Chiamata urgente.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
In generale, l'ingegneria sociale è uno strumento molto potente, con la giusta capacità di condurre una conversazione (ricorda lo scout Stirlitz), l'interlocutore stesso ti dirà tutto ciò di cui hai bisogno.
Per cominciare, darò una piccola storia sul famoso cracker Kevin Mitnick. È riuscito a rubare informazioni anche da quei segmenti di rete che non erano connessi a Internet. È stato fatto come segue. Supponiamo che il Dipartimento A abbia una connessione internet e che il Dipartimento B non abbia la stessa azienda. Mitnick, avendo la rubrica dell'azienda, ha chiamato un dipendente del Dipartimento B, presentandosi come un dipendente di A, e cortesemente ha chiesto di inviargli un fax con le informazioni di interesse, spiegando che è fuori sede e ha urgente bisogno di questi dati. Qualcuno ha rifiutato, ma prima o poi c'era necessariamente un dipendente (di solito una donna) che soddisfaceva la richiesta dell'hacker.
Nonostante il fatto che questa storia abbia più di una dozzina di anni, un modo simile di ottenere informazioni è ancora praticato. Ad esempio, qualcuno che non è molto ben ascoltato ti chiama sul tuo cellulare, sembra essere un dipendente reale e ti chiede di fornire, ad esempio, le informazioni di contatto del tuo supervisore o di uno qualsiasi degli altri dipendenti. Ciò è spiegato dal fatto che il chiamante è fuori dall'ufficio e ha urgente bisogno di queste informazioni. Molti in questa situazione soddisfano la richiesta del chiamante. Ma potrebbe essere un intruso.
L'azione giusta in una situazione del genere è un gentile rifiuto di fornire informazioni. Ad esempio, puoi dire che non riesci a sentire bene e chiedere di richiamare più tardi. Tuttavia, questo non è sufficiente. Idealmente, questa chiamata dovrebbe essere segnalata alla sicurezza dell'azienda. Se non ce n'è uno, o per qualsiasi motivo personale non vuoi contattarli, informa almeno il tuo manager diretto.
A proposito, lo stesso servizio di sicurezza conduce spesso tali «esercizi», chiamando i suoi dipendenti per conto di sconosciuti. Se le informazioni richieste sono state ricevute-il dipendente è in attesa di una punizione, se non è stato possibile scoprire nulla, ma è stato segnalato al servizio di sicurezza, il dipendente è incoraggiato. Molti considereranno immorali tali provocazioni, ma questo metodo viene insegnato non solo nelle istituzioni educative delle strutture di sicurezza appropriate, ma anche in vari corsi di sicurezza delle informazioni.
Ma in generale, le azioni degli utenti in tali situazioni dovrebbero essere chiaramente enunciate nella politica di sicurezza aziendale, che ogni dipendente firma al momento dell'assunzione.
