ustify"> 2.5.3 Пошук інформації в смітті
Несанкціонований аналіз сміття - або, як це ще називають, «пірнання у сміттєві контейнери» - часто дозволяє зловмисникам отримати цінну інформацію. Паперові відходи компанії можуть містити відомості, які зловмисник може використовувати безпосередньо (наприклад, номери облікових записів і ідентифікатори користувачів) або які полегшують йому проведення подальших атак (списки телефонів, схеми структури організації і т. д.). Для зловмисника, котрий використовує соціотехніки, відомості другого типу особливо цінні, тому що вони допомагають йому проводити атаки, не викликаючи підозри. Наприклад, знаючи імена та прізвища людей, що працюють в певному підрозділі компанії, зловмисник має набагато більше шансів при пошуку підходу до її співробітникам, більшості з яких буде легко повірити, що людина, так багато знає про компанію, є їх колегою.
Електронні засоби зберігання інформації бувають для зловмисників більш корисними. Якщо в компанії не діють правила збору відходів, що передбачають утилізацію списаних носіїв даних, на викинутих жорстких дисках, компакт-дисках і дисках DVD, факсімальних стрічках, можна знайти найрізноманітніші відомості. Сучасні електронні носії даних надійні і довговічні, тому служби, відповідальні за захист ІТ-систем, повинні забезпечити дотримання політик, що передбачають знищення цих носіїв або стирання зберігаються на них даних.
У разі інсайдерської діяльності кошика здатні містити найнеймовірніші відомості, включаючи фінансові відомості, діючі облікові записи, маркетингові плани компанії, список співробітників з номерами телефонів (включаючи мобільні), плани інформаційної мережі та приміщень та інші конфіденційні відомості , здатні заподіяти компанії, як фінансові збитки, так і значно зіграти на репутації компанії.
2.5.4 дорослих (особистісні) підходи
Мабуть, це найбільш дешевий і простий метод з одного боку, т.к. необхідну інформацію зловмисник на пряму запитує у об'єкта впливу, з іншого боку у зв'язку з неможливістю вивчити людину і передбачити його до кінця, він є найскладнішим.
Зловмисник використовує найчастіше наступні чотири стратегії:
· Залякування. Зловмисники, що вибрали цю стратегію, часто змушують жертву виконати запит, видаючи себе за осіб, наділених владою.
· Переконання. Найпопулярніші форми переконання - лестощі і посилання на відомих людей.
· Виклик довіри. Цей підхід зазвичай вимагає досить тривалого часу і пов'язаний з формуванням довірчих відносин з колегою або начальником заради отримання у нього в кінцевому підсумку потрібної інформації, стандартна стратегія моделі ОСІ.
· Допомога. Зловмисник, що вибрав цей підхід, пропонує співробітнику компанії допомогу, для надання якої нібито потрібна особиста інформація співробітника. Отримавши цю інформацію, зловмисник краде ідентифікаційні дані жертви.
У контексті соціотехніки цікавий той факт, що більшість людей, визнаючи, що самі іноді брешуть, виходять з того, що інші завжди говорять їм правду. Беззастережна довіра - одна з цілей зловмисника, котрий використовує методи соціотехніки.
При персональному підході використовується весь арсенал погроз і засобів, який розглядався до цього. Починаю...
