Сообразительные похитители информации не стесняются звонить должностным лицам из органов штата, федеральных и местных органов, чтобы узнать о процедурах правоприменения. Располагая такой информацией, социальный инженер может обойти типовые проверки безопасности вашей компании.
Это было все, что нужно было знать Фрэнку. На него не было записей в этом штате, поэтому он заполнил анкету, был принят на работу, и никто не появился однажды у его стола со словами: «Это джентльмены из ФБР, они хотят немного поговорить с вами».
И, по его словам, он показал себя образцовым служащим.
На пороге
Несмотря на миф о безбумажном офисе, компании продолжают печатать стопки бумаг каждый день. Печатная информация в в вашей компании может быть уязвимой, даже если вы предпринимаете меры предосторожности и помечаете ее как конфиденциальную.
Вот одна история, показывающая, как социальные инженеры могут получить ваши самые секретные документы.
Обман с номерами обратного вызова
Каждый год телефонная компания издает справочник тестовых номеров (или по крайней мере издавали, но, поскольку я все еще нахожусь под надзором, то не собираюсь спрашивать об этом). Этот документ высоко ценился фрикерами, так как содержал список тщательно скрываемых телефонных номеров, которые использовались мастерами, техниками и другими работниками компании для таких вещей как тестирование магистрали или проверки всегда занятых номеров.
|
|
Один из таких тестовых номеров, называемых на профессиональном языке «Loop‑Around» (номер обратного вызова), был особенно полезен. Фрикеры использовали его как способ бесплатно поговорить друг с другом. Фрикеры также использовали его как номер обратного вызова, чтобы дать его, например, в банке. Социальный инженер сообщал кому‑нибудь в банке телефонный номер в своем офисе. Когда из банка звонили по тестовый номеру, фрикер мог получить звонок, кроме того, по этому номеру его не могли выследить.
В справочнике тестовых номеров содержал информацию, в которой нуждался фрикер. Поэтому, когда издавались новые справочники, они разыскивались множеством подростков, для которых любимым занятием было исследовать телефонную сеть.
Сообщение от Митника
Обучение безопасности в рамках политики компании по защите информации должно проводиться для всех сотрудников, а не только для служащих, у которых есть электронный или физический доступ к ИТ‑активам компании.