Комментарии 16
Все это конечно хорошо всех посылать, но вот реальная ситуация. Приезжаю на конференцию. По Москве раннее утро. И вижу, что трахтибидох нужного на стенде нет. Нужен домашний ответственного сотрудника, чтобы понять куда и где. Если я позвоню в компанию (есть ночная смена), то что правильнее будет для сотрудника ночной смены — послать меня (а на конференции по прежнему нет нужного) или помочь?
Посылать не вариант, надо удостовериться, что это действительно вы. Сотрудник колл-центра может сам перезвонить нужному сотруднику, спросить у него, кто Вы и дать Ваш мобильный с просьбой перезвонить срочно. Или может сравнить телефон с которого Вы звоните с Вашим телефоном, указанным в КИС, чтобы Вас идентифицировать.
> перезвонить нужному сотруднику
Утро, я же дал вводную. Сотрудник ответственный спит.
> спросить у него, кто Вы
Таки вы звоните от имени реального сотрудника, ответственный за проект автоматом подтвердит, что такой есть
> сравнить телефон с которого Вы звоните с Вашим телефоном, указанным в КИС,
Не пойдет, насколько я понимаю можно подделать номер звонящего
Потому я и говорю, формальные методы проверки не пройдут, а создавать тикет — так он будет отработан к концу конференции по местному времени
Утро, я же дал вводную. Сотрудник ответственный спит.
> спросить у него, кто Вы
Таки вы звоните от имени реального сотрудника, ответственный за проект автоматом подтвердит, что такой есть
> сравнить телефон с которого Вы звоните с Вашим телефоном, указанным в КИС,
Не пойдет, насколько я понимаю можно подделать номер звонящего
Потому я и говорю, формальные методы проверки не пройдут, а создавать тикет — так он будет отработан к концу конференции по местному времени
А у нас (в России) так много людей сочувствующими «чужим» проблемам?
Читал книгу про Кевина Митника, так его соц. инженерия в 99% строилась на милых американских менеджерах колл-центра, которые с удовольствием старались помочь попавшему в беду «сотруднику»… в России же, как мне кажется, больше психология «а мне за это не влетит?»
Читал книгу про Кевина Митника, так его соц. инженерия в 99% строилась на милых американских менеджерах колл-центра, которые с удовольствием старались помочь попавшему в беду «сотруднику»… в России же, как мне кажется, больше психология «а мне за это не влетит?»
Почта доменная, никакого пароля на емейл нет, Катя
Верно подмечено, а ещё у них, видимо, OWA торчит наружу без второго фактора, зачем-то нужно сбрасывать(?!) пароль, хотя после 3 попыток вход должен был заблокировать WAP.
Учи не учи, в самой же статье написано — только от параноика информацию не получить, остальные — всё равно будут ошибаться. Потому тренинги тренингами, а инфраструктуру нужно настраивать так, чтобы минимизировать человеческий фактор, а сверху — продуманные policy/инструкции, чтобы не придумывать на ходу, как помочь, а просто действовать по инструкции, и обойти её можно было только через механизм эскалации, тогда уже не Катя Диме будет с неизвестного номера звонить, а Катина начальница начальнику Димы, например.
Учи не учи, в самой же статье написано — только от параноика информацию не получить, остальные — всё равно будут ошибаться. Потому тренинги тренингами, а инфраструктуру нужно настраивать так, чтобы минимизировать человеческий фактор, а сверху — продуманные policy/инструкции, чтобы не придумывать на ходу, как помочь, а просто действовать по инструкции, и обойти её можно было только через механизм эскалации, тогда уже не Катя Диме будет с неизвестного номера звонить, а Катина начальница начальнику Димы, например.
Вот как раз недавно думал, что, например Linkedin обладает всей этой информацией:
Но это просто мысль, ни к чему конкретному не привязана.
ФИО, должности, контакты, полномочия, используемые в компании технологии. положение на рынке, финансовое состояние, слухи, сплетнии при желании способен выстроить
приблизительная оргструктура атакуемой компании;для любой нужной компании, ещё и графики нарисовать. Даже если мы не верим во всякую конспирологию в адрес западных компаний («наш поганый Чебурнет — их свободные Частные Компании») — нет никакой гарантии, что одному или нескольким сотрудникам со слишком большой зоной доступа (по служебной необходимости, конечно же) не захочется подзаработать ещё сверху на продаже такой информации.
структура электронного адреса сотрудника;
список предполагаемых сотрудников с должностями;
контакты сотрудников, телефоны, электронная почта, аккаунты в соцсетях.
Но это просто мысль, ни к чему конкретному не привязана.
Линкедин, мой круг, все работные сайты. Запрещать и отслеживать деятельность сотрудников в соцсетях ещё то занятие.
Нужна некая схема, по которой до сотрудника доводится инфа, что бывает за продажу информации. Обычно все в первый день подписывают NDA или какие-нить правила внутреннего распорядка ну и все. Будучи пойманными говорят «я думал, что так можно было».
Салам. Очень понравилась статья.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Взломать админа