«««Назад | Оглавление | Каталог библиотеки | Далее»»»

прочитаноне прочитано
Прочитано: 72%


         Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого-нибудь фрагмента информации или какого-нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин, почему им следовало бы её защищать и ограничивать к ней доступ".
         Таким путем социальные инженеры получают множество "фрагментов", каждый из которых используется в качестве ступеньки для наращивания осведомленности о следующем этапе "проникновения".
         Например, типичная операция этого рода выглядит приблизительно так: сборщик информации звонит по телефону в одно (не слишком значительное) подразделение компании, называясь, к примеру, поставщиком компьютеров, запамятовавшим имя начальника подразделения. Ему сообщают это имя - скажем Джон Коллинз. Он делает следующий звонок в другое, более важное подразделение, например финансовый отдел и уже от лица Джона Коллинза просит напомнить номер счета, который его интересует, и сказать, с кем он говорит. Затем он может позвонить в банк и, представившись добытым именем бухгалтера, узнать, сколько денег находится на таком-то счету. И так далее.
         Так, складывая кусочки мозаики, социальные инженеры могут получить абсолютно засекреченную информацию. "Для того чтобы обойти средства безопасности, социальный инженер должен найти способ обмануть доверенного пользователя, раскрыть информацию или незаметно заставить неподозревающего человека дать ему доступ. Во всём мире не найдется таких технологий, которые могли бы защитить. Опытный социальный инженер может получить доступ к любой возможной информации, используя стратегию и тактику своего ремесла. Социальные инженеры могут носить множество шляп и множество лиц. Если вы думаете, что вы никогда с ними не сталкивались, возможно, вы ошибаетесь", - пишет Митник.
         Именно о таких вот технологиях социальной инженерии, только более грубых и топорно "впариваемых", могут напомнить и перегруженные личными вопросами "анкеты", и неожиданные "опросы" общественного мнения, и, как ни странно, повадки криминального мира, в частности, известных "наводчиков".
         Интересно, что люди интуитивно чувствуют подобные "крючки" и вопросы, вызывающие у них лишь неприятие и единственное желание ответить: "Какое вам дело?" Например, один из наших читателей просто ужаснулся, когда, изъявив желание открыть кредитную карту в уже упоминавшемся "Ситибанке", прочел в очень детализированной анкете вопрос: "Есть ли у вас среди родственников высокопоставленные чиновники и военные?" После этого, сделав напрашивающиеся выводы, этот человек отказался от заполнения анкеты.
         Зададимся вопросом, как же противостоять сбору вашей персональной информации не уполномоченными на то организациями? Что делать?
         Вообще, защита от подобных попыток получения информации состоит из двух частей: первая - необходимо знать, что такие попытки могут быть предприняты. Вторая - необходимо знать, как поступить в этом случае.
         По словам Митника, манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini объединил результаты этих исследований и выделил 6 "черт человеческой натуры", которые используются в попытке получения нужного ответа. 6 приёмов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать, это:
         1. Авторитетность: людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если собеседник уверен, что спрашивающий имеет власть или право задавать этот вопрос. Например, не зная своих прав на защиту и нераскрытие персональной информации, люди соглашаются указывать в анкетах некоторых организаций даже цвет автомобиля своей жены.

«««Назад | Оглавление | Каталог библиотеки | Далее»»»



 
Яндекс цитирования Locations of visitors to this page Rambler's Top100