|
В четвёртой части книги я сменил тему. Здесь моя цель помочь вам разработать необходимые бизнес‑правила и тренинги, чтобы минимизировать риски ваших работников быть обманутыми социальным инженером. Понимание стратегии, методов и тактики социального инженера поможет вам подготовиться к применению разумных средств управления для охраны ваших ИТ активов без подрыва эффективности вашей компании. Короче говоря, я написал эту книгу, чтобы повысить вашу осведомлённость о серьёзности угроз, исходящих от социальной инженерии, и помочь вам стать уверенней, что ваша компания и работники в меньшей степени будут подвержены угрозе с этой стороны. Или, возможно, я должен сказать, гораздо меньше будут подвержены снова . Глава 2: Когда безвредная информация опасна(Chapter 2 When Innocuous Information Isn't) Перевод: Yarlan Zey (yarlan@pisem.net) Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже? Если целью является получение какого‑нибудь очень ценного приза – скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно – это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно? Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого‑нибудь фрагмента информации или какого‑нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин почему им следовало бы её защищать и ограничивать к ней доступ. Скрытая ценность информацииМногое из кажущейся безвредной информации, находящейся во владении компании, ценно для социального инженера, потому что может сыграть существенную роль в его попытке прикрыться плащом правдоподобности. На страницах этой главы я буду вам показывать, что делают социальные инженеры, чтобы добиться успеха. Вы станете «свидетелем» атак, сможете, время от времени наблюдать действие с точки зрения атакуемой жертвы и, становясь на их место, оценить как бы вы (или, может быть, один из ваших работников или сослуживцев) сами могли себя повести. Во многих случаях вы также увидите эти же события с перспективы социального инженера. В первой истории речь пойдёт об уязвимости в финансовой индустрии. CREDITCHEXВ течение долгого времени британцы имели дело с очень консервативной банковской системой. Вы как обычный добропорядочный гражданин не могли просто зайти с улицы и открыть банковский счёт. Нет, банк не рассматривал вас в качестве своего клиента, пока какой‑нибудь уже хорошо зарекомендовавший себя клиент не даст вам своё рекомендательное письмо. — 22 —
|