Федеральная Служба Опасности (malaya_zemlya) wrote,
Федеральная Служба Опасности
malaya_zemlya

Categories:

Социальная инженерия

Разговорился вчера с чуваком, по роду занятий телефонным маркетером. Он не большая шишка, а простой работник, но явно с опытом. Причем в сфере очень серого - на грани фола - маркетинга. Рассказал он мне про методы работы в индустрии и даже по памяти привел один сценарий звонка с разводкой. Удивительно, насколько все там поставлено на конвейер и идейно схоже с компьютерным хакерством...



Значит так. Работники таких колл-центров работают по строго заданному скрипту, от которого не отклоняются ни по каким причинам. Если клиент говорит что-то непредусмотренное, его вежливо, но твердо возвращают обратно в колею. Если он совсем неуправляем, угрожает, пытается записать разговор, тогда трубку просто вешают - IllegalClientException. Новичков специально учат, что если говорить уверенным голосом, с нотками авторитета, то 80% хомо сапиенсов выполнит любой приказ. Чувак говорил, что им даже выдавали для прочтения статью про знаменитый эксперимент Стенли Милграма где люди доходили до слез и нервного срыва, но продолжали выполнять команды экспериментатора. [Прим: В реальном опыте, команды отданные по телефону оказались в разы менее эффективными, чем команды, отданные лично. Первое правило развода: лучшая ложь - та, в которую сам веришь.]

Звонок начинается так (перевод мой, по запискам):
1.Телефонный маркетер: Алло, %customerName%! [Прим: оказывается, в американских условиях лучше обращаться к клиенту по имени. Так поступают банки при общении с важными клиентами, а мы сейчас будем косить под банк. На фирме, про которую мне рассказывали, был даже специальный мужик, который знал произношение всех имен, даже Tywysog и Uchdryd]
Клиент: Вас слушаю?
2.ТМ: Вам звонят из компании %companyName%. Мы работает по поручительству крупнейших банков страны в связи с утечкой базы личных данных клиентов. Скажите, последнее время вам не приходило особенно большое количество потовой рекламы?
К: Мда.. [Прим: спам приходит всем. Впрочем, ответ роли не играет]
3.ТМ: Наши записи показывают, что ваши личные данные находятся в открытом доступе. Любой человек при желании может до них добраться. Мы звоним Вам, чтобы убрать информацию о вас из публичных баз данных.
К: Ок.. [Прим: Если нужно, нагонять побольше страха про кражу личных данных, риск, проблемы с кредитом итп пока клиент, не почувствует серьезность момента]
4. ТМ: Для этого нам потребуется ваша авторизация. Для этого нам нужно, чтобы Вы взяли свою чековую книжку и прочитали нам цифры внизу чека. Я подожду на линии. [Прим: Никаких "пожалуйста". Нужно и все]
К либо соглашается и идет, либо начинает подозревать неладное. Во втором случае отвечаем:
4а. ТМ: Эти данные известны любому лицу, которому вы выписываете чек. Вы же сами знаете, что без вашей подписи мы ничего не можем с ними делать. Нам они требуются исключительно для того чтобы подтвердить доступ к базе данных. goto 4

... клиент идет за чеками, возвращается

5. ТМ: Мне нужно, чтобы Вы прочли цифры внизу чека, по порядку слева направо.
К: 1 2 3 ...

6. ТМ: Спасибо. Мы сейчас подготовим Вашу запись для удаления. Подождите секундочку.
Тем временем вбиваем данные в компьютер, получаем на выходе название и адрес отделения банка.

Это все было предтележье. Теперь телега.

7. ТМ: О! Мы видим что вы являетесь клиентом банка %bankName% в %cityName% и у вас хорошая репутация!
К: да... [Прим: никто не возражает против репутации]

8. ТМ: Я вижу на компьютере, что для Вас от Вашего банка есть специальное предложение. Расписывает предложение

Если клиент соглашается, то все отлично. Нет - впариваем, чтоб согласился.

9. Если заманчивое предложение принято, то говорим:
ТМ: Я сейчас передам Вас своему менеджеру.
Если все таки нет, то просто говорим, что все сделано, спасибо, до свидания. Но на этом этапе клиент уже размягченный и работать с ним легко.

10. Переключаем на другого чувака, называемого verifier. Обычно это опытный работник, и подход у него более теплый, без давления. Зачем давить, если согласие уже получено - пусть клиент расслабится.

11.Verifier: Здравствуйте, %customerName% Мы сейчас удаляем вашу информацию из базы данных. Для подписки на услугу мне нужно подтвердить ваши личные данные. Для вашей безопасности наш разговор будет записан. Мне нужно чтобы Вы отвечали на вопросы только "да" или "нет", иначе нам придется начать с начала.
Включает пленку. Запись эта и будет считаться эквивалентом чека при рассчетах с банком. Я точных адвокатских выражений, увы, не помню, но выглялит примерно так:

12-1. V: Ваше имя %customerName%?
К: да
12-2. V: Ваш банк %bankName%?
К: да
12-3. V: Вы согласны на удаление Вашей информации из базы данных?
К: да
12-3. V (очень быстро): В связи с предоставляемым вам пакетом услуг, о котором Вы говорили с нашим агентом, с вашего лицевого счета будет сделан перевод на сумму в ... долларов. Платеж появится в выписке со счета под именем %companyName%.
Вы понимаете смысл транзакции и подтверждаете перевод
К: да

Выключает пленку. Отсылает запись и номер счета в финансовый отдел.

13. V: Благодарю Вас, всего Вам доброго! [Прим: На этом месте самые наглые добавляли "God bless you!", но мой знакомый так и не смог себя заставить...]

Все. Клиенту втюхали какую-то дребедень, а он сам думает, что его не только спасли от хакеров, но и дали бонус. Если он одумается и пойдет ругаться в банк, то у нас есть вещественные доказательства: человек сам на все согласился и заплатил.

Как видим, похоже на бросок дзю-до: выводим из равновесия, делаем отвлекающий маневр, бросок, припечатываем к полу. Или так: вводим во внештатное состояние, переполняем буфер, выполняем шеллкод, загружаем трояна. Принципы аналогичные.

В следующем номере: контратака и SQL-инъекция в мозг
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 13 comments