 |
 |
 |
 |
|
 |
 |
Примеры атак:
Сотрудник получает звонок от человека, который называет себя сотрудником IT
департамента. Звонящий рассказывает, что некоторые компьютеры компании заражены
новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить
(повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как
решить проблему. Затем он просит сотрудника протестировать недавно обновленную
утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать,
потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса.
Он хочет отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару
вопросов…
Ответственность
Люди меют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что
не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые
препятствия для того, чтобы сдержать слово или выполнить обязанность.
Примеры атак:
Атакующий связывается с подходящим новым сотрудником и советует ознакомиться с
соглашением о политиках безопасности и процедурах, потому что это – основной закон,
благодаря которому можно пользоваться информационными системами компании. После
обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника
«для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания.
Когда пользователь выдает свой прароль, звонящий дает рекомендации, как выбирать пароли
в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается
следовать советам, потому что это соответствует политике компании. К тому же рабочий
предполагает, что звонивший только что подтвердил его согласие следовать соглашению.
Социальная принадлежность к авторизованным
Людям свойственно не выделяться в своей социальной группе. Действия других
являются гарантом истинности в вопросе поведения. Иначе говоря, «если так делают другие,
я тоже должен действовать так».
Примеры атак:
Звонящий говорит, что он проверяющий и называет имена других людей из
департамента, которые занимаются проверкой вместе с ним. Жертва верит, потому что
остальные названные имена принадлежат работникам департамента. Затем атакующий
может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва.
Ограниченное количество «бесплатного сыра»
Еще одна из потенциально опасных для безопасностии информации человеческих черт
– вера в то, что объект делится частью информации, на которую претендуют другие, или что
эта информация доступна только в этот момент.
Примеры атак:
Атакующий рассылает электронные письма, сообщающие, что первые 500
зарегистрировавшихся на новом сайте компании выиграют 3 билета на примьеру отличного
фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят
ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль.
Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех
системах. Воспользовавшись этим, атакующий может попытаться получить доступ к
целевому рабочему или домашнему компьютеру зарегистрировавшегося.
Создание тренировочных и образовательных программ
Выпуская брошюру политик информационной безопасности или направляя рабочих на
Интранет-страницу с этими правилами, но которая не содержит простого разъяснения
деталей, вы уменьшаете риск. Каждый бизнес должен не только иметь прописные правила,
но и побуждать (заставлять) старательно изучить и следовать этим правилам всех , кто
