Clever Geek Handbook

従業員はソーシャルエンジニアリングについて話すべきですか?

はい、私は「ソーシャルエンジニアリング」という用語が長年にわたって存在しており、ケビンがすでに長い間リリースされていること、これらの「エンジニア」から身を守る方法に関する多くの資料があることを知っています。 私は死んだ雌馬を蹴るつもりはありません。同じ雌馬も死んでいて、誰が完璧に生きているかを知りたいです。 言い換えれば、私たちの企業では、ユーザーに情報セキュリティの基本を教え、さまざまな種類の攻撃とその対処方法に関する情報を送信します。 このようなソーシャルエンジニアリングニュースレターの例は、あなたと共有したいと思います。



ソーシャルエンジニアリングは、技術的な手段を使用せずに人間の行動を管理する方法です。 この方法の本質は、人間の弱点、つまり人間の精神的特徴を利用することです。



この用語の意味を理解する最も簡単な方法は、例を使用することです。



1.ある銀行員、彼をマークと呼びましょう。午前中に出勤します。 入り口の改札口が通り過ぎ、階段を登り、そのパスで床へのドアを開け、廊下で男に会った。 この人は、彼はコーヒーを注ぐために出かけたが、彼のオフィスにパスを残し、今は中に入ることができないと言います。 おそらく誰もが落ちた愚かな状況。 マークは親切に見知らぬ人のオフィスへのパスで彼のドアを開き、彼のビジネスについて続けます。



一見、ひどいことは何も起こりませんでした。 マークが初めてこの男性を見たのは問題ではありません。すべての従業員を覚えているわけではありません。 または、この人は通常、初日に働いています。 実際、見知らぬ人は、警備員が背を向けたときにターンスタイルを飛び越えた詐欺師であることが判明する場合があります。 それから彼は他の従業員と一緒に床に行きました。 そして床で、私は優雅なマークの信頼性を利用しました。

この男はハッカーではなく、コンピューターを使用していません。 彼はそれを使用する方法をまったく知らないかもしれません。 彼は見事に「自信に浸りました」。



2.別の例。 マークは、すでにおなじみですが、昼食のために食堂に行きました。 そして、汚れた皿がまだ取り除かれていない次のテーブルで、誰かがフラッシュドライブを忘れたことに気付いたとき、彼はフォークでナイフを拾いました。 私たちのマークは、フラッシュドライブの所有者が自分が紛失したことを知って非常に怒っていると判断しました。 そして、彼はフラッシュドライブを所有者に返却することにしました。 これを行うには、まず彼女が誰であるかを知る必要があります。 これに保存されているファイルはこれに役立ちます。 オフィスに戻ると、マークはメディアをUSBポートに挿入し、コンピューターウイルスに感染しました。 フラッシュドライブが詐欺師によって特別に投げられたからです。 今日まで、彼らは銀行の企業ネットワークにアクセスできませんでした。 そして誰でもダイニングルームに入ることができます。 したがって、安全なネットワークをハッキングするよりも、食堂にウイルスを含むUSBフラッシュドライブを置いておくほうが簡単です。



これらの例は、銀行に対する攻撃が成功するために、攻撃者は従業員を使用し、誠実さと信頼を使用したことを示しています。 マークにならないためには、常に警戒し、いくつかのルールに従う必要があります。



1.電話で誰かの言葉を絶対に受け取らないでください。 社内で電話を受けて、テクニカルサポート担当者、隣接するユニットの長、会計士、調査委員会の従業員、救急車の医師、同僚の妻、または他の誰かになりすましている場合は、電話帳またはその他の利用可能な方法でこの番号を確認してください-trueこの人が本人であるかどうか。



2.パスワードを誰とも共有しないでください。 電話でも書面でも。 同僚も上司もいません。 緊急のタスクがそれに依存している場合でも。



3.ビジネスプロセスに従って使用する必要がある以外のストレージメディアをコンピューターに挿入しないでください。



4.不明なアドレスからのメールを開かないでください。 また、そのような手紙からの添付ファイルを開かないでください。 明確にあなたに宛てられた手紙を開かないでください。 たとえば、企業のメールボックスから「従業員に対する犯罪の証拠」または「上級スタッフの給与シート」という見出しの誤ったメール送信には、約束の情報ではなくウイルスが含まれます。 誘惑に抵抗してください。



5.異なるシステムで異なるパスワードを使用します。 パスワードが一致しないことが非常に重要です。 そして、それらは類似していませんでした。 いくつかの複雑なパスワードを思い出せない場合は、特別なプログラム-パスワードマネージャーを使用してください。 ただし、異なるマネージャーを使用するだけです。1つは職場のシステムからのパスワード用、もう1つはエンターテイメントサイトからのパスワード用です。



6.見知らぬ人へのドアを開かないでください。 訪問者には常に会社員が同伴する必要があります。



7.そして、知り合いのためにドアを開けないでください。 隣接するユニットの従業員として5年間知っている人は、昨日解雇された可能性があります。 誰かがオフィスでパスを忘れた場合、この状況を解決するために上司に電話する必要があります。



8.理解できない状況では、電話(xxx)-xxxxでセキュリティサービスを呼び出します。

他の誰かのフラッシュドライブを見つけましたか? セキュリティサービスにお持ちください。 同伴者のいない見知らぬ人が廊下を歩いて、少なくともいくつかのオフィスに入ろうとしているのを見ましたか? セキュリティサービスを呼び出します。 誰かがあなたの個人的なパスワードを尋ねますか? セキュリティサービスを呼び出します。



これらの簡単なルールは、詐欺師を見つけるのに役立ちます。

マークではなく、用心してください。


More articles:


All Articles