Винс Капели был социальным инженером с ранних лет, даже никогда не слышав этого термина.
Его друзья разом перестали смеяться, когда все они получили по диплому. Пока другие слонялись по городу в поисках работы, на которой не надо было говорить «Не желаете ли картошку-фри?» отец Винса отослал его к старому полицейскому, который уволился со службы, чтобы открыть свое частное детективное агентство в Сан-Франциско. Тот быстро увидел талант Винса и взял его на работу.
Это было 6 лет назад. Он ненавидел работу, заключавшуюся в сборе компромата на неверных супругов, которая превращалась в мучительные часы тупого сидения и наблюдения, но чувствовал постоянный интерес к заданиям раскопать информацию о капиталах для адвокатов, пытающихся выяснить, что жалкий нищий достаточно богат и стоит подачи иска.
Как, например, когда ему требовалось заглянуть в банковские счета парня по имени Джо Марковиц (Joe Markowitz). Джо, вероятно, провернул темное дельце с своим бывшим другом и это друг теперь хотел знать, был ли Марковиц достаточно богат, чтобы в случае подачи иска вернуть с него некоторую сумму денег.
Для начала Винсу желательно было бы узнать по меньшей мере один, но лучше два, банковских защитных кода на текущий день. Это звучит почти нереально, что может заставить банковского работника открыть лазейку в собственной системе безопасности? Спросите себя, если бы вам потребовалось что-нибудь подобное, как бы вы этого добились?
Для людей вроде Винса это очень просто.
Люди доверяют тебе, если ты знаешь их профессиональный жаргон, некую внутреннюю форму общения их компании, скрытую от посторонних глаз. Это как бы способ показать, что ты один из них, своего рода секретное рукопожатие.
Мне не требовалось знать много для подобной операции. Уж точно не операция на мозге. Для начала потребовался лишь номер отделения банка. Когда я позвонил в отделение на Бикэн Стрит (Beacon Street) в Буффало, человек, который ответил, был похож на болтуна.
— Это Тим Экерман, — сказал я. Подойдет любое имя, он, очевидно, не собирался его никуда записывать. — Какой у Вас номер отделения?
Он хотел знать, назвать ли “телефон или номер отдела”, что довольно-таки глупо, потому что я только что набрал номер, не так ли? (скорее всего, это своеобразная процедура аутентификации на фирме — прим. Редактора)
“Номер отдела” — 3182, — ответил он. Вот так. Никаких там, «Зачем Вам это надо?» и т.п. Потому что это не секретная информация, это написано почти на каждом кусочке бумаги, с которым они работают.
Шаг второй: позвонить в отделение, где обслуживается моя цель, получить имя одного из их сотрудников и выяснить, кто из них будет отсутствовать во время обеда. Анжела. Уходит в 12:30. Все путём!
Шаг третий: звоним в то же отделение, пока Анжела обедает, говорим, что мы из отделения такого-то из Бостона, Анжеле нужна информация по факсу, давайте нам код дня. Это самая сложная часть. Если бы я придумывал тест для социального инженера, я бы обязательно включил бы в него что-нибудь подобное, когда твоя жертва становится подозрительной — и не без оснований — и ты продолжаешь давить пока не сломаешь ее и не получишь нужную информацию. Вы не сможете сделать это, повторяя строчки сценария или заучив процедуру, необходимо прочитать свою жертву, понять ее настроение, играть с ней, как с рыбкой, отпуская немного, а затем вновь подтягивая леску. И так пока не поймаешь ее в сеть, и она не шлепнется в лодку. Шлеп!
Итак, я его поймал и заполучил один из кодов дня. Это успех. Большинство банков используют один код, так что я уже мог бежать домой. Промышленный банк использует пять кодов, так что иметь один код из пяти маловато. С двумя из пяти у меня были бы существенно большие шансы пройти следующий эпизод этого маленького спектакля. Мне понравилась фишка про «Я не сказал ‘би’, я сказал ‘и’». Когда это срабатывает, это прекрасно. А срабатывает это в большинстве случаев.
Получить третий код было бы еще лучше. Причем у меня действительно получалось получить их за один звонок — ‘B’, ‘D’ и ‘E’ так похоже звучат, что вы можете настаивать на том, что вас снова не поняли. Но это только в разговоре с действительно слабым противником, а этот человек легкой добычей не был. Я ушел с двумя.
Коды дня станут моим ключом к получению образца подписи. Я звоню, а человек спрашивает код С. Но у меня только B и E. Но это совершенно не конец света. Необходимо оставаться хладнокровным в такие моменты, говорить уверенно, продолжать максимально ровно, я сыграл что-то типа: «Мой компьютер сейчас занят, спросите меня один из этих кодов».
Мы все сотрудники одной компании, мы все делаем одно дело, надо помочь напарнику — так, надо надеяться, думает жертва в этот момент. И он играл прямо по сценарию. Он выбрал вариант из предложенных, я дал ему правильный ответ, он отправил мне факс с образцом подписи.
Почти у цели. Еще один звонок дал мне номер телефона, по которому автоматическая служба зачитывает клиенту требуемую информацию. Из карточки с образцом подписи, я знал все номера счетов жертвы и его PIN-код, т.к. банк использует первые пять или последние 4 цифры номера карточки социального страхования. Итак, с ручкой в руках, я позвонил в службу и после нескольких минут и пары нажатий на кнопки я получил последние сведения о балансе на всех счетах, и плюс к этому — его последние депозиты и съемы средств по ним.
Все, что заказывал мой клиент и даже больше. Я всегда люблю дать немножко больше, чем требуется за те же деньги. Клиент должен быть счастлив. Кроме того, повторяемость бизнеса — это основа развития.
Анализируя обман
Ключевым моментов всего этого эпизода было получение всех необходимых кодов дня, и для достижения этого, атакующий, т.е. Винс использовал несколько различных приемов.
Он начал с небольшого словесного «выкручивания рук», когда Льюис отказался дать ему код. Льюис был прав в своей подозрительности — коды придуманы для того, что бы использовать их в противоположном направлении. Он знал, что при обычном порядке неизвестный звонящий сообщит ему защитный код. Это был критический момент для Винса, от этого зависел успех всей задуманной им операции.
Столкнувшись с подозрительностью Льюиса, Винс просто сгладил ее, вызывая симпатию («собирался к доктору»), используя давление (“мне уже надоело всем этим заниматься, уже 4 часа») и манипулирование («Скажите ей, что не дали мне код»). На самом деле, Винс не угрожал ему, он только подразумевал это: «Если вы не дадите мне защитный код, я не вышлю информацию о клиенте, которую просил ваш коллега, и я скажу ему, что собирался послать, но вы не согласились сотрудничать».
Не будем, однако, поспешно винить Льюиса. В конце концов, человек, звонивший по телефону знал (или по крайней мере похоже, что знал), что Анжела запрашивала факс. Звонивший знал о защитных кодах, и знал, что они называются буквами алфавита. Он сказал, что начальник его отделения требует их для большей защищенности. На самом деле нет причин не дать ему подтверждение, о котором он просит.
Льюис не одинок. Сотрудники банков сообщают защитные коды социальным инженерам каждый день. Невероятно, но факт.
Существует грань, за которой действия частного детектива перестают быть законными и становятся преступными. Винс не нарушил закон, когда он узнал номер отделения. Он даже не нарушил закон, когда обманом заставил Льюиса выдать ему два защитных кода. Он перешел грань, когда получил по факсу конфиденциальную информацию о клиенте банка.
Но для Винса и его нанимателя это не слишком рискованное преступление. Когда Вы воруете деньги или вещи, кто-то замечает, что они пропали. Если Вы украли информацию, часто никто этого не заметит, так как информация по прежнему остается у владельца.
Сообщение Митника
Устные защитные коды эквивалентны паролям в обеспечении удобных и надежных средств защиты информации. Но сотрудники должны быть осведомлены об уловках, применяемых социальными инженерами, и обучены не выдавать ключи от королевства.