Una llamada urgente.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
En general, la ingeniería social es una herramienta muy poderosa, con la capacidad adecuada para mantener una conversación (piense en el explorador Stirlitz), el interlocutor le dirá todo lo que necesita.
Para empezar, aquí hay una pequeña historia sobre el famoso ladrón Kevin Mitnick. Se las arregló para robar información incluso de aquellos segmentos de la red que no estaban conectados a Internet. Esto se hizo de la siguiente manera. Digamos que el Departamento a tiene una conexión a Internet, mientras que el Departamento B de la misma compañía no lo tiene. Mitnick, que tenía la libreta de direcciones de la compañía, llamó a un empleado del Departamento B, haciéndose pasar por un empleado de A, y cortésmente le pidió que le enviara un Fax con la información de interés, explicando que estaba fuera de la oficina y necesitaba estos datos con urgencia. Alguien se negó, pero tarde o temprano necesariamente había un empleado (generalmente una mujer) que cumplía con la solicitud del hacker.
A pesar de que esta historia tiene más de una docena de años, este método de obtener información todavía se practica. Por ejemplo, alguien que no se oye bien llama a su Teléfono móvil, parece ser un empleado real y le pide que le proporcione, por ejemplo, la información de contacto de su supervisor o de alguien de otros empleados. Esto se explica por el hecho de que la persona que llama está fuera de la oficina y necesita urgentemente esta información. Muchos en esta situación cumplen con la solicitud de la persona que llama. Puede ser un intruso.
La acción correcta en tal situación es una negativa cortés a proporcionar información. Por ejemplo, puede decir que no se oye bien y pedir que le devuelvan la llamada más tarde. Sin embargo, eso no es suficiente. Idealmente, esta llamada debe informarse al Servicio de seguridad de la compañía. Si no está presente, o por alguna razón personal, no desea comunicarse con ellos, informe al menos a su supervisor directo.
Por cierto, el mismo Servicio de seguridad a menudo realiza tales "ejercicios", llamando a sus empleados en nombre de desconocidos. Si se ha recibido la información requerida, el empleado está a la espera de ser castigado, en caso de que no se pueda saber nada, pero al mismo tiempo se informó al Servicio de seguridad, se alienta al empleado. Muchos considerarán que tales provocaciones son inmorales, pero este método se enseña no solo en las instituciones educativas de las agencias de seguridad pertinentes, sino también en varios cursos sobre seguridad de la información.
Pero, en general, las acciones de los usuarios en tales situaciones deben estar claramente descritas en la política de seguridad corporativa, que cada empleado firma al contratar.
