"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Искусное манипулирование


Финансовый директор Малькольм Фишер никогда не думал, что его так нагло и легко одурачат. Хотя, конечно, слышал и знал о существовании мошеннической схемы под названием «социальный инжиниринг».

Криминалу не составило большого труда разглядеть в Фишере крупную добычу. Слишком заметное место он занимает в своей компании. Крупный менеджер с широкими полномочиями. Об этом каждый может узнать, выйдя на странички корпоративного веб-сайта, либо ознакомившись с его служебным профилем в социальных сетях (Facebook, Twitter, LinkedIn).

Заядлый игрок в покер, Фишер регулярно участвует в турнирах, не забывая знакомить мир со своими успехами за карточным столом. Вот и в этот раз, собираясь на соревнование в Лас Вегас, он не забыл заботливо предупредить всех и каждого о своих планах через соцмедиа. Едва прибыв в Лас Вегас, он получил извещение как будто бы от организаторов турнира. Открыв по неосторожности послание, он невольно впустил злоумышленника в операционную систему своего служебного смартфона.

Зная, что карточная игра начинается ровно в 11 часов утра, преступник, получив контроль над электронным почтовым ящиком Фишера, отправил в офис от его имени распоряжение немедленно перевести 125 тысяч долларов некоему поставщику на прилагаемые реквизиты. Там же объяснялось, что Фишер в течение нескольких часов будет полностью занят участием в турнире. Тот, кому адресовалось распоряжение, не позаботившись о перепроверке, тут же оформил транш.

Покинув Лас Вегас с радостным чувством победителя, Фишер вскоре понял, что на самом деле его обыграли, одурачили. Автор статьи в интернет издании Security Management, September, 2018 Питер Вармка, рассказывая об этом случае (фамилия «героя», видимо, изменена), подчеркивает, что подобный сценарий не является исключением в богатой практике мошенников.   Уделяя первоочередное внимание кибербезопасности, многие управленцы убеждены, что одной только хорошей технологии достаточно для защиты против информационных утечек.

Однако криминал хорошо понимает, что самое уязвимое место в компаниях – это человеческий фактор.  И самое слабое звено – это взаимодействие между человеком и технологией.  По данным доклада «2018 Verizon Data Breach Investigation Report», почти 90% успешных взломов корпоративных сетей и баз данных сопровождаются в той или иной степени учетом человеческого фактора.

Криминал возлагает большие надежды на инсайдеров, коими являются не только штатные сотрудники организации, но и работающие по временным контрактам, в рамках аутсорсинга: уборщики, охранники (нанимаемые со стороны), поставщики обедов, ремонтные бригады и т.д.

Прежде чем приступить к делу, опытный преступник потратит немало времени на сбор информации из открытых источников. Обычно такая работа проводится в режиме онлайна, по интернету. Сегодня уважающая себя организация поддерживает корпоративный веб-сайт: продукты и услуги, служебные портреты лидеров, пресс-релизы, контактная информация, вакансии , карьерные возможности и прочие полезные (в том числе и для  криминала) данные.

Много информации можно почерпнуть из предложений о найме, которые размещаются в интернете и печатной прессе. Такие анонсы обычно содержат описание требуемых от кандидата профессиональных компетенций, нередко – сведения об операционных системах и программных решениях, с которыми соискатель должен будет иметь дело. Развернутые должностные инструкции могут содержать наводки на перспективы развития организации, будь то новые продукты/услуги или географические точки.

На кадровые предложения откликаются не только профессионалы, мечтающие о карьере, но и мошенники. Последние отсылают свое резюме напрямую или через третью, выбранную ими, организацию. Уже само электронное послание может содержать вирус, предназначенный для внедрения в корпоративную компьютерную сеть.

Некоторые преступники идут еще дальше, соглашаются на собеседование с целью выведать как можно больше информации.

О том, какое место в социальном инжиниринге принадлежит социальным сетям, и о других аспектах данного преступного промысла, будет рассказано в следующем выпуске нашего журнала.                  



вернуться назад

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru