Вильям Саймон и др.: «Искусство обмана»
предлагающей коды продуктов или коды для доступа к важной секретной информации.
Несомненно, ФБР бы никогда не обнаружило, что их важнейшие руководства и инструк-
ции доступны для каждого в сети, и я не думаю, что они были бы очень счастливы, узнав об 
этом. Одна копия была опубликована государственным отделом в Орегоне, другая правоохрани-
тельными органами в Техасе. Почему? В каждом случае, они, вероятно, подумали, что информа-
ция не была важна и, став доступной, она не могла причинить вред. Может быть, кто-то поме-
стил это в их внутренней сети для удобства собственным служащим, иногда не понимая, что ин-
формация стала доступна для любого в Интернет, кто имеет доступ к хорошей поисковой маши-
не, как, например, Google – включая просто любопытных, продажных полицейский, хакеров, и 
преступные организации.
Подключение к системе
Принцип использования такой информации для обмана кого-то в государственной или 
коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к 
специальным базам данных или приложениям, или узнать имена серверов компании, жертвы на-
чинают полагать, что он говорит правду. И это ведет к доверию.
Если социального инженера есть такие коды, то получение информации для него – легкий 
процесс. В этом примере, он мог начать со звонка служащему местного полицейского управле-
ния, и задать вопросы относительно одного из кодов в руководстве – например, код правонару-
шения. Он мог, например, говорить «когда я делаю запрос в NCIC, я получаю ошибку „Систем-
ная ошибка“. Вы получаете то же самое, делая запрос? Вы не могли бы пробовать это для меня?» 
Или он может сказать, что попытался найти wpf – на полицейском жаргоне файл на разыскивае-
мую особу.
Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с процеду-
рами и командами запросов в базе данных NCIC. Кто еще кроме служащих может знать такие 
тонкости?
После того, как служащий подтвердит, что система работает хорошо, разговор мог быть 
приблизительно таким:
«Я мог бы вам немножко помочь. Что Вы ищете»?
«Мне нужно сделать запрос про Редрона, Мартина. Дата рождения 10/18/66.»
«Что какой у него SOSH?» (Служители закона иногда ссылаются на номер социального 
страхования как SOSH.)
«700-14-7435.»
После просмотра листинга, он могла бы сказать, например, «Его номер – 2602.»
Атакующий должен только посмотреть в базе NCIC, чтобы узнать значение числа: какие 
преступления совершил человек.
Анализ обмана
Совершенный социальный инженер не остановится ни на минуту, чтобы обдумывать пути 
взлома базы данных NCIC. А зачем задумываться, когда он просто позвонил в местный поли-
цейский отдел, спокойно говорил, и звучал убедительно, будто он работает в компании, – и это 
все, что потребовалось, чтобы получить нужную ему информацию? И в следующий раз, он про-
сто позвонит в другой полицейский участок и использует тот же предлог.

Download 0.94 Mb.

Do'stlaringiz bilan baham: