Page 1

Page 1

Sfaturi lunare cibernetica

NEWSLETTER

Iunie 2012

Volumul 7, Issue 6

Inginerie social: Sunteti la risc!

Termenul de "inginerie social" se refer la o ncercare de a avea acces la informaii, n primul rnd prin declaraii false,

i de multe ori se bazeaz pe natura de ncredere de cele mai multe persoane. Cei mai muli utilizatori ar trebui s fie familiarizai cu e-mail escrocherii de tip phishing (un

form de inginerie social) i au fost nvai s nu se deschid ataamentele din surse necunoscute sau care nu prezint ncredere sau de a vizita

site-uri web nu sunt de ncredere.

Cu toate acestea, exist i alte modaliti care un autor ar putea ncerca s obin acces la informaii sau sisteme. Mai jos sunt mai multe

exemple de metode de inginerie social - dintre care multe se bazeaz pe contactul direct cu o persoan -, mpreun cu sugestii

pentru a reduce la minimum probabilitatea ca astfel de metode vor fi de succes.

DREPT

n aceast situaie, fptuitorul pretinde a fi altcineva - de exemplu, pretinde un manager senior de la dumneavoastr

organizaie sau cineva de la dvs. de Help Desk. Personificare poate avea loc prin telefon, n persoan, sau prin

de e-mail. Fptuitorul poate ncerca s te simi obligat s asiste, sau sub presiunea de a urma instruciunile lor. Ei

poate utiliza intimidare sau un fals sentiment de urgen s caute cooperarea dumneavoastr - v solicit s reacioneze nainte de ai complet

crezut c prin consecinele.

Urmai procedurile organizaiei dvs. atunci cnd rspunde solicitrilor de informaii sensibile sau confideniale. Nu da

parola ta nimanui, chiar dac ei pretind a fi de la "suport tehnic".

SISTEME i accesul fizic

De prea multe ori, oamenii vor ine ua deschis pentru cineva intr ntr-o zon de securitate sau de construcie, fr mcar s tie

care este individul sau de a cere n cazul n care acestea sunt de gnd. Individul neautorizat poate pretinde a fi o persoan livrare, un

vizitator, sau chiar un coleg de munc. Nu permitei persoanelor neautorizate s te urmeze prin uile de acces securizate,

i a raporta catre oficialii adecvate.

SHOULDER SURFING

Acest scenariu se refer la capacitatea unui autor pentru a avea acces la informaie prin simpla uitam ceea ce tastai sau

s vad ce este pe ecranul computerului. Acest lucru este cunoscut sub numele de "surf umr", i se poate face i de ctre uita printr-o

fereastr, u, sau pur i simplu ascult pe conversaii. Fii contieni de mediul de lucru i cine este n jurul tu

atunci cnd se lucreaz cu informaii confideniale, sau chiar i atunci cnd tastai n parola. Nu lasa pe altii sa vedem

ce tastai parola, i pentru a proteja ecranul computerului de vizualizare neautorizate. Calculatoare n zone publice, care

sunt utilizate pentru informaii sensibile nu ar trebui s aib monitoare orientate spre exterior.

Chinuirea

Acest scenariu presupune un autor cere o varietate de ntrebri aparent inofensive concepute pentru a sonda pentru

informaii. Atacul se face adesea prin telefon, dar poate fi, de asemenea, fcut n persoan. Cantiti mici de fapte sunt

a intervenit la momentul potrivit n conversaie pentru a face cereri de informaii sunet legitim. Informaiile pe care le

tii ar putea fi util pentru a fptuitorului - dac aceast informaie este despre mediul de lucru, colegi de angajai,

proiecte, sau informaii cu caracter personal - trebuie s fie manipulate cu grij extrem.

Fii atent la ceea ce spui pentru cine.

ANCHETE

Muli dintre noi nu au nici o ndoial fost beneficiari ai cererilor de participare n sondaje, fie online, prin telefon sau

n caz contrar. Anchetele pot fi, n scopuri legitime sau ar putea fi o neltorie. n orice caz, s fie contieni de necunotin de cauz

informaii dezvlui care pot fi utilizate necorespunzator. De exemplu, divulgarea de detalii cu privire la organizaia dvs., sa

securitatea reelei sau infrastructurii ar putea dovedi extrem de utile pentru cineva cu rea intenie. Dac primii un sondaj

Page 2

cerere, trebuie s v adresai organizarea sponsorizarea pentru a asigura sondajului este legitim. Apoi verificai cu dvs.

supraveghetor sau individual corespunztoare, cum ar fi dreptul la intimitate sau agent de securitate pentru a determina dac acesta este ok pentru a rspunde la

sondaj. Dac nu rspunde, asigurai-v c nu sunt schimbul de informaii sensibile sau confideniale cu neautorizat

persoane sau organizaii.

Tomberon DIVING

Cutarea prin gunoaie ("tomberon de scufundri") este o metod folosit de infractori pentru a obine informaii sensibile. Cnd

documente confideniale i sensibile nu mai sunt necesare, asigurai-v c pentru a rupe n buci sau distruge-le n mod corespunztor, n conformitate

cu politica organizaiei.

SOCIAL MEDIA & RETEA SITE-URI

Utilizai discreie atunci cnd postai informaii on-line sau comentnd despre nimic pe site-urile de social networking. Dat

informaii este postat, acesta poate fi potenial vizualizate de oricine i nu poate fi retras ulterior. Mai multe informaii

posta, multe informaii sunt disponibile pentru un autor de a utiliza n ncercarea de a efectua un atac de inginerie social.

RECOMANDRI

Scenariile de mai sus reprezint doar cteva tipuri de ncercri de inginerie social s-ar putea ntlni. Prin urmare unele

norme bunul sim i utilizarea judecata cel mai bun, v poate apra mpotriva acestor atacuri i mai bine protejai-v

i informaiile dvs.:

1. nainte de a elibera orice informaie pentru oricine, este esenial s se stabileasc cel puin:

sensibilitatea informaiilor

autoritatea de a schimba sau de a elibera informaii

identitatea real a terului

scopul schimbului

2. Fii contieni de mprejurimile tale. Asigurai-v c tii cine este n gama de auz conversaie sau a vedea dvs.

lucru. Ecrane de confidenialitate calculator sunt o modalitate foarte bun de a descuraja navigarea pe umr n locuri publice.

3. Dac nu tii pe cineva care este ntr-o zon restrns, uita-te pentru o insign sau o trecere vizitator. Dac nu suntei sigur cu privire la

autorizare sau de acces permisiunea lor, s raporteze situaia personalului adecvat.

4. nainte de a arunca ceva la gunoi, ntrebai-v: "Este ceva ce mi-ar da la o persoan neautorizat sau

doresc s devin accesibile publicului? "Dac nu suntei sigur, aluneca mereu pe partea de precauie i rupei documentul

sau depozita ntr-un recipient de eliminare sigur.

Pentru mai multe informaii:

DHS Blog - Protejai-v mpotriva atacurilor de inginerie social

http://blog.dhs.gov/2011/07/protect-yourself-against-social.html

CSO Magazine - Inginerie social: Bazele

http://www.csoonline.com/article/514063/social-engineering-the-basics

Informaiile furnizate n Sfaturi de securitate lunar Newsletters este destinat pentru a crete gradul de contientizare de securitate a unei

organizaie utilizatorii finali i pentru a le ajuta s se comporte ntr-o manier mai sigur n mediul lor de lucru lui. n timp ce unii

de sfaturi pot fi legate de meninerea unui calculator acas, contientizarea crescut este destinat s contribuie la mbuntirea

postur de securitate cibernetic global organizaiei. Acest lucru este deosebit de important n cazul n care angajaii accesa reeaua lor de lucru de la lor

computerul de acas. Organizaiile au permisiune i sunt ncurajate pentru a marca i redistribui acest buletin n totalitate

n scopuri educaionale, non-comerciale.

Adus la tine de: