Вильям Саймон и др.: «Искусство обмана»
го офицера полиции за другим выдавать ему не только их код запрашивающего, но и персональ -
ную приватную информацию, знание которой позволило Эрику играть роль полицейского. Не-
смотря на необходимость обладать определенными техническими знаниями для того, чтобы 
справиться с задачей, вряд ли бы мошеннику удалось осуществить задуманное без помощи мно-
гих людей, у которых не возникло даже мысли о том, что они разговаривают с самозванцем.
Эта история – еще одна иллюстрация феномена, почему люди не спрашивают себя «Поче-
му я?» Почему офицер из телетайпной предоставил информацию какому-то представителю ше-
рифа, которого он не знал или, в нашем случае, незнакомцу, выдающему себя за помощника ше-
рифа, вместо того, чтобы посоветовать тому узнать телефон у напарника или собственного сер-
жанта? И опять, единственное объяснение, которое приходит мне на ум, что люди редко задают 
себе этот вопрос. И с чего бы им задавать этот вопрос? А, может быть, они не хотят показаться 
проблемными или бесполезными? Дальше можно только строить догадки на этот счет. Но соц. 
инженеру не важно «почему», им важно лишь то, что эта маленькая деталь позволяет легко по-
лучить информацию, которую существенно сложнее добыть другими путями.
Сообщение Митника
Если в вашей компании используется телефонный коммутатор, что будет делать ответ-
ственный сотрудник, если ему позвонить производитель оборудования с просьбой сообщить но-
мер для дозвона на коммутатор? И, кстати, этот сотрудник вообще когда-либо менял на комму-
таторе пароль по умолчанию для служебной учетной записи? Этот пароль легко угадывается или 
подбирается по словарю?
Предотвратить обман
Грамотно используемый защитный код существенно повышает уровень безопасности. Не-
грамотно используемый защитный код может быть даже хуже, чем вообще отсутствие кода, так 
как он создает иллюзию защиты, которой на самом деле нет. Что хорошего в кодах, если ваши 
сотрудники не хранят их в секрете?
Любой компании, использующий устные защитные коды, необходимо ясно и четко объяс-
нить сотрудникам, когда и как эти коды используются. Правильно проинструктированный пер-
сонаж из первой части этой главы не должен был бы полагаться на свою интуицию, когда незна-
комец спросил его про защитный код. Он почувствовал, что у него не должны спрашивать эту 
информацию в данной ситуации, но отсутствие четкой политики безопасности и хороший здра-
вый смысл – и он сдался.
Инструкции по безопасности должны включать в себя описание действий служащего, по-
лучающего несанкционированный запрос защитного кода. Все сотрудники должны быть обуче-
ны немедленно сообщать обо всех запросах защитных кодов (таких как код дня или пароль), сде-
ланных при необычных обстоятельствах. Они также должны сообщать обо всех неудачных по-
пытках установить личность запрашивающего.
Наконец, служащий должен записывать фамилию звонившего, телефон и название офиса 
или подразделения, прежде чем повесить трубку. А до того, как перезвонить, он должен убедить-
ся, что в указанной организации действительно имеется сотрудник с такой фамилией и что теле-
фон, по которому надо перезвонить действительно телефон этой организации. В большинстве 
случаев это простая тактика – практически все, что нужно, чтобы убедиться, что звонящий на 
самом деле тот, за кого себя выдает.
Проверка становится несколько сложнее, когда у компании есть только напечатанный теле-
фонный справочник вместе с электронной онлайновой версии. Люди нанимаются, люди уволь-
няются, они переходят из отдела в отдел, меняют должности и телефоны. Твердая копия теле-
фонного справочника устаревает в день публикации, еще даже до распространения. И даже элек-
тронным справочникам нельзя доверять, потому что соц. инженеры знают, как их подделать. 
Если сотрудник не может проверить номер телефона по независимому источнику, его необходи-
мо проинструктировать о других способах сделать это, например, обратившись к старшему ме-
неджеру.

Download 0.94 Mb.

Do'stlaringiz bilan baham: