Профессиональный социальный инженер Джим Стикли описывает шаги, которые он обычно предпринимает, чтобы обмануть клиентов, заставляя думать, что он там ради пожарной безопасности, и в то же время доказывает, что они являются легкой мишенью для взлома данных.
Если компания нанимает нас для участия в социальной инженерии, обычно они хотят, чтобы мы вошли и взяли их резервные копии или данные в их комнате для документов.
Допустим, я изображаю из себя пожарного инспектора. Первое, что у меня будет, кроме значка и формы, - это рация, как у всех пожарных. Снаружи у нас будет наш автомобильный парень. Парень, который сидит в машине, и в основном его работа вначале - посылать болтовню на наши рации. У нас будет запись всей этой болтовни, которую вы услышите по рации. Он сидит в машине, играет и передает на наши рации.
Мы заходим в помещение и убеждаемся, что вся болтовня громко переходит в рации, как только мы входим в их дверь, так что мы сразу же оказываемся в центре внимания. Когда я вхожу, я хочу, чтобы все знали, что я имею в виду дело. Моя рация громкая, и все смотрят, когда я извиняюсь и выключаю ее.
Я показываю человеку на стойке регистрации свой бейдж. Они скажут: "Привет, как дела?" Я скажу: «Хорошо, я здесь, чтобы провести пожарную инспекцию». Они говорят «Отлично» и присваивают нам кого-то, например кассира. Обычно это кто-то хороший. Я начну с ними разговаривать, флиртовать с ними или что угодно. Мы начнем ходить.
Пока я разговариваю с человеком, который был назначен к нам, мой партнер знает, что его задача - немедленно уйти от нас. Итак, мой партнер немедленно уйдет. В большинстве случаев наш эскорт скажет: «Вы можете вернуться сюда? Мне нужно, чтобы вы были вместе». Мы говорим: «Конечно, извините». Но на самом деле для нас это ничего не значит. Все это означает, что мы продолжаем это делать, пока она не сдастся. Моя партнерша будет уходить еще два или три раза и получать предупреждения, пока она, наконец, не остановится и не сдастся. Она просто думает, что он пожарный, и думает: «Давай позволь ему делать то, что ему нужно».
В этот момент задача моего партнера - начать воровать все, что он может украсть, и положить это в свою сумку. И он также должен залезть под стол любого сотрудника, которого он может найти, и начать устанавливать эти маленькие регистраторы клавиатуры. Я остаюсь с человеком, который меня сопровождает, и теперь вся моя работа - развлекать их. Я все время хожу по комнатам, даю им советы по обеспечению пожарной безопасности на их предприятии, хотя я действительно понятия не имею, о чем говорю. Я придумываю и, наверное, даю худший совет. Я вытаскиваю шнуры и говорю: «Это выглядит немного опасно». Я прокомментирую обогреватели. Я полностью управляю этим.
Несколько лет назад я получил устройство в Home Depot. Это как рулетка, а не обычная рулетка. У него есть лазерная указка, и он издает щелкающий звук. Для меня это устройство похоже на трикодер из «Звездного пути». Я могу творить с ним любые волшебные вещи, насколько мне известно. Я вставляю его в розетку и говорю: «Похоже, через него проходит слишком много тока». И они просто верят в это. Удивительно, какие глупые вещи я могу делать. Важны только навороты, и люди хотят видеть, что у вас есть продукты.
А пока мой напарник уходит под парты. Если там есть сотрудники, он скажет: «Эй, не возражаете, если я залезу под ваш стол на минутку? Я просто проверяю, нет ли пожарной опасности». Если сотрудник спрашивает «Какая опасность может быть под моим столом?» Он скажет: «Вы знаете этот вентилятор на задней панели вашего компьютера? Если он перестанет вращаться, это может стать причиной пожара». Такое объяснение звучит разумно.
Мой парень залезает под компьютер и в его сумке лежит куча электронных ключей. Он легко устанавливает один на компьютер сотрудника, и теперь все данные проходят через это устройство. Конечно, пока мой партнер находится под компьютером, человек не видит, что он делает, и обычно просто уходит.
В этот момент мы обычно снова встречаемся и обсуждаем друг с другом вслух все места, где мы уже были. Таким образом, у нас действительно есть хорошее представление о том, что было достигнуто, и он может вернуться в те места, где я не смог ничего украсть из-за моего сопровождения. Он скажет: «Я ударил по всем столам». Я скажу: "Можете сделать мне одолжение и вернуться и проверить здесь еще раз?" и упомянуть какое-нибудь место, где я мог видеть что-то интересное, и я хочу, чтобы он вернулся и позаботился об этом.
На выходе мы не хотим, чтобы они знали, что мы закончили. Мы хотим вернуться в другой раз. Здесь наш парень в машине сделает фальшивый звонок на рацию и скажет, что мы им нужны, чтобы ответить на звонок. Я смотрю на своего сопровождающего и говорю: «Привет, извини, мы вернемся».
Мы снова приедем в ближайшие несколько дней, сделаем быструю перепроверку, вернемся и заберем ключи, которые мы установили на компьютеры. Мы сделаем еще один быстрый просмотр, заявив, что потеряли нашу первоначальную форму проверки. Поскольку мы уже все взяли, второй визит будет быстрым. Мы им сообщаем, что все готово, и отправляем отчет по почте.
К тому времени, когда все закончилось, мы украли вещи и получили доступ к логинам и паролям, потому что мы записывали эту информацию с помощью устройств регистрации ключей, будь то онлайн-сайты или локальные учетные записи в их системе. Мы были в их беспроводной сети и тоже смогли взломать ее.
Когда мы сделаем все, что нам нужно, последнее, что мы сделаем, - это нырнем в мусорный бак. Это жалко, но безумно, насколько это прибыльно. Приходим в резиновых перчатках и начинаем вскрывать пакеты. Удивительно, как много конфиденциальной информации оказывается в мусорной корзине.
Когда мы приходим после встречи, чтобы рассказать о том, что мы обнаружили, на лицах сотрудников часто бывает полный шок. Но мы надеемся, что они все извлекут уроки из этого опыта. Они никогда не думали, что такое случится. Если бы вы поговорили с ними неделей ранее, они бы никогда не подумали, что влюбятся в то, что мы вытащили. Но теперь они видят, что это может случиться, и это может случиться с ними.
Если компания нанимает нас для участия в социальной инженерии, обычно они хотят, чтобы мы вошли и взяли их резервные копии или данные в их комнате для документов.
Допустим, я изображаю из себя пожарного инспектора. Первое, что у меня будет, кроме значка и формы, - это рация, как у всех пожарных. Снаружи у нас будет наш автомобильный парень. Парень, который сидит в машине, и в основном его работа вначале - посылать болтовню на наши рации. У нас будет запись всей этой болтовни, которую вы услышите по рации. Он сидит в машине, играет и передает на наши рации.
Мы заходим в помещение и убеждаемся, что вся болтовня громко переходит в рации, как только мы входим в их дверь, так что мы сразу же оказываемся в центре внимания. Когда я вхожу, я хочу, чтобы все знали, что я имею в виду дело. Моя рация громкая, и все смотрят, когда я извиняюсь и выключаю ее.
Я показываю человеку на стойке регистрации свой бейдж. Они скажут: "Привет, как дела?" Я скажу: «Хорошо, я здесь, чтобы провести пожарную инспекцию». Они говорят «Отлично» и присваивают нам кого-то, например кассира. Обычно это кто-то хороший. Я начну с ними разговаривать, флиртовать с ними или что угодно. Мы начнем ходить.
Пока я разговариваю с человеком, который был назначен к нам, мой партнер знает, что его задача - немедленно уйти от нас. Итак, мой партнер немедленно уйдет. В большинстве случаев наш эскорт скажет: «Вы можете вернуться сюда? Мне нужно, чтобы вы были вместе». Мы говорим: «Конечно, извините». Но на самом деле для нас это ничего не значит. Все это означает, что мы продолжаем это делать, пока она не сдастся. Моя партнерша будет уходить еще два или три раза и получать предупреждения, пока она, наконец, не остановится и не сдастся. Она просто думает, что он пожарный, и думает: «Давай позволь ему делать то, что ему нужно».
