[ Pobierz całość w formacie PDF ]
.Wieczorem tego samego dnia, w którym namówił swoją ofiarę na zainstalowanie koniatrojańskiego, Bobby wyrzucił komórkę na śmietnik.Oczywiście wcześniej wykasował pamięćtelefonu i wyciągnął z niego baterię ostatnią rzeczą, jakiej chciał, było to, żeby ktośpomyłkowo wybrał ten numer i komórka zaczęła dzwonić.Analiza oszustwaNapastnik osacza ofiarę, przekonując ją, że ma problem, który tak naprawdę nie istnieje,albo, tak jak w tym przypadku, informuje o problemie, który jeszcze nie wystąpił, ale wystąpi wnajbliższej przyszłości (o co już zadba sam napastnik).Następnie atakujący ogłasza sięczłowiekiem, który może ten problem rozwiązać.Tego rodzaju podstęp jest szczególnie korzystny dla atakującego: ponieważ grunt zostałprzygotowany wcześniej, ofiara kiedy tylko odkryje, że zaczynają się kłopoty samazadzwoni do napastnika, prosząc o pomoc.Napastnik po prostu czeka na telefon taktyka tajest znana jako socjotechnika zwrotna.Napastnik, który jest w stanie przekonać ofiarę, aby doniego zadzwoniła, zyskuje natychmiastowe zaufanie: gdy dzwonię do kogoś, o kim myślę, że jestserwisantem, na pewno nie będę mu zadawał pytań sprawdzających jego tożsamość.Atakującyzdążył już sobie na nią zapracować.%7łargon Socjotechnika zwrotna atak socjotechniczny, gdy napastnik kreuje sytuację,w której ofiara zauważa jakiś problem i kontaktuje się z napastnikiem, prosząc o pomoc.Innaforma socjotechniki zwrotnej polega na odwróceniu ról.Ofiara orientuje się, że zostałazaatakowana i, korzystając z wiedzy psychologicznej i wywierając wpływ na napastnika, stara sięwyciągnąć od niego jak najwięcej informacji, w celu ochrony własnej firmy. Stosując tego rodzaju sztuczkę, socjotechnik stara się wybrać jako ofiarę osobę z małąznajomością komputerów.Im więcej ona wie, tym bardziej prawdopodobne jest to, że zaczniecoś podejrzewać lub po prostu zorientuje się, że jest manipulowana.Pracownik, któremu obsługakomputera sprawia trudności, który nie zna procedur ani zasad działania, łatwiej będzie poddawałsię woli napastnika.Osoba taka łatwiej da się nabrać na podstęp w rodzaju: Czy mógłbyśściągnąć ten mały programik? , ponieważ nie ma pojęcia o potencjalnych szkodach, jakie takiprogram mógłby wyrządzić.Co więcej, jest o wiele mniejsza szansa, że zdaje ona sobie sprawę zwagi informacji, jakie znajdują się w sieci firmy i z ryzyka związanego z ich udostępnieniem.Uwaga Mitnicka Jeżeli obcy wyświadcza Ci przysługę, a następnie prosi Cię o przysługę,nie rewanżuj się bez zastanowienia się nad tym, o co właściwie zostałeś poproszony.Pomagamy nowym pracownikomNowi pracownicy to doskonały cel ataku.Nie znają oni jeszcze wielu swoichwspółpracowników, nie znają procedur i zasad obowiązujących w firmie.W imię wywołaniadobrego pierwszego wrażenia chętnie okazują swoją chęć do współpracy i szybkość działania.Pomocna Andrea Dział kadr, Andrea Calhoun. Cześć Andrea, mówi Alex z wydziału bezpieczeństwa. Tak? Jak się dziś miewasz? Dobrze.W czym mogę ci pomóc? Słuchaj, opracowujemy program szkolenia z zakresu bezpieczeństwadla nowych pracowników i musimy zgromadzić parę osób, żeby go wypróbować.Potrzebne mi są nazwiska i numery telefonów wszystkich nowo przyjętych osób.Możesz mijakoś pomóc? OK, ale dopiero dziś po południu.Może być? Jaki jest twój wewnętrzny? Pewnie że może być, wewnętrzny 52& hmm, ale w zasadzie dziś cały dzień jestem naspotkaniach.Zadzwonię do ciebie, kiedy wrócę do biura, prawdopodobnie po czwartej.Kiedy Alex zadzwonił około 16:30, Amy miała już listę i odczytała mu nazwiska oraz numerywewnętrzne. Wiadomość dla RosemaryRosemary Morgan była zachwycona swoją nową pracą.Nigdy wcześniej nie pracowała wgazecie, a ludzie tutaj byli znacznie milsi, niż mogła się tego spodziewać.Było to zaskakującewobec stresu w jakim pracują, aby dotrzymać comiesięcznego terminu wydania kolejnegonumeru.Telefon, jaki otrzymała rankiem któregoś czwartku, utwierdził ją w tym przekonaniu. Czy to Rosemary Morgan? Tak. Cześć Rosemary.Mówi Bili Jorday z działu bezpieczeństwa informacji. Tak? Czy ktoś z twojego wydziału omawiał z tobą praktyki bezpieczeństwa? Raczej nie. Dobrze.Więc tak: po pierwsze nie wolno nikomu instalować oprogramowaniaprzyniesionego spoza firmy.To dlatego, że nie chcemy brać odpowiedzialności za korzystanie znielicencjonowanego oprogramowania, a przy okazji chodzi o uniknięcie problemów z wirusami. Rozumiem. Czy słyszałaś o naszych zaleceniach związanych z pocztą elektroniczną? Nie. Jaki jest aktualny adres twojej skrzynki? Rosemary@ttrzine.net. Czy wchodzisz na swoje konto poprzez nazwę użytkownika Rosemary ? Nie.R-pokreślenie-Morgan. Dobrze.Chcemy uświadomić wszystkim nowym pracownikom, że otwieranienieoczekiwanych załączników jest niebezpieczne.Rozsyłanych jest wiele wirusów, a docierająone do nas w wiadomościach od znajomych osób.Dlatego, jeżeli otrzymasz wiadomość zzałącznikiem, którego się nie spodziewałaś, powinnaś zawsze sprawdzić, czy nadawcarzeczywiście sam go przesłał.Jest to dla ciebie jasne? Tak.Słyszałam o tym. Dobrze.Zalecamy również zmianę hasła co dziewięćdziesiąt dni.Kiedy ostatnio zmieniałaśhasło? Pracuje tu dopiero od trzech tygodni i cały czas używam tego, które wybrałam na początku. W porządku.Możesz poczekać, aż upłynie reszta z tych 90 dni.Musimy się też upewnić, czyludzie ustalają hasła, które nie są zbyt łatwe do odgadnięcia.Czy używasz hasła, które zawieralitery i cyfry? Nie. W takim razie musimy to poprawić.Jakie jest twoje obecne hasło? To imię mojej córki Annette. To nie jest bezpieczne hasło.Nigdy nie powinnaś wybierać haseł, które w jakiś sposób sązwiązane z danymi osobowymi dotyczącymi ciebie czy członków twojej rodziny.Niechpomyślę& mogłabyś robić to samo co ja.Możesz używać obecnego hasła jako pierwszej części ipotem, za każdym razem, kiedy je zmieniasz, dodawać numer bieżącego miesiąca. A jeżeli zmienię teraz, w marcu, powinnam użyć cyfry 3 czy 03? To zależy od ciebie.Który wariant jest dla ciebie wygodniejszy? Myślę, że Annette-trzy. Dobrze
[ Pobierz całość w formacie PDF ]