Cały podstęp opierał się na jednej z podstawowych zasad socjotechniki: uzyskania dostępu do informacji, która mylnie jest postrzegana przez pracownika jako nieszkodliwa. Pierwsza urzędniczka bankowa potwierdziła termin, jakim określa się numer identyfikacyjny, używany do kontaktów z CreditChex — „numer kupca”. Druga podała numer linii telefonicznej używanej do połączeń z CreditChex i najistotniejszą informację — numer kupca przydzielony bankowi — uznała to za nieszkodliwe. W końcu myślała, że rozmawia z kimś z CreditChex, więc co może być szkodliwego w podaniu im tego numeru? Wszystko to stworzyło grunt do trzeciej rozmowy. Grace miał wszystko, czego potrzebował, aby zadzwonić do CreditChex, podając się za pracownika National Bank — jednego z ich klientów i po prostu poprosić o informacje, których potrzebował. Grace potrafił kraść informacje tak jak dobry oszust pieniądze, a do tego miał rozwinięty talent wyczuwania charakterów ludzi i tego, o czym w danej chwili myślą. Znał powszechną taktykę ukrywania kluczowych pytań wśród zupełnie niewinnych. Wiedział, że osobiste pytanie pozwoli sprawdzić chęć współpracy drugiej urzędniczki przed niewinnym zadaniem pytania o numer kupca. Błąd pierwszej urzędniczki, polegający na potwierdzeniu nazewnictwa dla numeru identyfikacyjnego CreditChex był w zasadzie nie do uniknięcia. Informacja ta jest tak szeroko znana w branży bankowej, że wydaje się nie mieć wartości. Typowy przykład nieszkodliwej informacji. Jednak druga urzędniczka, Chris, nie powinna odpowiadać na pytania bez pozytywnej weryfikacji, że dzwoniący jest tym, za kogo się podaje. W najgorszym przypadku powinna zapytać o jego nazwisko i numer telefonu, po czym oddzwonić. W ten sposób, jeżeli później narodziłyby się jakiekolwiek wątpliwości, miałaby przynajmniej numer telefonu, spod którego dzwoniła dana osoba. W tym przypadku wykonanie telefonu zwrotnego znacznie utrudniłoby intruzowi udawanie przedstawiciela CreditChex. Lepszym rozwiązaniem byłby telefon do CreditChex, przy użyciu numeru, z którego wcześniej korzystał bank, a nie tego, który poda dzwoniący. Telefon taki miałby na celu sprawdzenie, czy dana osoba rzeczywiście tam pracuje i czy firma przeprowadza właśnie jakieś badania klientów. Biorąc pod uwagę praktyczne aspekty pracy i fakt, że większość ludzi pracuje pod presją terminów, wymaganie takiej weryfikacji to dużo, chyba że pracownik ma podejrzenie, iż jest to próba inwigilacji. W tej sytuacji numer klienta spełniał taką samą rolę jak hasło. Jeżeli personel banku traktowałby ten numer w taki sam sposób jak numery PIN swoich kart kredytowych, uświadomiłby sobie poufną naturę tej informacji.
Dodaj komentarz