Комментарий Митника
Не полагайтесь на сетевую защиту или брандмауэры для того, чтобы сохранить свою информацию. Попробуйте найти ваше наиболее уязвимое место. Как правило, вы обнаружите, что слабое звено защиты заключается в ваших людях.
Безопасность через незаметность совершенно не поможет в блокировании атаки социоинженера. Любой компьютерной системой в мире пользуется по крайней мере один человек. Поэтому, если атакующий сможет манипулировать человеком, который пользуется системой, незаметность здесь будет неуместна.
В этом случае не нужно ни проверять или идентифицировать кого-то, ни давать кому-либо персональный номер, не нужно ежедневно изменять пароль. Если вы узнали по какому номеру звонить и ваш голос звучит авторитетно, то вам дается право получить информацию.
Все это не слишком благоразумно со стороны телефонной компании. Их единственной попыткой обеспечить безопасность была периодическая смена телефонного номера, по меньшей мере раз в год. Даже в этом случае, их актуальный номер был широко известен среди телефонных фрикеров, которые наслаждаются от получения выгоды из такого доступного источника информации, и от того, что делятся опытом со своими друзьями-фрикерами. Трюк с бюро CNA был одним из первых, которому я научился, увлекаясь фрикерством в подростковом возрасте.
Speakeasy security все еще широко распространена в мире бизнеса и в правительственных учреждениях. Похоже, что любой малоопытный взломщик может проникнуть в систему в качестве авторизованной персоны, если соберет достаточно информации об отделах, людях и жаргоне, принятом в вашей компании. Иногда даже нужно и того меньше: иногда внутренний телефонный номер – это все, что надо.
Эта история показывает, что временные жетоны безопасности и подобная форма идентификации не является совершенной защитой от коварного социоинженера. Единственная защита – это добросовестный работник, который следует всем правилам и понимает, как посторонние могут умышленно повлиять на его поведение.
Могло ли что-нибудь подобное случится в вашей компании? Может быть, уже случилось?
Коды безопасности, которые произносят сотрудники, аналогичны паролям и представляют собой удобное средство защиты информации. Надо только рассказать сотрудникам о возможных уловках социальных инженеров и научить их никогда не выдавать эти сведения, которые в реальности являются «ключами от королевства».
Если в вашей компании есть телефонная станция, как должен вести себя обслуживающий ее человек, получая запрос о ее номере от производителя этой станции? Кстати, поменяли ли вы начальное значение пароля на вашей станции и что за слово используется в ней в качестве пароля?
Манипуляторы (люди, которые манипулируют другими людьми) обычно обладают привлекательной внешностью. Они, как правило, легки на подъем и очень четко и правильно выражают свои мысли. Социоинженер также обладают навыками сбивать людей с толку таким образом, что они не могут взаимодействовать между собой. Думать, что какой-то определенный человек может противостоять манипуляциям, значит недооценить умения и потрясающую интуицию социоинженера.
Хороший социоинженер, наоборот, всегда по достоинству оценивает своего противника.
Возможно, ваша корзина с мусором является сокровищем для ваших врагов. Мы не придаем большого значения тому, что мы выбрасываем, находясь вне работы. Так почему мы думаем, что люди ведут себя на работе по-другому? Все сводится к тому, что нужно просвещать работников относительно опасности (небрезгливых людях, которые копаются в мусоре с целью поиска ценной информации) и уязвимости (засекреченная информация, которая не уничтожена или некачественно стерта).
Большинство работников, которых смещают, или увольняют, или понижают в должности не создают проблем. Однако достаточно одного проблемного сотрудника, чтобы компания осознала, пусть и слишком поздно, какие меры безопасности нужно предпринимать для того, чтобы предотвратить несчастье.
Опыт и статистика показывают, что большая угроза исходит от своих же людей. Именно свои люди знают, где хранится ценная информация и куда нужно ударить, чтобы причинить как можно больше вреда.
Впуская незнакомца на территорию, где можно подключиться к компьютерной сети компании, вы увеличиваете риск вторжения. Работнику, особенно из другого офиса, вполне разумно разрешить проверить свою почту из переговорной, но до тех пор, пока посетитель не опознан, компьютерная сеть должна быть защищена от несанкционированных соединений. Компьютерная сеть и есть слабое звено, при помощи которого файлы компании могут быть использованы в корыстных целях.
Промышленные шпионы и хакеры далеко не всегда проникают в другие компьютеры через сеть, достаточно часто они просто входят в офис компании, и используют методы социальной инженерии для убеждения тех, кто находится по другую сторону двери, в необходимости открыть эту дверь.
