• Мнения
  • |
  • Обсуждения
Профессионал

Как противостоять утечке информации и социальной инженерии?

Социальная инженерия — это манипулирование людьми. Проще говоря, искусный обман. Как правило, для того чтобы управлять человеком, нужно войти к нему в доверие, испугать его, убедить в чем-то. Если вам приходит электронное письмо, где вам предлагают сменить пароль к платежной системе или к любому другому сервису — будьте очень осторожны. Письмо может быть поддельным, отправленным вовсе не службой поддержки сервиса, а злоумышленниками.

Если вы все же решите изменить пароль, постарайтесь войти на сайт, используя свой обычный метод входа: например, ссылку, записанную в Избранном, или, возможно, вручную введя адрес в соответствующее поле браузера. Ни в коем случае не кликайте по ссылке, которую вам предлагают в письме. Вполне возможно, что эта ссылка приведет вас на поддельный сайт, неотличимый внешне от настоящего, специально созданный для того, чтобы собирать пароли доверчивых пользователей.

Или еще один пример: сетевому администратору звонит один из офисных работников и просит его продублировать якобы забытый пароль входа в корпоративную сеть. Никто не гарантирует, что звонящий сотрудник — это не злоумышленник, который хочет проникнуть в информационную систему компании. Бывает, администраторы приглашают пользователей в свой кабинет для того, чтобы они сами сменили свой пароль, и, пожалуй, это лучшая защита от подобных трюков.

Утечка информации часто делает возможным взлом компьютерных систем. Простейший пример — записанный на клейком листочке логин и пароль электронной почты. Зачастую таким листочком, прикрепленным у компьютера, пользуются сразу несколько человек. А в помещение, где стоит этот компьютер, то и дело заходят посетители, и если бы кто-нибудь их них захотел подсмотреть эти атрибуты, ему бы не составило труда подключиться к чужому почтовому ящику. Очевидно, что в такой ситуации записку с паролем надо снять и убрать подальше от чужих глаз. Или вовсе выбросить. Но и здесь нужно быть осторожным, ведь вполне возможно, что злоумышленник решит покопаться в мусорном баке или в корзине для бумаги и обнаружит ваши личные данные.

Думаю, способы борьбы с обманом и утечками информации очевидны. Во-первых, побольше скептицизма и недоверия, а во-вторых — с важными данными, которые могут представлять интерес для кого-либо, следует обращаться так, будто за ними кто-то специально охотится.

Не рекомендуется хранить какие-либо важные пароли в электронном виде на ПК. Лучше всего выделить отдельный блокнот и записывать их туда. «Но и в блокноте их могут прочесть!» — можете возразить вы. Да, могут. Поэтому либо храните его в сейфе или в запирающемся ящике стола, либо записывайте самое важное с помощью какого-нибудь простого (или сложного) шифра.

Например, можете записывать пароли, перемешивая их с буквами какого-нибудь известного вам слова. Скажем, ключевое слово — book. Пароль, который вы хотите зашифровать — qe23rty. Запишем сначала первую букву ключевого слова, потом — первую букву пароля, затем так же — вторые буквы и т. д. Если слово кончилось, а пароль еще нет — его окончание можно дописать в неизменном виде, а можно продолжить писать ключевое слово снова.

Вот что у нас получилось: мы записали пароль и слово, повторяя это слово после его окончания — bqoeo2k3brotoy. Очевидно, что для расшифровки нужно изъять все буквы слова book и сложить воедино оставшиеся символы пароля.

Злоумышленник будет долго ломать голову, разгадывая даже такой простой шифр. А что если взять слово подлиннее, да еще если это будет не осмысленное слово, а некий случайный набор букв? А что если буквы пароля предварительно особым образом перемешать? Кстати, это лишь один из множества методов шифрования, доступных для быстрого применения. Но даже он уменьшит вероятность взлома вашего аккаунта в том случае, если зашифрованные им данные попадут в руки злоумышленнику.

Да, и не забывайте о том, что выбирая пароль для доступа к какому-либо сервису, следует придумывать что-то достаточно длинное и бессмысленное, чтобы его было сложно подобрать. Один из методов взлома аккаунтов — это прямой перебор паролей. Понятно, что пароль длиной в пару-тройку символов взломать достаточно просто. А простой пароль можно подобрать, используя словарь наиболее часто используемых паролей или обычный словарь английского языка.

