информационная безопасность
без паники и всерьез
 подробно о проекте
Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?Портрет посетителя Rambler's Top100
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Неприятные уязвимости в роутерах... 
 Chrome отмечает десятилетие редизайном 
 Foreshadow продолжает дело Meltdown... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / the art of deception / внушая доверие
THE ART OF DECEPTION
главная
от переводчиков
unprinted chapter
введение
предисловие
вступление
самое слабое звено в безопасности
когда безвредная информация опасна
прямая атака: просто попроси
внушая доверие
"разрешите вам помочь"
"не могли бы вы помочь?"
фальшивые сайты и опасные приложения
используя чувство симпатии, вины и запугивание
ответный удар
проникновение на территорию
сочетая технологию и социальную инженерию
aтака на служащего низшего звена
умные мошенники
знание об информационной безопасности и тренировки
краткое описание безопасности в организации
библиография
благодарности




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон



Paragon Partition Manager 7.0

Глава 4: Внушая доверие

(Chapter 4 Building Trust)

Перевод: (Теневой Георг, Whitewoolf[at]ukr.net, ICQ 118145).

Некоторые рассказы могли заставить Вас думать, будто я верю в то, что все на самом деле полные идиоты, готовые, даже жаждущие, отдать каждый секрет. Социальный инженер знает, что это неправда. Почему атака социальной инженерией так успешна? Это так, не потому что люди глупы или им не хватает здравого смысла... Просто мы, как люди, полностью уязвимы перед обманом, поскольку люди могут изменить доверие, если манипулировать определенным образом.

Социальный инженер ожидает подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие. Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые цель атаки может задать, так что у него могут быть готовы подходящие ответы.

Одна из его основных техник включает создание чувства доверия со стороны его жертв. Как он заставляет Вас верить ему? Поверьте мне, может.

Доверие: ключ к обману

Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение. Когда у людей нет причины для подозрений, социальному инженеру становится легко приобрести доверие жертвы.

Как только он получает ваше доверие, разводной мост опускается, и дверь замка распахивается, и он может зайти и взять ту информацию, что он хочет.

Заметка:
Вы можете заметить, как я ссылался на социальных инженеров, на телефонных фрикеров, и жуликов (con-game operators) в большинстве этих рассказов как «он». Это не - шовинизм; просто такова истина - большинство практикующий в этих областях - мужчины. Но, несмотря на это, среди социальных инженеров есть и женщины, число которых растет. Вы не должны терять бдительность и осторожность просто из-за того, что слышите женский голос. Фактически, женщины социальные инженеры имеют четкое преимущество из-за того, что они могут использовать свою сексуальность, чтобы получить сотрудничество. Вы найдете немножко так называемого слабого пола, представленного на этих страницах.

Первый звонок: Андреа Лопес

Андреа Лопес ответила на телефонный звонок в видео-прокате, где она работала, и сразу улыбнулась: всегда приятно, когда клиент говорит много хорошего про сервис. Тот, кто позвонил, сказал, что у него осталось очень хорошее впечатление о сервисе видео-проката, и он хотел послать менеджеру письмо, и сообщить об этом.

Он спросил имя менеджера и его почтовый адрес. Андреа сообщила ему, что менеджер это Томми Элисон, и дала адрес. Когда звонивший хотел положить трубку, у него появилась другая идея, и он сказал: "Я б мог написать в офис вашей компании, тоже. Какой номер вашего магазина?" Девушка также дала ему и эту информацию. Он поблагодарил, добавил что-то приятное про то, насколько полезной была она, и попрощался.

«Звонок подобный этому» - подумала Андреа, - «всегда помогает сделать карьерное продвижение быстрее. Как мило было бы, если люди делали подобное более часто».

Второй звонок: Джинни

"Спасибо за звонок в Видео Студию. Это - Джинни, чем могу Вам помочь?"

"Привет, Джинни", звонящий сказал с большим энтузиастом, как будто бы он говорил с Джинни каждую неделю или что-то вроде того.

