возбуждение, даже лучше чем сноубординг или прыжки с парашютом.
Дэнни был пьян той ночью, не от виски, джина, пива, а от могущества и чувства
завершенности, приблизившись к чрезвычайно секретной программе.
Анализ обмана
Как и в предыдущей истории, уловка сработала только потому, что один из работников
компании слишком охотно принял, что звонящий был действительно служащим, которым он
представился. Стремление помочь сотруднику, с одной стороны, является частью того, что
смазывает колеса промышленности, и частью того, что делает приятным работу служащих
одних компаний с работниками других организаций. Но с другой стороны, эта полезность
может быть главной уязвимостью, которую попытается использовать социальный инженер.
Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого-нибудь
принести жетон из своего стола, он настаивал на том, чтобы кто-то «принес» его для него.
«Принеси» это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели
принести что-нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была
отклонена, было принято другое решение, именно то, которое хотелось ему.
Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен
людей, которых он знал. Но почему руководитель Ковальски IT-руководитель, не
меньше, позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что
звонок о помощи может быть мощным убедительным инструментом в арсенале социального
инженера.
Сообщение от Митника
Эта история показывает, что синхронизируемые жетоны и простые формы
аутентификации не может быть защитой против коварного социального инженера.
Может что-то подобное случиться в вашей компании? Случилось ли уже?
Предотвращение обмана
Может показаться, что один элемент часто упоминается в этих историях атакующий
приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего,
который помогал бы ему, удостоверившись в том, что звонящий действительно является
работником, и у него есть право доступа. Почему я так часто возвращаюсь к этой теме?
Потому что это правда один из факторов многих атак социальной инженерии. Для
социального инженера это самый легкий путь к достижению цели. Почему атакующий
должен тратить часы на вторжение, когда он может сделать это с помощью обычного
телефонного звонка?
Один из самых мощных методов провести атаку это обычная уловка с просьбой о
помощи, подход, часто используемый атакующими. Вы не хотите, чтобы ваши служащие
перестали быть полезными для коллег и клиентов, поэтому вам нужно вооружить их
особыми процедурами подтверждения для всех, кто запрашивает компьютерный доступ или
конфиденциальную информацию. Этот способ , служащие могут быть полезными для тех,
кто заслуживает помощи, но в то же время защищают информационное имущество и
компьютерные системы организации.
Необходимо детально разобрать, какой механизм подтверждения следует использовать
в различных случаях. В главе 17 приведен список процедур, есть руководящие принципы для
рассмотрения.
Хороший способ удостоверить личность человека, обратившегося с просьбой,
позвонить по телефонному номеру, указанному в справочнике компании. Если человек,
обратившийся с просьбой, действительно атакующий, проверочный звонок позволит
поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или
выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом
атакующего.
Если номера служащих используются в вашей компании для проверки подлинности, то
они должны тщательно охраняться и не сообщаться чужим людям. То же самое относится ко
всем видам внутренних номеров, как телефонные номера, идентификаторы и даже адреса
|