Предотвращая жульничество
Симпатия, чувство вины и запугивание – вот три самых популярных психологических триггера, которые обычно использует социальный инженер, и представленные истории демонстрируют эту тактику в действии. Что же можете сделать вы и другие сотрудники компании для того, чтобы избежать подобных атак?
Правильное использование кода безопасности в банке или другом месте является хорошим способом повышения уровня защиты информации. Неправильное использование кода безопасности гораздо опаснее, чем отказ от него, поскольку в таком случае создается лишь иллюзия безопасности, которой на самом деле нет. Какова ценность секретных кодов, если сотрудники не держат их в секрете?
Любая компания, использующая коды безопасности, должен четко указать сотрудникам правила их использования. Правильно проинструктированный сотрудник банка никогда не назовет код звонящему человек (как это случилось в первом сюжете этой главы). Он чувствовал, что не должен назвать, но поддался эмоциям, а отсутствие четкой политики безопасности не смогло его остановить.
В политике безопасности должны быть четко определены шаги, которые следует предпринимать в случае неадекватного запроса о секретных кодах. Каждый такой случай должен быть подробно описан. Кроме того, надо попытаться определить личность человека, делающего такой запрос.
Сотрудник должен всегда записывать имя звонящего, телефон и компанию, откуда тот звонить, только после этого заканчивать разговор. Перед ответный звонком надо убедиться, что такая компания существует на самом деле, там работает упомянутый человек и его телефонный номер соответствует, названному им в разговоре. В большинстве случаев такие простые меря позволяет убедиться в том, что звонящий человек именно тот, кем он представляется.
Проверка адреса усложняется, если у компании есть лишь напечатанный список телефонов, а не online-версия. Люди увольняются и нанимаются новые, сотрудники переходят из отдела в отдел, меняют должности и номера телефонов. Печатный телефонный справочник устаревает на следующий день после своего выхода, еще до распространения. Даже на online-версии таких справочников надо полагаться с опаской, имея в виду, что социальные инженеры всегда могут внести в них требуемые им изменения. Надо пытаться проверять все сведения несколькими путями, например, связываясь с руководителем того, от кого пришел запрос.
