Przygotowano na podstawie CHIP 3/2006
Socjotechnika - 2 Tylko dwie rzeczy są niedokończone wszechświat i ludzka głupota. ChociaŜ co do tego pierwszego nie jestem do końca przekonany Albert Einstein
Socjotechnika - 3 Manipulacja + najsłabsze ogniwo Atak w kierunku źle wyszkolonego pracownika, Ujawnianie tajemnicy słuŝbowej, Wstyd okradzionego = zatajanie ataku,
Socjotechnika - 4 InŜynieria socjalna Działania mające na celu pozyskanie dostępu do informacji czy firmy, Do ataku wystarczy: telefon, Internet, pomysłowość i znajomość technik manipulacji,
Socjotechnika - 5 Zaczyna się od kłamstwa Podawanie się za kogoś innego, Wmawianie nieistniejących sytuacji, Wywoływanie stresu, poczucia winy, Manipulacja, Reguły wywierania wpływu na ludzi,
Socjotechnika - 6 Ambitny administrator Częsta zmiana hasła (co dwa tygodnie), RóŜnorodne hasła dostępu do róŝnych aplikacji, Silne hasła (min. 6 znaków, przypadkowość kodów),
Socjotechnika - 7 Leniwy pracownik Hasła klawiaturowo łatwe do zapamiętania np.: zxcvbn, Internetowe listy popularnych zbitek liter i cyfr, Te same hasła poza firmą,
Socjotechnika - 8 Infiltracja 1 sposób Ciekawski pracownik: Kowalski znajduje w toalecie CD-ROM z napisem Płace zarządu tajne! Instalacja na komputerze, Po uruchomieniu pliku komunikat plik uszkodzony, Jednoczesna instalacja trojana, Kowalski z powrotem podrzuca plik do toalety,
Socjotechnika - 9 Infiltracja 2 sposób PróŜny profesor: Socjotechnik gromadzi informacje o naukowcu, Prestizowa firma wysyła e-mail z propozycją współpracy z firmą zagraniczną (zysk!), Spreparowana strona WWW (uwiarygodnienie!), Profesor oddzwania do socjotechnika, Socjotechnik przesyła stosowne oprogramowanie, które naleŝy zainstalować do celów badawczych.
Socjotechnika - 10 Infiltracja - 3 sposób A Wyrachowany przyjaciel: Socjotechnik dzwoni do pracownika firmy, podając się za technika i informuje o modyfikacji przepustowości magistrali sieciowej i zaniku dostępu do sieci, śargon naukowy (reguła autorytetu),...
Socjotechnika - 11 Infiltracja - 3 sposób B Pracownik wpada w panikę (opóźnienia!), Oszust oferuje pomoc (podaje prywatny numer telefonu), specjalne traktowanie (poczucie wdzięczności), Telefon do działu informatyki z prośbą o czasowe wyłączenie dostępu do sieci (diagnoza sieci), Pracownik oddzwania z prośbą o pomoc,...
Socjotechnika - 12 Infiltracja - 3 sposób C Socjotechnik dzwoni do administratora z prośbą o udostępnienie połączenia pracownikowi, i do pracownika, z informacją, Ŝe zainstalowanie odpowiedniego oprogramowania pozwoli uniknąć problemów w przyszłości, Pracownik instaluje program.
Socjotechnika - 13 Podstawowe reguły socjotechniczne Reguła wzajemności, Reguła zaangaŝowania i konsekwencji, Reguła społecznego dowodu słuszności,? Reguła sympatii, Reguła autorytetu, Reguła niedostępności, Reguła wartości i zysku.
Socjotechnika - 14 Sposoby wyłudzania informacji 1 list elektroniczny Ze względów bezpieczeństwa wszyscy pracownicy firmy są zobligowani do natychmiastowego zainstalowania programu dostępnego w załączniku. 1
Socjotechnika - 15 Sposoby wyłudzania informacji 2 list elektroniczny Ze względów bezpieczeństwa prowadzimy w firmie trening z generowania haseł. Przed rozpoczęciem szkolenia chcemy poznać umiejętności naszych pracowników w wymyślaniu haseł. Proszę podać w załączonym formularzu aktualny login, hasło oraz propozycje nowego hasła. System wygeneruje ocenę poprawności hasła. 2
Socjotechnika - 16 Sposoby wyłudzania informacji 3 list elektroniczny Dotarły do nas informacje o naruszeniu zasad bezpieczeństwa w naszej firmie. Wszystkie konta, których dane nie zostaną potwierdzone, będą zablokowane w ciągu 24 godzin. Weryfikacja odbywa się za pomocą strony WWW. 3
Socjotechnika - 17 Zasady bezpieczeństwa socjotechnicznego: 1. 2. 3. 4. 5. 6.
Socjotechnika - 18 Manipulacja, infiltracja przykłady wyłudzenia danych: 1. 2. 3. 4.