Upload
iuliannitescu4817
View
214
Download
0
Embed Size (px)
Citation preview
Page 1
Page 1
Sfaturi lunare cibernetica
NEWSLETTER
Iunie 2012
Volumul 7, Issue 6
Inginerie social: Sunteti la risc!
Termenul de "inginerie social" se refer la o ncercare de a avea acces la informaii, n primul rnd prin declaraii false,
i de multe ori se bazeaz pe natura de ncredere de cele mai multe persoane. Cei mai muli utilizatori ar trebui s fie familiarizai cu e-mail escrocherii de tip phishing (un
form de inginerie social) i au fost nvai s nu se deschid ataamentele din surse necunoscute sau care nu prezint ncredere sau de a vizita
site-uri web nu sunt de ncredere.
Cu toate acestea, exist i alte modaliti care un autor ar putea ncerca s obin acces la informaii sau sisteme. Mai jos sunt mai multe
exemple de metode de inginerie social - dintre care multe se bazeaz pe contactul direct cu o persoan -, mpreun cu sugestii
pentru a reduce la minimum probabilitatea ca astfel de metode vor fi de succes.
DREPT
n aceast situaie, fptuitorul pretinde a fi altcineva - de exemplu, pretinde un manager senior de la dumneavoastr
organizaie sau cineva de la dvs. de Help Desk. Personificare poate avea loc prin telefon, n persoan, sau prin
de e-mail. Fptuitorul poate ncerca s te simi obligat s asiste, sau sub presiunea de a urma instruciunile lor. Ei
poate utiliza intimidare sau un fals sentiment de urgen s caute cooperarea dumneavoastr - v solicit s reacioneze nainte de ai complet
crezut c prin consecinele.
Urmai procedurile organizaiei dvs. atunci cnd rspunde solicitrilor de informaii sensibile sau confideniale. Nu da
parola ta nimanui, chiar dac ei pretind a fi de la "suport tehnic".
SISTEME i accesul fizic
De prea multe ori, oamenii vor ine ua deschis pentru cineva intr ntr-o zon de securitate sau de construcie, fr mcar s tie
care este individul sau de a cere n cazul n care acestea sunt de gnd. Individul neautorizat poate pretinde a fi o persoan livrare, un
vizitator, sau chiar un coleg de munc. Nu permitei persoanelor neautorizate s te urmeze prin uile de acces securizate,
i a raporta catre oficialii adecvate.
SHOULDER SURFING
Acest scenariu se refer la capacitatea unui autor pentru a avea acces la informaie prin simpla uitam ceea ce tastai sau
s vad ce este pe ecranul computerului. Acest lucru este cunoscut sub numele de "surf umr", i se poate face i de ctre uita printr-o
fereastr, u, sau pur i simplu ascult pe conversaii. Fii contieni de mediul de lucru i cine este n jurul tu
atunci cnd se lucreaz cu informaii confideniale, sau chiar i atunci cnd tastai n parola. Nu lasa pe altii sa vedem
ce tastai parola, i pentru a proteja ecranul computerului de vizualizare neautorizate. Calculatoare n zone publice, care
sunt utilizate pentru informaii sensibile nu ar trebui s aib monitoare orientate spre exterior.
Chinuirea
Acest scenariu presupune un autor cere o varietate de ntrebri aparent inofensive concepute pentru a sonda pentru
informaii. Atacul se face adesea prin telefon, dar poate fi, de asemenea, fcut n persoan. Cantiti mici de fapte sunt
a intervenit la momentul potrivit n conversaie pentru a face cereri de informaii sunet legitim. Informaiile pe care le
tii ar putea fi util pentru a fptuitorului - dac aceast informaie este despre mediul de lucru, colegi de angajai,
proiecte, sau informaii cu caracter personal - trebuie s fie manipulate cu grij extrem.
Fii atent la ceea ce spui pentru cine.
ANCHETE
Muli dintre noi nu au nici o ndoial fost beneficiari ai cererilor de participare n sondaje, fie online, prin telefon sau
n caz contrar. Anchetele pot fi, n scopuri legitime sau ar putea fi o neltorie. n orice caz, s fie contieni de necunotin de cauz
informaii dezvlui care pot fi utilizate necorespunzator. De exemplu, divulgarea de detalii cu privire la organizaia dvs., sa
securitatea reelei sau infrastructurii ar putea dovedi extrem de utile pentru cineva cu rea intenie. Dac primii un sondaj
Page 2
cerere, trebuie s v adresai organizarea sponsorizarea pentru a asigura sondajului este legitim. Apoi verificai cu dvs.
supraveghetor sau individual corespunztoare, cum ar fi dreptul la intimitate sau agent de securitate pentru a determina dac acesta este ok pentru a rspunde la
sondaj. Dac nu rspunde, asigurai-v c nu sunt schimbul de informaii sensibile sau confideniale cu neautorizat
persoane sau organizaii.
Tomberon DIVING
Cutarea prin gunoaie ("tomberon de scufundri") este o metod folosit de infractori pentru a obine informaii sensibile. Cnd
documente confideniale i sensibile nu mai sunt necesare, asigurai-v c pentru a rupe n buci sau distruge-le n mod corespunztor, n conformitate
cu politica organizaiei.
SOCIAL MEDIA & RETEA SITE-URI
Utilizai discreie atunci cnd postai informaii on-line sau comentnd despre nimic pe site-urile de social networking. Dat
informaii este postat, acesta poate fi potenial vizualizate de oricine i nu poate fi retras ulterior. Mai multe informaii
posta, multe informaii sunt disponibile pentru un autor de a utiliza n ncercarea de a efectua un atac de inginerie social.
RECOMANDRI
Scenariile de mai sus reprezint doar cteva tipuri de ncercri de inginerie social s-ar putea ntlni. Prin urmare unele
norme bunul sim i utilizarea judecata cel mai bun, v poate apra mpotriva acestor atacuri i mai bine protejai-v
i informaiile dvs.:
1. nainte de a elibera orice informaie pentru oricine, este esenial s se stabileasc cel puin:
sensibilitatea informaiilor
autoritatea de a schimba sau de a elibera informaii
identitatea real a terului
scopul schimbului
2. Fii contieni de mprejurimile tale. Asigurai-v c tii cine este n gama de auz conversaie sau a vedea dvs.
lucru. Ecrane de confidenialitate calculator sunt o modalitate foarte bun de a descuraja navigarea pe umr n locuri publice.
3. Dac nu tii pe cineva care este ntr-o zon restrns, uita-te pentru o insign sau o trecere vizitator. Dac nu suntei sigur cu privire la
autorizare sau de acces permisiunea lor, s raporteze situaia personalului adecvat.
4. nainte de a arunca ceva la gunoi, ntrebai-v: "Este ceva ce mi-ar da la o persoan neautorizat sau
doresc s devin accesibile publicului? "Dac nu suntei sigur, aluneca mereu pe partea de precauie i rupei documentul
sau depozita ntr-un recipient de eliminare sigur.
Pentru mai multe informaii:
DHS Blog - Protejai-v mpotriva atacurilor de inginerie social
http://blog.dhs.gov/2011/07/protect-yourself-against-social.html
CSO Magazine - Inginerie social: Bazele
http://www.csoonline.com/article/514063/social-engineering-the-basics
Informaiile furnizate n Sfaturi de securitate lunar Newsletters este destinat pentru a crete gradul de contientizare de securitate a unei
organizaie utilizatorii finali i pentru a le ajuta s se comporte ntr-o manier mai sigur n mediul lor de lucru lui. n timp ce unii
de sfaturi pot fi legate de meninerea unui calculator acas, contientizarea crescut este destinat s contribuie la mbuntirea
postur de securitate cibernetic global organizaiei. Acest lucru este deosebit de important n cazul n care angajaii accesa reeaua lor de lucru de la lor
computerul de acas. Organizaiile au permisiune i sunt ncurajate pentru a marca i redistribui acest buletin n totalitate
n scopuri educaionale, non-comerciale.
Adus la tine de: