В этой публикации размещён подкаст канала с озвученным текстом статьи (слушайте или читайте).
В сочетании с техническими уязвимостями коммерческих информационных систем злоумышленники могут использовать уязвимости персонала компании.
Слабозащищёнными в этом плане бывают компании малого бизнеса, домашние интернет-магазины, единоличные индивидуальные предприниматели. Коммерческая известность таких компаний может указывать мошенникам на финансовый интерес, а малые финансовые обороты могут указывать на низкий уровень организации безопасности.
Если предприниматель работает с крупными виртуальными площадками и технически защищён в некоторой степени, то одной из первичных точек атаки могут стать его удалённые сотрудники.
Информационная атака проходит стандартные стадии:
- сбор информации о компании и её сотрудниках;
- создание доверительного контакта с представителем компании;
- получение информации необходимой для взлома и других мошеннических действий;
- этап совершения мошеннических действий.
Для успешного воздействия с целью получения нужных сведений существуют специальные условия, создаваемые мошенниками-манипуляторами:
- Имитация дефицита времени - лжеклиент быстро задаёт вопросы мотивируя тем, что у него разряжен телефон, который вот-вот отключится. Цель этого шаблона заставить собеседника выдавать информацию в непривычном для него режиме, возможно, при сниженном уровне самоконтроля сотрудника.
- Просьба о помощи - если клиент просит помочь ему, то у сотрудника снижается степень тревожности и подозрительности, что может усыпить бдительность.
- Влияние на эго сотрудника - в этом методе комментарии излишни. Какая лиса не знает, что ворону нужно захвалить? (пример из басни "Ворона и Лисица").
- Обещание перспектив или вознаграждения - иногда мошенник может разыграть ложное собеседование с переманиванием сотрудника к себе в компанию. На таком собеседовании обещают должность тем, кто сможет сообщить много сведений о недостатках работы в текущей компании.
- Правильные вопросы - мошенниками могут быть использованы правила ассоциативного мышления, которые переводят общение в предсказуемое для мошеннического влияния русло или обозначают злоумышленнику существующие слабые места работы офиса.
Обычным сотрудникам, которые являются движущей силой бизнеса, можно рекомендовать быть внимательными к деталям общения и соблюдать цифровую гигиену своих компьютеров.
Руководителям компаний следует не жалеть средств на консультации специалистов, потому что информационная уязвимость коммерческой системы - это, как правило, ошибки в бизнес-процессах или отсутствие какого-либо программно-аппаратного модуля защиты.
27 мая 2020 года (редакция текста 29 октября 2020 года).
Автор: Демешин Сергей Владимирович (юрист).
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).