[ Pobierz całość w formacie PDF ]
.Najlepiej taki z umową na jeden miesiąc. Analiza oszustwaLudzie z natury mają większy poziom akceptacji dla kogoś, kto podaje się zawspółpracownika i zna procedury oraz żargon firmy.Socjotechnik przedstawiony w tej historiiwykorzystuje to, szukając szczegółów na temat promocji, identyfikując pracownika firmy iprosząc o przysługę w innym oddziale.Dzieje się to w różnych filiach sklepu lub firmy, którychpracownicy nie mają ze sobą bezpośredniego kontaktu, a często załatwiają sprawy zewspółpracownikami, których w ogóle nie znają.Włamanie do FBILudzie często nie zastanawiają się nad tym, jakie materiały ich organizacja udostępnia wInternecie.Na potrzeby audycji radiowej, którą prowadzę w KFI Talk Radio w Los Angeles, naszproducent przeszukał sieć i znalazł kopię instrukcji dostępu do bazy danych NarodowegoRejestru Przestępstw (NCIC).Póz
niej znalazł tę samą instrukcję obsługi rejestru  poufnydokument, który podaje wszystkie procedury potrzebne do pobierania informacji z bazy danychFBI.Instrukcja ta to podręcznik dla pracowników agencji ds.przestrzegania prawa, którypodaje kody i formaty właściwe do pobierania informacji o przestępcach i przestępstwach zewspomnianego rejestru.Agenci w całym kraju mogą przeszukiwać tę bazę w poszukiwaniuinformacji przydatnych w ich własnych dochodzeniach.Podręcznik przedstawia metody używanew bazie do opisu wszystkiego, począwszy od rodzajów tatuaży, poprzez typu kadłubów statków,a kończąc na nominałach skradzionych pieniędzy i na kajdankach.Każdy, kto miał dostęp do instrukcji, mógł poszukać odpowiedniej składni poleceńumożliwiających ściągnięcie informacji z bazy danych.Następnie, postępując zgodnie zopisanymi tam procedurami, i przy odrobinie brawury, mógł pobrać informacje z NarodowegoRejestru Przestępstw.Podręcznik podaje również numery telefonów, pod które można dzwonić wsprawie pomocy w obsłudze systemu.Być może w waszej firmie publikowane są podobnepodręczniki z kodami produktów lub kodami umożliwiającymi pobieranie poufnych informacji.Pracownicy FBI prawie na pewno nigdy nie odkryli, że ich poufne instrukcje i procedury sądostępne w sieci.Myślę, że niezbyt ucieszyliby się z tego faktu.Jedna z kopii zostałaopublikowana przez jedną z instytucji rządowych stanu Oregon, inna przez agencję ds.przestrzegania prawa z Teksasu.Dlaczego tak się stało? W każdym z przypadków ktośprawdopodobnie pomyślał, że ta informacja nie jest wartościowa dla kogoś obcego iopublikowanie jej nie wyrządzi żadnych szkód.Może ktoś po prostu opublikował je w intraneciedla wygody pracowników, nie zdając sobie sprawy, że udostępnił te informacje wszystkim,którzy mają dostęp do dobrej wyszukiwarki, takiej jak np.Google, w tym zwykłym ciekawskim,kandydatom na policjantów, hakerom czy przedstawicielom zorganizowanych grupprzestępczych.Wejście do systemuZasada użycia takich informacji do oszukania urzędnika lub pracownika firmy jest zawszetaka sama  ponieważ socjotechnik wie, jak dostać się do określonych baz danych czy aplikacjialbo zna numery, nazwy serwerów itp., zdobywa sobie zaufanie.Z chwilą, gdy socjotechnik wejdzie w posiadanie takich kodów, zdobycie informacji,których potrzebuje, jest już stosunkowo proste.W tym konkretnym przykładzie mógłbyrozpocząć od telefonu do biura w którym znajduje się terminal i zadania pytania dotyczącegojednego z kodów z podręcznika.Mogłoby ono brzmieć np.tak:  Kiedy wpisuję zapytanie OFF wNCIC, pojawia mi się błąd system nie działa.Czy mógłby pan spróbować to wpisać za mnie?.Mógłby też powiedzieć, że próbuje przejrzeć wpf-(w żargonie policji akta osoby poszukiwanej).Urzędnik pracujący przy komputerze po drugiej strome połączenia uzna, że dzwoniącyjest obeznany z procedurami operacyjnymi i poleceniami wydawanymi bazie danych NCIC.Ktopoza osobami przeszkolonymi mógłby znać te procedury?Po tym, gdy osoba obsługująca komputer potwierdziła, że u niej wszystko działa,rozmowa mogła przebiegać następująco: Mógłby mi pan pomóc? A czego pan potrzebuje? Muszę wykonać polecenie OFF na nazwisku Martin Reardon, data urodzenia 18.10.66. Jaki SOSH?%7łargonSOSH  skrót oznaczający w slangu FBI numer ubezpieczenia społecznego. 700-14-7435. Jego numer to 2602  mógł powiedzieć urzędnik po odnalezieniuszukanej osoby. Napastnik musi teraz jedynie spojrzeć do podręcznika NCIC, aby odnalez
ć znaczenie tej liczby.Okazało się, że człowiek ten jest oskarżony o fałszowanie swoich akt osobowych.Analiza oszustwaDobry socjotechnik nie wahałby się nawet przez chwilę szukać sposobów na włamaniesię do bazy NCIC.Zresztą dlaczego miałby się wahać, skoro uzyskanie potrzebnych informacjiwymaga jedynie wykonania telefonu do lokalnej komendy policji i trochę gładkiej gadki, abyzaprezentować się jako człowiek  z wewnątrz ? Następnym razem zadzwoni w inne miejsce iużyje tego samego sposobu.Można się zastanawiać, czy dzwonienie na komendę czy też posterunek policji nie jestniebezpieczne.Czy napastnik nie ryzykuje tutaj zbyt dużo?Odpowiedz
z pewnych specyficznych powodów brzmi: nie.Policjanci, podobnie jak żołnierze,mają od pierwszego dnia pobytu w akademii zaszczepiony respekt dla rangi [ Pobierz całość w formacie PDF ]