[ Pobierz całość w formacie PDF ]
.Zastanówmy się jednak nad implikacjami.Intruz może zadzwonić do nas do domu,podając się za informatyka pracującego w naszej firmie.Dzwoniący pilnie musi znać hasło, byprzywrócić nasze pliki po awarii serwera.Albo wyświetla nam się numer naszego banku lubbiura maklerskiego dziewczyna o miłym głosie prosi tylko o weryfikację naszego numerukonta i nazwiska panieńskiego matki.Dla pewności prosi jeszcze o weryfikację PIN, z powodujakichś problemów z systemem.Wystarczy wykonać telefon z giełdy papierów wartościowych,aby wydawało się, że rozmówca dzwoni z Citybanku lub z Merril Lynch.Ktoś, kto poluje nanasze dane osobowe, może np.zadzwonić z naszego banku i przekonać nas do podania numerukarty kredytowej.Osoba planująca na nas zemstę może podać się za inspektora z urzęduskarbowego lub policjanta.Posiadając dostęp do systemu telefonicznego podłączonego do PRI oraz odrobinę wiedzyna temat jego programowania, którą da się zapewne zdobyć za pomocą strony internetowejdostawcy systemu, można płatać znajomym różne figle.Może znamy kogoś z nadmiernymiaspiracjami politycznymi? Wystarczy zaprogramować numer 202 456-1414, a identyfikacjarozmówcy spowoduje wyświetlenie napisu BIAAY DOM.Nasz znajomy pomyśli, że dzwoni do niego sam prezydent! Morał z historii jest prosty:nie należy wierzyć temu, co wyświetla się w naszym telefonie, chyba że dotyczy to numerówwewnętrznych.Zarówno w domu, jak i w pracy każdy z nas musi zdawać sobie sprawę z takiejmożliwości i wiedzieć, że identyfikacja rozmówcy nigdy nie może być używana do weryfikacjitożsamości dzwoniącego. Niewidzialny pracownikShirley Cutlass odkryła nowy fascynujący sposób zarabiania pieniędzy.Koniec spędzaniadługich godzin w biurze.Dołączyła do setek oszustów odpowiedzialnych za największą falęprzestępstw dziesięciolecia.Została złodziejem tożsamości.Dzisiaj zamierzała uzyskać poufne informacje z działu obsługi klienta pewnego banku.Pozebraniu wstępnych informacji zadzwoniła i powiedziała do osoby w centrali, że prosi opołączenie z działem telekomunikacyjnym.Po połączeniu się z żądanym działem poprosiła dotelefonu administratora poczty głosowej.Korzystając ze zdobytych wcześniej informacji, wyjaśnia, że nazywa się Norma Todd ipracuje w biurze w Cleveland.Stosując znany już nam podstęp, powiedziała, że wybiera się dosiedziby firmy na tydzień i będzie potrzebowała skrzynki w systemie poczty głosowej, aby niemusiała odsłuchiwać jej poprzez połączenia zamiejscowe.Powiedziała, że nie chce fizycznegopołączenia, tylko samą skrzynkę.Administrator powiedział, że się tym zajmie i zadzwoni, kiedywszystko będzie gotowe, by podać jej potrzebne informacje. Jestem w drodze na spotkanie, mogę sama oddzwonić za godzinę? zapytałauwodzicielskim głosem.Gdy ponownie zadzwoniła, wszystko było już załatwione i otrzymała stosowne informacje:numer wewnętrzny i tymczasowe hasło.Administrator zapytał, czy wie, jak zmienić hasło wpoczcie głosowej.Pozwoliła się przeprowadzić przez kolejne kroki, mimo że znała je co najmniejtak dobrze jak on. A przy okazji zapytała na jaki numer mam dzwonić z hotelu, by odsłuchaćwiadomości?Administrator podał jej numer.Shirley zadzwoniła, zmieniła hasło i nagrała nową wiadomość powitalną.Shirley atakujeAatwiejszą część zadania miała już za sobą.Teraz przyszedł czas na użycie sztukimanipulacji.Zadzwoniła do firmowego działu obsługi klienta. Dzwonię z windykacji z biura w Cleveland powiedziała, po czym zastosowała jeden zwariantów znanego triku. Mój komputer jest w naprawie i potrzebowałabym pomocy wznalezieniu pewnej informacji.Podyktowała nazwisko i datę urodzenia osoby, której tożsamość miała zamiar ukraść.Następniewymieniła informacje, których potrzebuje: adres, nazwisko panieńskie matki, numer kartykredytowej, limit kredytu, saldo dostępne i historię płatności. Proszę oddzwonić do mnie na ten numer powiedziała, podając wewnętrzny numer, któryustawił dla niej administrator poczty głosowej. I jeżeli będę poza zasięgiem, proszę zostawićte informacje w poczcie głosowej.Resztę poranka spędziła na załatwianiu różnych spraw, by wreszcie po południu tego samegodnia sprawdzić skrzynkę.Wszystko, o co prosiła, było nagrane.Przed odłożeniem słuchawkiShirley usunęła nagrane powitanie.Zostawienie po sobie nagrania z własnym głosem nie byłobyszczytem ostrożności.Kradzież tożsamości staje się coraz bardziej powszechnym przestępstwem w Ameryce, zbrodniąXXI wieku.Shirley, mając te informacje, może zrobić zakupy na koszt swojej ofiary.Analiza oszustwaW tej intrydze napastniczka najpierw oszukała administratora poczty głosowej, podającsię za pracownicę firmy i prosząc o założenie tymczasowej skrzynki poczty głosowej.Jeżelipokusiłby się on o sprawdzenie jej wiarygodności, okazałoby się, że nazwisko i numer telefonu,który podała, figurują na liście pracowników firmy.Reszta polegała jedynie na podaniu wiarygodnej przyczyny kłopotów z komputerem,prośby o pożądane informacje i o ich nagranie.Dlaczego pracownik miałby nie udzielić takiejinformacji innemu pracownikowi? Numer telefonu, który podała, był numerem wewnętrznym,więc nie było powodu do podejrzeń.Uwaga Mitnicka Dzwońmy od czasu do czasu na swoją własną pocztę głosową.Jeżelisłyszymy powitanie nagrane przez obcą osobę, być może jest to nasze pierwsze spotkanie zsocjotechnikiem.Pomocna sekretarkaRobert Jordan był crackerem i regularnie włamywał się do sieci komputerowej globalnejkorporacji Rudolfo Shipping, Inc.W firmie w końcu zdano sobie sprawę, że ktoś włamuje się doserwera i stamtąd uzyskuje dostęp do wszystkich systemów komputerowych.Aby zabezpieczyćswoją sieć, firma zdecydowała się wprowadzić hasło dla połączenia dial-up z każdym serwerem.Robert zadzwonił do Centrum Zarządzania Siecią, udając adwokata z działu prawnego ipowiedział, że ma problemy z połączeniem się z systemem.Administrator, na którego trafił,wyjaśnił, że z przyczyn bezpieczeństwa wszyscy użytkownicy, którzy korzystają z połączeniadial-up, muszą uzyskać hasło na dany miesiąc od swojego szefa.Robert zastanawiał się, w jakisposób hasła są przekazywane szefom lub jak mogli je uzyskać
[ Pobierz całość w formacie PDF ]