Искусство обмана   ::   Митник Кевин

Подключение к системе

Принцип использования такой информации для обмана кого-то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных или приложениям, или узнать имена серверов компании, жертвы начинают полагать, что он говорит правду. И это ведет к доверию.

Если социального инженера есть такие коды, то получение информации для него — легкий процесс. В этом примере, он мог начать со звонка служащему местного полицейского управления, и задать вопросы относительно одного из кодов в руководстве — например, код правонарушения. Он мог, например, говорить «когда я делаю запрос в NCIC, я получаю ошибку „Системная ошибка“. Вы получаете то же самое, делая запрос? Вы не могли бы пробовать это для меня?» Или он может сказать, что попытался найти wpf — на полицейском жаргоне файл на разыскиваемую особу.

Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с процедурами и командами запросов в базе данных NCIC. Кто еще кроме служащих может знать такие тонкости?

После того, как служащий подтвердит, что система работает хорошо, разговор мог быть приблизительно таким:

«Я мог бы вам немножко помочь. Что Вы ищете»?

«Мне нужно сделать запрос про Редрона, Мартина. Дата рождения 10/18/66.»

«Что какой у него SOSH?» (Служители закона иногда ссылаются на номер социального страхования как SOSH .)

«700-14-7435.»

После просмотра листинга, он могла бы сказать, например, «Его номер — 2602.»

Атакующий должен только посмотреть в базе NCIC, чтобы узнать значение числа: какие преступления совершил человек.