[ Pobierz całość w formacie PDF ]
.Agenci w ca-łym kraju mogą przeszukiwać tę bazę w poszukiwaniu informacji przydat-nych w ich własnych dochodzeniach.Podręcznik przedstawia metody uży-wane w bazie do opisu wszystkiego, począwszy od rodzajów tatuaży, po-przez typu kadłubów statków, a kończąc na nominałach skradzionych pie-niędzy i na kajdankach.Każdy, kto miał dostęp do instrukcji, mógł poszukać odpowiedniej skład-ni poleceń umożliwiających ściągnięcie informacji z bazy danych.Następnie,postępując zgodnie z opisanymi tam procedurami, i przy odrobinie brawury,mógł pobrać informacje z Narodowego Rejestru Przestępstw.Podręcznik po-daje również numery telefonów, pod które można dzwonić w sprawie pomo-cy w obsłudze systemu.Być może w waszej firmie publikowane są podob-ne podręczniki z kodami produktów lub kodami umożliwiającymi pobiera-nie poufnych informacji.Pracownicy FBI prawie na pewno nigdy nie odkry-li, że ich poufne instrukcje i procedury są dostępne w sieci.Myślę, że niezbytucieszyliby się z tego faktu.Jedna z kopii została opublikowana przez jed-ną z instytucji rządowych stanu Oregon, inna przez agencję ds.przestrzega-nia prawa z Teksasu.Dlaczego tak się stało? W każdym z przypadków ktośprawdopodobnie pomyślał, że ta informacja nie jest wartościowa dla kogośobcego i opublikowanie jej nie wyrządzi żadnych szkód.Może ktoś po pro-stu opublikował je w intranecie dla wygody pracowników, nie zdając sobiesprawy, że udostępnił te informacje wszystkim, którzy mają dostęp do do-brej wyszukiwarki, takiej jak np.Google, w tym zwykłym ciekawskim, kan-dydatom na policjantów, hakerom czy przedstawicielom zorganizowanychgrup przestępczych.62Wejście do systemuZasada użycia takich informacji do oszukania urzędnika lub pracowni-ka firmy jest zawsze taka sama ponieważ socjotechnik wie, jak dostać siędo określonych baz danych czy aplikacji albo zna numery, nazwy serwerówitp., zdobywa sobie zaufanie.Z chwilą, gdy socjotechnik wejdzie w posiadanie takich kodów, zdobycieinformacji, których potrzebuje, jest już stosunkowo proste.W tym konkret-nym przykładzie mógłby rozpocząć od telefonu do biura w którym znajdu-je się terminal i zadania pytania dotyczącego jednego z kodów z podręczni-ka.Mogłoby ono brzmieć np.tak: Kiedy wpisuję zapytanie OFF w NCIC, po-jawia mi się błąd system nie działa.Czy mógłby pan spróbować to wpisać zamnie?.Mógłby też powiedzieć, że próbuje przejrzeć wpf-(w żargonie policjiakta osoby poszukiwanej).Urzędnik pracujący przy komputerze po drugiej strome połączenia uzna,że dzwoniący jest obeznany z procedurami operacyjnymi i poleceniami wy-dawanymi bazie danych NCIC.Kto poza osobami przeszkolonymi mógłbyznać te procedury?Po tym, gdy osoba obsługująca komputer potwierdziła, że u niej wszystkodziała, rozmowa mogła przebiegać następująco: Mógłby mi pan pomóc? A czego pan potrzebuje? Muszę wykonać polecenie OFF na nazwisku Martin Reardon, data uro-dzenia 18.10.66. Jaki SOSH?%7łargonSOSH skrót oznaczający w slangu FBI numer ubezpieczenia społecz-nego. 700-14-7435. Jego numer to 2602 mógł powiedzieć urzędnik po odnalezieniu szu-kanej osoby.Napastnik musi teraz jedynie spojrzeć do podręcznika NCIC, aby odnalezćznaczenie tej liczby.Okazało się, że człowiek ten jest oskarżony o fałszowa-nie swoich akt osobowych.63Analiza oszustwaDobry socjotechnik nie wahałby się nawet przez chwilę szukać sposobówna włamanie się do bazy NCIC.Zresztą dlaczego miałby się wahać, skorouzyskanie potrzebnych informacji wymaga jedynie wykonania telefonu dolokalnej komendy policji i trochę gładkiej gadki, aby zaprezentować się jakoczłowiek z wewnątrz ? Następnym razem zadzwoni w inne miejsce i użyjetego samego sposobu.Można się zastanawiać, czy dzwonienie na komendę czy też posterunekpolicji nie jest niebezpieczne.Czy napastnik nie ryzykuje tutaj zbyt dużo?Odpowiedz z pewnych specyficznych powodów brzmi: nie.Policjanci, po-dobnie jak żołnierze, mają od pierwszego dnia pobytu w akademii zaszcze-piony respekt dla rangi.Dopóki socjotechnik przedstawia się jako sierżantlub porucznik ktoś wyższy rangą niż osoba, z którą rozmawia ofia-ra będzie postępować zgodnie z głęboko wpojoną zasadą, która mówi, żenie kwestionuje się tego, co twierdzi osoba wyższa stopniem, która ma nadnami władzę.Innymi słowy, stopień daje przywileje, a w szczególności jeden niemożliwości bycia sprawdzanym przez osoby będące niżej w hierarchii.Instytucje policyjne i wojskowe nie są jednak jedynymi miejscami, gdziesocjotechnik może wykorzystać respekt przed rangą.Socjotechnicy częstoużywają autorytetu wynikającego z pozycji w strukturze organizacji jakobroni w czasie ataków na firmy pokaże to kilka historii opisanych w tejksiążce
[ Pobierz całość w formacie PDF ]