|
|
|
|
|
Представьте себе такую картину: Правительство пытается поймать человека по имени Артуро Санчез, который распространяет бесплатно фильмы через интернет. Голливудские компании утверждают, что он нарушает их права, а он считает, что лишь пытается подтолкнуть их к решению о размещении фильмов в сети для скачки. Он делает вывод, что такое действо может стать хорошим источником доходов для студий, которые обычно игнорируются всеми.
Ордер на обыск, пожалуйста
Придя поздно ночью домой, он еще издалека заметил, что окна в его квартире не горят, хотя в одном из них он оставлял свет.
Он разбудил соседей и выяснил, что в здании был совершен полицейский рейд. Но они заставили всех жильцов выйти на улицу, и никто не знал, в чьей квартире они устроили засаду. Он только мог добавить, что они выносили какие‑то тяжелые предметы. И они не выводили никого в наручниках.
|
|
|
|
|
|
|
|
|
Один из главных барьеров для атакующего – заставить звучать свой запрос обоснованно и типично, чтобы сильно не выделяться в течение рабочего дня жертвы. Как и с другими вещами в нашей жизни, составление правильного запроса может быть соревнованием сегодня, а завтра куском торта.
Телефонный звонок Мэри Х'з
Дата / Время: понедельник, 23 ноября,7.49 утра
Место: Мауэрсбай и Сторч бухгалтерия, Нью‑Йорк
Для большинства людей бухгалтерия‑это процесс подсчета денег, который так же приятен, как и root аккаунт. К счастью, не все рассматривают работу с этих позиций. Мэри Харрис, например, находит свою работу захватывающей, и это‑часть причины, почему она считается одной из лучших служащих в своей фирме.
|
|
|
|
|
|
|
|
|
Нам нравится думать, что правительственные организации хранят данные о нас надежно охраняемые от посторонних. Реальность заключается в том, что федеральные управления не так устойчивы к проникновениям, как нам хочется думать.
Звонок от Мэй Линн
Место: региональный офис администрации общественной безопасности
Время: 10.18 утра, четверг
«Это Мэй Линн Ванг»
Голос на другом конце провода звучал примирительно, почти робко.
|
|
|
|
|
|
|
|
|
Популярная и высоко эффективная форма запугивания – популярна в больших масштабах, в силу простоты – основывается на влиянии на человеческое поведение, используя авторитет.
Даже просто имя помощника в офисе CEO может быть ценным. Частные сыщики делают это все время. Они позвонят оператору коммутатора и скажут, что хотят подсоединиться к офису CEO.Когда секретарь или главный помощник ответит, они скажут, что у них в наличии имеется документ или пакет для CEO,или если они отправят е‑мэйл приложение, распечатает ли она его?
Или иначе, они спросят, какой номер факса? И, кстати, как вас зовут?
Затем они звонят следующему человеку и говорят, «Дженни из офиса мистера Бигса сказала, что вы мне можете помочь кое с чем».
|
|
|
|
|
|
|
|
|
Не каждый, кто использует тактику социальной инженерии, является идеальным социальным инженером. Любой, кто владеет внутренней информацией компании, может принести опасность. Риск тем больше для тех компаний, которые хранят в своих файлах и базах данных персональную информацию служащих, и конечно, большинство компаний именно так и поступают.
Когда рабочие не достаточно образованы или натренированы для распознавания атаки социального инжиниринга, даже самый твердый человек будет вести себя, как та леди в предыдущей истории.
|
|
|
|
|
|
|
|
|
Вы когда‑нибудь замечали, как некоторые люди проходят через охрану на танцевальный вечер в отеле, приватную вечеринку, или презентацию книги без всякого билета или приглашения?
В большинстве случаев, социальный инженер может добиться прохода в такие места, о которых вы и не думали, что это возможно. В этом вы убедитесь на примере следующей истории об индустрии создания фильмов.
