Когда-то я писал в этом блоге шуточный пост " Топ-10 инструментов социального инженера ". Речь шла о способах получения конфиденциальной информации с использованием методов социальной инженерии. Естественно, на получении конфиденциальной информации задачи социального инженера не ограничиваются.
Сегодня речь пойдет о проникновении на территорию офиса компании. Такая задача обычно стоит перед командой, проводящей тестирование на проникновение в тех случаях, когда область тестирования охватывает физическую безопасность и осведомленность персонала в вопросах противостояния приемам социальной инженерии.
Не буду надолго останавливаться на теоретической стороне вопроса. Скажу лишь, что в основе успеха атак подобного рода (а мы говорим о физическом проникновении в офис) лежит естественное стремление людей быть полезными друг другу. Большинство приемов, используемых мошенниками, промышленными шпионами и социальными инженерами, эксплуатируют именно это человеческое свойство. Множественные вспомогательные методы (такие как отвлечение внимания, создание ощущения срочности или общности с окружающими и т.д.) лишь усиливают основной принцип: общественной пользы.
Рассмотрим пример. В приемную офиса входит человек и просит ему помочь. Просит убедительно и понятно, вызывая сочувствие, но не жалость. Например, сделать распечатку файла с флеш-накопителя. Красочно описывая, насколько ему это срочно, и как вы его здорово выручите. Возможно, даже обмолвится между делом, что он сам по себе человек рассеянный, и его уже дважды так спасали в других офисах. Ощущаете технику? Приходит быстро, просит мало, использует принципы срочности и общности. И вам очень повезло, если он действительно хочет распечатать два листа формата А4, а не заразить вашу локальную сеть новомодным червем нулевого дня.
Пример может показаться вырожденным, но уверяю вас, такое случается сплошь и рядом. Я лично был свидетелем нескольких таких обращений. Формально, даже оказав помощь незнакомцу не замышляющему ничего плохого, сотрудник скорее всего нарушит правила компании. А если на флешке живет какой-нибудь страшный зверь, -- безопасность всей организации окажется под угрозой.
Перейдем, собственно, к проникновению. Естественно, предлог в примере выше покажется недостаточно даже самому неискушенному рецепционисту. На месте социального инженера было бы глупо надеяться, что его пропустят в офис для того, чтобы он самостоятельно воспользовался ПК и вывел на печать нужные файлы. В таком случае нужно нечто большее, чем воззвание к человеческой склонности оказывать помощь незнакомым людям. Логически напрашивается блестящая идея: взывать нужно к стремлению оказывать помощь людям, которых знаешь, еще лучше -- уважаешь, ну с совсем здорово -- перед которыми благоговеешь. Причем это не обязательно должна быть конкретная личность (или личности), порой достаточно продемонстрировать важность оказываемой услуги для компании в целом.
Несколько классических примеров. Первый пример: человек с папкой, в папке ордер/листок подряда/акт выполненных работ/документы о плановой проверке пожарной сигнализации -- подчеркните нужное или добавьте свой вариант. Как разновидность первого примера: в добавок к типу с папкой можно добавить еще одного -- со стремянкой и сумкой с инструментами (видите, теперь можно пронести в офис нужное оборудование).
Второй пример: мужчина в строгом деловом костюме (еще лучше -- с дорогими аксессуарами и супер навороченными гаджетами) держащий в руках визитку кого-нибудь из менеджмента компании (подделанную или полученную легально на недавней конференции), в добавок изъясняющийся на английском (немецком, французском, японском, китайском etc. -- зависит от компании и рода ее деятельности). Все что нужно произнести обладая такого рода экипировкой, это что-то вроде "у меня встреча с этим джентльменом, он меня ожидает в своем кабинете." Обращаю внимание, что "джентльмен" не должен быть руководителем высшего звена, потому что в этом случае позвонят ассистенту и в лучшем случае прогонят.
Третий пример, классический: разносчик пиццы. Согласно необъяснимому феномену, человека со стопкой картонных коробок с ароматным содержимым пропускают всегда, везде и всюду. Правда, иногда бывают исключения, например режимные объекты и компании с четким упором на безопасность.
Список примеров можно продолжать: продавец дешевой бижутерии и белья, адепт сетевого маркетинга, сервис торговых автоматов, оператор видеосъемки и так далее, и тому подобное. Признак, который объединяет большинство из них -- люди здесь не просто так, а по делу, причем в этом деле заинтересован кто-то из сотрудников компании. Бездельникам никто не помогает -- это факт. Людям, честно выполняющим свою работу (прямо как мы с вами!) да еще и во благо знакомых или близких нам людей, -- помогают практически всегда.
Теперь давайте поговорим о том, как с этим бороться. Надеюсь, этот пост не превратит вас в параноидального социопата, не помогающего никому и ни при каких обстоятельствах. Эффект на который я надеюсь: вы научитесь подавлять свое природное стремление оказать помощь -- в тех случаях, когда это нужно.
Первый шаг: здоровая доля скепсиса -- попросите посетителя предъявить удостоверение, внимательно изучите предъявленные бумаги, ровно как и его выражение и жесты во время предъявления. Честный человек (или истинный профессионал) сделает это естественно, "без обид", видом своим отвечая -- "да, конечно". Злоумышленник скорее всего начнет юлить и включит дополнительные инструменты: надавит на жалость, напомнит о срочности его дела, упомянет о его знакомстве с высокопоставленным руководителем компании и т.д.
Второй шаг:в любом случае (срочно, важно, секретно...) свяжитесь с сотрудникомкомпании, к которому пришел посетитель. Не смогли связаться -- посетитель ожидает в приемной под вашим зорким наблюдением.
Третий шаг:будет лучше, если принимающий сотрудник встретит посетителяв вашем присутствии. Если это затруднительно, посетителя следует провести; согласно золотому правилу, никто из посторонних не должен находиться на территории компании без сопровождения. Еще заблудится -- оно вам надо?
И последнее, о чем всегда следует помнить. В случае обнаружения злоумышленника или при возникновении подозрения о нечестности намерений посетителя, никогда не следует решать эту проблему самостоятельно. Поставьте в известность, лучше -- в скрытом виде, сотрудников безопасности, в том числе (по возможности) -- информационной. У этих ребят есть полномочия, а главное методы работы с подобными личностями.
Берегите себя.
