• Ustawienie skrzynki poczty głosowej w taki sposób, że w trak-
cie oddzwaniania napastnik jest identyfikowany jako osoba z we-
wnątrz.
• Podawanie się za pracownika z innego oddziału i prośba o tymcza-
sowe otwarcie konta e-mail.
Atak — znaki ostrzegawcze
• Odmowa podania numeru zwrotnego.
• Nietypowa prośba.
• Okazywanie posiadania władzy.
• Podkreślanie pilności sprawy.
• Grożenie konsekwencjami niepodporządkowania się prośbie.
• Okazywanie niechęci w przypadku zadawania pytań.
• Wymienianie wielu nazwisk.
• Komplementy lub pochlebstwa.
• Flirtowanie.
Typowe cele ataku
Typ celu
Przykłady
Nieświadomy
Recepcjonistka, telefonistka, pracownicy admini-
wartości informacji
stracji, pracownicy ochrony.
Posiadający
Pomoc techniczna, administratorzy systemów
Specjalne przywileje
komputerowych, operatorzy komputerów, admini-
stratorzy systemów telefonicznych.
Producent
Producenci sprzętu, oprogramowania, systemów
poczty głosowej.
Określone wydziały
Księgowość, kadr.
360
361
Czynniki ułatwiające atak
• Duża liczba pracowników.
• Wiele lokalizacji.
• Informacje o poczynaniach pracowników zostawiane w poczcie
głosowej.
• Udostępnianie numerów wewnętrznych.
• Brak szkolenia w zakresie bezpieczeństwa.
• Brak systemu klasyfikacji danych.
• Brak punktu zgłaszania incydentów i planów reakcji.
Weryfikacja i klasyfikacja danych
Przedstawione tutaj tabele mają za zadanie pomóc w reagowaniu na proś-
by o informacje lub czynności, które mogą okazać się atakiem socjotechnicz-
nym.
Procedura weryfikacji tożsamości
Środek identyfikacji
Opis
Identyfikacja rozmówcy
Sprawdź, czy rozmowa pochodzi z wewnątrz
i czy wyświetlony numer odpowiada osobie,
która dzwoni.
Oddzwanianie
Znajdź dzwoniącego w firmowym spisie tele-
fonów i zadzwoń pod podany tam numer we-
wnętrzny.
Poręczenie
Poproś zaufanego pracownika o poręczenie
tożsamości dzwoniącego.
Wspólna tajemnica
Poproś o podanie wspólnej tajemnicy firmo-
wej, takiej jak hasło lub kod dnia.
Zwierzchnik lub szef
Skontaktuj się z bezpośrednim zwierzchni-
kiem pracownika i poroś o weryfikację jego
tożsamości i statusu.
Bezpieczny e-mail
Poproś o wiadomość podpisaną elektroicznie.
Rozpoznawanie
Jeżeli znasz rozmówcę, rozpoznaj go po gło-
sie po głosie.
362
363
Hasła dynamiczne
Dokonaj weryfikacji poprzez odpowiednie
urządzenie generujące dynamiczne hasła lub
zastosuj podobne rozwiązanie uwierzytelnia-
jące.
Osobiście
Poproś rozmówcę o osobiste pojawienie się ze
swoim identyfikatorem pracownika.
Procedura weryfikacji statusu pracownika
Środek weryfikacji
Opis
Lista pracowników
Sprawdź, czy dzwoniący znajduje się na liście
pracowników.
Szef
Zadzwoń do szefa firmy, używając numeru z
listy pracowników.
Wydział
Zadzwoń do wydziału, w którym pracuje roz-
mówca, i zapytaj, czy osoba ta jest pracowni-
kiem firmy.
Procedura weryfikacji potrzeby wiedzy
Czynność
Opis
Sprawdź stanowisko
Sprawdź w opublikowanych listach, grupę i
zakres którzy pracownicy są uprawnieni do
odpowiedzialności otrzymywania określo-
nych tajnych informacji.
Uzyskaj potwierdzenie
Skontaktuj się ze swoim szefem lub od szefa
szefem osoby dzwoniącej z prośbą.
Uzyskaj potwierdzenie
Zapytaj posiadacza informacji, od właściciela
informacji czy pytającemu jest potrzebna lub
osoby wyznaczonej informacja, o którą pro-
si przez niego
Uzyskaj potwierdzenie
Sprawdź w specjalnej bazie danych od spe-
cjalnego systemu weryfikującej dostęp osób
do informacji.
362
363
Kryteria weryfikacji osób nie będących pracownikami
Kryterium
Działanie
Powiązanie
Sprawdź, czy firma, którą reprezentuje dana osoba,
jest dostawcą, partnerem strategicznym lub ma inne
odpowiednie powiązania.
Tożsamość
Zweryfikuj tożsamość osoy i status zatrudnienia w jej
firmie.
Tajemnica
Sprawdź, czy osoba podpisała zobowiązanie do nie
ujawniania otrzymanych informacji.
Dostęp
Jeżeli informacja jest sklasyfikowana jako bardziej po-
ufna niż wewnętrzna, przekaż sprawę kierownictwu.
Klasyfikacja danych
Klasyfikacja
Opis
Procedura
Publiczne
Ogólnie dostępne.
Nie ma potrzeby weryfikacji.
Wewnętrzne
Do
użytku
we- Zweryfikuj tożsamość osoby py-
wnętrznego firmy
tającej jako zatrudnionej w firmie,
a w przypadku osoby z zewnątrz
sprawdź istnienie zobowiązania do
ni ujawniania tajemnic i zgodę kie-
rownictwa.
Prywatne
Informacje
natury Zweryfikuj tożsamość osoby pyta-
osobistej, przezna- jącej jako zatrudnionej lub upraw-
czone do użytku tyl- nionej osoby z zewnątrz, Zanim
ko w ramach organi- udzielisz informacji prywatnej,
zacji
skonsultuj się z działem kadr
Tajne
Udzielane tylko oso- Zweryfikuj tożsamość osoby pyta-
bom z bezwzględną jącej i potrzebę wiedzy (u właścicie-
potrzebą wiedzy, w la danej informacji). Udzielaj infor-
ramach organizacji
macji tylko wtedy, gdy posiadasz
pisemną zgodę szefa, właściciela
informacji lub jego przedstawiciela.
Sprawdź istnienie pisemnego zobo-
wiązania do zachowania tajemni-