Искусство обмана - [81]
Информационные статьи, рассылки, напоминания, календари и даже комиксы.
Публикацию наиболее надежного работника месяца.
Специальные плакаты в рабочих помещениях.
Доски объявлений.
Печатные вкладыши в конвертах с зарплатой.
Рассылки с напоминаниями по электронной почте.
Хранители экрана и экранные заставки с напоминаниями.
Вещание напоминаний через голосовую почту.
Специальные наклейки на телефонах. Например: «Звонящий действительно тот, за кого себя выдает?»
Системные сообщения в компьютерной сети. Пример: при входе в систему под своим логином пользователь видит сообщение: «Если Вы пересылаете конфиденциальную информация по Email, не забудьте зашифровать ее!»
Постановку вопроса безопасности одним из постоянных на собраниях, пятиминутках и т.д.
Использование локальной сети для напоминаний в картинках, анекдотах и в виде любой другой информации, которая сможет заинтересовать пользователя и прочитать текст.
Электронные табло в общественных местах, например, в кафетерии, с часто обновляемой информацией о положениях политик безопасности.
Распространение буклетов и брошюр.
Изобретение трюков, таких как печения с предсказаниями с напоминаниями о безопасности вместо загадочных слов о будущем.
Вывод: напоминания должны быть своевременными и постоянными.
«Зачем мне все это?»
Для расширения тренинга я рекомендую активную яркую программу вознаграждений. Вы должны объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социнженера или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, посвященном тренингу, а взломы должны быть широко освещены и разобраны внутри компании.
Но есть и другая сторона монеты: люди должны понимать, что нарушение политик безопасности и установленных процедур, халатность наказуемы. Все мы делаем ошибки, но взломы не должны повторяться.
Краткое описание безопасности в организации
Перевод: Daughter of the Night ([email protected])
Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности.
Определение атаки
Эти таблицы помогут вам обнаружить атаку социального инженера.
Действие
ОПИСАНИЕ
Исследование
Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки.
Создание взаимопонимания и доверия
Использование внутренней информации, выдача себя за другую личность, называние имен людей, знакомых жертве, просьба о помощи, или начальство.
Эксплуатация доверия
Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь.
Применение информации
Если полученная информация – лишь шаг к финальной цепи, атакующий возвращается к более ранним этапам, пока цель не будет достигнута.
Типичные методы действий социальных инженеров
Представляться другом-сотрудником
Представляться сотрудником поставщика, партнерской компании, представителем закона
Представляться кем-либо из руководства
Представляться новым сотрудником, просящим о помощи
Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч.
Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи
Отправлять бесплатное ПО или патч жертве для установки
Отправлять вирус или троянского коня в качестве приложения к письму
Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль
Записывание вводимых жертвой клавиш компьютером или программой
Оставлять диск или дискету на столе у жертвы с вредоносным ПО
Использование внутреннего сленга и терминологии для возникновения доверия
Предлагать приз за регистрацию на сайте с именем пользователя и паролем
Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки
Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании
Просить секретаршу принять, а потом отослать факс
Просить отослать документ в место, которое кажущееся локальным
Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий – их сотрудник
Притворяться, что он из удаленного офиса и просит локального доступа к почте.
Предупреждающие знаки атаки
Отказ назвать номер
Необычная просьба
Утверждение, что звонящий – руководитель
Срочность
Угроза негативными последствиями в случае невыполнения
Испытывает дискомфорт при опросе
Называет знакомые имена
Делает комплименты
Флиртует
Типичные цели атакующих
ТИП ЖЕРТВЫ
ПРИМЕРЫ
Незнающая о ценности информации
Секретари, телефонистки, помощники администрации, охрана.
Имеющая особенные привилегии
Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем.
Поставщик/ Изготовитель
Кевин Митник по праву считается самым неуловимым мастером компьютерного взлома в истории. Он проникал в сети и компьютеры крупнейших мировых компаний, и как бы оперативно ни спохватывались власти, Митник был быстрее, вихрем проносясь через телефонные коммутаторы, компьютерные системы и сотовые сети. Он долгие годы рыскал по киберпространству, всегда опережая преследователей не на шаг, а на три шага, и заслужил славу человека, которого невозможно остановить. Но для Митника хакерство не сводилось только к технологическим эпизодам, он плел хитроумные сети обмана, проявляя редкое коварство и выпытывая у ничего не подозревающего собеседника ценную информацию.«Призрак в Сети» – захватывающая невыдуманная история интриг, саспенса и невероятных побегов.
Эта книга – редкая возможность увидеть Стива Джобса таким, каким его видели лишь его самые близкие сотрудники, и разгадать загадку этого легендарного человека. Это возможность понять и освоить оригинальный стиль лидерства Джобса, благодаря которому Apple стала одной из величайших компаний и смогла выпускать продукты, изменившие нашу жизнь. Автор книги, Джей Эллиот, бывший старший вице-президент компании Apple, долгое время работал бок о бок со Стивом Джобсом и сформулировал главные уроки «iЛидерства», которые помогут совершить прорыв компании любого размера и из любой отрасли.
Эта книга о самом поразительном человеке в современной истории бизнеса – Стиве Джобсе – великом предпринимателе эпохи высоких технологий, известном своим индивидуализмом, инакомыслием и бунтарским характером. Авторы подробно описали головокружительный взлет молодого человека, очень рано добившегося успеха, и последовавшее за этим стремительное падение, во время которого Стив был изгнан не только из Apple, но и из компьютерной индустрии вообще.Эта книга приобрела скандальную известность еще на этапе ее подготовки к печати.
Истории, рассказанные в этой книге, демонстрируют, как небезопасны все компьютерные системы, и как мы уязвимы перед подобными атаками. Урок этих историй заключается в том, что хакеры находят новые и новые уязвимости каждый день. Читая эту книгу, думайте не о том, как изучить конкретные уязвимости тех или иных устройств, а о том, как изменить ваш подход к проблеме безопасности и приобрести новый опыт.Если вы профессионал в области информационных технологий или обеспечения безопасности, каждая из историй станет для вас своеобразным уроком того, как повысить уровень безопасности в вашей компании.