Appel urgent.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
En général, l'ingénierie sociale est un outil très puissant. Si vous savez mener une conversation correctement (rappelez-vous l'espion Stirlitz), votre interlocuteur vous dira tout ce dont vous avez besoin.
Pour commencer, je vais vous raconter l'histoire du célèbre pirate informatique Kevin Mitnick. Il a réussi à voler des informations même sur des segments de réseau non connectés à Internet. Voici comment cela s'est passé : le service A dispose d'une connexion Internet, mais pas le service B de la même entreprise. Mitnick, disposant du carnet d'adresses de l'entreprise, a appelé un employé du service B, se présentant comme un employé du service A, et lui a poliment demandé de lui envoyer un fax contenant les informations qui l'intéressaient, expliquant qu'il était absent du bureau et avait besoin de ces données de toute urgence. Quelqu'un a refusé, mais tôt ou tard, il y avait toujours un employé (généralement une femme) qui accédait à la demande du pirate.
Bien que cette histoire remonte à plusieurs décennies, cette méthode d'obtention d'informations est toujours utilisée. Par exemple, une personne que vous entendez mal vous appelle sur votre portable. Elle se présente comme un véritable employé et vous demande de lui fournir, par exemple, les coordonnées de votre responsable ou d'une autre personne. Cela s'explique par le fait que l'appelant est absent du bureau et a besoin de ces informations de toute urgence. Nombreux sont ceux qui, dans une telle situation, accèdent à sa demande. Mais il pourrait s'agir d'un intrus.
Dans une telle situation, la bonne attitude consiste à refuser poliment de fournir des informations. Par exemple, vous pouvez dire que vous entendez mal et demander à rappeler plus tard. Cependant, cela ne suffit pas. Idéalement, vous devriez signaler cet appel au service de sécurité de l'entreprise. En l'absence d'un tel service, ou si, pour des raisons personnelles, vous ne souhaitez pas le contacter, prévenez au moins votre supérieur hiérarchique.
Par ailleurs, ce même service de sécurité organise souvent ce type d'exercices, appelant ses employés au nom d'inconnus. Si les informations demandées ont été obtenues, l'employé sera sanctionné. Si rien n'a été découvert, mais que le service de sécurité a été signalé, l'employé est encouragé. Nombreux sont ceux qui considèrent ces provocations comme immorales, mais cette méthode est enseignée non seulement dans les établissements d'enseignement des forces de l'ordre compétentes, mais aussi dans divers cours sur la sécurité de l'information.
En règle générale, les actions des utilisateurs dans de telles situations doivent être clairement définies dans la politique de sécurité de l'entreprise, que chaque employé signe lors de son embauche.
