"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка

"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности
начало
о компании услуги вопрос-ответ осторожно! информация отдых контакты

 

 







год основания службы безопасности  АМУЛЕТ

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Что такое социальная инженерия и как от нее защищаться

Термин «социальная инженерия» («social enigineering») получил распространение в последние годы. Под этим термином понимается злонамеренное проникновение в офисные здания и помещения, в системы и базы данных с использованием фактора человеческой психологии.
Отличие «социального инженера» от хакера или примитивного грабителя состоит в том, что он не будет пытаться взломать защиту компьютерных сетей, не будет залезать ночью в офис с фомкой в руках, а просто позвонит конкретному лицу в компанию, представится работником ИТ отдела этой компании и попытается заполучить пароль на вход в систему.

Старший редактор онлайнового журнала Chief Security Officer Джоан Гудчайлд рассказывает о наиболее популярных приемах социальной инженерии и способах защиты от нее.

Автор напоминает об удачном проникновении в частную компанию Криса Никерсона, руководителя консалтинговой фирмы, с целью продемонстрировать, насколько серьезной может быть успешная социальная инженерия. В футболке Cisco, которую Крис купил за 4 доллара, он легко обманул охрану компании, представившись представителем уважаемой корпорации, которого пригласили для проведения профилактических работ. Он свободно перемещался по офису, и даже на глазах ничего не подозревающего персонала смог с помощью своих флешек «погулять» по корпоративным сетям. О чем и рассказал потом в прессе.

Одна из причин ротозейства – уверенность, что в компании «нечего красть» и злоумышленнику здесь «не интересно». При этом люди не задумываются, что преступника интересует, может быть, не место их работы, а персональные данные, с помощью которых он собирается, к примеру, украсть деньги с банковского счета.

Преступники тщательно, неделями и месяцами, готовятся, прежде чем позвонить или лично посетить компанию. Они ищут список телефонов персонала, фамилии сотрудников, другие данные, активно используя популярные социальные сети (Фейсбук и т.п.). Эксперт по социальной инженерии Крис Робертс рассказывает, как однажды, разыскивая (в тестовом режиме) электронный адрес одного менеджера, обнаружил и адрес, и номер его рабочего телефона, которые тот оставил на форуме для человека, который бы мог продать билет на концерт. Представившись «журналистом», Крис позвонил ему на работу и без труда выведал другие персональные данные: номер мобильного телефона, домашний адрес, даже информацию о закладных…

Испытанный прием: влезть в доверие к одному из персонала, а через него осуществлять дальнейшие действия. Преступники стремятся расположить к себе. Иногда используют профессиональный жаргон, принятый в компании. Наиболее изощренные злоумышленники записывают музыку, которая звучит в корпоративных телефонах, чтобы прикинуться коллегой из другого управления той же организации. Но не всегда звонят перед «визитом». Иногда действуют по наглому: «Ой, подержите дверь, пожалуйста, я оставил свой пропуск (электронный) дома». И пропускают. Некоторые сами изготавливают пропуска- бэджи со своей фотографией. Их легко принимают за «своих». Один из экспертов свободно проходил в компанию по бэджику, на котором было написано: «Выкиньте меня отсюда». И никто не обратил внимания.

Но главное средство и источник информации для социальной инженерии – социальные сети. Об этом - в следующем номере журнала.


вернуться назад версия для печати
карта сайта




 
  

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru