Кевин Митник - Искусство обмана

Мораль истории проста: нельзя доверять caller ID, за исключением использования для проверки внутренних звонков. На работе или дома, все должны остерегаться трюка с caller ID и иметь ввиду что имени или телефонному номеру, отображаемому на caller ID-дисплее, нельзя доверять для удостоверения личности.

Сообщение от Митника

В следующий раз, когда вам звонят и ваш caller ID-дисплей показывает что звонок от вашей дорогой престарелой мамы, никогда не знаешь – он может быть от старого доброго социального инженера.

Ширли Кутласс нашла новый и захватывающий путь сделать быстрые деньги. Больше не надо долгими часами вкалывать на соляной шахте. Она присоединилась к сотням других артистов-мошеннков, вовлеченных в преступление десятилетия. Она вор личности.

Сегодня она устремила свои взгляды на получение конфиденциальной информации от службы поддержки потребителей компании, занимающейся кредитными картами. После проделывания обычного рода домашней работы, она звонит компании-цели и говорит оператору коммутационной панели, который отвечает, чтобы ее переключили на отдел Телекоммуникаций. Добравшись до отдела Телекоммуникаций, она просит администратора голосовой почты.

Используя информацию, собранную в процессе ее исследований, она объясняет что ее зовут Норма Тодд, она из офиса в Кливленде. Пользуясь уловкой, которая к данному моменту уже должна быть вам знакома, она говорит что она собирается в штабквартиру корпорации на неделю, и что ей потребуется там ящик голосовой почты, так что ей не надо будет делать междугородние звонки для проверки сообщений ее голосовой почты. Нет нужды в физическом телефонном соединении, говорит она, просто ящик для голосовой почты. Он говорит, что позаботится об этом, перезвонит ей когда все будет готово чтобы передать требуемую информацию.

Соблазнительным голосом она говорит “Я на пути к собранию, могу я перезвонить через час? ”

Когда она перезванивает, он говорит что все готово и передает ей информацию – ее номер расширения и временный пароль. Он спрашивает, занает ли она как сменить паоль к голосовой почте, и она позволяет провести себя по шагам, хотя и знает их, по крайней мере, настолько же хорошо как и он.

“А кстати,” спрашивает она, “какой номер мне надо набрать чтобы проверить свои сообщения из отеля?” Он дает ей номер.

Ширли звонит, меняет пароль, и записывает свое новое исходящее приветствие.

Ширли атакует

До этих пор все это было легким маневром. Теперь же она готова использовать искусство обмана.

Она звонит в службу поддержки потребителей компании. “Я из отдела Финансовых Сборов, в Кливлендском офисе,” говорит она, а потом пускается в уже знакомое оправдание. “Мой компьютер в ремонте, и мне нужна ваша помощь в поиске этой информации.” И она продолжает, предоставляя имя и день рождения человека, чью личность она намеревается украсть. Далее она перечисляет нужную ей для получения информацию: адрес, девичье имя матери, номер карты, кредитный лимит, доступный кредит, и историю оплаты. “Перезвоните мне на этот номер”, говорит она, предоставляя внутренний номер расширения, который администратор голосовой почты установил для нее. “И если меня не будет, просто оставьте информацию на мою голосовую почту.”

Она остается занятой поручениями на остаток утра, а потом проверяет голосовую почту в полдень. Оно все там, все что она просила. Перед тем как отсоединиться, Ширли стирает исходящее сообщение; было бы небрежным оставить запись ее голоса на том конце.

Воровство личности, самое быстро растущее преступление в Америке, “входящее” преступление нового века, почти обзавелось еще одной жертвой. Ширли использует кредитную карту и инфомацию о личнсти которую она только что получила, и начинает накручивать расходы на карту жертвы.

Анализ обмана

В этой уловке атакующая сначала одурачила администратора голосовой почты компании, заставляя поверить что она сотрудник компании, так что он установил временный ящик для голосовой почты. Если бы он вообще побеспокоился проверить, он бы обнаружил что имя и номер телефона которые она дала совпадают со списком в базе данных корпорации.

Остальное было просто делом предъявления разумного оправдания о компьютерной проблеме, требованием нужной информации, и запросом оставить ответ на голосовой почте. Да и зачем бы это любому сотруднику сопротивляться, не делясь информацией с коллегой? Так как телефонный номер, который Ширли предоставила, был сугубо внутренним расширением, то не было и причины для любого подозрения.