Как стать автором
Обновить

Комментарии 16

Все это конечно хорошо всех посылать, но вот реальная ситуация. Приезжаю на конференцию. По Москве раннее утро. И вижу, что трахтибидох нужного на стенде нет. Нужен домашний ответственного сотрудника, чтобы понять куда и где. Если я позвоню в компанию (есть ночная смена), то что правильнее будет для сотрудника ночной смены — послать меня (а на конференции по прежнему нет нужного) или помочь?
Посылать не вариант, надо удостовериться, что это действительно вы. Сотрудник колл-центра может сам перезвонить нужному сотруднику, спросить у него, кто Вы и дать Ваш мобильный с просьбой перезвонить срочно. Или может сравнить телефон с которого Вы звоните с Вашим телефоном, указанным в КИС, чтобы Вас идентифицировать.
> перезвонить нужному сотруднику
Утро, я же дал вводную. Сотрудник ответственный спит.

> спросить у него, кто Вы
Таки вы звоните от имени реального сотрудника, ответственный за проект автоматом подтвердит, что такой есть

> сравнить телефон с которого Вы звоните с Вашим телефоном, указанным в КИС,
Не пойдет, насколько я понимаю можно подделать номер звонящего

Потому я и говорю, формальные методы проверки не пройдут, а создавать тикет — так он будет отработан к концу конференции по местному времени
>> перезвонить нужному сотруднику
>Утро, я же дал вводную. Сотрудник ответственный спит.
Если он спит, зачем Вам его номер? Если его сотрудник поддержки не разбудит, то это бессмысленно.
А это уже мои проблемы. Нужно

Я же говорю — реальная ситуация была
Домашние телефоны вообще сейчас разве есть у кого-то? Зачем они?
Неужели нет вацапа/мобильного нужного сотрудника? Вы плохо готовились к конференции
Или это кейс из 1996 года?
А у нас (в России) так много людей сочувствующими «чужим» проблемам?

Читал книгу про Кевина Митника, так его соц. инженерия в 99% строилась на милых американских менеджерах колл-центра, которые с удовольствием старались помочь попавшему в беду «сотруднику»… в России же, как мне кажется, больше психология «а мне за это не влетит?»

От менеджера или сотрудника колл-центра требуется клиентоориентированность, им надо идти по грани между «влетит» и «помочь». Если человек не дал информацию, убоявшись, что влетит, это говорит о том, что ИБ в компании работает.
Почта доменная, никакого пароля на емейл нет, Катя
Верно подмечено, а ещё у них, видимо, OWA торчит наружу без второго фактора, зачем-то нужно сбрасывать(?!) пароль, хотя после 3 попыток вход должен был заблокировать WAP.

Учи не учи, в самой же статье написано — только от параноика информацию не получить, остальные — всё равно будут ошибаться. Потому тренинги тренингами, а инфраструктуру нужно настраивать так, чтобы минимизировать человеческий фактор, а сверху — продуманные policy/инструкции, чтобы не придумывать на ходу, как помочь, а просто действовать по инструкции, и обойти её можно было только через механизм эскалации, тогда уже не Катя Диме будет с неизвестного номера звонить, а Катина начальница начальнику Димы, например.
Вот как раз недавно думал, что, например Linkedin обладает всей этой информацией:
ФИО, должности, контакты, полномочия, используемые в компании технологии. положение на рынке, финансовое состояние, слухи, сплетни
и при желании способен выстроить
приблизительная оргструктура атакуемой компании;
структура электронного адреса сотрудника;
список предполагаемых сотрудников с должностями;
контакты сотрудников, телефоны, электронная почта, аккаунты в соцсетях.
для любой нужной компании, ещё и графики нарисовать. Даже если мы не верим во всякую конспирологию в адрес западных компаний («наш поганый Чебурнет — их свободные Частные Компании») — нет никакой гарантии, что одному или нескольким сотрудникам со слишком большой зоной доступа (по служебной необходимости, конечно же) не захочется подзаработать ещё сверху на продаже такой информации.

Но это просто мысль, ни к чему конкретному не привязана.

Линкедин, мой круг, все работные сайты. Запрещать и отслеживать деятельность сотрудников в соцсетях ещё то занятие.

Так зачем запрещать? Большинство компаний в которых я работал наоборот просили своевременно обновить профили на Линкедине что бы выглядеть серьезнее. Просто надо учитывать что атакующие представляют кто у вас кто в компании и планировать защиту исходя из этого.
Нужна некая схема, по которой до сотрудника доводится инфа, что бывает за продажу информации. Обычно все в первый день подписывают NDA или какие-нить правила внутреннего распорядка ну и все. Будучи пойманными говорят «я думал, что так можно было».
Салам. Очень понравилась статья.
Большое спасибо!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий