Читать книгу "Искусство обмана - Кристофер Хэднеги"
Шрифт:
Интервал:
Закладка:
Поэтому мы придумали легенду для определения его актуального адреса и телефона. Мы узнали, что объект часто летал из Канады в Лондон. Уточнили номер лондонского отеля Hilton и обзвонили «с него» все предполагаемые номера объекта с помощью спуфинга (так называется форма атаки, в процессе которой абоненту передаются ложные идентификаторы звонящего. — Прим. пер.).
Объект: Алло?
Я: Добрый день. Это мистер Альфред Гейнс?
Объект: Да, это я. Кто спрашивает?
Я: Прошу прощения, меня зовут Пол, я звоню из отеля Hilton в Лондоне. Могли бы вы выделить минуту своего времени и оценить ваш последний опыт пребывания в нашем отеле? Для этого нужно ответить на несколько вопросов, это займет не больше полминуты…
Объект: Опыт пребывания? Вы о чем? Я не был в Лондоне уже несколько месяцев. Откуда у вас этот номер?
Я: Прошу прощения за доставленные неудобства. Еще раз уточню: вы — Альфред Гейнс и ваш номер 846-555-1212, верно?
Объект: Все верно, но, скорее всего, у вас ошибочная информация о том, когда я у вас останавливался.
Я: Понимаю. Скажите, а могу ли я отправить вам чек, чтобы вы могли подтвердить, ваш он или нет?
Объект: Да, конечно.
Я: Большое спасибо. Уточните, пожалуйста, адрес вашей электронной почты? [email protected]?
Объект: Лучше отправьте на [email protected], его я проверяю намного чаще.
Я: Еще раз большое спасибо, сэр. Сейчас же вышлю.
Таким образом мы подтвердили актуальный номер телефона и электронный адрес объекта, а также нашли вектор атаки, позволивший нам получить всю необходимую информацию.
Мы с командой часто используем эту технику для подтверждения и дополнения уже собранных данных. Я считаю эту форму вишинга особенно эффективной, потому что она не дает объекту времени на раздумья. Более того, многие компании не информируют сотрудников о возможности подобного мошенничества. А зря. Они очень рискуют.
Самого по себе вишинга бывает достаточно, чтобы скомпрометировать безопасность компании. Принципы при этом сохраняются те же: правильно подобранная легенда и убедительные доказательства ее истинности позволяют социальным инженерам вытягивать у людей даже самую опасную информацию.
Однажды перед нашей командой была поставлена задача с помощью вишинга проверить безопасность крупной финансовой компании. Изображая руководительницу высшего звена, мы должны были проверить, удастся ли через рядовых сотрудников компании получить ее логин и пароль, а также любую другую информацию о системах и данных, которыми она пользуется.
В качестве легенды мы решили использовать образ руководительницы, которая улетала на Гавайи, где собиралась провести медовый месяц. Но ей якобы позвонил начальник и сказал, что не может найти отчет — а он просто необходим на встрече, которая состоится уже в понедельник. Женщина знала, что отчет хранится на рабочем столе ее компьютера, но забыла имя пользователя, с помощью которого можно было бы получить удаленный доступ.
Мы нашли на YouTube трек под названием «звуки аэропорта» и набрали номер службы поддержки (я сидел рядом с сотрудницей, которая изображала ту самую руководительницу, слушал разговор и был готов подсказывать по мере надобности).
Объект: Служба поддержки. Чем я могу вам помочь?
СИ-агент [громко вздохнула и сказала напряженным голосом]: Меня слышно? В аэропорту очень шумно.
Объект: Да, я вас слышу несмотря на шум. С кем имею честь общаться?
СИ-агент: О, прошу прощения. [Снова вздыхает.] Это Дженнифер Тилли, исполнительный финансовый директор. Я улетаю на Гавайи на медовый месяц, и только что мне позвонил мой начальник и сказал, что последний отчет по бюджету до него не дошел. Этот отчет необходим ему для встречи в понедельник. Мне нужно залогиниться и переслать его ему, но я забыла логин.
Объект: Понял. Сейчас посмотрим, как вам помочь. Мне необходимо будет подтвердить вашу личность. Но прежде позвольте поздравить вас со свадьбой и пожелать отличного отдыха на Гавайях.
СИ-агент: Большое спасибо. Я жду с нетерпением, потому что раньше там не была, а теперь наконец побываю со своим лучшим другом и по совместительству мужем.
Объект: Еще раз поздравляю. Очень радостно слышать, когда люди счастливы. Ну что ж, миссис Тилли, назовите, пожалуйста, ваш идентификационный номер.
СИ-агент: Знаете, я обещала мужу эти две недели к работе даже не притрагиваться, поэтому у меня с собой нет ни ноутбуков, ни ID. Я даже свою дату рождения иногда забываю, что уж говорить про идентификационный номер.
Объект [стараясь быть максимально услужливым]: Хотя бы попробуйте. Я вам подскажу: первые цифры 1 и 7. Осталось вспомнить всего 5 цифр. [Эта информация оказалась в дальнейшем крайне полезной.]
СИ-агент: Вообще не помню. Эээ, может 98231?
Объект: Да, в номере есть 9 и 8, но номер не правильный. Давайте попробуем иначе. Можете назвать имя своего руководителя?
СИ-агент: Конечно. Майк Фарели.
Объект: Отлично. А адрес электронной почты?
СИ-агент: [email protected].
Объект: Все верно. Что я могу сделать, хм… Я могу ввести новый пароль и отправить его на ваш телефон, после чего вам останется только войти в свой аккаунт и отправить необходимый документ. Секундочку… [послышалось, как он что-то печатает]. Простите, миссис Тилли, но на ваше устройство, оказывается, до сих пор не установлено ПО для получения удаленного доступа. Так что даже если я поменяю для вас пароль, вы не сможете войти.
СИ-агент: Только не это. Это же просто ужасно. Меня не будет две недели, посадка начинается через полчаса. Что же делать?! Пожалуйста, помогите мне решить эту проблему! [Со слезами в голосе.]
В это время я написал коллеге записку, в которой предлагал намекнуть объекту воздействия, что он может установить программу для получения удаленного доступа на компьютер руководительницы и сообщить ей пароль для одноразового использования.
Объект: Можно отправить запрос на установку ПО для удаленного доступа, однако это займет несколько часов — и то в лучшем случае. Скорее всего, это не будет сделано до завтра.
СИ-агент: Спасибо вам огромное за помощь. Муж так злится: мы должны были пить шампанское и ждать посадки, а я опять ушла и никак не могут отвлечься от работы. Пожалуйста, скажите, можно ли каким-то образом сделать это быстрее?
Объект: Не переживайте, миссис Дженнифер, вы прекрасно проведете свой медовый месяц. Сейчас мы что-нибудь придумаем. Повисите несколько минут на линии.
Внимание!
Сайт сохраняет куки вашего браузера. Вы сможете в любой момент сделать закладку и продолжить прочтение книги «Искусство обмана - Кристофер Хэднеги», после закрытия браузера.