«Что какой у него SOSH?» (Служители закона иногда ссылаются на номер социального страхования как SOSH .)

«700-14-7435.»

После просмотра листинга, он могла бы сказать, например, «Его номер — 2602.»

Атакующий должен только посмотреть в базе NCIC, чтобы узнать значение числа: какие преступления совершил человек.

Анализ обмана

Совершенный социальный инженер не остановится ни на минуту, чтобы обдумывать пути взлома базы данных NCIC. А зачем задумываться, когда он просто позвонил в местный полицейский отдел, спокойно говорил, и звучал убедительно, будто он работает в компании, — и это все, что потребовалось, чтобы получить нужную ему информацию? И в следующий раз, он просто позвонит в другой полицейский участок и использует тот же предлог.

LINGO

SOSH — сленг правоохранительных органов для номера социального страхования.

Вы могли удивиться, не рискованно ли позвонить полицейский участок, офис шерифа, или в офис дорожного патруля? Не сильно ли атакующий рискует?

Ответ — нет… и по особой причине. Служители закона, подобно военным, имеют укоренившееся в них из первого дня в академии отношение к высшим или низшим по званию (рангу). Пока социальный инженер выдает себя сержантом или лейтенантом — т.е человеком с более высоким званием, чем тот, с кем он общается — жертвой будет управлять этот хорошо запомненный урок, который говорит, что вы не должны задавать вопросы людям, что выше вас званием. Звание, другими словами, имеет привилегии над теми, у кого более низкий чин.

Но не думайте что полицейские участки и военные структуры — единственные места, где социальный инженер может использовать привилегии в звании. Социальные инженеры часто используют «преимущество высокого ранга» в корпоративной иерархии как оружие в атаке на предприятиях — что демонстрируются во многих рассказах в этой книге.

Предотвращение обмана

Какими мерами может воспользоваться ваша организация, чтобы уменьшить вероятность, что социальные инженеры воспользуются преимуществом над природными инстинктами ваших служащих, чтобы поверить людям? Вот некоторые меры.

Защитите ваших клиентов

В наш электронный век многие компании, продающие что-то потребителю, сохраняют кредитные карты в файле. На то есть причины: он облегчает клиенту работу, обеспечивая информацией о кредитной карточке всякий раз, когда он посещает магазин или веб-сайт, чтобы оплатить. Тем не менее, практика огорчает.

Если Вам приходится сохранять номера кредитных карточек в файле, то это должно сопровождаться мерами безопасности, которые включают шифрование или использование управления доступом. Служащие должны быть подготовленными, чтобы распознать трюки социальных инженеров, как в этой главе. Служащий компании, которого вы никогда лично не видели, ставший телефонным другом, может быть не тем, за кого он себя выдает. Ему необязательно знать, как получить доступ к секретной информации клиента, потому что он может вовсе не работать в вашей компании.

Сообщение от Митника

Все должны быть осведомлены о методах действия социальных инженеров: собрать как можно больше информации о цели, и использовать, эту информацию, чтобы приобрести доверие как будто он свой человек. А затем перейти в нападение!

Разумное доверие

Не только люди, имеющие доступ к важной информации — разработчики программного обеспечения, сотрудники в научно-исследовательских и опытно-конструкторских работ, должны быть защищены от атаки. Почти каждый в вашей организации должен быть обучен защищать предприятие от промышленных шпионов и похитителей информации.

Создавая основы, нужно начать с обследования предприятия — доступ к банкам информации, уделяя внимание каждому важному, критическому аспекту, ценным активам, и спрашивая, какие методы нападения могут использовать, чтобы с помощью техники социальной инженерии получить доступ к этим ценным данным. Соответственная подготовка для людей, которые имеют доступ к такой информации, должна проектироваться вокруг ответов на эти вопросы.

Когда кто-то незнакомый вам лично просит некоторую информацию или материал, или просит, чтобы вы выполнили любые команды на вашем компьютере, нужно задать себе следующие вопросы. Если я дал эту информацию моему наихудшему врагу, могло бы это использоваться, чтобы повредить мне или моей компании? Я полностью понимаю потенциальный результат команд, что меня попросили ввести в компьютер?

Мы не хотим прожить жизнь, подозревая каждого нового человека, которого мы встречаем. Но чем больше мы доверчивы, тем больше вероятность того, что следующий социальный инженер, который появился в городе, сможет обмануть нас, заставить выдать конфиденциальную информацию нашей компании.

Что принадлежит к вашей внутренней сети?