[ Pobierz całość w formacie PDF ]
.Uwaga MitnickaZ chwilą, kiedy socjotechnik pozna zasady rządzące firmą, może z po-wodzeniem nawiązać kontakt z jej pracownikiem.Firma musi byćprzygotowana na ewentualne ataki socjotechniczne ze strony obecnychlub byłych jej pracowników.Kontrole wewnętrzne mogą pomóc w po-zbyciu się osób mających inklinacje do takich zachowań.W większo-ści przypadków będą oni niezwykle trudni do wykrycia.Jedyną sen-sowną ochroną jest w tym momencie ulepszenie procedur weryfikacjitożsamości, a w szczególności sprawdzanie statusu pracownika w fir-mie przed udostępnieniem jakiejkolwiek informacji.Chodzi o sprawdze-nie osoby, co do której nie jesteśmy pewni, że jest obecnie zatrudnionaw naszej firmie.Przedsiębiorstwa muszą szkolić swoich pracowników,aby potrafili się oprzeć takiemu podstępowi.Pan Prezes chce.Popularną i wysoce efektywną formą zastraszania (zapewne dzięki swojejprostocie) jest wpływanie na ludzi za pomocą autorytetu.Samo nazwisko asystenta z biura zarządu może być w tym przydatne.Prywatni detektywi, a nawet łowcy głów, robią to często.Dzwonią na cen-tralę i proszą o połączenie z biurem zarządu.Kiedy sekretarka lub asystentkazarządu podniesie słuchawkę, mówią, że mają ten dokument, o który prosiłprezes i, jeżeli wyślą go e-mailem, czy mogłaby go wydrukować? Albo pyta-ją, jaki jest numer faksu, prosząc dodatkowo o nazwisko asystentki.Potem dzwonią do innej osoby i mówią: Jeannie z biura Prezesa powie-działa mi, że pani pomoże mi w tej sprawie.Wymienianie imion innych pracowników jest zwykle stosowane do osią-gania wrażenia, że ma się bliskie kontakty z osobą wysoko postawioną w fir-mie.Ofiara chętniej zrobi coś dla osoby, która zna kogoś, kogo ona zna.125Jeżeli celem napastnika jest zdobycie bardzo poufnej informacji, może użyćpodobnej metody w celu wywołania określonych emocji u ofiary w trakcierozmowy z nią, na przykład poczucia strachu przed reprymendą od szefa.Oto przykład.Historia Scotta Scott Abrams. Scott, tu Christopher Dalbridge.Właśnie dostałem telefon od prezesaBiggleya, który był bardzo niezadowolony.Mówił, że dziesieć dni temu wy-słał notatkę nakazującą waszym ludziom zebranie wszystkich wyników ba-dań rynku dla nas do analizy.Nic takiego nie i otrzymaliśmy. Badania rynku? Nikt mi o tym nie mówił.Z jakiego pan jest wydzia-łu? Jestem z firmy konsultingowej wynajętej przez prezesa i mamy jużduże opóznienie. Właśnie idę na spotkanie.Proszę zostawić mi numer telefonu i.Napastnik przerwał mu tonem bliskim frustracji: A co ja mam powiedzieć Prezesowi?! Słuchaj pan, on potrzebuje naszychanaliz do jutra rana i będziemy musieli siedzieć nad nimi w nocy.Czy mampowiedzieć prezesowi, że nie możemy zrobić analiz, bo nie mamy od was ra-portów, czy może sam mu to pan powie?Złość szefa może zepsuć cały tydzień.Ofiara najczęściej zmienia zdaniei dochodzi do wniosku, że może lepiej się tym zająć, zanim pójdzie na spo-tkanie.Socjotechnik znów nacisnął odpowiedni przycisk, aby otrzymać ocze-kiwaną odpowiedz.Analiza oszustwaZastraszanie poprzez odwołanie się do autorytetu działa szczególnie moc-no wtedy, gdy ofiara zajmuje stosunkowo niską pozycję w przedsiębiorstwie.Użycie nazwiska ważnej osoby nie tylko redukuje naturalny opór i podejrzli-wość, ale wzmaga chęć pomocy.Naturalna potrzeba bycia pomocnym wzra-sta w sytuacji, kiedy wydaje się nam, że osoba, której pomagamy, jest waż-na lub wpływowa.126Socjotechnik wie, że oszustwo to działa najlepiej, kiedy używamy na-zwiska kogoś, kto ma wyższe stanowisko niż bezpośredni zwierzchnik da-nej osoby.Sztuczka ta jest trudna w przypadku małych organizacji.Nie jestna rękę atakującemu, kiedy istnieje duża szansa, że jego ofiara będzie miałaokazję wspomnieć szefowi marketingu: Wysłałem ten plan marketingowyproduktu, temu gościowi, któremu pan kazał to przekazać.Co oczywiście spowoduje reakcję typu: Jaki plan marketingowy? Jaki gość? która szybko doprowadzi do od-krycia ataku na firmę.Uwaga MitnickaZastraszenie powoduje obawę przed karą, co z kolei zwiększa chęćwspółpracy.Zastraszenie może również wzmagać obawę przed ośmie-szeniem lub utratą szansy na awans.Ludzi należy nauczyć, że kwestionowanie autorytetów jest nie tylkodopuszczalne, ale i wymagane w sytuacji, gdy może chodzić o bezpie-czeństwo firmy.Szkolenie dotyczące bezpieczeństwa informacji powin-no uczyć ludzi, jak grzecznie kwestionować autorytet tak, aby nie po-wodowało to konfliktów.Co więcej, samo szefostwo musi stale nakła-niać do kwestionowania ich autorytetów.Jeżeli pracownik nie będziemiał pewności, że tego właśnie się od niego oczekuje, wkrótce przesta-nie to robić.Co wie o nas ubezpieczyciel?Lubimy myśleć, że urzędy państwowe przechowują informacje o nasw ścisłym zamknięciu i poza zasięgiem ludzi, którzy nie mają autentycznejpotrzeby korzystania z nich.W rzeczywistości nawet instytucje rządowe niesą odporne na penetrację, jak moglibyśmy sobie to wyobrażać.Telefon do May LinnMiejsce: biuro regionalne Urzędu Ubezpieczeń Społecznych.Czas: 10:18, wtorek. Oddział 2.Mówi May Linn Wang.127Głos po drugiej stronie brzmiał przepraszająco, niemal bojazliwie: Pani Wang, mówi Artur Arondale z biura inspektora generalnego.Mogęmówić do pani May ? Mam na imię May Linn odpowiedziała. A więc May Linn, mam taką sprawę
[ Pobierz całość w formacie PDF ]