Искусство обмана - [24]

Второй Звонок: Кети

Следующий звонок – в магазин той же самой компании на North Broad Street.

«Привет, Электронный Город. Кети на проводе, чем могу вам помочь?»

«Кети, Привет. Это – Вильям Хедли, из магазина на West Girard. Как идут сегодня дела?»

«Неважно, а что случилось»

«У меня есть клиент, который пришел по акции “сотовый телефон за один цент”. Знаешь что я имею в виду?»

«Знаю. Я продала пару таких на прошлой неделе».

«У вас еще есть телефоны, которые идут с этой акцией?»

«Получили кучу таких».

«Прекрасно. Я только что продал один клиенту. Парень заплатил кредит; мы подписали с ним контракт. Телефон оказался бракованным, и у нас больше нет ни одного телефона. Я так смущен. Вы можете мне помочь? Я пошлю его в ваш магазин, чтобы приобрести телефон. Вы можете продать ему телефон за один цент? И он обязан перезвонить мне, как только он получит телефон, чтобы я смог ему рассказать про акцию».

«Да, конечно. Пришлите его сюда».

«Хорошо. Его имя Тед. Тед Янеси.»

Когда парень, который назвал себя Тедом Янеси, появился в магазине на улице North Broad St. Кети выписала счет и продала сотовый телефон за один цент, так как ее просил коллега. Она попалась на трюк мошенника.

Когда пришло время заплатить, покупатель не имел ни цента в кармане, так что он добрался до небольшой тарелки с мелочью у кассового аппарата, взял один, и дал девушке за регистрацию. Он получил телефон, не платя ни одного цента за это.

Теперь он может прийти в другую компанию, которая использует телефоны того же стандарта и заказать себе другой тарифный план без контрактных обязательств.

Анализ обмана

Людям естественно доверять в более высокой степени коллеге, который что-то просит, и знает процедуры компании, жаргон. Социальный инженер в этом рассказе воспользовался преимуществом, узнав детали компании, выдавая себя за служащего компании, и прося помощи в другом филиале. Это случается между филиалами магазинов и между отделами в компании, люди физически разделяются и общаются по телефону, никогда не встречая друг друга.

Люди часто не думают, какие материалы их организации доступны через Интернет. Для моего еженедельного шоу на KFI Talk Radio, в Лос-Анджелесе продюсер покопался в сети и обнаружил копию руководства для получения доступа к базам данных Национального Центра Информационных Преступлений. Позже он обнаруживал реально работающее руководство NCIC, секретный документ, который дает возможность для поиска информации из национальной базы данных FBI.

Руководство является справочником для агентств силовых ведомств, который дает коды для поиска информации о преступниках и преступлениях из национальной базы данных. Агентства всей страны могут найти ту же базу данных для информации, для помощи, в борьбе с преступностью в своей юрисдикции. Руководство содержит коды, использованные в базе данных начиная с татуировок, заканчивая маркировкой украденных денег и обязательств.

Любой с доступом к руководству может найти синтаксис и команды, чтобы получить информацию из национальной базы данных. Затем, следуя инструкциям из руководства, каждый может извлечь информацию из базы данных. Руководство также дает телефонные номера технической поддержки в системы. Вы можете иметь аналогичные описания в вашей компании, предлагающей коды продуктов или коды для доступа к важной секретной информации.

Несомненно, ФБР бы никогда не обнаружило, что их важнейшие руководства и инструкции доступны для каждого в сети, и я не думаю, что они были бы очень счастливы, узнав об этом. Одна копия была опубликована государственным отделом в Орегоне, другая правоохранительными органами в Техасе. Почему? В каждом случае, они, вероятно, подумали, что информация не была важна и, став доступной, она не могла причинить вред. Может быть, кто-то поместил это в их внутренней сети для удобства собственным служащим, иногда не понимая, что информация стала доступна для любого в Интернет, кто имеет доступ к хорошей поисковой машине, как, например, Google – включая просто любопытных, продажных полицейский, хакеров, и преступные организации.

Подключение к системе

Принцип использования такой информации для обмана кого-то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных или приложениям, или узнать имена серверов компании, жертвы начинают полагать, что он говорит правду. И это ведет к доверию.

Если социального инженера есть такие коды, то получение информации для него – легкий процесс. В этом примере, он мог начать со звонка служащему местного полицейского управления, и задать вопросы относительно одного из кодов в руководстве – например, код правонарушения. Он мог, например, говорить «когда я делаю запрос в NCIC, я получаю ошибку „Системная ошибка“. Вы получаете то же самое, делая запрос? Вы не могли бы пробовать это для меня?» Или он может сказать, что попытался найти wpf – на полицейском жаргоне файл на разыскиваемую особу.

Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с процедурами и командами запросов в базе данных NCIC. Кто еще кроме служащих может знать такие тонкости?