„Máte šancu vyhrať exkluzívnu dovolenku – stačí zadať vaše meno a zvoliť si heslo!“ Ak vás pri surfovaní na internete zrazu prekvapí takáto ponuka a vy sa rozhodnete údaje vyplniť v presvedčení, že nič neriskujete, nemáte celkom pravdu. Crackeri môžu využiť skutočnosť, že veľká časť ľudí používa na mnohých miestach to isté heslo a takto získať prístup aj do vášho firemného systému či elektronickej pošty.
Iný príklad prieniku do systému pomocou internetovej technológie sa odohral u internetového providera America Online. Cracker najskôr zatelefonoval na číslo technickej podpory a hovoril s operátorom o fiktívnom technickom probléme. Počas takmer hodinového rozhovoru mu akoby mimochodom spomenul, že lacno ponúka na predaj svoje auto. Zamestnanca technickej podpory to zaujalo, a tak mu cracker poslal e-mailom „fotografiu auta“ – pri jej otváraní bol však spustený program, ktorý umožnil prienik do systému providera zvonka.
Ako sa brániť: Nepoužívajte to isté heslo na viacerých miestach. Nedôverujte „internetovým kontaktom“, ktorých identitu si nemôžete preveriť iným spôsobom.
Prehľadávanie smetí
Na prvý pohľad nie veľmi sofistikovaná metóda, ktorá sa však veľmi často používa. Pre útočníkov sú totiž veľmi cenné aj informácie, ktoré samotní zamestnanci považujú za triviálne. Odhodený telefónny zoznam firmy im poskytne presné tipy na ľudí, na ktorých môžu zamerať útok. Organizačné schémy ich informujú, ako sa volajú vedúci oddelení a kto je koho nadriadeným. Vďaka obežníkom získajú zdanlivo nepodstatné drobné informácie, ktoré im však umožnia, aby ich príbeh pôsobil autenticky. Inštrukcie a manuály im prezradia, aké kvalitné sú bezpečnostné opatrenia. Fantastickým zdrojom informácií sú odhodené kalendáre a poznámky s termínmi stretnutí: dá sa z nich zistiť, ktorí zamestnanci budú v určitom čase mimo kancelárie.
Samostatnou kategóriou sú odhodené a napohľad nefunkčné diskety či hardvér, z ktorých často možno získať množstvo cenných dokumentov.
Napohľad primitívna metóda prehľadávania odpadu sa využíva aj pri profesionálnej priemyselnej špionáži: spoločnosť Oracle bola pred pár rokmi obvinená, že sa pokúšala prostredníctvom detektívnej kancelárie odkúpiť odpad z budov Microsoftu.
Ako sa brániť: Investujte do skartovacieho stroja. Nikdy nevyhadzujte starý hardvér (pevné disky) bez dôkladného preverenia, že na ňom nezostali žiadne údaje vašej firmy.
Reverzné sociálne inžinierstvo
Načo chodiť k hore, keď môže hora prísť ku crackerovi: reverzné sociálne inžinierstvo je pokročilá technika, pri ktorej samotní zamestnanci napadnutej firmy požiadajú útočníka, aby im pomohol vyriešiť problém s počítačovým systémom (ktorý sám spôsobil) a dobrovoľne mu prezradia všetky informácie. Prvý krokom je sabotáž: útočník spôsobí v systéme firmy problém. V druhej fáze útočník „inzeruje“ vlastné služby tak, aby ho zamestnanci kontaktovali a požiadali o pomoc. Cracker vzápätí prichádza do firmy v úlohe legitímneho administrátora či opravára a zamestnancov sa priamo opýta na všetky informácie, ktoré potrebuje „na riešenie problému“. Získa, čo potrebuje, skutočne odstráni pôvodný problém a všetci sú spokojní.
Ako sa brániť: Legitimujte každého, kto prichádza zvonka a chce pracovať s vašim počítačovým systémom.
