Social-Engineer and you, it is important to know! Социальная инженерия и Вы. (featuring @mixrys as author)

Social-Engineer and you, it is important to know/ Социальная инженерия и Вы.

What do you think is there the securest system in the world which cannot be trespassed?
Of course, there are dozens of them, every day people work on developments and penetration tests to improve software and secure your business from intruders. People have started to protect their information with the help of different webs and antivirus so much that they’ve forgot of the biggest threat to their business. This threat is called people. No matter how secure your system is, you always represent a threat to your business. There’s a notion of a social engineer. Who is it? It’s a person who probably doesn’t know how to backdoor your system, or how to get into your database via DNS, but he easily can crack you, if you supply him with all the information, even without noticing it.

Как вы думаете, существует ли самая безопасная система в мире, которая не поддается взлому ? Конечно есть, их десятки, каждый день ведуться разработки, тесты, проверки на проникновение, для того, чтобы улучшить программное обеспечение и обезопасить ваш бизнес от людей, которые охотятся за вашей информацией. Люди на столько начали защищать то, что им дорого с помощью сетей и всяких антивирусов, что совсем забыли о самой большой угрозе для их бизнеса. Это угроза называется люди. На сколько бы не была ваша система безопасности безупречной, вы будете представлять угрозу для вашего бизнеса. Есть понятие социальный инженер. Что из себя представляет некий соц. инженер ? Это человек, который может и не разбираться, как поставить бэкдор в вашу систему, и может не знать как проникнуть в ваши базы данных через DNS, но он с легкостью может взломать вас, и вы предоставите ему всю информацию, даже того не подозревая, для того, чтобы он осуществил все свои планы.

---

You can argue with me and say that the securest computer is the turned off computer. It’s not so, the social engineer introducing himself as a Technical Support Officer and manipulating one of your employees can ask him to turn the computer on and make some actions with it. You think like: “Why can’t I help a tech support?” thus you do, what you are told to do, and the intruder gets an access to the computer, and then he can exploit it. Many people think that they cannot be tricked, they’re smart. But the social engineer on the contrary uses this delusion, and attacks at the moment, when we don’t expect it. His question can sound so reasonable, that you won’t have any suspicions, because you’re just blind.

Так же вы можете со мною поспорить и сказать, что самый безопасный компьютер это тот, который выключен. Это не так, соц. инженер с помощью манипуляций может попросить одного из сотрудников включить его и сделать некие операции с ним, сам же инженер представиться сотрудником из тех. поддержки. Вы думаете, почему же я не могу помочь сотруднику и выручить его из беды ? тем самым вы делаете то, что он говорит, а он попросту получит доступ к компьютеру, где сможет отправиться дальше к своей цели. Большинство людей думает, что их никто не обманет, они самые умные, и опираясь на то, что сейчас обман уже в прошлом. Социальный инженер наоборот использует заблуждение людей, и атакует в тот момент, когда мы даже и не ожидаем. Его вопрос могут звучать на столько разумно, что у вас не будет никаких подозрений, так как вы попросту слепы.

---

I’m not saying that everybody is stupid, but I just want to remind you that the corporate security is the main issue. Everything must be balanced. Low level of security can make your firm vulnerable, while severe security can hold your growth back. Only your company is in charge of ensuring that employees are aware of the safety, not only how to use software and turn off the stuff. The employee must know that he can expect. For this, companies should organize training on safety, create business incentives, and remind them of it. For example, hang on stickers on screens: “Prior to the transfer of confidential information, make sure that there is a person for whom he claims to be”.

Я не хочу сейчас сказать о том, что все вокруг глупы, я хочу только напомнить вам: Корпоративная безопасность - это ваш самый главный вопрос. Во всем нужно иметь баланс. Слишком низкая безопасность делает вашу компанию уязвимой, а излишний упор замедлит рост и процветание компании. Только ваша компания ответственная за то, чтобы сотрудники были осведомлены о технике безопасности, не только как использовать программы и выключать оборудование. Сотрудник должен знать, что его может ожидать. Для этого компаниям стоить проводить определенные тренинги на тему безопасности, создавать мотивационные программы, и своевременно напоминать сотрудникам о безопасности. Например: повесить на мониторы стикеры "Перед передачей конфиденциальной информации, убедитесь, тот ли это человек, за которого он себя выдает."

