Кевин Митник — «Искусство обмана»

Оставьте комментарий
Книги / Психология

Кратко суть книги можно описать в цитате из неё же: «Пока разработчики непрерывно изобретают всё лучшие и лучшие технологии защиты, делая всё более трудным возможность использовать технические уязвимости, атакующие всё чаще используют человеческий фактор.» Митника многие знают, как одного из первых получивших известность хакеров. И вообще одного из первых хакеров. Однако книга имеет отношение к хакингу, как компьютерному взлому, весьма отдалённое. Скорее она описывает примеры и способы телефонного мошенничества. Мошенничества с целью получения информации. Или социальной инженерии.

Социальная инженерия — это способ получения информации (в том числе для облегчения проникновения в сеть, то есть информации о логинах и паролях) без использования технических средств. Если не считать телефона. То есть методами сугубо социальными. Основная используемая уязвимость — желание людей помогать другим людям. Печально, ведь это вырабатывает недоверие.

После прочтения книги осталось впечатление, что хоть мы и продвинулись существенно в техническом плане за последние лет 20, уровень защиты от социальных инженеров остался почти неизменным. Хотя даже не знаю, плохо это или наоборот.

Цитаты:

Пока разработчики непрерывно изобретают всё лучшие и лучшие технологии защиты, делая всё более трудным возможность использовать технические уязвимости, атакующие всё чаще используют человеческий фактор.

***
Есть популярное высказывание, что безопасный компьютер это тот, который выключен. Умно, но неверно: преступник может просто попросить кого-нибудь зайти в офис и включить этот компьютер.

***
Личный вопрос – это как скрытая мина, некоторые люди переступают через него, не замечая; для других она взрывается и взывает в защите.

***
Есть ещё одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два-три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.

***
Если грязный незнакомец постучит в вашу дверь, вы вряд ли позволите ему войти, а если незнакомец постучит в вашу дверь хорошо одетый, с начищенными до блеска туфлями, хорошей прической, с хорошими манерами и улыбкой, Вы, вероятно, будете значительно меньше подозрительными. Может быть он – действительно Джейсон из фильма Пятница 13-е , но вы начинаете ему доверять, пока он нормально выглядит и без ножа в руке.

***
Анализ обмана
Людям естественно доверять в более высокой степени коллеге, который что-то просит, и знает процедуры компании, жаргон. Социальный инженер в этом рассказе воспользовался преимуществом, узнав детали компании, выдавая себя за служащего компании, и прося помощи в другом филиале. Это случается между филиалами магазинов и между отделами в компании, люди физически разделяются и общаются по телефону, никогда не встречая друг друга.

***
Когда среднестатистический пользователь воображает компьютерного хакера, на ум обычно приходит нелестный образ одинокого, замкнутого умника, лучший друг которого – компьютер и которому трудно общаться средствами, отличными от IM. Социальный инженер, кстати, часто обладающий определенными навыками взлома, имеет массу коммуникативных качеств и развитые способности для использования и манипулирования людьми. Это позволяет ему получать необходимую информацию способами, о возможности которых Вы даже не подозреваете.

***
Поклонники религиозного культа Хари Кришны очень опытны в умении получать влияние над человеком путем преподнесения подарка – книги или цветка. Если человек пробует вернуть, отказаться от подарка, дарящий мягко настаивает: «Это наш подарок Вам». Этот основной принцип взаимности использовался Кришнами для постоянного увеличения пожертвований.

***
Одноцентовый сотовый телефон
Многие люди оглядываются пока не найдут лучшую сделку; социальные инженеры не ищут лучшую сделку, они ищут путь, чтобы сделать сделку выгоднее. Например, иногда компания запускает маркетинговую кампанию, так что вы не можете пропустить ее, пока социальный инженер смотрит на предложение и гадает, как он может улучшить сделку.
Недавно, у национальной сотовой компании была акция: предлагали новый телефон за один цент, если вы подпишете контракт.
Очень много людей обнаружило слишком поздно, что есть много вопросов, которые предусмотрительный покупатель должен спрашивать прежде, чем подписаться на контракт сотовой связи: план услуг аналоговый, цифровой, или комбинированный; количество бесплатных минут в месяц; включена ли в цену плата за роуминг, и так далее. Особенно важно, чтобы понять перед заключением контракта, на сколько месяцев или лет Вы заключаете контракт?
Одного социального инженера в Филадельфии привлек дешевый телефон, предложенный сотовой компанией в контракте, но он ненавидел тарифные планы, которые были в контракте. Не проблема. Вот один путь, по которому он мог управлять ситуацией.
Первый звонок: Тед
Сначала, социальный инженер звонит в магазин электроники в West Girard.
«Электронный Город. Это Тед.»
«Привет, Тед. Это – Адам. Слушай, Я пару дней назад говорил с продавцом о сотовом телефоне. Я сказал ему что перезвоню, когда решу, какой тарифный план выбрать, и я забыл его имя. Кто тот парень, который работал в этом отделе на днях?
«Тут не один продавец. Это был Вильям?»
«Я не уверен. Может быть, это было Вильям. Как он выглядит?» «Высокий худой парень».
«Я думаю, это был он. Повторите пожалуйста, как его фамилия?»
«Хедли Х—Е—Д—Л—И»
«Да, вроде это был он. Когда он снова будет?»
Я не знаю его расписание на эту неделю, но на вторую смену люди приходят около пяти».
«Хорошо. Я проговорю с ним сегодня вечером. Спасибо, Тед.»
Второй Звонок: Кети
Следующий звонок – в магазин той же самой компании на North Broad Street.
«Привет, Электронный Город. Кети на проводе, чем могу вам помочь?»
«Кети, Привет. Это – Вильям Хедли, из магазина на West Girard. Как идут сегодня дела?»
«Неважно, а что случилось»
«У меня есть клиент, который пришел по акции “сотовый телефон за один цент”. Знаешь что я имею в виду?»
«Знаю. Я продала пару таких на прошлой неделе».
«У вас еще есть телефоны, которые идут с этой акцией?»
«Получили кучу таких».
«Прекрасно. Я только что продал один клиенту. Парень заплатил кредит; мы подписали с ним контракт. Телефон оказался бракованным, и у нас больше нет ни одного телефона. Я так смущен. Вы можете мне помочь? Я пошлю его в ваш магазин, чтобы приобрести телефон. Вы можете продать ему телефон за один цент? И он обязан перезвонить мне, как только он получит телефон, чтобы я смог ему рассказать про акцию».
«Да, конечно. Пришлите его сюда».
«Хорошо. Его имя Тед. Тед Янеси.»
Когда парень, который назвал себя Тедом Янеси, появился в магазине на улице North Broad St. Кети выписала счет и продала сотовый телефон за один цент, так как ее просил коллега. Она попалась на трюк мошенника.
Когда пришло время заплатить, покупатель не имел ни цента в кармане, так что он добрался до небольшой тарелки с мелочью у кассового аппарата, взял один, и дал девушке за регистрацию. Он получил телефон, не платя ни одного цента за это.
Теперь он может прийти в другую компанию, которая использует телефоны того же стандарта и заказать себе другой тарифный план без контрактных обязательств.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s