- •Кевин Митник Искусство обмана
- •Рассказ Кевина
- •Финальные выводы
- •Введение
- •Предисловие
- •С чего всё начиналось
- •От телефонного фрикинга к хакингу
- •Становление социальным инженером
- •Финальные выводы
- •Вступление
- •Глава 1: Самое слабое звено в безопасности
- •Человеческий фактор
- •Классический случай обмана
- •Характер угрозы
- •Злоупотребление доверием
- •Террористы и обман
- •Об этой книге
- •Глава 2: Когда безвредная информация опасна
- •Скрытая ценность информации
- •Частный сыщик в действии
- •Западня для инженера
- •Ещё одна «ничего не стоящая» информация
- •Предотвращение обмана
- •Глава 3: Прямая атака: просто попроси
- •Случай с центром назначения линий
- •Юноша в бегах
- •На пороге
- •Заговаривание зубов (Отвлекающая болтовня)
- •Глава 4: Внушая доверие
- •Доверие: ключ к обману
- •Вариации по теме: Сбор кредитных карт
- •Одноцентовый сотовый телефон
- •Взлом федералов
- •Предотвращение обмана
- •Глава 5: «Разрешите Вам помочь»
- •Неполадки в сети
- •Немного помощи для новенькой девушки.
- •Не так безопасно, как думаешь
- •Предотвращение обмана
- •Глава 6: «Не могли бы Вы помочь?»
- •Неосторожный руководитель
- •Глава 7: Фальшивые сайты и опасные приложения
- •«Не желаете ли вы бесплатно …?»
- •Сообщение от друга
- •Вариации по теме
- •Вариации по вариации
- •Глава 8: Используя чувство симпатии, вины и запугивание
- •Визит в студию
- •«Сделайте это сейчас»
- •«Мистер Бигг хочет это»
- •Что знает о вас администрация общественной безопасности
- •Один простой звонок
- •Полицейский набег
- •Переводя стрелки
- •Предупреждение обмана
- •Глава 9: Ответный удар
- •Исскуство дружелюбного убеждения
- •Глава 11: Сочетая технологию и социальную инженерию
- •Взлом решетки
- •Быстрое скачивание
- •Легкие деньги
- •Словарь как орудие атаки
- •Предотвращение обмана
- •Глава 13: Умные мошенники
- •Несоответствующий “Caller id”
- •Вариация: Звонит президент Соединенных Штатов
- •Невидимый сотрудник
- •Полезный секретарь
- •Суд по делам дорожного движения
- •Возмездие Саманты
- •Предотвращение обмана
- •Глава 15: Знание об информационной безопасности и тренировки
- •Обеспечение безопасности с помощью технологии, тренировки и процедуры
- •Понимание того, как атакующий может воспользоваться человеческой природой
- •Создание тренировочных и образовательных программ
- •Тестирование
- •Поддержание бдительности
- •«Зачем мне все это?»
- •Краткое описание безопасности в организации
- •Определение атаки
- •Проверка и классификация информации
Тестирование
Ваша компания может захотеть проверить уровень подготовки сотрудников, приобретенный благодаря тренировочной программе по повышению осведомленности, до того, как их допустят к работе с компьютерной системой. Если тест выстроен последовательно, то множество программ, оценивающих действия сотрудников, помогут выявить и усилить бреши в защите.
Также ваша компания может ввести сертификацию при прохождении данного теста, что будет являться дополнительным и наглядным стимулом для рабочих.
На обязательном завершающем этапе программы следует получить подпись в соглашении следовать установленным политикам и принципам поведения от каждого служащего. Ответственность, которую каждый берет на себя, подписав соглашение, помогает избегать в работе сомнений – поступить, как просят, или как установлено политикой безопасности.
Поддержание бдительности
Большинство людей знает, что интерес к обучению даже важным навыкам потухает со временем, разгораясь периодически. Поэтому жизненно важно поддерживать интерес сотрудников к изучению предмета безопасности и защиты от атак постоянно.
Один из методов сохранять безопасность основой мышления работника заключается в том, чтобы сделать информационную безопасность своеобразной работой, обязанностью каждого на производстве. Это ободряет сотрудника, потому что он чувствует себя одной из частей слаженного механизма безопасности компании. С другой стороны здесь существует сильная тенденция «безопасность – не моя работа, мне за нее не платят».
Если основная ответственность за информационную программу безопасности, обычно лежит на сотруднике отдела безопасности или отдела информационных технологий, то разработку такой системы лучше вести совместно со специальным отделом проведения тренинга.
Программа по поддержанию бдительности должна быть как можно более интерактивной и использовать любые доступные каналы для передачи сообщений, помогающих сотрудникам постоянно помнить о хороших привычках безопасности. Методы должны использовать все доступные традиционные каналы + особенные способы, которые разработчики программ только смогут придумать. К примеру, реклама, юмор и вредные советы – традиционные способы. Использование различных слов и написаний одних и тех же сообщений‑напоминаний предохраняет их от назойливости и последующего игнорирования.
Список возможных действий для выполнения этой программы может включать:
Предоставление копий этой книги всем сотрудникам.
Информационные статьи, рассылки, напоминания, календари и даже комиксы.
Публикацию наиболее надежного работника месяца.
Специальные плакаты в рабочих помещениях.
Доски объявлений.
Печатные вкладыши в конвертах с зарплатой.
Рассылки с напоминаниями по электронной почте.
Хранители экрана и экранные заставки с напоминаниями.
Вещание напоминаний через голосовую почту.
Специальные наклейки на телефонах. Например: «Звонящий действительно тот, за кого себя выдает?»
Системные сообщения в компьютерной сети. Пример: при входе в систему под своим логином пользователь видит сообщение: «Если Вы пересылаете конфиденциальную информация по Email, не забудьте зашифровать ее!»
Постановку вопроса безопасности одним из постоянных на собраниях, пятиминутках и т.д.
Использование локальной сети для напоминаний в картинках, анекдотах и в виде любой другой информации, которая сможет заинтересовать пользователя и прочитать текст.
Электронные табло в общественных местах, например, в кафетерии, с часто обновляемой информацией о положениях политик безопасности.
Распространение буклетов и брошюр.
Изобретение трюков, таких как печения с предсказаниями с напоминаниями о безопасности вместо загадочных слов о будущем.
Вывод: напоминания должны быть своевременными и постоянными.