Тот факт, что в реальной истории, на которой основан этот рассказ, злоумышленниками являлись действительно подростки, не имеет большого значения.
Это вторжение для них было всего лишь забавой, только для того, чтобы убедиться, что они смогут сделать это. Но, если это было так легко для пары подростков, это могло бы быть гораздо проще для взрослых воров, промышленных шпионов или террористов.
Как могли трое опытных охранников так просто взять и отпустить этих двоих нарушителей? И не просто каких-то нарушителей, а таких молодых, что у каждого здравомыслящего человека возникли бы подозрения на счет их?
Сначала у Лероя возникли основания для подозрения. Он действовал правильно, проводив их в отдел охраны, расспросив парня, который назвался Томом Стилтоном, и, проверив имена и телефоны, которые он назвал. Он также действовал правильно, когда позвонил руководителю этого парня.
Но, в конце концов, его смутило самоуверенное и возмущенное поведение этого молодого человека. Его поведение было не похоже на то, которое можно ожидать от грабителя или вторгшегося злоумышленника – так может вести себя только действительный работник… или тот, кто выдает себя за такового.
Лерой должен был быть обучен полагаться на основательную проверку личностей, а не на собственные ощущения или домыслы.
Почему он не стал более подозрителен, когда молодой человек по окончании разговора с руководителем повесил трубку, вместо того, чтобы передать ее обратно Лерою, чтобы он мог услышать подтверждение непосредственно от Джуди Андервуд, и ее заверения относительно причин, которые заставили находиться этого парня на заводе поздней ночью?
Обман, на который попался Лерой, был настолько очевиден, что он должен был бы это заметить. Но посмотрите на происшедшее с его точки зрения: человек без высшего образования, крайне заинтересованный в этой работе, сомневающийся, не нарвется ли он на неприятности, если второй раз среди ночи побеспокоит своим звонком менеджера компании. Если бы вы были на его месте, стали бы вы звонить еще раз?
Но, конечно, второй звонок не был единственным возможным действием с его стороны. Что еще мог сделать в данном случае этот охранник? Еще до того, как звонить менеджеру, он мог бы попросить у этих парней какой-либо удостоверяющий личность документ с фотографией; они приехали на завод на машине, значит, по крайней мере, у одного из них должно быть водительское удостоверение. Сразу бы стало понятно, что изначально они представились фальшивыми именами (профессиональный жулик ради такого случая позаботился бы о фальшивом удостоверении личности, но эти подростки не подумали об этом). В любом случае, Лерой должен был бы проверить их удостоверения и зафиксировать данные на бумаге. Если они настаивали, что у них нет с собой удостоверения, он должен был проводить их до машины, чтобы проверить наличие бейджа компании, который «Том Стилтон» якобы оставил в машине.
После телефонного звонка один из охранников должен был бы все время быть рядом с этой парой, пока они не вышли из здания. Затем пройти с ними до машины и записать ее номер. Если бы он был достаточно внимателен, то заметил бы, что на номере (который этот мошенник купил на барахолке) отсутствует регистрационная наклейка – и это могло послужить достаточным основанием, чтобы задержать парней для дальнейшего расследования.
Сообщение Митника
Люди, способные манипулировать поведением других людей, обычно являются привлекающими внимание личностями. Они энергичны и обладают хорошо поставленной речью. социальные инженеры также обладают способностью отвлекать внимание людей от их мыслительного процесса и заставлять их сотрудничать. Думать, что какой-то конкретный человек не способен попасть под влияние подобных манипуляций – значит, недооценивать способности и природную интуицию социального инженера.
Профессиональный социальный инженер же, в свою очередь, всегда очень хорошо рассчитывает свои возможности оказания влияния на противника.
Разгребание мусора
Термин «разгребание мусора» описывает процесс поиска ценной информации в мусорных корзинах компании. Объем информации, помогающий вам изучить жертву (человека или компанию), добытый таким способом, способен поразить воображение.
