Искусство обмана   ::   Митник Кевин

Электронные табло в общественных местах, например, в кафетерии, с часто обновляемой информацией о положениях политик безопасности.

Распространение буклетов и брошюр.

Изобретение трюков, таких как печения с предсказаниями с напоминаниями о безопасности вместо загадочных слов о будущем.

Вывод: напоминания должны быть своевременными и постоянными.



«Зачем мне все это?»



Для расширения тренинга я рекомендую активную яркую программу вознаграждений. Вы должны объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социнженера или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, посвященном тренингу, а взломы должны быть широко освещены и разобраны внутри компании.

Но есть и другая сторона монеты: люди должны понимать, что нарушение политик безопасности и установленных процедур, халатность наказуемы. Все мы делаем ошибки, но взломы не должны повторяться.



Краткое описание безопасности в организации



Перевод: Daughter of the Night ([email protected])

Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности.



Определение атаки



Эти таблицы помогут вам обнаружить атаку социального инженера.

Действие

ОПИСАНИЕ

Исследование

Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки.

Создание взаимопонимания и доверия

Использование внутренней информации, выдача себя за другую личность, называние имен людей, знакомых жертве, просьба о помощи, или начальство.

Эксплуатация доверия

Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь.

Применение информации

Если полученная информация — лишь шаг к финальной цепи, атакующий возвращается к более ранним этапам, пока цель не будет достигнута.

Типичные методы действий социальных инженеров

Представляться другом-сотрудником

Представляться сотрудником поставщика, партнерской компании, представителем закона

Представляться кем-либо из руководства

Представляться новым сотрудником, просящим о помощи

Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч.

Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи

Отправлять бесплатное ПО или патч жертве для установки

Отправлять вирус или троянского коня в качестве приложения к письму

Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль

Записывание вводимых жертвой клавиш компьютером или программой

Оставлять диск или дискету на столе у жертвы с вредоносным ПО

Использование внутреннего сленга и терминологии для возникновения доверия

Предлагать приз за регистрацию на сайте с именем пользователя и паролем

Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки

Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании

Просить секретаршу принять, а потом отослать факс

Просить отослать документ в место, которое кажущееся локальным

Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник

Притворяться, что он из удаленного офиса и просит локального доступа к почте.