---

Let’s analyze one funny situation: our secretary, named Britney, works in Credex. In the middle of the working day she gets an incoming call, nothing special so she answers.
“Hello, it’s Britney, how can I help you?”
“Hi, Britney, it’s Stephen from the tech support department, we serve your company Credex, I’d like to remind you that you may have a problem with the Internet for some time, if anything gets wrong – call me back, my number is 346-235-664.”
“OK, thank you, Stephen!”
Britney is pleasantly surprised that the tech support is so caring that they’ve notified of possible troubles. At the same time the social engineer (Stephen) is calling to the real tech support which serves Credex. Let’s call it Cernet.
“Hello, it’s Bobby, what can I do for you?”
“Hello, it’s Alex, I’m employee of the company Credex, I need your help.”
“Sure, what happened?”
“My computer can’t connect to our servers; I think it’s something with connection, my colleagues experience the same problem. Could you restart our network for two minutes? I think it’s the problem.”
“Yes, no problem, Alex”
At this moment Bobby is shutting down the network. And Britney working at the computer notices a problem and thinks of what Stephen has told, and this is the case so she should call his number. And so she does.
“Hello Stephen! It’s Britney! My connection lost, what happened?”
“Don’t worry, Britney, it’s just routine maintenance, I connect you back to the network, wait a minute or two”
Stephen hangs up and waits for Bobby to do the job, he told him to do. In two minutes he calls Britney back.
“Hello, Britney, it’s Stephen, is the network working now?”
Britney checks the computer and see everything working.
“Stephen, you don’t believe it but it’s working! Thank you very much!”
“You’re welcome, Britney, to prevent such cases I can offer you a program which will reconnect you automatically.”
“It would be very kind of you, Stephan, what should I do?”
“Nothing special, I’ll send you a file via e-mail, you just need to run it, and the program will do the rest.”
“Okey, here’s my e-mail: [email protected]”
For sure you realize that it’s not a program, but a virus. With the help of it, the social engineer can gain access to the victim’s computer and the victim will think: “How caring our support company is!” You could think that nothing special has happened but now you see how a phone call can be critically dangerous.

Давайте разберем к примеру одну забавную ситуацию: Нашу секретаршу будут звать Бритни, работает она в компании Credex. По среди рабочего дня телефон на телефон Бритни поступает входящий звонок, и так как для нее в этом нет ничего особенного она автоматически на него отвечает.
-Здравствуйте, это Бритни, чем могу помочь вам ?
-Привет Бритни, это Стивен, из отдела тех поддержки, мы обслуживаем вашу компанию Credex, хочу напомнить вам, что в течении некоторого времени у вас возможно будут неполадки с сетью Интернет, если у вас произойдет что то неладное то позвоните мне по номеру 346-235-664.
-Хорошо, спасибо большое Стивен !
Бритни была приятно удивлена, что сотрудники тех поддержки на столько заботливы, что предупредили о возможных неисправностях. Тем временем соц. инженер (Стивен) звонит в настоящую тех поддержку, которая обслуживает компанию Credex. Тех поддержку компании назовем Cernet.
-Алло, это Боби, компания Cernet, чем могу быть полезен ?
-Здравствуйте, это Алекс, я сотрудник компании Credex, и мне нужна ваша помощь.
-Конечно, скажите что у вас случилось ?
-Мой компьютер не может соединиться с серверами нашей компании, я думаю, что это из за соединения, так как у моих сотрудников происходит то же самое. Не могли бы вы перезагрузить нашу сеть на минуты две, я думаю в этом вся проблема.
-Нет проблем Алекс.
И в это время Боби, по сетевому экрану выключает доступ к сети компании Credex. Конечно же Бритни, работая за компьютером замечает неполадки, и вспоминает о том, что Стивен предупреждал ее о неполадках, и если что то случится, то позвонить по номеру, который он оставил. Бритни быстрее набирает Стивену.
-Алло Стивен ! Это Бритни ! У меня пропало соединение с сетью, подскажи в чем дело ?
-Не беспокойся Бритни, это не большая профилактика, сейчас я подключу тебя обратно к сети, подожди две минуты.
Стивен заканчивается разговор и ждет время, которые он указал Боби до этого. После небольшого ожидания он снова набирает Бритни.
-Алло Бритни, это Стивен, скажи сейчас твое соединение стабилизировалось ?
Бритни проверят свой компьютер, и видит, что все заново работает как часы.
-Стивен, не поверишь, но все работает ! Спасибо тебе большое !
-Не за что Бритни, для того чтобы после не было подобных проблем, я тебе посоветую программу, которая поможет тебе автоматически восстановить соединение если такая проблема появиться вновь.
-Это было бы очень любезно с твоей стороны Стивен, что мне нужно сделать ?
-Ничего трудного, я перешлю тебе по почте файл, тебе просто его нужно будет запустить, остальное программа сделает сама.
-Хорошо вот моя почта [email protected]
Вы сами можете понять, что это была не программа, а обычный вирус, с помощью него, социальный инженер сможет получить доступ к компьютеру жертве, а жертва будет думать: на сколько тех поддержка заботиться о нашей компании. Можно подумать, что ничего существенного не произошло, но теперь вы понимаете, что обычный телефонный звонок может стать категорически опасным.