"Это - Томми Элисон, менеджер магазин 863 в Форест Парке. У нас есть клиент здесь, что хочет арендовать Рокки 5, но у нас нет ни одного экземпляра. Вы можете проверить, есть ли у вас?"

Она вернулась на линию через несколько секунд и сказала: "Да, у нас есть три копии".

"Хорошо, я спрошу, хочет ли он подъехать к вам. Спасибо. Если Вам когда-либо будет нужна любая помощь нашего магазина, просто позвоните и попросите Томми. Я буду рад сделать для Вас все, что смогу".

Три или четыре раза на протяжении следующих нескольких недель, Джинни получала звонки от Томми для помощи в том или ином деле. Это были на вид законные просьбы, и он был всегда очень дружественным, не пытался сильно надавить. Он был очень болтливым, когда они общались, например - "Ты слышала о большом пожаре на Oak Park? Там, на перекрестке…", и тому подобное. Звонки были небольшим перерывом в рутине дня, и Джинни была всегда рада услышать его.

Однажды Томми позвонил и спросил: "У вас есть проблемы с компьютерами?"

"Нет" - ответила Джинни. "А почему должны быть?"

"Кто-то разбил автомобиль о телефонный столб, и телефонная компания заявляет, что целая часть города останется без связи и Интернета до тех пор, пока как они все исправят".

"О нет! Были человеческие жертвы?"

"Они увезли его в скорой помощи. Как бы то ни было, мне нужна небольшая помощь. Здесь ваш клиент, он хочет арендовать Крестного Отца II, и у него нет с собой его карты. Ты не могла бы проверить его информацию для меня?"

"Да, конечно".

Томми дал имя клиента и адрес, и Джинни нашла его в компьютере. Она дала Томми учетный номер.

"Никаких поздних возвращений или долга?" - Спросил Томми.

"Ничего не вижу"

"Хорошо, прекрасно. Я подпишу его вручную для счета и внесу в нашу базу данных позже, когда компьютеры снова заработают нормально. Он хочет оплатить счет карточкой Visa, которую он использует в вашем магазине, а у него нет с собой карты. Какой номер карты и дата истечения срока?"

Она дала ему номер, вместе с датой истечения срока. Томми сказал: "Спасибо за помощь. Поговорим позже”, и положил трубку.

История Долли Лоннеган.

Лоннеган – это не тот молодой человек, которого вы хотели бы увидеть, когда открываете входную дверь. Бывший сборщик долгов в азартных играх, он все еще делает это иногда. В этом случае, ему предлагали значительную суму наличных за несколько телефонных звонков в видеомагазин. Звучит достаточно просто. Никто из этих "клиентов" не знал, как проделать этот трюк; им нужен кто-то с талантом Лонеганна.

Люди не выписывают чеки, чтобы покрыть их долги, когда им не везет или они поступают глупо за игрой в покер. Каждый знает это. Почему эти старые друзья продолжали играть с жуликом, что не имел денег на столе? Не спрашивайте. Может быть, у них чуть-чуть меньше IQ, чем у остальных. Но они – старые друзья - что вы можете поделать?

Этот парень не имел денег, так что они взяли чек. Я спрашиваю вас! Надо было бы подвести его к машине ATM(аппарат обналички чеков?), - вот что надо было сделать. Но нет, чек. На $3,230.

Естественно, он обманул. Чего вы еще ожидали? Потом они позвонили мне; могу ли я помочь? Я не закрываю двери перед людьми, которые пришли ко мне. Кроме того, в настоящее время есть лучшие пути. Я сказал им, что 30 процентов комиссионных мои, и я посмотрю, что смогу сделать. Итак, они дали мне его имя, адрес и я нашел в компьютере ближайший к нему видео магазин.

Я не очень спешил. Четыре телефонных звонка к менеджеру магазина, и затем, бинго - у меня есть номер карты Visa мошенника.