Большинство людей не задумываются о тех вещах, которые они выбрасывают дома: телефонные счета, выписки со счетов кредитных карт, банковских счетов, материалов, имеющих отношение к работе, и т.д.
Соответственно, на работе сотрудники должны быть предупреждены, что на самом деле люди могут рыться в мусорных корзинах, чтобы выудить оттуда полезную и выгодную для них информацию.
Когда я учился в старших классах, я иногда копался в мусорных баках, которые стояли на заднем дворе местной телефонной компании – часто один, но иногда с друзьями, которые разделяли мой интерес в изучении информации о телефонной компании. Вы становитесь опытным «мусорщиком», когда познаете несколько вещей, например, что нужно сделать, чтобы избегать контакта с пакетами из уборных, или о необходимости пользоваться перчатками.
Это занятие не из приятных, но результат был более чем редкостным – телефонный справочник внутренних номеров компании, инструкции по работе с компьютерами, списки сотрудников, выброшенные распечатки, в которых объяснялось, как настраивать оборудование коммутаторов, и многое другое.
Я совместил график своих ночных посещений со временем выхода новых инструкций и справочников, так как в мусорных контейнерах было полно старых справочников, которые бездумно выбрасывались. Но и в другое время я их тоже проверял, пытаясь найти какие-либо записки, письма, отчеты, и все такое прочее, что могло бы представлять какую-либо ценность.
По прибытии я находил несколько картонных упаковочных коробок, доставал их и ставил рядом. Если кто-то обнаруживал меня, что иногда случалось, я говорил, что мой друг переезжает, и я собираю картонные коробки, чтобы помочь ему упаковать вещи. Охранники никогда не замечали, что в коробках, которые я относил домой, лежат документы. Иногда охранник требовал меня убираться прочь, поэтому я просто перемещался к офису другой телефонной компании.
Я не знаю, как дела обстоят сегодня, но тогда было легко определить, в каких мешках могла содержаться интересная информация. Мусор, скапливающийся после уборки помещений, и отходы из кафетерия были упакованы в большие мешки, в то время как офисные отходы были собраны в одноразовых мешках, которые уборщики по отдельности вытаскивали из офисных корзин и плотно перевязывали.
Однажды, когда мы с друзьями копались в контейнерах, то наткнулись на листы бумаги, разорванной вручную. И не просто разорванные: кто-то
постарался порвать их на маленькие кусочки, которые, к счастью, находились в одном пакете. Мы забрали этот пакет, высыпали все это на стол, иначали собирать их по частям.
Мы все были любителями паззлов-головоломок, так что для нас было просто собрать эту мозаику в единое целое. И мы получили больше, чем просто вознаграждение детского любопытства. По окончании перед нами предстал полный список учетных записей и паролей к одной из важнейших компьютерных сетей компании.
Стоили ли наши действия того риска и усилий? Вы скажете, конечно. Но больше, чем вы думаете, потому что риск был равен нулю. Это было правдой тогда, и в наши дни все еще действует правило: если вы не наносите никому ущерба, копание в чьем-то мусоре является на 100 процентов легальным.
Конечно, не только телефонные мошенники и хакеры копаются в мусорных баках. Этим повсеместно и регулярно занимается полиция, поэтому очень много преступников, от главарей мафии до мелких воришек были осуждены благодаря уликам, найденным в их мусоре. К этому методу также в течение многих лет прибегают различные разведывательные службы.
Конечно, эти действия не приемлемы для Джеймса Бонда – в кино он предстает этаким героем, обманывающим и наказывающим негодяев, или проводящим свободное время с красавицей в постели, нежели чем стоящим на коленях и копающимся в мусоре. Шпионы в реальной жизни гораздо менее брезгливы, если среди банановых шкурок, обрывков газет и прочего мусора может находиться что-нибудь важное. Особенно, если такой способ добывания информации не подвергает их риску.
LINGO
Разгребание мусора - способ извлечения злоумышленниками не уничтоженной своевременно конфиденциальной информации из виртуальных мусорных корзин защищенных компьютерных систем или из обычных мусорных контейнеров.