Σύλλογος Φίλων Λογισμικού Ανοικτού Κώδικα

Θα διαβάσετε παρακάτω μια πραγματική ιστορία social engineering (κοινωνικής μηχανικής) η οποία καταγράφηκε στο βιβλίο Γκίνες(παγκόσμια ρεκόρ μέχρι το 2002) ώς η μεγαλύτερη απάτη με υπολογιστή άν και δέν πάτησε ούτε ένα πλήκτρο ο επιτιθέμενος! Η ιστορία παρουσιάζεται αναλυτικότερα στο βιβλίο "Η τέχνη της απάτης" του Κέβιν Μίτνικ καθώς και δεκάδες παρόμοιες ημιφαντασικές και αληθινές επιθέσεις απο τον ειδικό του είδους... Ο επιτιθέμενος ονομάζεται Στάνλεϊ Μάρκ Ρίφκιν και δούλευε για σε μία εταιρία ασφάλειας υπολογιστικών συστημάτων. Το 1978 η εταιρεία του τον έστειλε στην Security Pacific National Bank στο τμήμα της Νέας Υόρκης να εγκαταστήσει ένα σύστημα αντιγράφων ασφαλείας για τον κεντρικό υπολογιστή σε περίπτωση κατάρευσής του.

Στο τμήμα που έγινε η εγκατάσταση (τμήμα ηλεκτρονικών μεταβιβάσεων) το προσωπικό έστελνε και λάμβανε αρκετά δισεκατομμύρια δολλάρια κάθε μέρα.Εκεί είχε πρόσβαση στη διαδικασία χρηματικών μεταφορών.Εκεί μπορούσε να δεί και να απομνημονεύσει μπροστά στα μάτια του χρήστη τον ήμερήσιο κωδικό ασφαλείας. Στην συγκεκριμένη εταιρία κάθε χρήστης προμηθευόταν έναν επτασφράγιστο κωδικό κάθε μέρα,τον οποιό η πλειοψηφία απλά τον κολούσε με χαρτάκι στην οθόνη του Υπολογιστή για να μην τον απομνημονεύουν κάθε φορά.
Το ίδιο απόγευμα σε ένα καρτοτηλέφωνο έβαλε ένα νόμισμα και τηλεφώνησε στα κεντρικά της εταιρείας στο τμήμα πάλι μεταβιβάσεων με το όνομα Μάικ Χάνσεν, μέλος του Διεθνούς Τμήματος Τράπεζας.Ας απολάυσουμε τον διάλογο:
"Τμήμα Μεταβιβάσεων , Κέϊτ Τζόουνς, παρακαλώ" απαντάει η φωνή στην άλλη γραμμή.
"Γειά σου Κέϊτ, είμαι ο Μάϊκ Χάνσεν απο το διεθνές. Επειδή έχουμε έναν τεχνικό απο την αφάλεια υπολογιστικών συστημάτων και απασχολεί τον υπολογιστή μου, κάνε μου μια μεταφορά που επήγει"
"Ναι.. γνωρίζω, εγκαθιστούν το καινούριο σύστημα έμαθα. Πές μου αριθμό γραφείου και κωδικό"
Τον κωδικό τον απομνημόνευσε αλλά κράτησε και το νούμερο γραφείου για μια τέτοια περίπτωση οπότε συνέχισε ήρεμα:
"Αριθμός γραφείου 286, κωδικός 4789"
"ωραία..στοιχεία μεταφοράς;"
"10 εκκατομύρια200χιλιάδες δολλάρια στην εταιρεία Irving Trust της Νέας Υόρκης σε πίστωση της Τράπεζας Wozchod Handles της Ζυρίχης"
Σημειώνουμε ότι λογαριασμός αυτός ανοίχτηκε πριν μερικά λεπτά...
"ΟΚ ... αριθμό Διατμηματικών Διακανονισμών;" συνεχίζει η υπάλληλος.
Εδώ ο Ρίφκιν παγώνει αλλά δεν χάνει την ψυχραιμία του οπότε απαντάει:
"Μισό λεπτό να πάω να το βρώ..σου τηλεφωνώ απο καρτοτηλέφωνο γιατί μέσα με την κρίση αυτή δεν μπορώ να πιάσω γραμμή..το έχω πάνω στο γραφείο... θα σε ξαναπάρω"

Τώρα "μεταμφιέζεται" σε υπάλληλο του γραφείου μεταβιβάσεων και ζήτησε τον αριθμό Τμηματικών Διακανονισμών για μια μεταφορά, που του ζητήσανε να κάνει αλλά δεν μπορεί να την πιστοποιήσει(...και καλά...).
Τηλεφωνόντας πάλι στην Κέϊτ δίνει τον απαραίτητο αριθμό και εκείνη προβαίνει στην ενεργοποίση της μεταφοράς κλεινοντάς του λέγοντας: "Ευχαριστώ πολύ" (ευχαριστείες με εξαιρετικά ειρωνικό περιεχόμενο όπως αποδείχθηκε)

Ο ίδιος μέρες μετά πέταξε για Ελβετία όπου έδωσε τα 10εκατομύρια που απέσυρε απο τον λογαριασμο(άφησε τα μισά για να μήν κινήσει υποψίες) σε μια ρώσικη εταιρεία και τα έκανε διαμάντια. Με τις πέτρες κρυμένες στην ζώνη του γύρισε πίσω στην πόλη του.