Телефонный звонок
"«Офис Рона Хилларда. Это Дороти»
«Привет Дороти. Меня зовут Кайл Беллами. Я только что приступил к работе в отделе Анимации в компании Брайана Глассмана. Вы, ребята, занимаетесь совсем другой деятельностью».
|
|
|
|
|
|
|
|
|
Как много других путей существует, чтобы ввести в заблуждение пользователей компьютера и заставить посетить фальшивый веб сайт, где они предоставят свою личную информацию? Я не думаю, что у кого‑то есть точный ответ на этот вопрос, но фраза «множество и множество» вполне послужит цели.
Несуществующая ссылка
Один трюк используется регулярно. Отправляется письмо с соблазнительной причиной посетить сайт и предоставляется прямая ссылка на него. Кроме этого, ссылка не доставляет вас на сайт, который вы ожидаете увидеть, потому что ссылка только имеет сходство со ссылкой на тот сайт. Вот вам другой пример, который начал использоваться в Интернете, снова злоупотребляя именем PayPal:
|
|
|
|
|
|
|
|
|
В эту эру Интернета, существует вид мошенничества, который перенаправляет вас совсем не на тот вэб‑сайт, который вы ожидали. Это случается регулярно и имеет разнообразные формы проявлений. Этот пример является типичным.
С Новым Годом…
Отставной страховой агент по имени Эдгар получил письмо от PayPal, компании, которая предоставляла быстрый и удобный путь совершения он‑лайн покупок. Этот вид сервиса очень удобен, когда человек из одной части страны (или мира) покупает что‑либо у человека, с которым он не знаком. PayPal снимает деньги с кредитки покупателя и переводит деньги прямо на счет продавца. Будучи коллекционером антикварных стеклянных кружек, Эдгар совершил множество сделок через он‑лайн торги eBay. Он часто пользовался PayPal, иногда несколько раз в неделю. В общем, Эдгар был заинтересован в получении письма на выходных 2001 года, которое, казалось, было отправлено от кого‑то PayPal, предлагающего ему награду за обновления своего PayPal счета. В письме было написано:
|
|
|
|
|
|
|
|
|
Сценарий может развиваться еще хуже, несмотря на ваши предосторожности. Представьте себе: Вы решили не давать взломщику больше ни единого шанса. Вы больше не собираетесь скачивать какие‑либо файлы, за исключением файлов с безопасных сайтов, которым вы доверяете, таких как SecurityFocus.com или Amazon.com.Вы больше не кликаете по ссылкам в электронных письмах от неизвестных адресатов. Вы больше не запускаете приложений в письмах, которые вы не ждали. И вы проверяете страницу вашего браузера, чтобы убедиться, что сайты, которые вы посещаете с целью коммерческих транзакций или обмена конфиденциальной информацией, обладают должным уровнем защиты.
И однажды вы получаете письмо от друга или делового партнера, которое содержит приложение. Ведь не может что‑то опасное прийти от человека, которого вы знаете, правда? Особенно, если вы знаете, кого винить, если информация на вашем компьютере была повреждена.
|
|
|
|
|
|
|
|
|
Также как и вирусы стали бедствием для человечества и врачей с начала времен, так и подходяще названный компьютерный вирус представляет собой ту же угрозу для пользователей современных технологий.
Компьютерные вирусы, которые привлекают к себе внимание и прекращаются, как только становятся в центре внимания, не случайно наносят большой урон. Они являются продуктом компьютерных вандалов.
Люди, очень интересующиеся компьютерами, становятся злобными компьютерными вандалами, прилагающими все усилия, чтобы показать, насколько они умны. Иногда их действия похожи на обряд инициации, предназначенный для того, чтобы произвести впечатление на старших и более опытных хакеров. Главной мотивацией этих людей в написании червей или вирусов является преднамеренное нанесение ущерба. Если их деятельность уничтожает файлы, разрушает полностью жесткие диски, и самостоятельно рассылается тысячам ничего не подозревающих людей, то вандалы раздуваются от гордости за свое достижение. Если вирус вызывает достаточный хаос, чтобы о нем написали в газетах и предупреждения были даже в сети – это еще лучше.
|
|
|
|
|
|
|