Zgodnie z obietnicą, dziś wpis o jednej ze sztuczek socjotechników. Jest nią zdobywanie informacji, które pozornie nie mają żadnego znaczenia. bo czy podanie numeru telefonu do działu spedycji lub do asystenta działu marketingu może stanowić zagrożenie? Jeśli trafimy na zdolnego socjotechnika – jak najbardziej!
Co może być groźnego w zdradzeniu jednej informacji, która w dodatku nie jest objęta żadną tajemnicą – mają do niej dostęp pracownicy firmy, znajduje się na dokumentach będących w zupełnie jawnym obiegu. Jednak wystarczy znać nazwiska kilku pracowników i kilka słów z firmowego żargonu, żeby z sukcesem podszyć się pod pracownika danej firmy. Szczegolnie, że jedna drobna informacja może stać się początkiem całego socjotechnicznego łańcuszka – kolejni pracownicy będą dodawali następne cegiełki. Każda z osobna nie ma większego znaczenia, ale połączone w całość pozwalają poważnie zaszkodzić.
Detektyw na tropie
Mitnick opisuje historię prywatnego detektywa, ktory z powodzeniem wcielił się w postać pracownika banku. Co mu do tego posłużyło? Wiedza o tym, jak nazywa się stosowany w banku numer identyfikacyjny. Pracownica banku podała go, bo detektyw przedstawił się jako...pisarz zbierający materiały do książki. Sprytne, prawda? Kolejni pracownicy, słysząc dobrze im znany zwrot błędnie zakładali, że mają do czynienia z kolegą z pracy. Jak to się zakończyło? Detektyw zdobył potrzebne mu dowody i informacje o stanie konta niewiernego męża klientki.
Jak się nie dać?
Nie ujawniaj żadnych wewnętrznych danych osobom z zewnątrz. Szczegolnie uważaj na rozmowy telefoniczne. Zawsze warto zastanowić się, po co rozmówcy ta informacja. Nawet, jesli pyta o coś pozornie zupełnie bez znaczenia. Oczywiście, jak radzi Mitnick, w każdej firmie powinny istnieć odpowiednie procedury i szkolenia dla pracowników. Jak jest w rzeczywistości...wiadomo. Dlatego najważniejszy jest zdrowy rozsądek. Szczególnie trzeba uważać na osoby, które wciągają nas telefonicznie w pozornie luźną pogawędkę. Może to być nieszkodliwy gaduła, może - socjotechnik. Nawet nie zauważymy, kiedy w morzu nieistotnych informacji i ploteczek zdradzimy tę najważniejszą...Oszust może też zadziałać metodą na ankietera, badającego na przykład poziom zadowolenia z usług, opinię o nowym produkcie itp.Mitnick podaje przykład pracownika banku, który rzekomemu ankieterowi ujawnił poufny numer identyfikacyjny. Dlaczego? Nie zwrócił uwagi na to pytanie, był nastawiony na mechanizm: pytanie - odpowiedź.
Na jakie informacje uważać? Imiona i nazwiska innych pracowników, terminy szkoleń i wyjazdów, nazwy projektów, nazwy procedur, dokumentów i specyficzny firmowy żargon.
To pierwszy, krótki wpis o Sztuce podstępu Kevina Mitnicka. W kolejnych dowiecie się, dlaczego wszystkie hasła można złamać, a mimo to warto je dobrze konstruować. Poznacie także historię kilku bezczelnych oszustów i dowiecie się, jakie cechy sprawiają, że niektórym wprost nie sposób odmówić. Instrukcji zdobycia pin-u do karty nielubianego sąsiada nie podam, ale mam nadzieję, że będzie ciekawie:)
Mozna tez zatrudnic sie jako temp i poznac firme. Byly pracownik tez moze byc dobrym zrodlem informacji, bo zna firme od podszewki i jej zargon. Opcji jest mnostwo.
OdpowiedzUsuńByły pracownik, szczególnie zwolniony to duże zagrożenie.
OdpowiedzUsuńJednak jeśli chodzi o socjotechników to w przeciwieństwie do klasycznych złodziei unikają pojawiania się osobiście w firmie. W razie przecieku, kradzieży kasy z bankowych kont itd. policja zawsze bierze pod lupę wszystkich niedawno zatrudnionych, zwolnionych, też pracowników tymczasowych.Zawsze to jest jakiś ślad. A informacja, o rozmowie telefonicznej może w ogóle nie wypłynąć, bo odbywamy ich codziennie wiele. a nawet jeśli, to trudno do tego człowieka dotrzeć. Zawsze dodatkowe utrudnienie.
"Sztuka podstępu" jest znakomitą lekturą, zarówno jako zbiór sensacyjnych opowieści, poradnik, jak nie dać się zmanipulować oszustowi jak również bezcenny zasób porad dla kolekcjonerów dowodów rzeczowych...
OdpowiedzUsuń