Другой мой друг - хозяин topless бара. За пятьдесят долларов, он сделал проигранную парнем сумму денег в покер долгом бару (через Visa). Пускай мошенник объясняет это все своей жене. Вы думаете, он мог бы попытаться сообщить в Visa, что это не его долг? Подумайте снова. Он знает, что нам известно кто он. И если мы смогли получить его номер карточки Visa, он догадается, что мы можем получить намного больше. Не волнуйтесь на этот счет.

Анализ обмана

Звонки Томми к Джинни были просто для построения доверия. Когда время пришло для атаки, она потеряла бдительность и осторожность и сообщила Томми о том, про кого он спросил, так как он - менеджер в другом магазине одной компании.

И почему она помогла ему – она уже знала его. Она только познакомилась с ним через телефон, но они установили деловую дружбу, которая является основой для доверия. Однажды она приняла его как менеджера в той же компании, доверие было установлено, а остальное было уже как прогулка в парке.

Сообщение от Митника

Техника построения доверия является одной из наиболее эффективных тактик социальной инженерии. Вы должны подумать, хорошо ли вы знаете человека, с которым вы говорите. В некоторых редких случаях, человек может быть не тем, кем он представился. Следовательно, мы должны научиться наблюдать, думать, и спрашивать о полномочиях.

Вариации по теме: Сбор кредитных карт

Строя доверие не обязательно требуется делать целую серию звонков, как в предыдущей истории. Я расскажу один случай, где мне потребовалось всего пять минут.

Сюрприз для Папы

Я один раз сидел за столом в ресторане с Генри и его отцом. В ходе разговора, Генри упрекал отца в раздаче номера его кредитной карточки как если бы, это был его номер телефона. "Конечно, ты должен дать номер карты, когда ты покупаешь что-то", он сказал. "Но давать номер карточки в магазине, что записывает номер - это действительно глупо".

«Единственное место, где я сделал это, была Видео Студия», - сказал мистер Конклин, назвав ту самую сеть видео магазинов. "Но я проверяю мои счета в Visa каждый месяц. Если расходы будут превышать ожидаемое, я узнаю об этом.

“Уверен", сказал Генри, "но как только у них появится твой номер, очень легко можно будет его украсть".

“Ты имеешь в виду плохого служащего”?

“Нет, кто-нибудь – не обязательно служащий".

“Ты говоришь глупости," сказал мистер Конклин.

“Я могу позвонить прямо сейчас и заставить их, чтобы сообщили мне твой номер карточки Visa," - не успокоился Генри.

“Нет, ты не сможешь” – ответил отец.

"Я могу сделать это прямо перед тобой за 5 минут, не покидая стола".

Мистер Конклин огляделся, со взглядом того, кто чувствует уверенность в себе, но не хочет показывать это. "Я говорю что ты не знаешь, что говоришь", - гаркнул он, вытаскивая бумажник и ложа пятьдесят долларов на столе. "Если ты сможешь сделать то, про что ты говоришь, то это твое”.

"Мне не нужно твоих денег, папа", -сказал Генри.

Он вытащил сотовый телефон, спросил отца, каким филиалом он пользуется, и позвонил помощнику директора также как и на номер магазина в соседнем Sherman Oaks.

Затем он позвонил в магазин на Sherman Oaks. Используя тот же метод, что описывался в предшествующем рассказе, он быстро узнал имя менеджера и номер магазина.

Затем он позвонил в магазин, где у его отца был счет. Он использовал старый трюк с менеджером, используя имя менеджера как его собственное и номер магазина, который он только что получил. Потом использовал ту же уловку:
"Ваши компьютеры работают хорошо? Наши сильно заглючили".

Он услышал ответ менеджера и затем сказал: "Хорошо, у меня здесь один из ваших клиентов, который хочет арендовать видео, но наши компьютеры сейчас не работают. Мне нужно чтобы вы нашли счет клиента и убедились что он - клиент вашего филиала".

Генри дал ему имя отца. Затем, использовав только легкое изменение в технике, он попросил прочитать информацию о счете: адрес, номер телефона, и дату когда счет был открыт. И затем он сказал, "Слушайте, у меня тут большая очередь клиентов. Какой номер кредитной карточки и дата истечения срока?"

