piątek, 6 marca 2015

Socjotechnika metoda na wszystko


Szpiedzy korporacyjni nie potrzebują zaawansowanych technologii żeby wykraść ważne informacje z Twojej firmy. Najprostszym sposobem jest oszustwo i podstęp. Doskonale wiedzą o tym wszyscy naciągacze, którzy od tysięcy lat stosują socjotechnikę. Należy wiec odpowiednio przeszkolić swoich pracowników, bo jeśli zawiedzie człowiek nawet najlepsze zabezpieczenia nie pomogą. 

Sukces funkcjonowania każdej firmy opiera się na jej biznesowym know-how. Wyciek poufnych informacji może zaowocować spadkiem konkurencyjności przedsiębiorstwa na rynku, a w rezultacie doprowadzić nawet do jego upadku. W czasach, kiedy właściciele korporacji wydają majątek na ochronne swoich sieci komputerowych i bezpieczeństwo danych warto zdać sobie sprawę jak łatwo można oszukać innych i przy ich pomocy obejść wszelkie możliwe zabezpieczenia technologiczne. 

Zdaniem Kevin Mitnick'a, jednego z najbardziej znanych amerykańskich włamywaczy komputerowych socjotechnika to sztuka, która polega na skłanianiu ludzi do tego, żeby robili rzeczy, których zwykle nie robi się dla nieznajomych. Socjotechnik to osoba, która stosuje manipulacje i perswazje wobec firm zwykle w celu uzyskania informacji. 

Firma może zainwestować ogromne pieniądze w zakup najlepszych technologii bezpieczeństwa, przeszkolić personel na wszystkie możliwe sposoby i wciąż pozostawać niezabezpieczoną przed działania socjotechnika, ponieważ pełne bezpieczeństwo to zwykle tylko złudzenie. Albert Einstein, powiedział podobno: Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszej nie mam pewności. Krótko mówiąc dobry manipulator zwykle dostaje to, czego chce z prostego powodu - ludzie nie myślą.

Z pozoru nieistotne informacje, po złożeniu w całość mogą być dla konkurencji jak odkryte karty. Ludzie lubią mówić i rzadko używaj wyobraźni. Czasami zwykła telefoniczna rozmowa z sekretarką wystarczy, żeby poznać tajemnice jej szefa - Pani Ania miłym głosem zawiadamia nas przez telefon, że szef wyjechał na kilka dni do Rzymu. Właściwie nic takiego nie powiedziała. Ale jeśli rozmówca wie, że prezesi innych dużych firm także przyjechali do wiecznego miasta może wysnuć dla siebie odpowiednie wnioski. 

Ale współcześni naciągacze wykorzystują przede wszystkim możliwości, jakie daje cyberprzestrzeń. Odwołując się do wspomnianego już Kevin'a Mitnick'a popularne jest powiedzenie, że bezpieczny komputer to wyłączony komputer. Niestety to nie do końca prawda. Oszust po prostu namawia ofiarę do włączenia komputera. Napastnik musi przekonać pracownika, żeby ten podał mu z pozoru nieistotną informacje. - Socjotechnicy zwykle przyjmują fałszywą tożsamość na przykład dzwoniąc do konkretnej firmy. Wyobraźmy sobie, że ktoś przedstawia się, jako dostawca usług internetowych albo wsparcie techniczne. Wyjaśnia, że zauważył, iż nasz komputer dziwnie się zachowuje. Intruz chce pomóc. Zaczyna używać skomplikowanych technicznych terminów i krok po kroku wydaje nam polecenia sprawdzające czy systemowe pliki nie są zainfekowane. Może nam zaoferować kupno oprogramowania antywirusowego albo poprosić, o przyznanie zdalnego dostępu do komputera, żeby mógł go naprawić. W rzeczywistości w obu przypadkach zgodzimy się na instalacje złośliwego oprogramowania i pozwolimy przejąć obcej osobie kontrole nad firmą - wyjaśnia Krzysztof Szaruga prezes Royal Business Inteligence.

Socjotechnicy wykorzystują naiwność i zaufanie innych. Zwykle są czarujący i bardzo szybko można ich polubić. Wiedzą, że niezależnie od zabezpieczeń piętą achillesową każdej firmy są ludzie. Ale odpowiednie kursy mogą skutecznie utrudnić życie naciągaczom i zapobiec wielu oszustwom. Należy uświadomić pracowników, jakie mogą być skutki niewłaściwego obchodzenie się z niepublicznymi informacjami. Warto skorzystać z doświadczenia najlepszych. Specjaliści z Royal Business Inteligence przeprowadzą indywidualne szkolenia z ochrony przed atakami socjotechnicznymi w firmie. 

Tekst został przygotowany w oparciu o książkę Sztuka podstępu Kevin'a Mitnick'a i William'a L. Simon'a.
K.Mitnick; William L. Simon, Sztuka podstępu, Helion, 2003, s. 1-39.

Brak komentarzy:

Prześlij komentarz