Они не смогут вам соврать. Как в ФБР выводят на чистую воду - Марвин Карлинс

class="p1">Теперь у меня есть вся необходимая информация для создания и отправки вложений: файл должен быть меньше 5 МБ и заархивирован в Zip. Кроме того, я выяснил, что они используют антивирус McAfee.

Звонок № 6. Звонок от Эммы из отдела кадров (несколько часов спустя)

ЭММА. Привет, это Эрик?

НЕЙТАН. Да, здравствуйте.

ЭММА. У меня готов список новых сотрудников для вас. Вы хотели, чтобы я отправила его по факсу?

НЕЙТАН. Да, пожалуйста. Было бы отлично. Сколько их там?

ЭММА. Около десяти человек.

НЕЙТАН. Вы знаете, я не уверен, что факс здесь работает надежно. Не могли бы вы просто прочитать их мне? Думаю, так будет быстрее.

ЭММА. Хорошо. У вас есть ручка?

НЕЙТАН. Да, записываю.

ЭММА. Сара Джонс, отдел продаж. Менеджер – Роджер Уикс… [Читает остальную часть списка.]

НЕЙТАН. Отлично, спасибо. Вы мне очень помогли. До свидания.

Теперь у меня есть список новых сотрудников, нанятых за последние две недели. А также есть отделы, в которых они работают, и имена их менеджеров. Новые сотрудники зачастую более восприимчивы к социальной инженерии (влиянию или контролю со стороны внешнего источника), чем те, кто работает уже давно.

Звонок № 7. На главный коммутатор компании

НЕЙТАН. Здравствуйте, я пытаюсь отправить электронное письмо Саре Джонс, но не знаю, какой формат электронных адресов вы используете. Не подскажете?

СЕКРЕТАРЬ. Да. Это будет sarah.jones@targetcompany.com.

НЕЙТАН. Спасибо.

Фишинговое электронное письмо

Спустя несколько минут спуфинговое сообщение (с поддельным адресом отправителя) отправлено.

От кого: itsecurity@targetcompany.com

Кому: sarah.jones@targetcompany.com

Тема: Информационная безопасность

Сара,

Как новый сотрудник, вы должны быть ознакомлены с политиками и процедурами информационной безопасности компании, в частности с «Политикой допустимого использования» сотрудниками.

Цель данной политики – обозначить допустимое использование компьютерного оборудования в [название целевой компании]. Эти правила установлены для защиты как сотрудника, так и компании [название целевой компании]. Ненадлежащее использование влечет риски, включая вирусные атаки, компрометацию сетевых систем и служб, а также юридические проблемы.

Данная политика распространяется на всех: сотрудников, подрядчиков, консультантов, временных и сторонних работников [название целевой компании]. Она относится ко всему оборудованию, принадлежащему или арендованному [название целевой компании].

В ближайшее время с вами свяжутся для обсуждения этого вопроса.

С уважением,

Отдел информационной безопасности

Звонок № 8. На главный коммутатор компании (несколько часов спустя)

НЕЙТАН. Здравствуйте. Не могли бы вы соединить меня с Сарой Джонс, пожалуйста?

СЕКРЕТАРЬ. Соединяю.

САРА. Здравствуйте, отдел продаж. Чем могу помочь?

НЕЙТАН. Здравствуйте, Сара. Вам звонят из Отдела информационной безопасности, чтобы провести инструктаж по передовым методам защиты. Вы должны были получить электронное письмо об этом.

САРА. Да, я получила его сегодня.

НЕЙТАН. Отлично. Это стандартная процедура для всех новых сотрудников, и она займет около пяти минут. Как вам у нас? Все помогают?

САРА. Да, спасибо. Здесь замечательно. Хотя начинать что-то новое всегда немного страшно.

НЕЙТАН. Да, и всегда трудно запомнить всех. Роджер представил вас всем? [Непринужденный разговор, цель которого – наладить контакт и укрепить доверие.] Эмма Джонс из отдела кадров очень мила, если вам понадобится помощь.

