Cenário: Você trabalha em um ambiente corporativo no qual você está, pelo menos parcialmente, responsável pela segurança da rede. Você implementou uma proteção de firewall, antivírus e spyware, e os computadores são todos atualizados com patches e correções de segurança. Você senta lá e pensar sobre o trabalho lindo que você tem feito para se certificar de que você não vai ser cortado. Você tem feito, o que a maioria das pessoas pensa, são os principais passos no sentido de uma rede segura. Isto é parcialmente correto.
E sobre os outros fatores? Você já pensou em um ataque de engenharia social? E sobre os usuários que usam sua rede em uma base diária? Você está preparado para lidar com ataques por essas pessoas? Acredite ou não, o elo mais fraco em seu plano de segurança é as pessoas que usam sua rede. Para a maior parte, os usuários são ignorantes sobre os procedimentos para identificar e neutralizar um ataque de engenharia social.
O que vai parar um usuário de encontrar um CD ou DVD na sala de almoço e levá-lo para sua estação de trabalho e abrir os arquivos? Este disco pode conter um documento de processador de planilha ou palavra que tem um macro malicioso embutido nele. A próxima coisa que você sabe, sua rede é comprometida. Este problema existe particularmente em um ambiente onde a equipe de help desk redefinir senhas por telefone. Não há nada que impeça uma pessoa intenção em quebrar em sua rede a partir de chamar o help desk, fingindo ser um funcionário, e pedindo para ter uma redefinição de senha.
A maioria das organizações usam um sistema para gerar nomes de usuários, por isso não é muito difícil de entendê-los. Sua organização deve ter políticas estritas no sentido de verificar a identidade de um usuário antes de uma redefinição de senha pode ser feito. Uma coisa simples a fazer é para que o usuário vá para o help desk em pessoa. O outro método, que funciona bem se os seus escritórios estão geograficamente longe, é para designar um contato no escritório que pode telefonar para uma redefinição de senha.
Desta forma, todos os que trabalham no help desk pode reconhecer a voz de essa pessoa e saber que ele ou ela é quem eles dizem que são.
Por que um atacante ir ao seu escritório ou fazer uma chamada telefónica para o help desk? Simples, é geralmente o caminho de menor resistência. Não há necessidade de passar horas tentando invadir um sistema electrónico quando o sistema físico é mais fácil de explorar. A próxima vez que você vê algu