Негосударственная партия Свобода
 Присоединяйтесь! Вместе мы наведем в стране порядок

Рекомендуем:

Комментарии:

Фрикинг: знай врага в лицо

Подготовленные специалисты могут получить важную информацию, прямой доступ к которой закрыт, абсолютно «бытовым» неприметным образом, используя открытые каналы. Используем для этого авторитетный зарубежный опыт Кевина Митника - известного хакера, осужденного правосудием США за проникновение во многие правительственные и корпоративные секреты, которому противостояли лучшие эксперты по защите информации из ФБР.

Кевин не обладал ни значительной технической базой, ни очень большими познаниями в программировании, но лишь талантом в использовании телефонного «фрикинга» (искусства общения по телефону в целях получения нужной информации или действий от собеседника) и того, что сейчас называется «социальной инженерией».

«Впервые я столкнулся с тем, что позднее стал называть социальной инженерией, в средней школе, когда встретил второго школьника, также увлечённого хобби под названием телефонный фрикинг. Я затачивал свои таланты в искусстве под названием социальная инженерия (заставляя людей делать вещи, которые они не стали бы обычно делать для незнакомца) и получал за это зарплату », - пишет Митник в своей книге« Искусство обмана ».

Вскоре Кевин обнаружил, что мог виртуально достать любую информацию, которую хотел и начал использовать свой талант, чтобы узнавать секреты людей и корпораций, опираясь на обман, знание терминологии и растущие навыки в манипуляции людьми.

Эти навыки, тогда только входившие в обиход маргиналов - фриков и хакеров, сейчас, несомненно, взяты на вооружение так называемым «маркетингом» и социальной инженерией. Но от этого они не стали более этичнымы или менее опасными, скорее приобрели другой масштаб и широко используются для сбора информации и оказания влияния всеми, кому не лень - от «агентов на телефоне» и маркетинговых отделов банков - до специализированных исследовательских служб.

При этом основная специфика подобных методик - их «незаметность» и маскировка под обычные коммуникации между членами социума. Это достигается тем, что, получая там и здесь лишь частичную информацию, саму по себе не являющуюся секретной, сборщик восстанавливает картину целиком, картина = тайна, охраняемая личностью, фирмой или государственной организацией.

Вот как поясняет это Кевин Митник: «Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?

Если целью является получение какого-нибудь очень ценного приза - скажем, важного компонента интелткрыть кредитную карта в уже упоминавшемся «Ситибанк», прочел в очень детализированное анкете вопрос: «Есть ли у вас среди родственников высокопоставленные чиновники и военные?» После этого, сделав напрашивающиеся выводы, этот человек отказался от заполнения анкеты.

Защита от подобных попыток получения информации состоит из двух частей: первая - необходимо знать, что такие попытки могут быть предприняты. Вторая - необходимо знать, как поступить в этом случае.

По словам Митника, манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа. 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать, это:

- Авторитетность: людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если собеседник уверен, что спрашивающий имеет власть или право задавать этот вопрос. Например, не зная своих прав на защиту и нераскрытие персональной информации, люди соглашаются указывать в анкетах некоторых организаций даже цвет автомобиля своей жены.

- Умение расположить к себе: люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами. Например, размеры вашего дохода намного легче сообщить по телефону толково и вежливо интервьюера с красивым женским голосом, нежели требовательному субъекту с неприятным мужским;

- Взаимность: мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в этом случае может служить материальная вещь, совет или помощь. Один из самых эффективных путей повлиять на людей, чтобы получить благосклонность и информацию, - преподнести неявно обязывающий подарок - например, тот же купон на праздник;

- Ответственность: люди имеют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться НЕ заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержать слово или выполнить обязанность. Не обещаем в спешке, не подумав;

- Социальная принадлежность: людям свойственно НЕ выделяться в своей социальной группе. Действия второго являются гарантом истинности в вопросе поведения. Иначе говоря, «если так делают другие, я тоже должен действовать так». Без комментариев. По-русски этот принцип называется «стадо баранов».

- Ограниченное количество «бесплатного сыра»: просьба сообщить часть информации в обмен на доступ к ограниченному числу призов и т.п.

Общие же рекомендации по защите личной информации, в приложении к нашей теме перефразируя Митника, могут быть следующими:

1. Прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной информации может угрожать персонально каждому из нас, нашей безопасности, работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно тому, чтобы не заботиться о своем PIN-коде или номере кредитной карты.

2. В своей основе все атаки социнженеров опираются на обман. «Жертва» руководствуется верой в то, что атакующий имеет право на получение вашей информации. Почти все эти атаки срываются, если вы четко выясняете 2 вещи:

- Надежно идентифицируете личность делающего запрос;

- Устанавливаете, имеет ли этот человек право знать вашу персональную информацию.

Итак, всегда думайте, кому и зачем вы даете личную информацию, и помните старую поговорку «молчание - золото». Не в том смысле, что не нужно никому говорить ни слова, а в том смысле, что следует помолчать и подумать, какие последствия может вызвать ваша открытость, прежде исписать анкету биографиями родственников и финансовыми отчетами.

Помните, что «социальные инженеры» разного рода используют вашу доверчивость, ваше желание быть полезным, вашу симпатию и ваше человеческое легковерие, чтобы получить то, что они хотят, однако это может нанести ущерб не только вам, но и Вашим близким, и даже вашей стране.

Вы ответственны за свою личную конфиденциальную информацию. Ваши индивидуальные особенности, увлечения и слабые точки - только ваше личное дело, а ваш психологический портрет не должен попасть в руки кому-либо другому.

раниченное количество «бесплатного сыра»: просьба сообщить часть информации в обмен на доступ к ограниченному числу призов и т.п.

Общие же рекомендации по защите личной информации, в приложении к нашей теме перефразируя Митника, могут быть следующими:

1. Прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной информации может угрожать персонально каждому из нас, нашей безопасности, работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно тому, чтобы не заботиться о своем PIN-коде или номере кредитной карты.

2. В своей основе все атаки социнженеров опираются на обман. «Жертва» руководствуется верой в то, что атакующий имеет право на получение вашей информации. Почти все эти атаки срываются, если вы четко выясняете 2 вещи:

- Надежно идентифицируете личность делающего запрос;

- Устанавливаете, имеет ли этот человек право знать вашу персональную информацию.

Итак, всегда думайте, кому и зачем вы даете личную информацию, и помните старую поговорку «молчание - золото». Не в том смысле, что не нужно никому говорить ни слова, а в том смысле, что следует помолчать и подумать, какие последствия может вызвать ваша открытость, прежде исписать анкету биографиями родственников и финансовыми отчетами.

Помните, что «социальные инженеры» разного рода используют вашу доверчивость, ваше желание быть полезным, вашу симпатию и ваше человеческое легковерие, чтобы получить то, что они хотят, однако это может нанести ущерб не только вам, но и Вашим близким, и даже вашей стране.

Вы ответственны за свою личную конфиденциальную информацию. Ваши индивидуальные особенности, увлечения и слабые точки - только ваше личное дело, а ваш психологический портрет не должен попасть в руки кому-либо другому.

***

Читайте также:


Добавить комментарий:

Имя:
Сайт:
Почта:
Комментарий:
   © Негосударственная партия «Свобода»