prodotti
progetti
Слушать Все Аудиокниги Кевина Митника Бесплатно
Слушать Все Аудиокниги Кевина Митника Бесплатно
Примерно через минуту регистратор вернулась на линию, посмотрела номер Счётного отдела и подключила Диди. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки, действительно ли звонивший был тем, кем назвался.
По крайней мере, ей следовало спросить у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного труднее замаскироваться под представителя CreditChex. Итак, Крис дала мне её номер Merchant ID и телефонный номер, по которому они делают запросы. Я хотел задать ещё несколько вопросов, чтобы узнать, как много информации можно узнать от CreditChex. вроде необходимых данных, которые требует CreditChex относительно человека, о котором вы делаете запрос; о чём вы можете спрашивать; и главное, банковский номер Merchant ID Ким.
Стив приезжает и осторожно оглядывается вокруг в поисках полицейских или сотрудников службы безопасности компании, которые могли спрятаться за деревьями, или ждать его в припаркованных машинах. Каждый год телефонная компания издает справочник тестовых номеров (или по крайней мере издавали, но, поскольку я все еще нахожусь под надзором, то не собираюсь спрашивать об этом). В других подразделениях компании человек, которому позвонили, должен знать, что сведения о неопубликованных номерах предоставляются только уполномоченным лицам. Предполагается, что о центре известно только служащим компании. И если информация никогда не оглашалась, кто мог отказать в помощи сотруднику компании, выполняющему тяжелую работу?
Но, естественно, для звонившего из компании применялись другие правила. В случае с сотрудником это рассматривалось как игра в команде и помощь друг другу в выполнении работы. Мужчина из отдела счетов мог бы сам уточнить подробности, если бы его компьютер не был выведен из строя вирусом, поэтому она была рада оказать помощь коллеге.
В данном случае картиной, которую увидел социальный инженер, была полная внутренняя структура компании риобет казино. Диди сказала, что у неё нет под рукой форм, и не мог бы Барт любезно заполнить форму за неё? Он согласился с не слишком большим энтузиазмом, и Диди сообщила ему данные.
Вместо адреса вымышленного подрядчика она сообщила номер, которые социальные инженеры называют сбросом почты, в данном случае адрес почтовой компании, в которой её компания арендовала почтовые ящики специально для ситуаций вроде этой. Она начала со звонка в Отдел по Недвижимости, притворившись, что попала на неправильный номер. Начав с «Извините за беспокойство, но …», она заявила, что она была служащей, которая потеряла свой корпоративный справочник, и спросила, не он ли звонил насчёт новой копии.
Каждый работник должен знать, что когда у звонящего есть знания о процедурах компании, лексике и внутренних идентификаторах, он должен подтвердить личность звонящего или получить от него разрешение на получение того, что он хочет. Звонящий может быть обычным работником или подрядчиком с необходимой внутренней информацией. Соответственно, на каждой корпорации лежит ответственность за определение соответствующего опознавательного метода, для использования в случаях, когда работники взаимодействуют с людьми, которых не могут узнать по телефону. Подобно кусочкам паззла, каждый кусок информации может быть несущественным сам по себе. Однако когда эти куски соединяются вместе, появляется ясная картина.
Она сочувствовала ему, у нее самой были нелегкие дни на работе, и она немного нарушила правила, чтобы помочь коллеге с решением проблемы. Она сообщила ему действующий номер и адрес для каждой из кабельных пар. Хотите узнать чей-нибудь неопубликованный номер телефона? Социальный инженер может сообщить вам полдюжины способов (некоторые из них вы найдете в других историях книги), но, возможно, самым простым из них будет обычный телефонный звонок, как этот. Информацию, вроде номера работника, не стоит использовать для аутентификации саму по себе.
Любой работник должен быть обучен проверять не только личность, но и разрешение на получение информации. Отдел информационной защиты должен проводить обучения, детализуя методы, используемые социальными инженерами. Один метод, описанный выше, касается получения кажущейся нечувствительной информации и использование её для получения краткосрочного доверия.
Человек ответил, что печатная копия уже устарела, потому что всё это доступно на корпоративном сайте. расположенного в штаб-квартире корпорации в Остине, Техас. Регистратор попросила подождать и отключилась от линии. Она сообщила в службу безопасности, что получила подозрительный телефонный звонок, и подумала, что происходит что-то странное. Это была небольшая, но типичная неприятность обыденной работы регистратора.
Мастер или начальник знал, сколько «штучек» (украшений) должен сделать работник за смену, сколько, каких цветов и размеров должна выпустить фабрика на этой неделе, на следующей, и к окончанию месяца. Арт постепенно добрался до ключевой информации, попутно задав вопросы о вещах, которые не были нужны на самом деле, таких как номер учетной записи.