В этот момент задача моего партнера - начать воровать все, что он может украсть, и положить это в свою сумку. И он также должен залезть под стол любого сотрудника, которого он может найти, и начать устанавливать эти маленькие регистраторы клавиатуры. Я остаюсь с человеком, который меня сопровождает, и теперь вся моя работа - развлекать их. Я все время хожу по комнатам, даю им советы по обеспечению пожарной безопасности на их предприятии, хотя я действительно понятия не имею, о чем говорю. Я придумываю и, наверное, даю худший совет. Я вытаскиваю шнуры и говорю: «Это выглядит немного опасно». Я прокомментирую обогреватели. Я полностью управляю этим.
Несколько лет назад я получил устройство в Home Depot. Это как рулетка, а не обычная рулетка. У него есть лазерная указка, и он издает щелкающий звук. Для меня это устройство похоже на трикодер из «Звездного пути». Я могу творить с ним любые волшебные вещи, насколько мне известно. Я вставляю его в розетку и говорю: «Похоже, через него проходит слишком много тока». И они просто верят в это. Удивительно, какие глупые вещи я могу делать. Важны только навороты, и люди хотят видеть, что у вас есть продукты.
А пока мой напарник уходит под парты. Если там есть сотрудники, он скажет: «Эй, не возражаете, если я залезу под ваш стол на минутку? Я просто проверяю, нет ли пожарной опасности». Если сотрудник спрашивает «Какая опасность может быть под моим столом?» Он скажет: «Вы знаете этот вентилятор на задней панели вашего компьютера? Если он перестанет вращаться, это может стать причиной пожара». Такое объяснение звучит разумно.
Мой парень залезает под компьютер и в его сумке лежит куча электронных ключей. Он легко устанавливает один на компьютер сотрудника, и теперь все данные проходят через это устройство. Конечно, пока мой партнер находится под компьютером, человек не видит, что он делает, и обычно просто уходит.
В этот момент мы обычно снова встречаемся и обсуждаем друг с другом вслух все места, где мы уже были. Таким образом, у нас действительно есть хорошее представление о том, что было достигнуто, и он может вернуться в те места, где я не смог ничего украсть из-за моего сопровождения. Он скажет: «Я ударил по всем столам». Я скажу: "Можете сделать мне одолжение и вернуться и проверить здесь еще раз?" и упомянуть какое-нибудь место, где я мог видеть что-то интересное, и я хочу, чтобы он вернулся и позаботился об этом.
На выходе мы не хотим, чтобы они знали, что мы закончили. Мы хотим вернуться в другой раз. Здесь наш парень в машине сделает фальшивый звонок на рацию и скажет, что мы им нужны, чтобы ответить на звонок. Я смотрю на своего сопровождающего и говорю: «Привет, извини, мы вернемся».
Мы снова приедем в ближайшие несколько дней, сделаем быструю перепроверку, вернемся и заберем ключи, которые мы установили на компьютеры. Мы сделаем еще один быстрый просмотр, заявив, что потеряли нашу первоначальную форму проверки. Поскольку мы уже все взяли, второй визит будет быстрым. Мы им сообщаем, что все готово, и отправляем отчет по почте.
К тому времени, когда все закончилось, мы украли вещи и получили доступ к логинам и паролям, потому что мы записывали эту информацию с помощью устройств регистрации ключей, будь то онлайн-сайты или локальные учетные записи в их системе. Мы были в их беспроводной сети и тоже смогли взломать ее.
Когда мы сделаем все, что нам нужно, последнее, что мы сделаем, - это нырнем в мусорный бак. Это жалко, но безумно, насколько это прибыльно. Приходим в резиновых перчатках и начинаем вскрывать пакеты. Удивительно, как много конфиденциальной информации оказывается в мусорной корзине.
Когда мы приходим после встречи, чтобы рассказать о том, что мы обнаружили, на лицах сотрудников часто бывает полный шок. Но мы надеемся, что они все извлекут уроки из этого опыта. Они никогда не думали, что такое случится. Если бы вы поговорили с ними неделей ранее, они бы никогда не подумали, что влюбятся в то, что мы вытащили. Но теперь они видят, что это может случиться, и это может случиться с ними.
