Cкрытая ценность информации
Контроль Разума | @MindOwner
Уязвимость финансовой индустрии
В странах с развитой банковской системой почти кто угодно может зайти в банк и легко открыть расчётный счёт. Но банки не будут открывать счёт для кого-нибудь, кто может иметь за собой ситуации с неоплаченными счетами – это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.
Социальный инженер в действии
Пусть одной из компаний, которые предоставляют банкам такую информацию, будет вымышленная PayBillChex. Они предоставляют своим клиентам ценную услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником информации для социальных инженеров.
Первый звонок: Ким Эндрюс
- Национальный Банк, это Ким. Вы хотели открыть сегодня счёт?
- Привет, Ким. У меня есть к вам вопрос. Вы пользуетесь PayBillChex?
- Да.
- Когда вы звоните в PayBillChex, номер, который вы им даёте – это «Chex ID»?
Пауза. Она взвешивала вопрос, удивляясь, к чему это всё, и следует ли ей отвечать. Звонивший быстро продолжил, не теряя времени:
- Потому что, Ким, я работаю над книгой. Это касается частных исследований.
- Да, - сказала она, отвечая на вопрос под воздействием новых обстоятельств, польщённая тем, что помогает писателю.
- Итак, это называется Chex ID, правильно?
- Эээ, ага.
- ОК, отлично. Я хотел убедиться, что примечание в книге правильно. Спасибо за помощь. До свидания, Ким.
Второй звонок: Крис Тэлберт
- Национальный банк, новые счета, это Крис.
- Привет, Крис. Это Алекс. Я из отдела обслуживания клиентов PayBillChex. Мы делаем обзор по улучшению нашей службы. У вас есть для меня пара минут?
Она была рада помочь, и звонивший продолжил:
- ОК, в какие часы ваш отдел открыт? - Она ответила и продолжала отвечать на его список вопросов.
- Сколько служащих в вашем отделении пользуются нашей службой? Как часто вы звоните нам с запросами? Какой из наших номеров 800- вы используете для звонков? Наши представители всегда были вежливы? Сколько времени занимает наш ответ? Как давно вы работаете в банке? Какой Chex ID вы сейчас используете? Вы когда-нибудь обнаруживали неточности в информации, которую мы вам предоставляем? Есть ли у вас советы по улучшению нашей службы?
И:
- Вы не могли бы заполнить наши периодические анкеты с вопросами, которые мы пришлём в ваш отдел?
Она согласилась, они ещё немного поболтали, незнакомец повесил трубку, и Крис вернулась к работе.
Третий звонок: Генри МакКинси
- PayBillChex, это Генри МакКинси, чем могу вам помочь?»
Звонивший сказал, что он из Национального Банка. Он назвал текущий Chex ID, имя и номер социального страхования человека, о котором он искал информацию. Генри спросил дату рождения и звонивший сказал её тоже. Через несколько секунд Генри прочитал список с экрана компьютера.
- Уэллс Фарго - есть сообщения о NSF однажды в 1998-м, в $2 066.
- Что-нибудь ещё после этого?
- Ничего.
- Были ли ещё какие-нибудь запросы?
- Сейчас посмотрю. Да, два, оба в прошлом месяце. Третий Объединённый Кредитный Союз Чикаго. - Он наткнулся на следующее имя, Взаимные Инвестиции Шенектеди. - Это в штате Нью-Йорк, - добавил он.
Частный сыщик
Все три из этих звонков были сделаны одним человеком – частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое-что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.
Новым клиентом Грейса была леди, которая заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема». Кажется, её муженёк был на шаг впереди. Он уже снял все наличные с их сберегательного счёта и даже гораздо большую сумму с их брокерского счёта. Она хотела знать, куда подевались их активы, и сказала, что её адвокат по разводу не смог вообще ничем помочь.
Помощь Грейса
Шаг первый: разузнать о терминологии и выяснить, как сделать запрос так, чтобы он звучал, как будто вы знаете, о чём говорите. Ким в банке была настроена подозрительно, когда был задан вопрос, как клиенты идентифицируют себя, звоня в PayBillChex. Она колебалась, но когда её обманули, сказав, что проводится исследование для книги, это уменьшило её подозрения. Скажите, что вы писатель или сценарист и вам любой откроется.
Шаг второй: следующий звонок свёл сыщика с Крис. Тактика заключалась в том, чтобы спрятать важные вопросы среди несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем были заданы вопросы о номере Chex ID в PayBillChex, был проведен небольшой тест, заданы личные вопрос о том, как долго она работает в банке.
Есть одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два-три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.
Итак, Крис дала свой номер Chex ID и телефонный номер, по которому они делают запросы.
Шаг третий: теперь сыщик мог в любое время позвонить в PayBillChex и получить необходимую информацию. При таком повороте событий служащий PayBillChex был счастлив поделиться точной информацией касающихся двух мест, в которых муж клиентки недавно открыл счета.
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опасна.
Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в PayBillChex: Chex ID. Вторая выдала телефонный номер для звонков в PayBillChex и самый важный кусок информации: номер Chex ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь банковская служащая думала, что она говорит с кем-то из PayBillChex – так что плохого было в раскрытии номера?
Всё это было положено в основу для третьего звонка. У Грейса было всё необходимое, чтобы позвонить в PayBillChex. Он представился служащим одного из банков-клиентов, - Национального банка, - и просто спросил всё, что нужно.
Ошибку первого служащего, касающуюся подтверждения терминологии номера ID PayBillChex, практически невозможно предотвратить. Эта информация столь широко известна в банковской индустрии, что кажется незначительной – хорошая модель безвредной информации. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки, действительно ли звонивший был тем, кем назвался. По крайней мере, ей следовало спросить у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного труднее замаскироваться под представителя PayBillChex.