April 8, 2019

Истории из книг про социальную инженерию

Вы знаете, как социальные инженеры обманывают людей, предлагая им свою помощь. Другой излюбленный подход основан на обратном: социальный инженер делает вид, что нуждается в помощи другого человека.

Чужак

Вы уже знаете, как атакующий может заставить служащего сообщить свой (табельный) номер. В этой истории применяется другой подход, чтобы добиться того же результата, и показывает, как атакующий может им воспользоваться.

Взломщик Брайан Аттерби знал, что почти всегда легче проникнуть в сеть в одном из отдаленных мест, где уровень безопасности компании должен быть ниже, чем в головном офисе. Он позвонил в офис в Чикаго и попросил соединить с мистером Джонсом.

Секретарь в приемной спросила, знает ли он имя мистера Джонса.
– Оно где то здесь, я ищу его. Сколько у вас работает Джонсов?
– Три. В каком он подразделении?
– Если вы зачитаете мне имена, может, я вспомню его.
– Барри, Джозеф и Гордон.
– Джо. Я вполне уверен, что это он. И… в каком он подразделении?
– Развития бизнеса
– Отлично. Соедините меня с ним, пожалуйста.
Она соединила его. Когда Джонс взял трубку, атакующий сказал: «Мистер Джонс? Это Тони из отдела (начисления) заработной платы. Мы как раз выполняем ваш запрос о переводе ваших денег на кредитный счет».
– ЧТО?! Вас обманули. Я не делал таких запросов. У меня даже нет счета.
– Проклятие, я уже выполнил запрос.
– Я понимаю, что произошло. Изменения вносятся по номеру служащего. Какой у вас номер?
Джонс сообщил свой номер.
– Действительно, вы не делали запрос. Я внесу исправление прямо сейчас. Не беспокойтесь, вы получите вашу зарплату без проблем», – заверил парень.

Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас.

– Это Джозеф Джонс. Я из отдела развития бизнеса. Я буду в отеле Дрискил через неделю. Мне нужна временная учетная запись, чтобы я мог получать электронную почту, не делая междугородных звонков.
– Повторите имя и сообщите мне свой номер.
Лже Джонс дал ему номер. И продолжил.
– У вас есть высокоскоростные номера?»
– Подожди, приятель. Я должен проверить тебя по базе данных.
Через некоторое время он сказал: «О.К., Джо. Скажи мне номер дома».

Атакующий тщательно подготовился и держал ответ наготове.

Анализ обмана

С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании.

Атакующий получил номер для удаленного доступа и учетную запись. Поэтому ему даже не надо было беспокоиться о проникновении через Интернет. Будучи внутри, он легко мог скомпрометировать большинство систем во внутренней сети.

Неосторожный руководитель

Эта история рассказывает о том, как руководитель компьютерного центра – тот, кто является частью отдела информационных технологий компании – окажется жертвой явной игры социальной инженерии.

Социальный инженер Дэнни надеялся получить доступ к коду, который позволил бы ему узнать, как прослушивать разговоры правоохранительных органов и, возможно, использовать технологию так, чтобы даже самым влиятельным государственным органам было сложно отследить его разговоры с друзьями.

Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.

Назвав имя настоящего служащего, Дэнни сказал:
– Это Боб Билингс. Я работаю в группе защищенной связи. Я сейчас дома и не могу приехать из за метели. Проблема в том, что мне нужен доступ к моему компьютеру и серверу из дома, а я оставил безопасный ID в столе. Не могли бы вы принести его? Или кто нибудь? А потом прочитать мой код, когда надо будет ввести его? Сроки выполнения у моей группы подходят к концу, и у меня нет другого способа закончить работу. И нет способа попасть в офис – дороги слишком опасны.
–Я не могу оставить вычислительный центр
– А у вас есть безопасный ID?
– В центре есть один. Мы храним один для операторов на случай крайней необходимости.
– Послушайте, Вы не могли бы оказать мне большую услугу? Можно позаимствовать ваш безопасный ID, когда мне нужно будет войти в сеть? На время, пока опасно ездить по дорогам?
– Кто вы? Для кого вы делаете работу?
– Для Эда Трентона.
–Ах да, я знаю его.
– Я работаю на втором этаже, рядом с Роем Такером.
Это имя он тоже знал. Дэнни продолжил обрабатывать его. «Будет проще подойти к моему столу и принести мой безопасный ID.»
Ковальски не хотел ни отказывать парню, нуждавшемуся в помощи, ни соглашаться и быть втянутым в проблему. Поэтому он отложил решение: «Я должен позвонить моему боссу. Подождите».
Через несколько минут Ковальски снова взял трубку, сказал: «Мой руководитель хочет поговорить с вами сам», и дал ему имя и номер сотового телефона.
Дэнни позвонил руководителю и повторил историю снова, подробно рассказав о проекте, над которым он работал, и почему его группа должна закончить работу в срок. «Проще будет кому нибудь подойти к моему столу и взять мою карту, – сказал он. – Я не думаю, что стол заперт, карта должна быть в левом верхнем ящике».
«Хорошо, – сказал руководитель, – думаю, на выходные мы можем разрешить вам использовать безопасный ID из вычислительного центра. Я скажу дежурным, чтобы они считали случайный код, когда вы позвоните», и дал ему PIN код для использования.

Анализ обмана

Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился.

Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого нибудь принести жетон из своего стола, он настаивал на том, чтобы кто то «принес» его для него. «Принеси» – это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели принести что нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была отклонена, было принято другое решение, именно то, которое хотелось ему.

Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен людей, которых он знал. Но почему руководитель Ковальски – IT руководитель, не меньше, – позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи может быть мощным убедительным инструментом в арсенале социального инженера.

Предотвращение обмана

Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом атакующего.

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.