Не рекомендуется:
• Обращаться по телефону к незнакомому человеку на «ты», даже если показалось, что ответил ребенок: впечатление может быть ошибочным.
• Называть собеседника «женщина», «мужчина», «бабушка», «дедушка» — вы же не видите, кто именно взял трубку, а голос может быть обманчивым. Лучше безличное обращение: «Будьте любезны», «Извините», «Скажите, пожалуйста», «Сделайте одолжение».
• Обращаться к незнакомой собеседнице со словами «кошечка», «душечка», «милочка». Эти слова могут обидеть.
• Позвонив по телефону и не представившись самому, спрашивать: «А кто это?» Как правило, на такой вопрос следует контрвопрос: «А кто вам нужен?»
• Спрашивать звонящего: «А кто это говорит?» в том случае, если звонят не вам. Если вы не уверены, что ваш звонок достиг нужного вам абонента, не стоит спрашивать: «А куда я попал?» Следует все же назвать интересующее вас имя, а при подтверждении ошибки извиниться за беспокойство.
• Выражать по телефону сочувствие и соболезнования: если ваш знакомый потерял близкого человека, то надо либо прийти к нему лично, либо послать телеграмму с соответствующим текстом.
Телефонный шпионаж
Раз и навсегда запомните, что и обычный, и мобильный телефоны вовсе не гарантированы от прослушивания, даже если вы включаете кодировщики. Социальная инженерия — это искусство принуждать людей к действиям, которые они не стали бы совершать, зная о последствиях. Любая компьютерная система нашей планеты зависит не только от платформы, софта и умных системных администраторов. Вокруг нее крутятся уборщицы, охранники, техники, секретари, пользователи локальных сетей… Да кого там только нет! И если шпиону удастся уговорить кого-то из них совершить некоторые действия, то даже самая мощная система безопасности упадет к ногам шпиона, как поверженный колосс.
Давайте рассмотрим пример. Вот стенограмма телефонного разговора, повлекшего за собой взлом центрального сервера Северо-Западной энергосистемы США (NWES) (из материалов расследования ФБР по факту хакерской атаки на NWES, совершенной осенью 2001 г.).
Звонок на фирму. Трубку берет секретарша.
— Алло? Это Джози Басс. Чем могу помочь?
— Привет. Это Мартин Уайт из компьютерного центра. Мы думаем, что кто-то взломал наш сервер. Я могу поговорить с дежурным техником?
— Милый, сегодня же пятница. Конец рабочей недели. Все уже разбежались.
— Так ты одна там скучаешь? Как вообще дела?
— Нормально. А у тебя?
— Все путем. Одна беда: сегодня пятница, а мне придется разгребать кучу папок с документами. Слушай, твой логин в сети «джи-басс»?
— Да.
— Я смотрю, им кто-то пользовался. Странные подключения.
— Какие подключения?
— Сейчас скажу.
(Шелест бумаг.)
— Черт! Боюсь, плохие парни могут поменять кое-какие данные на нашем сервере. Это приведет к отключению станции. Джоз, ты можешь изменить пароль?
— Я не знаю, как это делать!
— Вот же невезуха! Подожди, я сейчас посмотрю… Ara! Какой у тебя пароль?
— Олеандр и две тройки. Через дефис.
— Нет, этот не годится. А у шефа какой пароль?
— Коди, дефис, двойка, тридцать три, дефис, кот.
— То, что нужно. Спасибо, Джози. С меня кофе.
— Приятных выходных.
— Тебе того же.
«Мартин Уайт» действительно провел приятные выходные: он взломал сервер одной из основных энергостанций США и обесточил на 56 часов три штата этой могучей державы.
Социальная инженерия — это нетехнический аспект информационных технологий. Основной ее чертой является обман жертвы и получение секретной информации. Для кражи сведений используются два фундаментальных метода.
1. Простое требование, когда жертву просят выполнить конкретное действие. Хакер представляется авторитетной персоной (преподавателем, начальником, инспектором государственной службы) и отдает приказ. Это самый легкий метод, но он имеет множество недостатков и очень редко приводит к успешным результатам.
2. Создание иллюзорной ситуации, в которую включается жертва.
В данном случае хакер задействует множество второстепенных факторов, которые помогают ему склонить жертву к сотрудничеству. Примерами могут служить:
• звонок второстепенному сотруднику, введение его в смущенное состояние и просьба назвать пароль для срочной замены или спасения ценных данных;
• звонок от нового системного администратора, который обвиняет чиновника в нарушении трафика и требует доступа к его файлам.
