Анализ обмана

В этой социоинженерной атаке Диди начала с «уточнения» теле­фонных номеров трех отделов компании-мишени. Это не представ­ляло трудностей, так как нужные ей данные не были засекречены, тем более для своих сотрудников. Социальный инженер умеет выгля­деть и говорить, как твой коллега, а Диди владела своей профессией в превосходстве. Один из полученных телефонных номеров привел ее к коду калькуляции (субсчету) отдела, без которого вряд ли было возможно получить внутренний справочник.

Во время работы ей понадобилось: приветливо вести разговор, ис­пользовать корпоративный язык и в последнем эпизоде немного словесно заиграть со своей жертвой.

Кроме прочего, присутствовал один непростой элемент — опыт манипулирования, отточенный практикой и неписаными уроками поколений самоуверенных людей.

И ВОВСЕ НИКЧЕМНАЯ ИНФОРМАЦИЯ

Если не брать в расчет коды калькуляций и добавочные телефон­ные номера, то какая еще безобидная информация может приго­диться вашему врагу?

Звонок Питеру Абелю

- Привет, - произнес голос на другом конце провода. -Это Том из
Паркхест Трэвел. Ваши билеты в Сан-Франциско готовы. Вы хотите,
чтобы мы их вам доставили, или сами заедите за ними?

- Сан-Франциско?! - воскликнул Питер. - Но я не собирался в Сан-
Франциско.

- Я говорю с Питером Абелем?

- Да, но я никуда не собираюсь.

- Однако, — с долей иронии говорит звонящий, — вы уверены, что не
хотите ехать в Сан-Франциско?

- Поговорите об этом с моим начальником... — подыгрывая, отвечает
Питер.

- Загадка какая-то, — отвечает звонящий. — Все заявки в нашей систе­
ме привязаны к номеру служащего. Может кто-то сказал нам не тот
номер? Какой у вас номер?

Питер озвучил свой номер. А почему бы и нет? Этот номер он записы­вал практически на каждом бланке, куча сотрудников знает этот но­мер - кадровый отдел, бухгалтерия и (почему бы и нет) он может быть известен туристическому агентству, с которым работает его офис. Никто не считает собственный номер секретом. Какая разница? На этот вопрос ответить более чем просто. Вполне возможно, что два или три фрагмента «незначительных» данных приведут к тому, что со­циальный инженер сможет эффективно прикрываться вашим име­нем. Узнает ваше имя, внутренний телефон, номер служащего, и, на всякий случай, имя вашего начальника и его телефон. Этого достаточ­но даже шпиону средней руки, чтобы комфортно себя чувствовать и правдиво выглядеть в глазах следующей жертвы. Если вчера вам позвонил кто-то, кто представился коллегой из друго­го отдела вашей компании, назвал причину своего звонка и спросил у вас ваш номер служащего, то что вам мешало ответить ему? И кстати будет спросить, какой номер вашей социальной карты?

Комментарий Митника

Мораль сей басни такова - если вам не знаком голос запрашивающего
информацию или если вы не уверены, что запрашивающий имеет право
на получение информации, то ни при каких обстоятельствах не говорите
ему идентификаторы, равно как личные или служебные данные.

ПРЕДОТВРАЩЕНИЕ ОБМАНА

Компания в лице администрации несет ответственность за то, чтобы сотрудники понимали всю серьезность ошибок, связанных с неправильным обращением внутренней информации. Хорошо продуманная политика информационной безопасности пред­приятия совместно с должным обучением и тренингом сотрудников может значительно повысить общий фон компетентности в вопро­сах работы с деловой информацией. Политика классификации ин­формации поможет вам внедрить подходящие механизмы контроля с учетом специфики распространения данных. Без правил такой по­литики вся внутренняя информация должна восприниматься как конфиденциальная, если отдельно не оговорено обратное.

