Неосторожный руководитель
Введение
Несмотря на общие предположения о том, что руководители в сфере информационных технологий хорошо разбираются в правилах безопасности, эта история показывает, как даже они могут стать жертвами социальной инженерии.
Подготовка
- Дэнни, опытный хакер, намеревался завладеть исходным кодом защищенного программного обеспечения.
- Он использовал информацию из открытых источников, чтобы настроиться на полицейские и пожарные частоты, чтобы прослушивать их разговоры.
- Дэнни был «белым хакером», который нарушал системы ради острых ощущений и интеллектуального вызова.
Атака
- Дэнни узнал о компании, создающей защищенные радиосистемы, и ее системе аутентификации, требующей как имени пользователя и пароля, так и синхронизируемого жетона.
- Он успешно выдал себя за сотрудника компании, позвонив на завод и разыграв сцену.
- Оператор компьютерного центра, Ковальски, уступил просьбе Дэнни об использовании синхронизируемого жетона центра во время метели.
- Руководитель Ковальски также одобрил доступ Дэнни к секретному коду жетона в качестве одолжения.
Доступ к сети
- Используя временную учетную запись, предоставленную Ковальски, Дэнни смог войти в сеть компании.
- Он нашел уязвимость, которая позволила ему получить доступ к главному серверу, содержащему исходные коды.
- Дэнни скопировал файлы на удаленный сервер и уничтожил все следы своего вторжения.
Выводы
- Синхронизируемые жетоны уязвимы для социальной инженерии.
- Стремление помочь со стороны сотрудников может быть слабым местом для злоумышленников.
- Внешние атакующие могут получить доступ к корпоративным сетям, используя обычные телефонные звонки.
Шаги предотвращения
- Установите четкие процедуры подтверждения личности для запросов доступа к компьютеру или конфиденциальной информации.
- Обратный вызов по указанным в справочнике номерам телефонов для проверки подлинности.
- Ограничьте доступ к внутренним номерам, идентификаторам и адресам электронной почты.
- Проводите обучение по осведомленности о безопасности, чтобы подчеркнуть методы социальной инженерии.
- Обеспечьте соблюдение правил безопасности всеми, включая офицеров безопасности и системных администраторов.
- Избегайте совместного использования паролей и синхронизируемых жетонов.
Ключевые особенности социальной инженерии, выявленные в статье:
Обход мер безопасности
- Социальные инженеры используют психологические методы, чтобы заставить людей нарушить процедуры безопасности.
- Они могут выдавать себя за сотрудников компании или использовать доверие людей, чтобы получить доступ к конфиденциальной информации или системам.
Использование доступной информации
- Социальные инженеры часто собирают информацию из открытых источников, таких как веб-сайты и социальные сети.
- Они используют эти знания, чтобы создать убедительные личности и обмануть свои жертвы.
Понимание человеческого поведения
- Социальные инженеры понимают, как люди принимают решения и как на них влияют эмоции.
- Они используют эту информацию, чтобы создать сценарии, которые заставляют людей действовать против своих лучших интересов.
Использование обычных методов
- Социальные инженеры не обязательно используют сложные технологии или атаки.
- Они часто используют простые телефонные звонки, электронные письма или личные взаимодействия, чтобы получить доступ к системам или информации.
Эксплуатация уязвимостей
- Социальные инженеры находят и эксплуатируют уязвимости в организационных процедурах и мерах безопасности.
- Они могут использовать плохо обученный персонал или процедуры, которые оставляют лазейки для манипуляций.