Рассказывать ли сотрудникам о социальной инженерии?

geek.png

Да, я знаю, что термину «социальная инженерия» уже много лет, что Кевина уже давно отпустили, что есть куча материалов о том, как защититься от этих «инженеров». Я не собираюсь пинать мертвую кобылу, я хочу узнать у кого такая же кобыла тоже сдохла, а у кого отлично живет. Иными словами — мы на предприятии обучаем пользователей основам ИБ, рассылаем им информацию по разным типам атак и способам борьбы с ними. Примером такой рассылки про социальную инженерию я и хочу с вами поделиться.
Социальная инженерия — метод управления действиями человека без использования технических средств. Суть метода заключается в использовании человеческих слабостей, психических особенностей человека.

Проще всего понять значение этого термина на примерах:

1. Один сотрудник банка, назовем его Марк, идет утром на работу. Прошел турникет на входе, поднялся по лестнице, открыл дверь на этаж своим пропуском и встретил в коридоре человека. Этот человек говорит, что вышел налить кофе, а пропуск оставил в кабинете и теперь не может попасть внутрь. Глупая ситуация, в которую попадал, наверное, каждый. Марк любезно открывает своим пропуском дверь в нужный незнакомцу кабинет и идет дальше по своим делам.

На первый взгляд ничего ужасного не произошло. И не важно, что Марк видел этого человека впервые — всех сотрудников не запомнишь. А может этот человек вообще первый день работает. А на деле незнакомец может оказаться мошенником, который перепрыгнул через турникет, когда охранник отвернулся. Затем прошел на этаж вместе с другими сотрудниками. А на этаже воспользовался доверчивостью любезного Марка, который пустил его в нужный кабинет.
Этот человек не хакер, он не использовал компьютер. Он, может, вообще не умеет им пользоваться. Он просто мастерски «втирается в доверие».

2. Другой пример. Уже знакомый нам Марк пошел в столовую пообедать. И только он взял в руки нож с вилкой, как заметил, что за соседним столом, с которого еще не убрали грязную посуду, кто-то забыл флешку. Наш Марк решил, что владелец флешки очень расстроится, узнав, что потерял ее. И решил вернуть флешку хозяину. Для этого нужно сначала выяснить, чья она. В этом могут помочь файлы, хранящиеся на ней. Вернувшись в кабинет, Марк вставил носитель в USB порт и… заразился компьютерным вирусом. Потому что флешка была специально подброшена мошенниками. До этого дня у них не было доступа в корпоративную сеть банка. А в столовую может попасть кто угодно. Вот и получается, что оставить флешку с вирусом в столовой проще, чем взламывать защищенную сеть.

Из этих примеров видно, что для успешного осуществления атаки на банк злоумышленники использовали сотрудников, пользовались их добропорядочностью и доверчивостью. Чтобы не стать Марком нужно всегда соблюдать бдительность и выполнять несколько правил:

1. Никогда никому не верьте на слово по телефону. Если вам звонят по внутреннему рабочему телефону и представляются сотрудником тех.поддержки, начальником смежного подразделения, бухгалтером, сотрудником следственного комитета, врачом скорой помощи, женой вашего коллеги или еще кем-то, проверьте этот номер в телефонном справочнике или любым другим доступным способом — правда ли этот человек тот, за кого себя выдает.

2. Никогда никому не сообщайте свой пароль. Ни по телефону, ни письменно. Ни коллегам, ни начальнику. Даже если от этого зависит выполнение срочной задачи.

3. Не вставляйте в компьютер носители информации, кроме тех, которые должны использоваться в соответствии с бизнес-процессами.

4. Не открывайте электронные письма пришедшие с незнакомых адресов. Тем более не открывайте вложения из таких писем. Не открывайте письма, которые явно адресованы не вам. Например, якобы ошибочная рассылка с корпоративного почтового ящика с заголовком «компромат на сотрудников» или «зарплатная ведомость руководящего состава» будет содержать в себе вирус, а не обещанную информацию. Не поддавайтесь соблазну.

5. Используйте разные пароли в разных системах. Очень важно, чтобы пароли не совпадали. И даже не были похожи. Если вы не можете запомнить несколько сложных паролей, используйте специальные программы — менеджеры паролей. Но только используйте разные менеджеры — один для паролей от систем на работе, другой для паролей от развлекательных сайтов.

6. Не открывайте дверь незнакомым людям. При посетителе всегда должен находиться сопровождающий из числа сотрудников компании.

7. И знакомым людям тоже не открывайте дверь. Человек, которого вы уже пять лет знаете как сотрудника смежного подразделения, мог быть вчера уволен. Если кто-то забыл в кабинете пропуск, то ему стоит позвонить своему начальнику для разрешения этой ситуации.

8. В любой непонятной ситуации позвоните в службу безопасности по телефону (ххх)-хххх.
Нашли чужую флешку? Отдайте ее в службу безопасности. Увидели незнакомого человека без сопровождения, который ходит по коридору и пытается попасть хоть в какой-нибудь кабинет? Позвоните в службу безопасности. Кто-то спрашивает ваш личный пароль? Позвоните в службу безопасности.

Эти простые правила помогут поймать мошенника.
Не будьте Марком, будьте бдительны.

© Geektimes