---

What should I do in order to secure from such situations?” The answer is simple: “Inform your employees of safety, organize training, as I told you already, and show examples of possible tricks.” Social engineers have lots of techniques to get the information, I’ve just shown you one of many possible, and it’s not so sophisticated.

Что же нужно сделать для того, чтобы обезопасить от подобных ситуаций ? Ответ прост: информировать сотрудников о технике безопасности, проводить тренинги как я уже говорил, и показывать примеры уловок, на которые они могут попасть. У социальноо инженера кучу способов добыть информацию, я лишь показал вам один из примеров, и это не самый изощрённый.

---

Why does it happen? There are many factors which make a company more vulnerable, for instance: a huge staff, a basics course of safety, phone numbers in the public access. Social engineers use typical methods of cracking as I’ve shown: to introduce yourself as tech support officer or as a supervisor, because when you’re under pressure of a supervisor you will give information being afraid to get a warning. So teach your employees before they start working, create really good courses for them which will secure an employee and the company. Always keep your training up-to-date, and make it more frequent. At the training make you workers focus on the thought that they can be cracked at any time. The employees must know their roles, their duties, and what information they can give away. The training of security should be something more than just a lecture; the employees should immerse themselves in the atmosphere and learn what they are supposed to know.

Почему же все так происходит ? Есть много факторов делающие компанию более уязвимой к атакам, например большое количество работников, базовые курсы по правилам безопасности, информация о телефонах компании в общественном доступе. В целом соц. Инженеры используют типичные методы для проникновения: как я уже показал вам это представляться сотрудником компании или кем либо из руководства, ведь когда на тебя давит человек, старший по должности, вы дадите информацию, опасаясь, того, что вы можете получить выговор или что ни будь еще более плохое. Обучайте персонал прежде чем допускать его до рабочего места, создайте действительно стоящие курсы, которые обезопасят сотрудника и вашу компанию от проникновения. Всегда дорабатывайте ваши тренинги и чаще проводите мероприятия, посвященные безопасности. При разработке тренинга стоит фокусироваться именно на мысли, что они могут подвергнуться взлому в любое время. Сотрудники должны заучить свою роль, что они должны выполнять, какую информацию они могут выдавать, и что стоит делать в случае запроса запретной информации. то есть тренинг по безопасности должен быть чем то более важным чем просто обычная лекция, сотрудники должны полностью погрузиться в атмосферу и принимать материал как должное.

---

All STEEM Dollars for this post go to the featured author. Все SD за пост получит автор.