Искусство обмана
Download 0.94 Mb. Pdf ko'rish
|
Iskusstvo obmana sotsialnaya inzheneria
- Bu sahifa navigatsiya:
- Предотвращение обмана 25 Вильям Саймон и др.: «Искусство обмана»
|
Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную ин- формацию или идентификаторы любому, если вы не узнаёте его или её голос. Предотвращение обмана 25 Вильям Саймон и др.: «Искусство обмана» Ваша компания ответственна за то, чтобы предупредить работников насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная полити- ка безопасности вместе с надлежащим обучением и тренировками улучшат понимание работни- ков о надлежащей работе с корпоративной бизнес-информацией. Политика классификации дан- ных поможет вам осуществить надлежащий контроль за раскрытием информации. Без политики классификации данных вся внутренняя информация должна рассматриваться как конфиденци- альная, если не определено иначе. Примите к сведению эти шаги для защиты вашей компании от распространения кажущейся безвредной информации: Отдел информационной защиты должен проводить обучения, детализуя методы, использу- емые социальными инженерами. Один метод, описанный выше, касается получения кажущейся нечувствительной информации и использование её для получения краткосрочного доверия. Каж- дый работник должен знать, что когда у звонящего есть знания о процедурах компании, лексике и внутренних идентификаторах, он должен подтвердить личность звонящего или получить от него разрешение на получение того, что он хочет. Звонящий может быть обычным работником или подрядчиком с необходимой внутренней информацией. Соответственно, на каждой корпора- ции лежит ответственность за определение соответствующего опознавательного метода, для ис- пользования в случаях, когда работники взаимодействуют с людьми, которых не могут узнать по телефону. Человек или люди, ответственные за составление политики классификации данных, долж- ны исследовать типы данных, которые кажутся безвредными и могут быть использованы закон- ными служащими для получения доступа, но могут привести к получению важной информации. Хотя вы никогда не открыли бы коды доступа к вашей карте ATM, вы сказали бы кому-нибудь, какой сервер вы используете для разработки программных продуктов? Может ли кто-нибудь, притворяющийся кем-то с законным доступом к корпоративной сети, использовать эту информа- цию? Иногда одно только знание внутренней терминологии может заставить социального инже- нера казаться авторитетным и хорошо осведомлённым. Часто атакующий полагается на это об- щее неправильное представление, чтобы добиться согласия его/её жертвы. Например, Merchant ID – это идентификатор, который люди из Отдела Новых Счетов банка небрежно используют каждый день. Но такой идентификатор то же самое, что пароль. Если каждый работник будет по- нимать природу этого идентификатора, что он предназначен для подтверждения подлинности, он будет относиться к нему с большим уважением. Download 0.94 Mb. Do'stlaringiz bilan baham: 
|