Социальная небезопасность
Невероятно, но факт: руководство социального страхования выложило подробное описание своих планов в интернете. Эта информация очень важна для сотрудников, но она не менее важна и для социальных инженеров. В ней содержатся все термины, аббревиатуры и инструкции по оформлению запроса на нужную информацию.
Вам надо побольше узнать о руководстве социального страхования? Запустите поиск в интернете или зайдите на сайт: http://policy.ssa.gov/poms.nsf/. До тех пор, пока начальство не прочтет эту книгу и уберет описания из интернета, вы сможете пользоваться открытым описанием того, какую информацию клерки агентства социального страхования могут выдавать правоохранительным организациям. Попросту говоря - всем тем, кто представится сотрудником правоохранительной организации.
Атакующий не может преуспеть в получении подобной информации от одного из клерков, отвечающих на звонки по общедоступной линии. Такой тип атаки Кейт использует только тогда, когда работает с людьми, чьи телефоны недоступны простому смертному, поэтому они уверены, что любой звонящий им – не человек «с улицы».
Вот что способствует успеху атаки:
·
знание номера телефона;
· хорошее знание терминологии, используемой в социальном страховании;
· представление в качестве сотрудника офиса Генерального инспектора, о котором каждый работник правительственных организаций знает, что это исследовательское агентство с широкими возможностями; этот факт изначально наделяет атакующего аурой авторитета.
Одна интересная деталь: социальный инженер умеет так сделать запрос, что никому в голову не придет мысль «почему вы звоните именно мне?», хотя по соображениям здравого смысла нужно было бы звонить другим людям совсем в другой департамент. Надо суметь заговорить так, чтобы звонок зазвучал своеобразным ярким пятном в монотонном течении дня и заставил бы жертву не принимать в расчет его необычность.
Наконец, атакующий в данном примере не удовлетворяется одноразовым извлечением информации, а стремится установить долговременный контакт для регулярного использования в будущем. Упрощенная аргументация типа: «я пролил кофе на свою клавиатуру» в данном случае не сработает, поскольку клавиатуру можно заменить в течение дня. Придумывается более сложная и жалобная история о том, что кто-то вынужден сидеть за вашим компьютером: «Я думал, что вчера придет компьютер для него, но в последний момент его отдали другому. Мне придется мучиться еще не один день». И так далее.
В общем: я очень бедный, несчастный и мне нужна помощь. Действует безотказно.