сообщать сведения о клиенте. Никто не рассказал ей об опасности телефонных звонков,
подобных тому, что сделал Арт. Этого не было в политике компании, это не было частью ее
обучения, и ее руководитель никогда не упоминал об этом.
Предотвращение обмана
В обучение безопасности следует включить следующий момент: звонящий или
посетитель не является тем, за кого он себя выдает только потому, что он знает имена
некоторых людей в компании или знает корпоративные терминологию или процессы. И это
точно не доказывает, что он тот, кому разрешены выдача внутренней информации или
доступ к компьютерной системе или сети.
Обучение безопасности должно подчеркивать: когда сомневаетесь, проверяйте,
проверяйте, и еще раз проверяйте!
Раньше доступ к информации был признаком высокого положения и привилегии.
Рабочие топили печи, запускали машины, печатали письма и сдавали отчеты. Мастер или
начальник указывал, что, когда и как им делать. Мастер или начальник знал, сколько
«штучек» (украшений) должен сделать работник за смену, сколько, каких цветов и размеров
должна выпустить фабрик на этой неделе, на следующей, и к окончанию месяца.
Работники работали с машинами, инструментами и материалами, начальники работали
с информацией. Работникам нужна была только специфическая информация, присущая их
работе.
Сегодня немного другая картина, не так ли? Многие работники фабрик используют
различные виды компьютеров и машин, управляемых компьютером. критическая
информация на пользовательские компьютеры, чтобы они могли выполнить свою работу. В
сегодняшних условиях почти все, чем занимаются служащие, связано с обработкой
информации.
Вот почему политика безопасности компании должна распространяться по всему
предприятию, независимо от положения служащих. Каждый должен понимать, что не только
руководители, располагающие информацией, могут стать целью атакующего. Сегодня
работники всех уровней, даже те, которые не используют компьютер, могут быть мишенью.
Новые работники в группе обслуживания клиентов могут быть самым слабым звеном,
которое социальный инженер использует для достижения своей цели. Обучение
безопасности и корпоративная политика безопасности должны усилить это звено.
Глава 4: Внушая доверие
(Chapter 4 Building Trust)
Перевод: (Теневой Георг, Whitewoolf@ukr.net, ICQ 118145).
Некоторые рассказы могли заставить Вас думать, будто я верю в то, что все на самом
деле полные идиоты, готовые, даже жаждущие, отдать каждый секрет. Социальный инженер
знает, что это неправда. Почему атака социальной инженерией так успешна? Это так, не
потому что люди глупы или им не хватает здравого смысла
Просто мы, как люди,
полностью уязвимы перед обманом, поскольку люди могут изменить доверие, если
манипулировать определенным образом.
Социальный инженер ожидает подозрение и недоверие, и он всегда подготавливается,
чтобы недоверие превратить в доверие. Хороший социальный инженер планирует атаку
подобно шахматной игре, предполагая вопросы, которые цель атаки может задать, так что у
него могут быть готовы подходящие ответы.
Одна из его основных техник включает создание чувства доверия со стороны его жертв.
Как он заставляет Вас верить ему? Поверьте мне, может.
Доверие: ключ к обману
|