Человек или люди, ответственные за составление политики классификации данных, должны исследовать типы данных, которые кажутся безвредными и могут быть использованы законными служащими для получения доступа, но могут привести к получению важной информации. Хотя вы никогда не открыли бы коды доступа к вашей карте ATM, вы сказали бы кому-нибудь, какой сервер вы используете для разработки программных продуктов? Может ли кто-нибудь, притворяющийся кем-то с законным доступом к корпоративной сети, использовать эту информацию?

Иногда одно только знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым. Часто атакующий полагается на это общее неправильное представление, чтобы добиться согласия его/её жертвы. Например, Merchant ID — это идентификатор, который люди из Отдела Новых Счетов банка небрежно используют каждый день. Но такой идентификатор то же самое, что пароль. Если каждый работник будет понимать природу этого идентификатора, что он предназначен для подтверждения подлинности, он будет относиться к нему с большим уважением.

Сообщение от Митника

Согласно старой пословице: даже у настоящих параноиков, возможно, есть враги. Мы должны согласиться, что у любого бизнеса тоже есть враги — атакующие, которые целятся в инфраструктуру сети, чтобы скомпрометировать бизнес-секреты. Недостаточно просто ознакомиться со статистикой по компьютерным преступлениям — пришло время поддерживать необходимую обороноспособность, осуществляя надлежащее средство управления через хорошо известные политики и процедуры безопасности.

Ни одна компания — хорошо, по крайней мере, очень немногие — дают прямые номера своих CEO или председателей правления. Однако большинство компаний не беспокоятся о выдаче телефонных номеров большинства отделов и рабочих групп в организации — особенно кому-то, кто кажется или на самом деле является служащим. Возможная контрмера: осуществить политику, которая запрещает выдачу посторонним внутренних телефонных номеров работников, подрядчиков, консультантов и других. Ещё важнее разработать пошаговую процедуру для выяснения действительно ли звонящий, спрашивающий о номерах, является настоящим служащим.

Коды рабочих групп и отделов, также как и копии корпоративных справочников (не важно, печатная копия, файл данных или электронная телефонная книга) частые цели социальных инженеров. Любой компании нужна письменная, хорошо разработанная политика касательно открытия информации этого типа. Нужно также завести учетную книгу записей, в которую будут записываться случаи, когда важная информация открывалась людям вне компании.

Информацию, вроде номера работника, не стоит использовать для аутентификации саму по себе. Любой работник должен быть обучен проверять не только личность, но и разрешение на получение информации.

В своем обучении безопасности предусмотрите обучение работников следующим подходам: всякий раз, когда незнакомец задаёт вопрос, научитесь сначала вежливо отключаться, пока запрос не будет проверен. Затем, прежде подтвердив его личность, следуйте политикам и процедурам компании, с уважением относясь к проверке и раскрытию непубличной информации. Этот стиль может идти вразрез нашему естественному желанию помочь другим, но небольшая здоровая паранойя может оказаться полезной, чтобы не стать следующей жертвой социального инженера.

Как показано в историях в этой главе, кажущаяся безвредной информация может быть ключом к самым существенным секретам компании.

Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания.

Но меня всегда поражает, как искусный социальный инженер может достичь своей цели с помощью простой прямой атаки. Как вы увидите, все, что может понадобиться — просто попросить информацию.

Хотите узнать чей-нибудь неопубликованный номер телефона? Социальный инженер может сообщить вам полдюжины способов (некоторые из них вы найдете в других историях книги), но, возможно, самым простым из них будет обычный телефонный звонок, как этот.

Номер, пожалуйста

Атакующий позвонил по неофициальному номеру телефонной компании, в механизированный центр назначения линий (Mechanized Line Assignment Center). Он сказал женщине, поднявшей трубку:

«Это Пол Энтони, кабельный монтер. Послушайте, здесь загорелась распределительная коробка. Полицейские считают, кто-то пытался поджечь собственный дом, чтобы получить страховку. Я остался здесь заново монтировать целый терминал из двухсот пар. Мне сейчас очень нужна помощь. Какое оборудование должно работать по адресу Саут-Мэйн (South Main), 6723?»

В других подразделениях компании человек, которому позвонили, должен знать, что сведения о неопубликованных номерах предоставляются только уполномоченным лицам. Предполагается, что о центре известно только служащим компании. И если информация никогда не оглашалась, кто мог отказать в помощи сотруднику компании, выполняющему тяжелую работу? Она сочувствовала ему, у нее самой были нелегкие дни на работе, и она немного нарушила правила, чтобы помочь коллеге с решением проблемы. Она сообщила ему действующий номер и адрес для каждой из кабельных пар.

Сообщение от Митника

В человеческой натуре заложено доверять, особенно когда просьба кажется обоснованной. Социальные инженеры используют это, чтобы эксплуатировать свои жертвы и достичь своих целей.

Анализ обмана

Вы заметите, что в этих историях знание терминологии компании, ее структуры — различных офисов и подразделений, что делает каждое из них и какой информацией владеет — часть ценного багажа приемов успешного социального инженера.

Человек, которого мы назовем Фрэнк Парсонс, был в бегах долгие годы, находясь в федеральном розыске за участие в подпольной антивоенной группировке в 1960-х гг. В ресторанах он сидел лицом к дверям и периодически оглядывался, что смущало других людей. Он переезжал каждые несколько лет.

В некоторый момент времени Фрэнк остановился в городе, который не знал, и приступил к поиску работы. Для таких как Фрэнк, с его развитыми компьютерными навыками (и навыками социального инженера, хотя он никогда не упоминал об этом при соискании) поиск хорошей работы обычно не составляет проблемы. За исключением случаев, когда организация ограничена в средствах, люди с хорошими компьютерными навыками обычно пользуются высоким спросом и им несложно обосноваться. Фрэнк быстро нашел высокооплачиваемое, постоянное место работы рядом со своим домом.

Просто объявление, подумал он. Но когда он начал заполнять анкеты, то столкнулся с неожиданностью. Работодатель требовал от соискателя предоставить копию криминальной характеристики, которую он должен был принести сам из полиции штата. Пачка документов включала в себя бланк с местом для отпечатков пальцев. Даже если требовался только отпечаток правого указательного пальца, но его сверили бы с отпечатком из базы данных ФБР, то вскоре ему пришлось бы работать в продовольственной службе федеральной тюрьмы (приюта).

С другой стороны, Фрэнку пришло в голову, что он мог бы избежать этого. Возможно, образцы отпечатков пальцев не отправлялись из штата в ФБР. Как он мог выяснить это?

Как? Он был социальным инженером — как, вы думаете, он разузнал это? Он позвонил в патруль штата: «Привет. Мы выполняем исследование для министерства юстиции. Мы изучаем требования к новой системе идентификации отпечатков пальцев. Могу я поговорить с кем-нибудь, кто действительно разбирается в этом, и мог бы нам помочь?»

Когда к телефону подошел местный специалист, Фрэнк задал ряд вопросов о том, какие системы они используют, о возможностях исследования и хранения отпечатков пальцев. Были у них проблемы с оборудованием? Связаны они с картотекой отпечатков национального информационного центра или работают в пределах штата? Является ли оборудование достаточно простым для всех, кто обучается его использованию?