И еще один совет. Если вы продаете компьютер, жесткий диск, флэш-карту, собираетесь выбросить ненужный CD, дискету, аудиокассету — проверьте, нет ли там чего-нибудь такого, что не должно попадать в чужие руки. Например, жесткий диск лучше всего заново разбить на разделы и отформатировать, либо (это касается и других устройств хранения информации) — воспользоваться специальной программой для безвозвратного удаления данных.

Статья опубликована в выпуске 24.01.2009
Обновлено 22.07.2020

Комментарии (10):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Весьма полезная информация!

    Оценка статьи: 5

  • Александр Райко, А ведь все все равно остается и только разбить,другого нет.В самых секретных учреждениях были шредеры(на мелкие полоски режут бумагу)но сов.секретные материалы или особой гос.важности(были и такие)всегда сжигали и пепел рамалывали,так как и на нем остается информация.А документы ОГВ уничтожались вообще при свидетелях.Вот такой компот.

  • Александр Райко, Вы какой то заумный термин применили (социальная инженерия),все много проще.Разведки многих стран используют методы ВЛИЯНИЯ на различные личности и иследуют эти личности и потом применяют те методы ,которые подходят и это целая наука в закрытой для Вас системе информации.Там есть и профессора и кандидаты и научные сотрудники и многое другое.Поверьте это поле информации скрыто от таких любопытных корреспондентов не зря.

  • Александр Райко, только о социальной инженерии где в статье - непонятно. А так спасибо, советы хорошие.

  • Мне статья понравилась, от меня 5! Ценная информация, которой многие пренебрегают. Некоторые употребляют в качестве пароля дату рождения или собственное имя, подобрать такой пароль ничего не стоит. Даже если вы простой рядовой гражданин, с вашего почтового ящика, который взломать можно в два счета, разошлют спам или вирус, и вы потом будете долго оправдываться перед своими знакомыми и друзьями, адреса которых были у вас в списке.

  • Олег Михайлец Профессионал 24 января 2009 в 21:56 отредактирован 24 января 2009 в 21:59 Сообщить модератору

    Письмо может быть поддельным, отправленным вовсе не службой поддержки сервиса, а злоумышленниками.
    Это 100% подделка. Нормальные сервисы таким не занимаются.

    сетевому администратору звонит один из офисных работников и просит его продублировать якобы забытый пароль входа в корпоративную сеть
    Что такое "продублировать" и "сетевой администратор"? Системный администратор не знает пароли пользователей. Он может поменять пароль на новый, не более того.

    Бывает, администраторы приглашают пользователей в свой кабинет для того, чтобы они сами сменили свой пароль, и, пожалуй, это лучшая защита от подобных трюков.
    Бывает? Первый раз такое слышу. Проще перезвонить сотруднику или его начальнику.

    ему бы не составило труда подключиться к чужому почтовому ящику
    И что? Толку от доступа к почтовому ящику какого-то клерка.

    Думаю, способы борьбы с обманом и утечками информации очевидны
    Да, очевидны.
    1. Уволить человека, который пишет пароли на бумажке и разбрасывает другую конфиденциальную информацию налево и направо.

    Пароль, который вы хотите зашифровать – qe23rty.
    Такой пароль даже прятать не надо, его взломают быстро. Буквы в обоих регистрах, цифры и спецсимволы и длиной побольше.

    жесткий диск лучше всего заново разбить на разделы и отформатировать
    Бесполезная работа, восстанавливал данные с дисков после двукратного переформатирования и разбиения. Забивать нулями и в несколько проходов, а лучше вообще разбить физически, т.к. даже с перезаписанного диска теоретически можно снять информацию.

  • Роджер Идов Читатель 31 августа 2009 в 16:22 отредактирован 23 мая 2018 в 10:04 Сообщить модератору

    Всё очень правильно. Но ббольшинство утечек происходит всё-таки из-за банального, пардон, разгильдяйства сотрудников, которые просто отправят документ не по тому адресу или ещё что-нибудь в том же духе. Нужно поэтому использовать специальные системы защиты от утечек. У нас на фирме поставили SearchInform, и я думаю, что это довольно правильная политика.