Информация, которая кажется незначительной и не имеющей ценности, может защищаться по следующей схеме:

• Отдел информационной безопасности должен проводить тренин­ги для сотрудников. Тренинги должны затрагивать специ­фические методы, используемые социоинженерами. Один из описанных выше методов заключается в получении доступа к «безвредной» информации и последующем использовании дан­ных в качестве джокера, которого можно обменять на момен­тальное доверие жертвы. Все без исключения служащие должны понимать, что если собеседник кажется сведущим в бизнес-про­цессах и сложившейся терминологии, знает внутренние номера и идентификаторы, то это вовсе и ни в коем случае не означает, что собеседник является тем, за кого он себя выдает, или имеет право знать то, о чем спрашивает. Звонящий, на самом деле, мо­жет быть бывшим служащим или нанятым по контракту челове­ком, знакомым с внутренней классификацией и устоявшимися в фирме правилами. Итак, корпорация обязана определить под­ходящие методы аутентификации незнакомых лиц.

•Человек или группа, ответственная за составление политики классификации должны выяснить все возможные пути получе­ния доступа к ценной информации посредством «выуживания» данных, кажущихся несущественными с точки зрения бе­зопасности. Ведь несмотря на то, что вы никогда не скажете постороннему PIN-код пластиковой карты, остается под вопро­сом, не расскажете ли вы постороннему о сервере, на котором лежат исходные тексты разрабатываемой вашей фирмой програмы. Не поможет ли атакующему внутреннее имя сервера, если он собирается напасть на локальную сеть предприятия?

• Иногда знание внутренней терминологии позволяет социально­
му инженеру выглядеть в глазах ваших сослуживцев коллегой,
имеющим право на доступ к информации, которую не пре­
доставляют посторонним. Атакующий легко может превратить
это заблуждение в собственное преимущество и войти к вам
в доверие. Как пример, Коммерческий идентификатор ежед­
невно используется служащими отдела открытия новых счетов.
Но этот идентификатор не многим отличается от пароля. И если
служащие адекватно относятся к идентификатору {как к PIN-
коду собственной кредитной карты), то они с большим внимани­
ем отнесутся к запросам на его получение.

• Ни одна компания (быть может, за редким исключением) не
распространяет публично прямые номера своих директоров и уп­
равляющих. Несмотря на это, номера большинства собственных
отделов легко доступны — в особенности своим же сотрудникам
или тем, кто кажется своим сотрудником. Противодействие это­
му: внедрить политику, которая документально запретит разгла­
шение прямых и внутренних телефонов служащих, консультан­
тов, временных сотрудников и т.п. Еще более важным является
разработка пошаговых процедур идентификации человека, кото­
рый запрашивает контактные координаты одного из сотрудни­
ков компании.

• Бухгалтерские счета рабочих групп и отделов, так же как и ко­
пии внутренних справочников (неважно, бумажные это копии
или электронные) всегда являются первичной целью со-
циоинженера. Компании необходимо проводить политику
(опубликованную и распространенную среди сотрудников), рег­
ламентирующую обращение с такого рода информацией. Пра­
вила этой политики должны предусматривать регистрацию всех
случаев разглашения данных внешним по отношению к компа­
нии лицам.

• Любые данные, аналогичные персональному номеру сотрудника,
должны вообще исключаться из схем идентификации и аутенти­
фикации. Каждый сотрудник должен уметь не только идентифи­
цировать запрашивающего информацию, но и определять его
право на получение доступа к этой информации.

• Во время тренинга по информационной безопасности служащие
должны ознакомиться со следующей ситуацией. Если незнако­
мец задал вам вопрос или попросил об одолжении, то прежде, чем
отвечать на просьбу, необходимо в ответ вежливо попросить по-

дождать и начать идентификацию запрашивающего по установ­ленным в инструкции правилам. После этого, сопротивляясь ес­тественному желанию быть мисс или мистер Вежливость, нужно свериться с корпоративными правилами распространения непубличной информации. Такой стиль поведения может проти­воречить заложенной в человеке тенденции помогать, но немно­го здоровой паранойи избавит вас от игры в роли очередной жертвы социоинженера.

Как показывают истории, изложенные в этой главе, кажущаяся безвредной и неценной информация может послужить ключом к открытию самых важных секретов вашей фирмы.

Комментарий Митника

Старое изречение гласит о том, что даже у истинных параноиков могут быть настоящие враги. Мы должны смириться с тем, что у любого бизнеса тоже есть враги — взломщики, проникающие в сетевую инфра­структуру, готовые похитить фирменные коммерческие тайны. Не спе­шите пополнить статистику жертв компьютерных преступлений — се­годня самое время возвести укрепления в виде хорошо продуманных правил и процедур информационной безопасности.