Σημειώσεις του συντάκτη:Στην ιστορία ο επιτιθέμενος
1.έκλεψε έυκολα τον κωδικό του μέλους και ό,τι πληροφορία του έδινε το γραφείο του
2."έκλεψε" την ταυτότητα αυτού ισχυριζόμενος οτι είναι εκείνος
3.κέρδισε την εμμπιστοσύνη της συνομιλίτριας :
α.λέγοντας οτι είναι ένα υπαρκτό πρόσωπο με τα σωστά στοιχεία
β.Δικαιολόγησε το τηλεφώνημα,αφού είπε οτι κάνουνε αναβάθμιση το backup
γ.Δικαιολόγησε την απόκρυψη του κερματοτηλεφώνου και τον ήχο των αμαξιών με την ιστορία του μπλοκαρισμένου τηλεφωνικού δικτύου
δ.έμεινε ψύχραιμος και χρησιμοποίησε την σωστή ορολογία(είμαι του Διεθνούς==συντομευση για το Διεθνούς τμήματος Τράπεζας) την οποία θα άκουσε κατα την διαδικασία εγκατάστασης απο τα δίπλα γραφεία στο αρχικό τμήμα
4."μεταμφιέστηκε" σε έναν του τμήματος μεταβιβάσεων(ίδιο με της συννομιλήτριας) για να πάρει την πληροφορία απο το τμήμα Διεθνές απο το οποίο υποτίθεται οτι καλούσε όταν μιλούσε με την Κέϊτ.

πρέπει να δώσει ---------------------------------- πρέπει να πιστοπιήσει
Διεθνές---->------->----[αριθμός διαατμηματικών λογαριασμών]-->--->-----------> Μεταβιβάσεων

-----------------------------------
4.έκανε ένα ψεύτικο λογαριασμό στην Ελβετία
5.απέσυρε τα μισά για να μήν κινήσει υποψίες
6.τα μετέτρεψε σε διαμάντια για να μην εξηγεί στους τελωνιακούς....

Βλέπουμε οτι εύκολα ξεγελιέται κάποιος που κάνει μια τέτοια ρουτίνα συνέχεια μέσα στην μέρα. Αρκεί ο καλλούμενος να γίνει πιστευτός.Κανονικά η ασφαλής διαδικασία έπρεπε να ήταν:
1.Ο πραγματικός Χάνσεν να φυλάει καλά τον κωδικό του ή να τον απομνημονεύει καθημερικά
2.Η Κέϊτ έπρεπε να ζητήσει ένα τηλέφωνο να καλέσει τον Χάνσεν εφόσον είδε απόκρυψη ή/και άκουσε αυτοκίνητα
3.Ο συνομιλητής στο δεύτερο τηλεφώνημα έρεπε να κάνει το ίδιο.

Αναλογιστείτε εσείς την ασφάλεια της δικιάς σας εταιρείας ή οργανισμού ή προσωπικών δεδομένων άν κάποιος σας τηλεφωνούσε και ισχυριζόταν οτι είναι κάποιος διευθυντής ή γνωστός του, καθηγητής, φίλος, συνεργάτης κτλ. Αν κάποιος χρησιμοποιήσει και γνωστά web tools για αλλαγή "ταυτότητας" στο δίκτυο ή στο VoIP(φωνή μέσω ΙP,κλήσεις απο pc σε τηλέφωνο): σας στείλει ένα mail λέγοντας οτι είναι o administrator ή και θέλει να κάνετε μια επιβεβαίωση κωδικού. Αν σας ζητήσει οποιοσδήποτε μια πληροφορία όσο αθώα αν είναι ,τελικά μπορεί να είναι ένα κομμάτι ενός πάζλ για την "καταστροφή" σας. Προφανώς δεν σας προωθώ στην λογική της παράνοιας αλλά απλά τονίζω την σημασία σωστής ενημέρωσης των συνεργατών σας για αποφυγή (στα όρια του δυνατου) επιθέσεις κοινωνικών μηχανικών-απατεωνών, για την μη χειραγώγησή σας.

Σχόλια

Προσθήκη νέου Αναζήτηση RSS