 |
 |
 |
 |
|
 |
 |
у Вас номер служащего?»
Питер любезно сказал свой номер. А почему нет? Он пишет его почти на каждой
персональной форме, когда их заполняет, многие люди в компании имеют к нему доступ –
человеческие ресурсы, плат¸жные ведомости и, очевидно, внешние транспортные агентства.
Никто не относится к номеру работника как к чему-то секретному. Так какая разница?
Ответ нетрудно предсказать. Два или три куска информации – это иногда вс¸, что
нужно для эффективного превращения, когда социальный инженер скрывается под чьей-то
персоной. Узнать имя работника, его телефонный номер, его номер работника и, возможно,
на всякий случай, имя и телефон его начальника, – и тогда компетентный социальный
инженер будет знать почти вс¸, что ему нужно, чтобы звучать правдоподобно, когда он
позвонит его следующей жертве.
Если бы вчера позвонил кто-нибудь и сказал, что он был из другого отдела вашей
компании, и, учитывая вероятную причину, спросил ваш номер работника, вы бы отказались
его сообщить?
А, между прочим, какой у Вас номер социального страхования?
Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную
информацию или идентификаторы любому, если вы не узна¸те его или е¸ голос.
Предотвращение обмана
Ваша компания ответственна за то, чтобы предупредить работников насколько
серь¸зной может быть выдача непубличной информации. Хорошая продуманная
информационная политика безопасности вместе с надлежащим обучением и тренировками
улучшат понимание работников о надлежащей работе с корпоративной бизнес-информацией.
Политика классификации данных поможет вам осуществить надлежащий контроль за
раскрытием информации. Без политики классификации данных вся внутренняя информация
должна рассматриваться как конфиденциальная, если не определено иначе.
Примите к сведению эти шаги для защиты вашей компании от распространения
кажущейся безвредной информации:
Отдел информационной защиты должен проводить обучения, детализуя методы,
используемые социальными инженерами. Один метод, описанный выше, касается получения
кажущейся нечувствительной информации и использование е¸ для получения
краткосрочного доверия. Каждый работник должен знать, что когда у звонящего есть знания
о процедурах компании, лексике и внутренних идентификаторах, он должен подтвердить
личность звонящего или получить от него разрешение на получение того, что он хочет.
Звонящий может быть обычным работником или подрядчиком с необходимой внутренней
информацией. Соответственно, на каждой корпорации лежит ответственность за
определение соответствующего опознавательного метода, для использования в случаях,
когда работники взаимодействуют с людьми, которых не могут узнать по телефону.
Человек или люди, ответственные за составление политики классификации данных,
должны исследовать типы данных, которые кажутся безвредными и могут быть
использованы законными служащими для получения доступа, но могут привести к
получению важной информации. Хотя вы никогда не открыли бы коды доступа к вашей
карте ATM, вы сказали бы кому-нибудь, какой сервер вы используете для разработки
программных продуктов? Может ли кто-нибудь, притворяющийся кем-то с законным
доступом к корпоративной сети, использовать эту информацию?
Иногда одно только знание внутренней терминологии может заставить социального
инженера казаться авторитетным и хорошо осведомл¸нным. Часто атакующий полагается на
это общее неправильное представление, чтобы добиться согласия его/е¸ жертвы. Например,
Merchant ID – это идентификатор, который люди из Отдела Новых Счетов банка небрежно
используют каждый день. Но такой идентификатор то же самое, что пароль. Если каждый
