А теперь давайте вернемся к чистой социальной инженерии, проводимой по электронной почте... Не ленитесь просматривать все компьютерные газеты и журналы, даже самые никудышные, в поисках информации о недостатках программных продуктов и лазеек в их безопасности. Журналистский кодекс чести вообще-то запрещает публикацию опасных секретов, так что точного описания ошибок в обеспечении безопасности систем вы не найдете. Вам будут попадаться заметки типа: "Вчера были пойманы четыре хакера, нашедшие лазейку в программе Х на машине Y военной базы Z". Или: "Компания Y опубликовала предупреждение о недостатках выпушенного ею элемента Z, который создавался для зашиты системы от проникновения в нее нелегальных пользователей..." Вы можете сделать следующее: отпечатайте некое псевдоофициальное заявление и отправьте его по электронной почте той самой компании, а ответ не заставит себя ждать. Содержание может быть приблизительно таким:
Уважаемый м-р Абель Джонс! До меня дошли сведения о серьезных недостатках вашей продукции, а именно элемента Z. Я веду свои дела, полагаясь на то, что наши данные находятся в полной безопасности благодаря элементу Z.
Увидев, как мы обманывались в течение шести лет, я хотел бы получить от вас следующее: подробное описание изъянов, делающих ненадежным использование элемента Z, либо компенсацию за шестилетнюю эксплуатацию двенадцати непригодных элементов Z, что составит 14 000 $.
Жду вашего скорейшего ответа.
Заявление может также быть выполнено в духе "давайте поработаем вместе, чтобы улучшить этот мир":
Уважаемый м-р Абель Джонс!
Я был весьма огорчен, увидев в номере "Computer Magazine" за пятницу информацию о дефектах, обнаруженных в вашем элементе Z.
На моем предприятии используется двенадцать таких устройств, и мне бы очень не хотелось потерять наши данные из-за их непригодности. Пожалуйста, вышлите в заклеенном конверте объяснение данной проблемы, чтобы мои техники могли устранить неполадки как можно скорее. Спасибо за помошь.
Искренне ваш...
Одно из этих посланий написано угрожающим тоном, другое - нет. С одной стороны, вам не хочется, чтобы ваше письмо посчитали липовым. С другой данная компания наверняка получит множество писем подобного содержания, большинство которых будут отнюдь не подделками. Чтобы у вас не возникло проблем, напечатайте письмо на качественной бумаге, с настоящим или выдуманным бланком наверху.
Для пущего эффекта напечатайте адрес на конверте, а вместо того, чтобы наклеивать марку, пропустите конверт через почтовый счетчик. Можно дополнительно вложить визитку собственного сочинения - их можно недорого заказать. Если компания отказывается помогать вам без подтверждения сделанной у них покупки, - что ж, вы ничего не теряете. Вы всегда можете попытаться подвергнуть социальной инженерии техников данной компании, дабы выведать у них секреты безопасности. Вдобавок существует много ассоциаций и организаций по компьютерной безопасности, которым известны подробности допущенных ошибок. Можно попытаться узнать детали, написав в тот журнал, который напечатал статью об "элементе Z". Постарайтесь встретиться с автором этой статьи. Журналистов и газетчиков обычно на удивление просто поймать по телефону, но заполучить их для разговора - это другое дело!
Послание свыше
Уважаемый пользователь! Я вынужден сообщить вам неприятную новость. Являясь директором PinkyLink, самой крупной информационной службы Америки, работающей в режиме онлайн, я был шокирован, узнав о том, что шестого июля сего года имело место незаконное хищение нескольких файлов с именами пользователей. После нелегального копирования оригиналы были уничтожены. Одна из записей содержала, помимо всего прочего, закрытые личные данные небольшого количества наших клиентов. Хотя, к счастью, вашего имени не оказалось на похищенных файлах, все же определенная опасность для вас существует. На данный момент мы не можем сказать, содержались ли в похищенных файлах данные о каких-либо пользователях с программистским уровнем доступа, или нет. Таким образом, мы предлагаем вам заполнить приложенную анкету и незамедлительно выслать обратно по почте конверте. Мы берем на себя все ваши почтовые издержки. Оплаченный конверт с нашим адресом прилагается.
Заполнив анкету, верните ее, пожалуйста, как можно скорее. При получении мы создадим вам новый секретный ID.