Мошенник, представившийся Питером Милтоном, воспользовался двумя психологическими методами – один был спланирован заранее, другой был сымпровизирован по ходу действия.
Он оделся так, как обычно одеваются менеджеры, зарабатывающие неплохие деньги. Костюм и галстук, ухоженные и прекрасно уложенные волосы – кажется, это мелочи, но они способны произвести хорошее впечатление. Однажды я и сам это понял. Когда я работал непродолжительное время программистом в компании «GTE California» - крупной телефонной компании, которой больше не существует – я обнаружил, что, если я приду на работу без бейджа, в аккуратной, но повседневной одежде – скажем, в футболке, джинсах и спортивной обуви – меня обязательно остановят и начнутся расспросы. Где ваш бейдж, кто вы такой, где работаете? В другой раз я прошел в костюме и галстуке, выглядя очень респектабельно, но, опять же, без бейджа. Я применил старый, хорошо известный метод, растворившись в толпе людей, входящих в здание. Я присоединился к группе людей, и сделал вид, что болтаю с ними о чем-то, что я являюсь одним из них. Я, конечно, прошел внутрь, и даже если бы охранники заметили, что у меня не было бейджа, они не стали бы останавливать меня, потому что я выглядел, как человек из администрации, и я был с людьми, у которых были бейджи.
На основании своего опыта я убедился, насколько предсказуемым является поведение охраны. Как и большинство из нас, они судили о людях по их внешнему виду – один из моментов уязвимости, которым так умело пользуются социальные инженеры.
Атакующий воспользовался вторым своим психологическим оружием, когда заметил, насколько умело идут дела у секретарши. Общаясь с несколькими людьми одновременно, она не выглядела раздражительной, напротив, старалась показать каждому, что они находятся под полным ее вниманием. Он принял это как знак того, что она может быть заинтересована в самореализации, в продвижении вверх по служебной лестнице. И когда он сказал, что работает в департаменте маркетинга, он ждал ее реакции, пытаясь увидеть признаки устанавливающегося между ними взаимопонимания. И она подтвердила его догадку. Это был плюс для атакующего, так как теперь он мог манипулировать ею, пообещав, что поможет перевести ее на лучшую работу. (Естественно, если бы она сказала, что хотела бы работать в финансовом департаменте, например, он бы ответил, что у него есть и там контакты, и что он сможет ей помочь устроиться туда).
Мошенникам также нравится другой психологический прием, использованный в этой истории: посторенние доверия при помощи двухэтапной атаки. Сначала он непринужденно поболтал с ней о работе в маркетинге, применив также прием «упоминания имени» - назвав как бы вскользь имя другого реального сотрудника, как и то имя, которым он представился, тоже не было вымышленным.
Теперь он мог бы сразу продолжать разговор просьбой о предоставлении комнаты для переговоров. Но вместо этого, он сел напротив и сделал вид, что работает, ожидая своего коллегу – еще один способ рассеять возможные подозрения, так как он не слонялся по офису. На самом деле, он сидел очень долго; социальные инженеры знают, что лучше остаться на месте преступления дольше, чем это им необходимо.
В качестве примечания: согласно действующему законодательству, Энтони не совершил преступление, когда вошел в вестибюль. Он не совершил преступление, воспользовавшись именем настоящего работника. Он не совершил преступление, когда попросил воспользоваться переговорной комнатой. Он также не совершил преступление, когда подключился к локальной сети компании и искал нужный ему компьютер.
Он преступил закон только в тот момент, когда взломал парольную защиту и вторгся в компьютер финансового департамента.
Сообщение Митника
Разрешение доступа незнакомцу в помещение, где он может подключить свой ноутбук к корпоративной сети, повышает риск нарушения системы безопасности компании. Конечно, для сотрудников, особенно не работающих постоянно в офисе, или из удаленных представительств, не существует причин отказа проверить свою электронную почту в переговорной комнате. Но это можно позволить только тогда, когда посетитель доказал свои полномочия доверенного сотрудника, или корпоративная сеть разделена на сегменты для предотвращения неавторизованных подключений. В противном случае, это может оказаться слабым звеном, позволяющим посторонним получить доступ к корпоративным файлам.
Подглядывание за Кевином
Много лет назад, когда я работал в небольшой организации, я начал замечать, что каждый раз, когда я входил в кабинет, в котором сидели еще три компьютерщика, а все вместе мы составляли департамент IT, один из них (я назову его Джо) тут же переключал монитор своего компьютера на другое приложение. Мне это показалось подозрительным. Когда это произошло еще дважды за один день, я понял, что мне необходимо выяснить, что происходит.Чем таким этот парень занимался, что он не хотел, чтобы я это увидел?
Компьютер Джо являлся сервером, через который осуществлялся доступ к другим рабочим станциям, поэтому я установил программу мониторинга, которая позволяла мне шпионить за тем, что он делал. Эта программа действует подобно телекамере, установленной позади Джо, показывая мне то же самое, что он видел на своем мониторе.
Мой стол стоял рядом с рабочим местом Джо. Я развернул свой монитор так, чтобы он не мог видеть мой экран, но в любой момент он мог повернуть голову и увидеть, что я за ним шпионю. Это не проблема: он был слишком увлечен тем, что он делал, чтобы что-то заметить.
У меня отвисла челюсть, когда я это увидел. Пораженный, я смотрел, как этот ублюдок поднимает данные моей платежной ведомости. Он смотрел мою зарплату!
К тому времени я работал в этой компании всего лишь несколько месяцев, и я решил, что Джо не оставляет в покое мысль, что я могу получать больше, чем он.
Несколько минут спустя я увидел, что он загружал хакерские программы, используемые неопытными хакерами, которые не разбираются в программировании и подстройке этих программ под свои нужды. Это было глупо со стороны Джо, так как он не имел ни малейшего понятия, что рядом с ним сидит один из самых опытнейших хакеров Америки. Меня это развеселило.
Теперь он уже знал размер моей зарплаты, поэтому было слишком поздно его останавливать. Кроме того, любой сотрудник, имеющий доступ к компьютерам Внутренней налоговой службы США или Управления социального обеспечения, мог посмотреть данные по зарплате. Я старался не подать виду, что я знаю, чем он занимается. Профессиональный социальный инженер никогда не рекламирует свои знания и способности. Вы все время хотите, чтобы люди немного недооценивали вас, не видели в вас угрозы для себя.
Я позволил ему продолжать и смеялся про себя о том, что Джо думал, что он знает какие-то секреты про меня, в то время как козыри были у меня на руках: я знал, за что его можно будет привлечь к ответственности.
Тогда я понял, что все трое моих сослуживцев из группы IT от нечего делать развлекали себя, выясняя, какую зарплату уносит домой та или иная миленькая секретарша или (для единственной девушки в группе) симпатичный парень, на которых они остановили свой взгляд. И они могли выяснить зарплату и поощрительные выплаты любому сотруднику, который их заинтересовал, включая руководящий состав компании.