• Обращаться по телефону к незнакомому человеку на «ты», даже если показалось, что ответил ребенок: впечатление может быть ошибочным.
• Называть собеседника «женщина», «мужчина», «бабушка», «дедушка» — вы же не видите, кто именно взял трубку, а голос может быть обманчивым. Лучше безличное обращение: «Будьте любезны», «Извините», «Скажите, пожалуйста», «Сделайте одолжение».
• Обращаться к незнакомой собеседнице со словами «кошечка», «душечка», «милочка». Эти слова могут обидеть.
• Позвонив по телефону и не представившись самому, спрашивать: «А кто это?» Как правило, на такой вопрос следует контрвопрос: «А кто вам нужен?»
• Спрашивать звонящего: «А кто это говорит?» в том случае, если звонят не вам. Если вы не уверены, что ваш звонок достиг нужного вам абонента, не стоит спрашивать: «А куда я попал?» Следует все же назвать интересующее вас имя, а при подтверждении ошибки извиниться за беспокойство.
• Выражать по телефону сочувствие и соболезнования: если ваш знакомый потерял близкого человека, то надо либо прийти к нему лично, либо послать телеграмму с соответствующим текстом.
Телефонный шпионаж
Раз и навсегда запомните, что и обычный, и мобильный телефоны вовсе не гарантированы от прослушивания, даже если вы включаете кодировщики. Социальная инженерия — это искусство принуждать людей к действиям, которые они не стали бы совершать, зная о последствиях. Любая компьютерная система нашей планеты зависит не только от платформы, софта и умных системных администраторов. Вокруг нее крутятся уборщицы, охранники, техники, секретари, пользователи локальных сетей… Да кого там только нет! И если шпиону удастся уговорить кого-то из них совершить некоторые действия, то даже самая мощная система безопасности упадет к ногам шпиона, как поверженный колосс.
Давайте рассмотрим пример. Вот стенограмма телефонного разговора, повлекшего за собой взлом центрального сервера Северо-Западной энергосистемы США (NWES) (из материалов расследования ФБР по факту хакерской атаки на NWES, совершенной осенью 2001 г.).
Звонок на фирму. Трубку берет секретарша.
— Алло? Это Джози Басс. Чем могу помочь?
— Привет. Это Мартин Уайт из компьютерного центра. Мы думаем, что кто-то взломал наш сервер. Я могу поговорить с дежурным техником?
— Милый, сегодня же пятница. Конец рабочей недели. Все уже разбежались.
— Так ты одна там скучаешь? Как вообще дела?
— Нормально. А у тебя?
— Все путем. Одна беда: сегодня пятница, а мне придется разгребать кучу папок с документами. Слушай, твой логин в сети «джи-басс»?
— Да.
— Я смотрю, им кто-то пользовался. Странные подключения.
— Какие подключения?
— Сейчас скажу.
(Шелест бумаг.)
— Черт! Боюсь, плохие парни могут поменять кое-какие данные на нашем сервере. Это приведет к отключению станции. Джоз, ты можешь изменить пароль?
— Я не знаю, как это делать!
— Вот же невезуха! Подожди, я сейчас посмотрю… Ara! Какой у тебя пароль?
— Олеандр и две тройки. Через дефис.
— Нет, этот не годится. А у шефа какой пароль?
— Коди, дефис, двойка, тридцать три, дефис, кот.
— То, что нужно. Спасибо, Джози. С меня кофе.
— Приятных выходных.
— Тебе того же.
«Мартин Уайт» действительно провел приятные выходные: он взломал сервер одной из основных энергостанций США и обесточил на 56 часов три штата этой могучей державы.
Социальная инженерия — это нетехнический аспект информационных технологий. Основной ее чертой является обман жертвы и получение секретной информации. Для кражи сведений используются два фундаментальных метода.
1. Простое требование, когда жертву просят выполнить конкретное действие. Хакер представляется авторитетной персоной (преподавателем, начальником, инспектором государственной службы) и отдает приказ. Это самый легкий метод, но он имеет множество недостатков и очень редко приводит к успешным результатам.
2. Создание иллюзорной ситуации, в которую включается жертва.
В данном случае хакер задействует множество второстепенных факторов, которые помогают ему склонить жертву к сотрудничеству. Примерами могут служить:
• звонок второстепенному сотруднику, введение его в смущенное состояние и просьба назвать пароль для срочной замены или спасения ценных данных;
• звонок от нового системного администратора, который обвиняет чиновника в нарушении трафика и требует доступа к его файлам.
Авторское право на материал
Копирование материалов допускается только с указанием активной ссылки на статью!
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Похожие статьи