 |
 |
 |
 |
|
 |
 |
"Нет, RMorgan" .
«Итак. Всем новым сотрудникам надо знать, что опасно открывать вложенные файлы,
которых вы не ожидаете… Много вирусов и червей распространяются и приходят ос адресов
тех людей, кого вы знаете. Так что если ты не ожидала письма с вложением, ты должна
проверить, действительно ли отправитель его отправил. Понятно?»
«Да, я об этом слышала».
«Отлично. По нашим требованиям, пароль надо менять каждые 90 дней. Когда ты в
последний раз меняла пароль?»
«Я тут всего две недели, и использую тот, который я в начале поставила».
«Окей. Это хорошо. Но мы должны быть уверены, что люди используют пароли,
которые не слишком легко отгадать. Используешь ли ты пароль, состоящий из букв и цифр?»
«Нет».
«Ну, мы это поправим… Какой пароль ты используешь сейчас?»
«Имя моей дочери – Annette.»
«Это не очень безопасный пароль. Ты никогда не должна использовать пароль,
основанный на семейной информации. Так, посмотрим. Вы можете сделать так же, как я. То,
что ты используешь сейчас, сойдет для 1-й части пароля, но каждый раз, когда его меняешь,
добавляй число текущего месяца».
«Так что если я сменю пароль сейчас, в Марте, я поставлю „3“».
«Это уже как хочешь. Какой вариант тебе подойдет?»
«Я думаю, Annette3».
«Отлично. Тебе рассказать, как его изменить?»
«Нет, я знаю как».
«Хорошо. И последнее, о чем надо поговорить. У тебя на компьютере есть антивирус,
который надо регулярно обновлять. Ты не должна отключать автоматическое обновление,
даже если твой компьютер временно тормозит. Ладно?»
«Конечно».
«Отлично. У тебя есть наш номер, чтобы ты могла связаться с нами в случае
неполадок?»
Номера у нее не было. Он сказал ей номер, и она его аккуратно записала, и вернулась к
работе, опять довольная, что о ней заботятся.
Анализ обмана
Эта история затрагивает основную тему, которая упоминается на протяжении всей
книги: чаще всего, информация, которую социальный инженер хочет получить от работника,
не знающего о его конечной цели, это аутентификационные данные жертвы. Зная имя
пользователя и пароль одного из пользователей, который находится в нужной части
компании, атакующий получит то, что ему нужно, чтобы попасть вовнутрь и найти любую
нужную ему информацию. Обладать этими данными – то же самое, что найти ключи от
города; с ними в руке, он сможет свободно ходить по корпоративному пространству и найдет
сокровище, которое он ищет.
Сообщение от Митника
Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным
системам, они должны быть обучены правилам безопасности, в особенности правилам о
нераскрывании паролей.
Не так безопасно, как думаешь
«Компания, которая не прикладывает усилий для защиты важной информации просто
поступает небрежно». Многие люди согласятся с этим утверждением. И мир был бы более
приятным местом, если бы жизнь была бы более простой и очевидной. Правда в том, что
даже те компании, которые прикладывают усилия для защиты конфиденциальной
информации, так же могут быть в опасности.