Это еще один пример того, как умные люди недооценили противника. А как обстоит дело у вас - уверены ли вы в безопасности вашей компании настолько, чтобы выложить 300 долларов тем, кто сможет в нее проникнуть? Иногда уровень безопасности ваших технологических устройств не так высок, как вам кажется.
Используя терминологию известной игры «Монополия», « если вы используете словарные слова для вашего пароля - немедленно отправляйтесь в тюрьму». Вы должны старательно обучить сотрудников, как выбирать пароли, чтобы защитить ваши активы.
Когда хакер не может получить доступа к сети или компьютеру, он попытается сделать это, манипулируя другим человеком. Когда физический доступ необходим для достижения цели, гораздо правильнее использовать для его реализации посредника, чем делать что-то самому, поскольку в таком случае атакующий подвергается меньшему риску быть обнаруженным.
Просить о помощи подчиненного или коллегу по работе – совершенно обычное дело в любой компании. Социальный инженер прекрасно знает, как сыграть на естественном человеческом желании помочь и быть настоящим «игроком команды». Он использует эту хорошую человеческую черту в своих интересах, и ничего не подозревающие сотрудники приближают его к цели. Очень важно осознать эту простую мысль, тогда вы будете лучше защищены, если кто-то захочет манипулировать вами.
В следующий раз, когда на телефоне высветится номер вашей мамочки, не обольщайтесь, это может быть какой-нибудь очаровательный социальный инженер
Почаще прослушивайте свою голосовую почту; если вы услышите исходящее сообщение, сказанное не вашим голосом, знайте, что вы встретились с социальным инженером.
Опытный социальный инженер всегда очень умело влияет на других людей, чтобы использовать их в своих интересах. Получить факс и переправить его на другой адрес – копеечное дело, поэтому убедить сотрудника приемной сделать это не составляет никакого труда. Запомните: если кто-то, кого вы не знаете или не можете проверить его личность, просит вас оказать услугу, связанную с информацией, откажите ему.
Человеческое сознание – удивительная вещь. Можно только удивляться тому, насколько изобретательными бывают мошенники для достижения своих целей или для выхода из сложных ситуаций. Для защиты компьютерных сетей и информации, содержащейся в них, как в частном так и в государственном секторе, требуется не меньшая фантазия и изобретательность. Поэтому, друзья, создавая политики безопасности для вашей компании – будьте креативны и думайте нестандартно.
Хотя большинство атак социальных инженеров проводятся по телефону или через электронную почту, не надо предполагать, что опытный атакующий никогда не появится в вашей компании лично. В большинстве случаев обманщик использует различные приемы социальной инженерии для того, чтобы получить доступ в здание, надев на себя “бэдж” сотрудника, сделанный при помощи такой всем известной программы, как Photoshop.
А как быть с визиткой, на которой в качестве телефона указан номер тестовой линии телефонной компании? В известном американском телевизионном шоу “Файлы Рокфорда”, посвященном работе частных детективов рассказывалось о таком забавном приеме. У главного героя, Рокфорда (которого играл Джеймс Гарнер), в автомобиле была портативная машинка для печатания визитных карточек. Он использовал ее для печатания карточек того типа, который был ему нужен в данный конкретный момент. Сегодня социальный инженер может получить любые визитки в течение часа в любом копировальном салоне или самостоятельно распечатать их на приличном лазерном принтере.
Что же заставляет нескольких умных мужчин и женщин поверить обманщику? Вероятно, здесь действует и чувство и разум. Когда мы видим человека, внешность которого внушает доверие – а именно такой внешностью и обладают большинство мошенников – наше чувство опасности притупляется. Именно внешность, внушающая доверие и отличает успешного мошенника или социального инженера от одного из тех, терпит поражение.
Спросите себя: уверены ли вы в том, что никогда не попадете в историю, подобно истории с Риком? Если вы уверены, что «нет», задайте вопрос, захочет ли кто-нибудь проделать нечто подобное с вами. Если ответ на второй вопрос «да», то, скорее всего ответ на первый вопрос тоже должен быть «да»...
Очень важное правило, которое надо буквально вдолбить всем сотрудникам: никогда не пересылайте никаких файлов людям, которых вы лично не знаете (за исключением прямых указаний руководства), даже если адрес назначения находится во внутренней сети компании.
Насколько просто аналогичную атаку можно провести против вашей компании?