Ваш психолог
  1. Главная страница
  2. База Знаний

Неосторожный руководитель

Введение

Несмотря на общие предположения о том, что руководители в сфере информационных технологий хорошо разбираются в правилах безопасности, эта история показывает, как даже они могут стать жертвами социальной инженерии.

Подготовка

  • Дэнни, опытный хакер, намеревался завладеть исходным кодом защищенного программного обеспечения.
  • Он использовал информацию из открытых источников, чтобы настроиться на полицейские и пожарные частоты, чтобы прослушивать их разговоры.
  • Дэнни был «белым хакером», который нарушал системы ради острых ощущений и интеллектуального вызова.

Атака

  • Дэнни узнал о компании, создающей защищенные радиосистемы, и ее системе аутентификации, требующей как имени пользователя и пароля, так и синхронизируемого жетона.
  • Он успешно выдал себя за сотрудника компании, позвонив на завод и разыграв сцену.
  • Оператор компьютерного центра, Ковальски, уступил просьбе Дэнни об использовании синхронизируемого жетона центра во время метели.
  • Руководитель Ковальски также одобрил доступ Дэнни к секретному коду жетона в качестве одолжения.

Доступ к сети

  • Используя временную учетную запись, предоставленную Ковальски, Дэнни смог войти в сеть компании.
  • Он нашел уязвимость, которая позволила ему получить доступ к главному серверу, содержащему исходные коды.
  • Дэнни скопировал файлы на удаленный сервер и уничтожил все следы своего вторжения.

Выводы

  • Синхронизируемые жетоны уязвимы для социальной инженерии.
  • Стремление помочь со стороны сотрудников может быть слабым местом для злоумышленников.
  • Внешние атакующие могут получить доступ к корпоративным сетям, используя обычные телефонные звонки.

Шаги предотвращения

  • Установите четкие процедуры подтверждения личности для запросов доступа к компьютеру или конфиденциальной информации.
  • Обратный вызов по указанным в справочнике номерам телефонов для проверки подлинности.
  • Ограничьте доступ к внутренним номерам, идентификаторам и адресам электронной почты.
  • Проводите обучение по осведомленности о безопасности, чтобы подчеркнуть методы социальной инженерии.
  • Обеспечьте соблюдение правил безопасности всеми, включая офицеров безопасности и системных администраторов.
  • Избегайте совместного использования паролей и синхронизируемых жетонов.

Ключевые особенности социальной инженерии, выявленные в статье:

Обход мер безопасности

  • Социальные инженеры используют психологические методы, чтобы заставить людей нарушить процедуры безопасности.
  • Они могут выдавать себя за сотрудников компании или использовать доверие людей, чтобы получить доступ к конфиденциальной информации или системам.

Использование доступной информации

  • Социальные инженеры часто собирают информацию из открытых источников, таких как веб-сайты и социальные сети.
  • Они используют эти знания, чтобы создать убедительные личности и обмануть свои жертвы.

Понимание человеческого поведения

  • Социальные инженеры понимают, как люди принимают решения и как на них влияют эмоции.
  • Они используют эту информацию, чтобы создать сценарии, которые заставляют людей действовать против своих лучших интересов.

Использование обычных методов

  • Социальные инженеры не обязательно используют сложные технологии или атаки.
  • Они часто используют простые телефонные звонки, электронные письма или личные взаимодействия, чтобы получить доступ к системам или информации.

Эксплуатация уязвимостей

  • Социальные инженеры находят и эксплуатируют уязвимости в организационных процедурах и мерах безопасности.
  • Они могут использовать плохо обученный персонал или процедуры, которые оставляют лазейки для манипуляций.