САРА. Да, она проводила мое собеседование.

НЕЙТАН. Думаю, будет лучше, если я посмотрю презентацию по безопасности вместе с вами. У вас открыта электронная почта? Я сейчас отправлю презентацию, и мы вместе обсудим ее.

САРА. Хорошо, я вижу письмо.

НЕЙТАН. Отлично, тогда просто дважды щелкните по вложению Security Presentation.zip.

САРА. Хорошо…

ZIP-архив, который открыла Сара, – искусно упакованная и замаскированная серия скриптов и инструментов, созданных нашей программой-оберткой. Она включает в себя:

• RAT – троянскую программу удаленного доступа для получения контроля над компьютером;

• Руткит – инструмент для скрытого доступа к компьютеру;

• Кейлоггер – программу для отслеживания нажатий клавиш, а также любой другой инструментарий, который может понадобиться.

Двумя кликами Сара запускает презентацию – серию слайдов Power Point. Там говорится о том, что нельзя запускать исполняемые файлы, и о других правилах безопасности.

Презентация оформлена с реальными логотипами компании, скопированными с общедоступного веб-сервера. Они добавляют убедительности. Пока Сара просматривает слайды, скрипты внутри архива начинают отключение McAfee и любой другой защиты ПК, которая могла бы противостоять атаке.

Далее устанавливается руткит, который скрывает все будущие действия от операционной системы и специалиста, который будет проводить криминалистическое расследование. После этого скрывается и устанавливается RAT. Программа автоматически запускается при каждой перезагрузке компьютера, причем эти действия также скрыты. Затем RAT ищет настройки прокси и другую полезную информацию. А после этого пытается выйти в интернет и готова принимать команды от своего хозяина.

Все процессы и TCP-соединения (Transmission Control Protocol) скрыты. Даже стандартные инструменты, например netstat (сетевая статистика) и Диспетчер задач для обнаружения несанкционированных манипуляций, не выявят их присутствия.

RAT подключается к хозяину. Теперь я полностью владею компьютером Сары. Пришло время осмотреться и действительно начать взлом! Задача выполнена.

* * *

Надеюсь, что теперь вы задумались о том, что: (1) казалось бы безобидные и легкодоступные фрагменты информации могут быть использованы в самых зловещих целях; (2) доверительные отношения с человеком повышают вероятность того, что он станет невольным соучастником коварного замысла; (3) необходимо постоянно быть начеку, чтобы не выдать информацию непроверенному источнику.

ТРИ ГЛАВНЫХ ПРАВИЛА

Стать жертвой элиситации – обычное дело. Она работает. Иначе не было бы смысла писать эту книгу.

Ваше главное преимущество как читателя – вы обладаете знанием, которое доступно очень узкому кругу лиц. В основном техники продуцирования правды известны в правоохранительных органах и разведке. А теперь и вам. Это значительно ускоряет активацию защитных механизмов, если вы вдруг станете мишенью.

Помните о трех главных правилах, когда вас вовлекают в разговор:

1. Не переходите в режим «автоматического ответа». Постоянно размышляйте о возможном скрытом мотиве собеседника.

2. Будьте осторожны, когда раскрываете любые сведения. Помните об «эффекте пазла»: один незначительный фрагмент может оказаться критически важным элементом, который позволит злоумышленнику собрать полную картину. Особую бдительность проявляйте в отношении личных данных и конфиденциальной информации компании.

3. Если вы подозреваете, что собеседник что-то выведывает, используйте «Петлю Брайана». Этот механизм помешает любым попыткам вытянуть хоть что-то.

Глава 15

Сможете ли вы сдать экзамен по элиситации?

ТЕСТ № 1. ГДЕ УОЛДО?

Артур Конан Дойл в своей повести «Знак четырех» блестяще иллюстрирует мастерское использование техник элиситации.

В этой части истории Холмс и собака Тоби преследовали подозреваемого до самого конца небольшого деревянного пирса. Тоби остановился и уставился на холодную темную воду.