Страница:
92 из 301
Подключение к системе
Принцип использования такой информации для обмана кого-то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных или приложениям, или узнать имена серверов компании, жертвы начинают полагать, что он говорит правду. И это ведет к доверию.
Если социального инженера есть такие коды, то получение информации для него — легкий процесс. В этом примере, он мог начать со звонка служащему местного полицейского управления, и задать вопросы относительно одного из кодов в руководстве — например, код правонарушения. Он мог, например, говорить «когда я делаю запрос в NCIC, я получаю ошибку „Системная ошибка“. Вы получаете то же самое, делая запрос? Вы не могли бы пробовать это для меня?» Или он может сказать, что попытался найти wpf — на полицейском жаргоне файл на разыскиваемую особу.
Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с процедурами и командами запросов в базе данных NCIC. Кто еще кроме служащих может знать такие тонкости?
После того, как служащий подтвердит, что система работает хорошо, разговор мог быть приблизительно таким:
«Я мог бы вам немножко помочь. Что Вы ищете»?
«Мне нужно сделать запрос про Редрона, Мартина. Дата рождения 10/18/66.»
«Что какой у него SOSH?» (Служители закона иногда ссылаются на номер социального страхования как SOSH .)
«700-14-7435.»
После просмотра листинга, он могла бы сказать, например, «Его номер — 2602.»
Атакующий должен только посмотреть в базе NCIC, чтобы узнать значение числа: какие преступления совершил человек.
|< Пред. 90 91 92 93 94 След. >|