Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
В этой социоинженерной атаке Диди начала с «уточнения» телефонных номеров трех отделов компании-мишени. Это не представляло трудностей, так как нужные ей данные не были засекречены, тем более для своих сотрудников. Социальный инженер умеет выглядеть и говорить, как твой коллега, а Диди владела своей профессией в превосходстве. Один из полученных телефонных номеров привел ее к коду калькуляции (субсчету) отдела, без которого вряд ли было возможно получить внутренний справочник.
Во время работы ей понадобилось: приветливо вести разговор, использовать корпоративный язык и в последнем эпизоде немного словесно заиграть со своей жертвой.
Кроме прочего, присутствовал один непростой элемент — опыт манипулирования, отточенный практикой и неписаными уроками поколений самоуверенных людей.
И ВОВСЕ НИКЧЕМНАЯ ИНФОРМАЦИЯ
Если не брать в расчет коды калькуляций и добавочные телефонные номера, то какая еще безобидная информация может пригодиться вашему врагу?
Звонок Питеру Абелю
- Привет, - произнес голос на другом конце провода. -Это Том из
Паркхест Трэвел. Ваши билеты в Сан-Франциско готовы. Вы хотите,
чтобы мы их вам доставили, или сами заедите за ними?
- Сан-Франциско?! - воскликнул Питер. - Но я не собирался в Сан-
Франциско.
- Я говорю с Питером Абелем?
- Да, но я никуда не собираюсь.
- Однако, — с долей иронии говорит звонящий, — вы уверены, что не
хотите ехать в Сан-Франциско?
- Поговорите об этом с моим начальником... — подыгрывая, отвечает
Питер.
- Загадка какая-то, — отвечает звонящий. — Все заявки в нашей систе
ме привязаны к номеру служащего. Может кто-то сказал нам не тот
номер? Какой у вас номер?
Питер озвучил свой номер. А почему бы и нет? Этот номер он записывал практически на каждом бланке, куча сотрудников знает этот номер - кадровый отдел, бухгалтерия и (почему бы и нет) он может быть известен туристическому агентству, с которым работает его офис. Никто не считает собственный номер секретом. Какая разница? На этот вопрос ответить более чем просто. Вполне возможно, что два или три фрагмента «незначительных» данных приведут к тому, что социальный инженер сможет эффективно прикрываться вашим именем. Узнает ваше имя, внутренний телефон, номер служащего, и, на всякий случай, имя вашего начальника и его телефон. Этого достаточно даже шпиону средней руки, чтобы комфортно себя чувствовать и правдиво выглядеть в глазах следующей жертвы. Если вчера вам позвонил кто-то, кто представился коллегой из другого отдела вашей компании, назвал причину своего звонка и спросил у вас ваш номер служащего, то что вам мешало ответить ему? И кстати будет спросить, какой номер вашей социальной карты?
Комментарий Митника
Мораль сей басни такова - если вам не знаком голос запрашивающего
информацию или если вы не уверены, что запрашивающий имеет право
на получение информации, то ни при каких обстоятельствах не говорите
ему идентификаторы, равно как личные или служебные данные.
ПРЕДОТВРАЩЕНИЕ ОБМАНА
Компания в лице администрации несет ответственность за то, чтобы сотрудники понимали всю серьезность ошибок, связанных с неправильным обращением внутренней информации. Хорошо продуманная политика информационной безопасности предприятия совместно с должным обучением и тренингом сотрудников может значительно повысить общий фон компетентности в вопросах работы с деловой информацией. Политика классификации информации поможет вам внедрить подходящие механизмы контроля с учетом специфики распространения данных. Без правил такой политики вся внутренняя информация должна восприниматься как конфиденциальная, если отдельно не оговорено обратное.
Информация, которая кажется незначительной и не имеющей ценности, может защищаться по следующей схеме:
• Отдел информационной безопасности должен проводить тренинги для сотрудников. Тренинги должны затрагивать специфические методы, используемые социоинженерами. Один из описанных выше методов заключается в получении доступа к «безвредной» информации и последующем использовании данных в качестве джокера, которого можно обменять на моментальное доверие жертвы. Все без исключения служащие должны понимать, что если собеседник кажется сведущим в бизнес-процессах и сложившейся терминологии, знает внутренние номера и идентификаторы, то это вовсе и ни в коем случае не означает, что собеседник является тем, за кого он себя выдает, или имеет право знать то, о чем спрашивает. Звонящий, на самом деле, может быть бывшим служащим или нанятым по контракту человеком, знакомым с внутренней классификацией и устоявшимися в фирме правилами. Итак, корпорация обязана определить подходящие методы аутентификации незнакомых лиц.
•Человек или группа, ответственная за составление политики классификации должны выяснить все возможные пути получения доступа к ценной информации посредством «выуживания» данных, кажущихся несущественными с точки зрения безопасности. Ведь несмотря на то, что вы никогда не скажете постороннему PIN-код пластиковой карты, остается под вопросом, не расскажете ли вы постороннему о сервере, на котором лежат исходные тексты разрабатываемой вашей фирмой програмы. Не поможет ли атакующему внутреннее имя сервера, если он собирается напасть на локальную сеть предприятия?
• Иногда знание внутренней терминологии позволяет социально
му инженеру выглядеть в глазах ваших сослуживцев коллегой,
имеющим право на доступ к информации, которую не пре
доставляют посторонним. Атакующий легко может превратить
это заблуждение в собственное преимущество и войти к вам
в доверие. Как пример, Коммерческий идентификатор ежед
невно используется служащими отдела открытия новых счетов.
Но этот идентификатор не многим отличается от пароля. И если
служащие адекватно относятся к идентификатору {как к PIN-
коду собственной кредитной карты), то они с большим внимани
ем отнесутся к запросам на его получение.
• Ни одна компания (быть может, за редким исключением) не
распространяет публично прямые номера своих директоров и уп
равляющих. Несмотря на это, номера большинства собственных
отделов легко доступны — в особенности своим же сотрудникам
или тем, кто кажется своим сотрудником. Противодействие это
му: внедрить политику, которая документально запретит разгла
шение прямых и внутренних телефонов служащих, консультан
тов, временных сотрудников и т.п. Еще более важным является
разработка пошаговых процедур идентификации человека, кото
рый запрашивает контактные координаты одного из сотрудни
ков компании.
• Бухгалтерские счета рабочих групп и отделов, так же как и ко
пии внутренних справочников (неважно, бумажные это копии
или электронные) всегда являются первичной целью со-
циоинженера. Компании необходимо проводить политику
(опубликованную и распространенную среди сотрудников), рег
ламентирующую обращение с такого рода информацией. Пра
вила этой политики должны предусматривать регистрацию всех
случаев разглашения данных внешним по отношению к компа
нии лицам.
• Любые данные, аналогичные персональному номеру сотрудника,
должны вообще исключаться из схем идентификации и аутенти
фикации. Каждый сотрудник должен уметь не только идентифи
цировать запрашивающего информацию, но и определять его
право на получение доступа к этой информации.
• Во время тренинга по информационной безопасности служащие
должны ознакомиться со следующей ситуацией. Если незнако
мец задал вам вопрос или попросил об одолжении, то прежде, чем
отвечать на просьбу, необходимо в ответ вежливо попросить по-
дождать и начать идентификацию запрашивающего по установленным в инструкции правилам. После этого, сопротивляясь естественному желанию быть мисс или мистер Вежливость, нужно свериться с корпоративными правилами распространения непубличной информации. Такой стиль поведения может противоречить заложенной в человеке тенденции помогать, но немного здоровой паранойи избавит вас от игры в роли очередной жертвы социоинженера.
Как показывают истории, изложенные в этой главе, кажущаяся безвредной и неценной информация может послужить ключом к открытию самых важных секретов вашей фирмы.
Комментарий Митника
Старое изречение гласит о том, что даже у истинных параноиков могут быть настоящие враги. Мы должны смириться с тем, что у любого бизнеса тоже есть враги — взломщики, проникающие в сетевую инфраструктуру, готовые похитить фирменные коммерческие тайны. Не спешите пополнить статистику жертв компьютерных преступлений — сегодня самое время возвести укрепления в виде хорошо продуманных правил и процедур информационной безопасности.
Дата публикования: 2014-12-10; Прочитано: 206 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!