Uma chamada urgente.
Canal Telegram: https://t.me/protecaodaInformacao
Grupo Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
E-mail: online@legascom.ru
Em geral, a engenharia social é uma ferramenta muito poderosa, com a capacidade certa de conduzir uma conversa (lembre-se do scout Stirlitz), o interlocutor lhe dirá tudo o que você precisa.
Para começar, vou contar uma pequena história sobre o famoso hacker Kevin Mitnick. Ele conseguiu roubar informações até mesmo daqueles segmentos de rede que não estavam conectados à Internet. Isso foi feito da seguinte forma. Digamos que o departamento A tenha uma conexão com a internet, mas o departamento B da mesma empresa não. Mitnick, tendo a agenda de endereços da empresa, ligou para um funcionário do departamento B, se passando por funcionário de A, e educadamente pediu para lhe enviar um fax com as informações que lhe interessavam, explicando que estava fora do Escritório e precisava urgentemente dessas informações. Alguém recusou, mas mais cedo ou mais tarde era obrigado a haver uma funcionária (geralmente uma mulher) que atendia ao pedido do hacker.
Apesar de essa história já existir há décadas, esse método de obtenção de informações ainda está sendo praticado. Por exemplo, alguém que não pode ser ouvido muito bem liga para você no seu celular, se apresenta como um funcionário da vida real e pede que você forneça, por exemplo, as informações de contato do seu supervisor ou de um dos outros funcionários. Isso se explica pelo fato de o chamador estar fora do Escritório e precisar urgentemente dessas informações. Muitas pessoas nessa situação atendem a solicitação do chamador. Mas pode ser um atacante.
O curso correto de ação em tal situação é recusar educadamente fornecer informações. Por exemplo, você pode dizer que não consegue ouvir bem e pedir que liguem de volta mais tarde. No entanto, isso não é suficiente. O ideal é que essa ligação seja comunicada ao serviço de segurança da empresa. Se não houver nenhum, ou por algum motivo pessoal você não quiser contatá-los, pelo menos informe seu supervisor imediato.
Aliás, o mesmo serviço de segurança costuma realizar "exercícios" semelhantes, ligando para seus funcionários em nome de desconhecidos. Se as informações necessárias forem recebidas, o funcionário será punido, se nada for aprendido, mas o serviço de segurança tiver sido informado, o funcionário será incentivado. Muitos considerarão tais provocações imorais, no entanto, esse método é ensinado não apenas em instituições educacionais das agências policiais relevantes, mas também em vários cursos sobre segurança da informação.
Mas, em geral, as ações do usuário em tais situações devem estar claramente explicitadas na política de segurança corporativa, que é assinada por cada funcionário no ato da contratação.