый номер как 202 456‑1414, и его caller ID‑дисплей будет показывать имя “БЕЛЫЙ ДОМ.”
Он подумает что ему звонит президент!
Мораль истории проста: нельзя доверять caller ID, за исключением использования для проверки внутренних звонков. На работе или дома, все должны остерегаться трюка с caller ID и иметь ввиду что имени или телефонному номеру, отображаемому на caller ID‑дисплее, нельзя доверять для удостоверения личности.
Сообщение от Митника
В следующий раз, когда вам звонят и ваш caller ID‑дисплей показывает что звонок от вашей дорогой престарелой мамы, никогда не знаешь – он может быть от старого доброго социального инженера.