Mitnick Recado do Capítulo 2
Quando as Informações São Inofensivas teoricamente é obtenção de informações aparentemente não sigilosas e o seu uso como uma ficha de pôquer para ganhar a confiança de curto prazo.
Cada um dos empregados precisa ter consciência de que o falo de um interlocutor ter conhecimento dos procedimentos da empresa, da linguagem e dos identificadores internos não dá de maneira nenhuma a forma ou a autenticação para o solicitante, nem o autoriza a ter a necessidade de saber as informações.
Um interlocutor pode ser um ex-empregado ou contratado com as informações internas requisitas. Da mesma forma, cada corporação tem a responsabilidade de determinar o método apropriado de autenticação a ser usado quando os empregados interagem com as pessoas que eles não conhecem pessoalmente ou pelo telefone.
A pessoa ou as pessoas que têm o papel e a responsabilidade de criar uma política de classificação de dados devem examinar os tipos de detalhes que parecem inofensivos e podem ser usados para obter o acesso dos empregados legítimos, mas esses detalhes podem levar a informações sigilosas.
Embora você nunca daria os códigos de acesso do seu cartão eletrônico, diria a alguém qual servidor você usa para desenvolver produtos de software para a empresa?
Essas informações poderiam ser usadas por uma pessoa que finge ser outra que tem acesso legítimo a rede corporativa?
O simples conhecimento da terminologia interna pode fazer com que um engenheiro social pareça assumir autoridade e
conhecimento.
O atacante quase sempre usa esse erro comum de conceito para fazer com que suas vítimas colaborem.
Por exemplo, um ID de Comerciante é um identificador que as pessoas do departamento de Contas Novas de um banco usam todos os dias.
Mas tal identificador é exatamente igual a uma senha.
Se cada um dos empregados entender a natureza desse identificador — o qual é usado para autenticar positivamente um solicitante —,
eles poderão tratá-lo com mais respeito.
Nenhuma empresa — bem, pelo menos muito poucas — dá os números dos telefones diretos de seus CEOs ou diretores.
A maioria das empresas, porém, não se preocupa em dar os números de telefones da maioria dos departamentos e grupos de trabalho da organização — particularmente para alguém que é ou parece ser um empregado.
Uma medida de contra-ataque possível seria implementar uma política que proíbe a divulgação dos números internos de funcionários, contratados, consultores e temporários para as pessoas que não são da empresa.
O mais importante é desenvolver um procedimento passo a passo para identificar positivamente se um interlocutor que está pedindo os números de telefone é de fato um empregado.
Nenhum comentário:
Postar um comentário