Срочный звонок.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
Вообще, социальная инженерия - это очень мощный инструмент, при правильном умении вести разговор (вспомните разведчика Штирлица) собеседник сам расскажет вам обо всем, что нужно.
Для начала приведу небольшую историю про известного взломщика Кевина Митника. Он умудрялся похищать информацию даже из тех сегментов сети, которые не были подключены к интернету. Делалось это следующим образом. Допустим, отдел А имеет подключение к интернету, а отдел Б той же компании не имеет. Митник, располагая адресной книгой компании, звонил сотруднику отдела Б, представляясь работником из А, и вежливо просил прислать ему факс с интересующей информацией, объясняя это тем, что он находится вне офиса и ему срочно нужны эти данные. Кто-то отказывал, но рано или поздно обязательно находился сотрудник (как правило, женщина), который выполнял просьбу хакера.
Несмотря на то что этой истории уже не один десяток лет, подобный способ получения информации до сих пор практикуется. Например, вам на мобильный телефон звонит некто, кого не очень хорошо слышно, представляется реально существующим сотрудником и просит сообщить, например, контактную информацию вашего руководителя или кого-либо из других сотрудников. Объясняется это тем, что звонящий находится вне офиса и ему срочно нужна данная информация. Многие в такой ситуации выполняют просьбу позвонившего. А ведь это может оказаться злоумышленник.
Правильным действием в такой ситуации является вежливый отказ в предоставлении информации. Например, можно сказать, что вам плохо слышно, и попросить перезвонить попозже. Однако этого не достаточно. В идеале об этом звонке необходимо сообщить в службу безопасности компании. Если же таковая отсутствует, или по каким-либо личным причинам вы не хотите к ним обращаться, то сообщите хотя бы своему непосредственному руководителю.
Кстати, та же служба безопасности часто проводит подобные «учения», звоня своим сотрудникам от имени неизвестных. Если требуемая информация была получена - сотрудника ждет наказание, в случае если ничего узнать не удалось, но при этом сообщили в службу безопасности, то сотрудника поощряют. Многие сочтут подобные провокации аморальными, однако этому методу обучают не только в учебных заведениях соответствующих силовых структур, но и на различных курсах по информационной безопасности.
Но вообще, действия пользователей в подобных ситуациях должны быть четко прописаны в корпоративной политике безопасности, которую подписывает каждый сотрудник при принятии на работу.
