Лишь пять человек из 135 случайно отобранных сотрудников
крупнейших международных корпораций оказались способны хранить в секрете
конфиденциальную информацию, что особенно интересно, это женщины. Такой результат получили организаторы особого конкурса,
проведенного в прошлом месяце в рамках конференции Defcon. Участники необычного
состязания продемонстрировали навыки владения методиками социальной инженерии
(или социотехники), которые нередко используются для получения закрытой
информации в рамках совершенно невинного телефонного разговора.
В поле зрения участников оказались 17 крупных международных корпораций
из списка Fortune 500, таких как Wal-Mart, Symantec, Cisco, Microsoft,
Pepsi, Ford и Coca-Cola. Под наблюдением внимательной аудитории конкурсанты связывались
с сотрудниками компаний по телефону и пытались выведать у них закрытую
информацию.
«Всем участникам удалось продемонстрировать впечатляющие
результаты, - утверждает Крис Хаднаги (Chris Hadnagy), один из организаторов
мероприятия, – Лишь в одной из компаний их ждал полный провал. Никто из
сотрудников просто не смог ответить на телефонный звонок. Если бы группу наших
конкурсантов наняли для оценки защищенности организаций, каждое из предприятий провалило
бы эту проверку».
Конкурсантам не разрешалось выведывать у сотрудников действительно
секретную информацию, такую как пароли или номера полисов социального
страхования. Однако в ходе телефонных переговоров было собрано немало данных, также
представляющих интерес для злоумышленников, например сведения об антивирусном
ПО, операционной системе или браузере, используемом потенциальными жертвами.
Организаторам мероприятия удалось сделать несколько
любопытных открытий. К примеру, было установлено, что половина опрошенных
компаний по-прежнему использует устаревшую версию браузера Internet Explorer 6 с
серьезными уязвимостями в защите. Еще один интересный факт - практически
каждому из «злоумышленников» удалось уговорить своего собеседника посетить внешний
веб-сайт, разработанный специально для состязания.
Согласно результатам конкурса, даже те компании, которые
уделяют достаточно внимания вопросам безопасности, не могут считаться защищенными
до тех пор, пока их сотрудники не научатся держать язык за зубами.
Кристофер Бургесс (Christopher Burgess), старший консультант
по вопросам безопасности компании Cisco, также подвергшейся телефонной атаке, считает
угрозу вполне реальной. «В повседневной жизни любой офисный служащий может
ожидать такого звонка. Это весьма распространенная и идеально отлаженная
методика сбора информации», - уверен эксперт.
К примеру, для того чтобы направить разговор с сотрудником Cisco
в нужном направлении и заставить его поделится закрытой информацией достаточно
притвориться взволнованным клиентом и сообщить о возникших неполадках. Не
меньшей популярностью у конкурсантов пользовались «маски» аудиторов или
организаторов соцопросов.
«Мы проводим специальные курсы, на которых обучаем своих
сотрудников распознавать людей, освоивших искусство социальной инженерии», -
сообщает Кристофер Бургесс. Указанные многолетние наработки Cisco можно найти в
открытом доступе.
Как уже было сказано выше, пятерым опрошенным по телефону
сотрудникам все же удалось не пойти на поводу у манипуляторов. Все пятеро оказались
женщинами, трое из них занимают управляющие должности. «В первые же 15 секунд
разговора они распознавали подвох и вешали трубку, - рассказывает Крис Хаднаги,
- К сожалению, никто из их коллег не решился поступить так же».
По мнению экспертов, такой результат может оказаться простым
совпадением. Социотехнические атаки подготавливаются и проводятся с учетом
личности собеседника. Возможно, участники Defcon просто выбрали не совсем
правильные темы для разговора и интонации. Однако факт остается фактом, из 135
опрошенных специалистов, лишь пятерым женщинам удалось не допустить утечки
важной информации.
По материалам сайта NetworkWorld.
|