Генри прижал телефон одной рукой к уху, пока он писал на бумажной салфетке другой рукой. Когда разговор был завершен, он положил салфетку перед его отцом, который пристально наблюдал за этим с открытым ртом. Мистер Конклин выглядел полностью потрясенным, как если бы его доверие только что рухнуло.

Анализ обмана

Думайте что говорите, когда кто-то неизвестный вам спрашивает о чем-то. Если грязный незнакомец постучит в вашу дверь, вы вряд ли позволите ему войти, а если незнакомец постучит в вашу дверь хорошо одетый, с начищенными до блеска туфлями, хорошей прической, с хорошими манерами и улыбкой, Вы, вероятно, будете значительно меньше подозрительными. Может быть он - действительно Джейсон из фильма Пятница 13-е , но вы начинаете ему доверять, пока он нормально выглядит и без ножа в руке.

Что менее очевидно - то, что мы судим людей по телефону точно так же, как и обычно. Говорит ли этот человек так, как будто пытается продать мне что-то? Он дружелюбный и общительный или я чувствую враждебность или давление? Говорит ли он или она как образованный человек? Мы судим по этим вещам и возможно, многим другим бессознательно, в спешке, часто во время первых секунд разговора.

Сообщение от Митника

Человеку свойственно думать, что вряд ли его обманут именно в этой конкретной сделке, по крайней мере, пока нет причин предполагать обратное. Мы взвешиваем риски и затем, в большинстве случаев, доверяем без всяких сомнений. Это естественное поведение цивилизованного человека... по крайней мере, цивилизованных людей, которыми никогда не манипулировали или не обманывали на крупную суму денег.

Когда мы были детьми, наши родители учили нас не верить незнакомцам. Может быть, нам всем следовало бы придерживаться этому вековому принципу в сегодняшней рабочей обстановке.

В работе, люди просят нас все время о чем-то. Вы имеете электронный адрес этого парня? Где самая последняя версия списка клиентов? Кто субподрядчик в этой части проекта? Пожалуйста, пошлите мне самое последнее обновление проекта. Мне нужна новая версия исходного кода.

И как можно догадаться: иногда люди, которые просят о чем-либо, являются людьми, которых вы не знаете лично, к примеру, те, кто работает в другой части компании. Но если информация, которую они дают, подтверждается, и, оказывается, что они знакомы ("Марианна сказала..."; "Это находится на сервере K-16..."; "... исправленное издание 26 нового продукта планируется"), мы расширяем наш круг доверия, чтобы включить их, и радостно даем им то, о чем они просят.

Конечно, мы не всегда спрашиваем себя: "Почему кому-то на заводе в Далласе нужно увидеть новые планы продукта?" или " могло бы навредить чему-нибудь, если дать имя сервера, где они находятся?" Итак, мы задаем иные вопросы. Если ответы являются разумными и произносятся в нормальном тоне, мы понижаем бдительность, возвращаясь к нашей естественной склонности доверять нашему «приятелю» мужчине или женщине, и сделаем (в рамках разумного) все, что нас попросят сделать.

И не думайте, что нападающий атакует только тех людей, которые пользуются компьютерной системой компании. Как насчет парня в почтовой комнате? "Вы хотите меня о чем-то попросить? Бросить это во внутренний почтовый ящик компании?" Клерк из комнаты почты знает, что там дискетка со специальной небольшой программой для секретаря CEO, управляющего делами? Теперь нападающий получает собственную персональную копию email CEO. ОПА! Могло ли что-то подобное случаться в вашей компании? Ответ - конечно.

Одноцентовый сотовый телефон

Многие люди оглядываются пока не найдут лучшую сделку; социальные инженеры не ищут лучшую сделку, они ищут путь, чтобы сделать сделку выгоднее. Например, иногда компания запускает маркетинговую кампанию, так что вы не можете пропустить ее, пока социальный инженер смотрит на предложение и гадает, как он может улучшить сделку.

Недавно, у национальной сотовой компании была акция: предлагали новый телефон за один цент, если вы подпишете контракт.

Очень много людей обнаружило слишком поздно, что есть много вопросов, которые предусмотрительный покупатель должен спрашивать прежде, чем подписаться на контракт сотовой связи: план услуг аналоговый, цифровой, или комбинированный; количество бесплатных минут в месяц; включена ли в цену плата за роуминг, и так далее. Особенно важно, чтобы понять перед заключением контракта, на сколько месяцев или лет Вы заключаете контракт?

Одного социального инженера в Филадельфии привлек дешевый телефон, предложенный сотовой компанией в контракте, но он ненавидел тарифные планы, которые были в контракте. Не проблема. Вот один путь, по которому он мог управлять ситуацией.

Первый звонок: Тед

Сначала, социальный инженер звонит в магазин электроники в West Girard.

"Электронный Город. Это Тед."

"Привет, Тед. Это - Адам. Слушай, Я пару дней назад говорил с продавцом о сотовом телефоне. Я сказал ему что перезвоню, когда решу, какой тарифный план выбрать, и я забыл его имя. Кто тот парень, который работал в этом отделе на днях?

"Тут не один продавец. Это был Вильям?"

"Я не уверен. Может быть, это было Вильям. Как он выглядит?" "Высокий худой парень".

«Я думаю, это был он. Повторите пожалуйста, как его фамилия?»

«Хедли Х—Е—Д—Л—И»

«Да, вроде это был он. Когда он снова будет?»

Я не знаю его расписание на эту неделю, но на вторую смену люди приходят около пяти".

"Хорошо. Я проговорю с ним сегодня вечером. Спасибо, Тед."

Второй Звонок: Кети

Следующий звонок - в магазин той же самой компании на North Broad Street.

"Привет, Электронный Город. Кети на проводе, чем могу вам помочь?"

"Кети, Привет. Это - Вильям Хедли, из магазина на West Girard. Как идут сегодня дела?"

"Неважно, а что случилось"

"У меня есть клиент, который пришел по акции “сотовый телефон за один цент”. Знаешь что я имею в виду?"

"Знаю. Я продала пару таких на прошлой неделе".

"У вас еще есть телефоны, которые идут с этой акцией?"

"Получили кучу таких".

"Прекрасно. Я только что продал один клиенту. Парень заплатил кредит; мы подписали с ним контракт. Телефон оказался бракованным, и у нас больше нет ни одного телефона. Я так смущен. Вы можете мне помочь? Я пошлю его в ваш магазин, чтобы приобрести телефон. Вы можете продать ему телефон за один цент? И он обязан перезвонить мне, как только он получит телефон, чтобы я смог ему рассказать про акцию".

"Да, конечно. Пришлите его сюда".

"Хорошо. Его имя Тед. Тед Янеси."

Когда парень, который назвал себя Тедом Янеси, появился в магазине на улице North Broad St. Кети выписала счет и продала сотовый телефон за один цент, так как ее просил коллега. Она попалась на трюк мошенника.

Когда пришло время заплатить, покупатель не имел ни цента в кармане, так что он добрался до небольшой тарелки с мелочью у кассового аппарата, взял один, и дал девушке за регистрацию. Он получил телефон, не платя ни одного цента за это.

Теперь он может прийти в другую компанию, которая использует телефоны того же стандарта и заказать себе другой тарифный план без контрактных обязательств.

Анализ обмана

Людям естественно доверять в более высокой степени коллеге, который что-то просит, и знает процедуры компании, жаргон. Социальный инженер в этом рассказе воспользовался преимуществом, узнав детали компании, выдавая себя за служащего компании, и прося помощи в другом филиале. Это случается между филиалами магазинов и между отделами в компании, люди физически разделяются и общаются по телефону, никогда не встречая друг друга.

Взлом федералов

Люди часто не думают, какие материалы их организации доступны через Интернет. Для моего еженедельного шоу на KFI Talk Radio, в Лос-Анджелесе продюсер покопался в сети и обнаружил копию руководства для получения доступа к базам данных Национального Центра Информационных Преступлений. Позже он обнаруживал реально работающее руководство NCIC, секретный документ, который дает возможность для поиска информации из национальной базы данных FBI.

Руководство является справочником для агентств силовых ведомств, который дает коды для поиска информации о преступниках и преступлениях из национальной базы данных. Агентства всей страны могут найти ту же базу данных для информации, для помощи, в борьбе с преступностью в своей юрисдикции. Руководство содержит коды, использованные в базе данных начиная с татуировок, заканчивая маркировкой украденных денег и обязательств.

Любой с доступом к руководству может найти синтаксис и команды, чтобы получить информацию из национальной базы данных. Затем, следуя инструкциям из руководства, каждый может извлечь информацию из базы данных. Руководство также дает телефонные номера технической поддержки в системы. Вы можете иметь аналогичные описания в вашей компании, предлагающей коды продуктов или коды для доступа к важной секретной информации.

Несомненно, ФБР бы никогда не обнаружило, что их важнейшие руководства и инструкции доступны для каждого в сети, и я не думаю, что они были бы очень счастливы, узнав об этом. Одна копия была опубликована государственным отделом в Орегоне, другая правоохранительными органами в Техасе. Почему? В каждом случае, они, вероятно, подумали, что информация не была важна и, став доступной, она не могла причинить вред. Может быть, кто-то поместил это в их внутренней сети для удобства собственным служащим, иногда не понимая, что информация стала доступна для любого в Интернет, кто имеет доступ к хорошей поисковой машине, как, например, Google - включая просто любопытных, продажных полицейский, хакеров, и преступные организации.

Подключение к системе

Принцип использования такой информации для обмана кого-то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных или приложениям, или узнать имена серверов компании, жертвы начинают полагать, что он говорит правду. И это ведет к доверию.

Если социального инженера есть такие коды, то получение информации для него - легкий процесс. В этом примере, он мог начать со звонка служащему местного полицейского управления, и задать вопросы относительно одного из кодов в руководстве - например, код правонарушения. Он мог, например, говорить "когда я делаю запрос в NCIC, я получаю ошибку «Системная ошибка». Вы получаете то же самое, делая запрос? Вы не могли бы пробовать это для меня?" Или он может сказать, что попытался найти wpf – на полицейском жаргоне файл на разыскиваемую особу.

Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с процедурами и командами запросов в базе данных NCIC. Кто еще кроме служащих может знать такие тонкости?

После того, как служащий подтвердит, что система работает хорошо, разговор мог быть приблизительно таким:

"Я мог бы вам немножко помочь. Что Вы ищете"?

"Мне нужно сделать запрос про Редрона, Мартина. Дата рождения 10/18/66."


"Что какой у него SOSH?" (Служители закона иногда ссылаются на номер социального страхования как SOSH.)

"700-14-7435."

После просмотра листинга, он могла бы сказать, например, "Его номер - 2602."

Атакующий должен только посмотреть в базе NCIC, чтобы узнать значение числа: какие преступления совершил человек.

Анализ обмана

Совершенный социальный инженер не остановится ни на минуту, чтобы обдумывать пути взлома базы данных NCIC. А зачем задумываться, когда он просто позвонил в местный полицейский отдел, спокойно говорил, и звучал убедительно, будто он работает в компании, - и это все, что потребовалось, чтобы получить нужную ему информацию? И в следующий раз, он просто позвонит в другой полицейский участок и использует тот же предлог.

LINGO
SOSH - сленг правоохранительных органов для номера социального страхования.

Вы могли удивиться, не рискованно ли позвонить полицейский участок, офис шерифа, или в офис дорожного патруля? Не сильно ли атакующий рискует?

Ответ - нет... и по особой причине. Служители закона, подобно военным, имеют укоренившееся в них из первого дня в академии отношение к высшим или низшим по званию (рангу). Пока социальный инженер выдает себя сержантом или лейтенантом – т.е человеком с более высоким званием, чем тот, с кем он общается - жертвой будет управлять этот хорошо запомненный урок, который говорит, что вы не должны задавать вопросы людям, что выше вас званием. Звание, другими словами, имеет привилегии над теми, у кого более низкий чин.

Но не думайте что полицейские участки и военные структуры - единственные места, где социальный инженер может использовать привилегии в звании. Социальные инженеры часто используют «преимущество высокого ранга» в корпоративной иерархии как оружие в атаке на предприятиях - что демонстрируются во многих рассказах в этой книге.

Предотвращение обмана

Какими мерами может воспользоваться ваша организация, чтобы уменьшить вероятность, что социальные инженеры воспользуются преимуществом над природными инстинктами ваших служащих, чтобы поверить людям? Вот некоторые меры.

Защитите ваших клиентов

В наш электронный век многие компании, продающие что-то потребителю, сохраняют кредитные карты в файле. На то есть причины: он облегчает клиенту работу, обеспечивая информацией о кредитной карточке всякий раз, когда он посещает магазин или веб-сайт, чтобы оплатить. Тем не менее, практика огорчает.

Если Вам приходится сохранять номера кредитных карточек в файле, то это должно сопровождаться мерами безопасности, которые включают шифрование или использование управления доступом. Служащие должны быть подготовленными, чтобы распознать трюки социальных инженеров, как в этой главе. Служащий компании, которого вы никогда лично не видели, ставший телефонным другом, может быть не тем, за кого он себя выдает. Ему необязательно знать, как получить доступ к секретной информации клиента, потому что он может вовсе не работать в вашей компании.

Сообщение от Митника

Все должны быть осведомлены о методах действия социальных инженеров: собрать как можно больше информации о цели, и использовать, эту информацию, чтобы приобрести доверие как будто он свой человек. А затем перейти в нападение!

Разумное доверие

Не только люди, имеющие доступ к важной информации – разработчики программного обеспечения, сотрудники в научно-исследовательских и опытно-конструкторских работ, должны быть защищены от атаки. Почти каждый в вашей организации должен быть обучен защищать предприятие от промышленных шпионов и похитителей информации.

Создавая основы, нужно начать с обследования предприятия - доступ к банкам информации, уделяя внимание каждому важному, критическому аспекту, ценным активам, и спрашивая, какие методы нападения могут использовать, чтобы с помощью техники социальной инженерии получить доступ к этим ценным данным. Соответственная подготовка для людей, которые имеют доступ к такой информации, должна проектироваться вокруг ответов на эти вопросы.

Когда кто-то незнакомый вам лично просит некоторую информацию или материал, или просит, чтобы вы выполнили любые команды на вашем компьютере, нужно задать себе следующие вопросы. Если я дал эту информацию моему наихудшему врагу, могло бы это использоваться, чтобы повредить мне или моей компании? Я полностью понимаю потенциальный результат команд, что меня попросили ввести в компьютер?

Мы не хотим прожить жизнь, подозревая каждого нового человека, которого мы встречаем. Но чем больше мы доверчивы, тем больше вероятность того, что следующий социальный инженер, который появился в городе, сможет обмануть нас, заставить выдать конфиденциальную информацию нашей компании.

Что принадлежит к вашей внутренней сети?

Части вашей внутренней сети могут быть открытыми для всего мира, а другие части - только для ограниченного числа сотрудников. Насколько ваша компания убеждена, что важнейшая информации не опубликована там, где она доступна для пользователей, от которых вы хотите защитить ее? Когда в последний раз кто-нибудь в вашей организации проверял, доступна ли важная информация из вашей внутренней сети? Что доступно через открытые части вашего веб-сайта?

Если ваша компания установила прокси-серверы как посредники, чтобы защитить предприятие от электронной атаки, проверены ли эти серверы, чтобы убедиться, что они сконфигурированы правильно?

И вообще, проверял ли когда-либо кто-либо безопасность вашей внутренней сети?





Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach