Ad esempio, se qualcuno dovesse chiamare un fornitore di cellulari come T-Mobile, fingendo di essere un'altra persona per ottenere alcune informazioni, come può T-Mobile verificare se è la persona reale? Suppongo che se qualcuno sta pianificando un attacco e sta utilizzando l'ingegneria sociale, non conosce il nome utente / password della vittima. Quindi, quando il rappresentante del servizio clienti chiede una password o un pin, l'attaccante non lo sa.
Ci sono "libri di testo" per questo, usati nell'addestramento degli operatori o persino tenuti sulla scrivania dell'operatore quando rispondono. Descrivono in dettaglio cosa puoi dire, cosa devi fornire e cosa l'operatore può fare in qualsiasi circostanza immaginabile.
In questo caso, l'operatore T-Mobile chiederà una sorta di prova tra quelli elencati nel loro copione. L'attaccante può fornirlo o non può. Ho visto un libro di questo tipo per uno dei fornitori del mio paese e, se hai chiesto, per esempio, una reimpostazione del PIN o una nuova SIM, verrai indirizzato a un punto vendita dove chiederebbero il tuo ID o richiesto per inviarli tramite fax o email.
Come precauzione di routine, a intervalli semi-regolari ( non sono a conoscenza di questo fatto da parte dei fornitori di servizi di telecomunicazione, ma l'ho visto fatto in contesti di assistenza clienti più sensibili) un cliente falso chiamerebbe con una storia di singhiozzi con due fazzoletti, facendo il suo meglio per convincere l'operatore ad aiutarlo. Se fosse riuscito, il giorno successivo l'operatore sarebbe stato chiamato dalla direzione per una discussione scomoda sulle regole di sicurezza.
Questo ha avuto due scopi: essere sicuri che gli operatori fossero in grado di resistere almeno a alcuni attacchi; e per indurirli contro tali attacchi, perché anche se non sospettavano che si trattasse di un attacco di ingegneria sociale, sospettavano ancora che fosse la direzione a metterli alla prova.
Racconto personale: avevo l'abitudine, di nuovo ai tempi, di inviare email ai dipendenti con allegati eseguibili che suonavano un megafono WAV, visualizzato "SUCKER!" sullo schermo e mi ha restituito la conferma di un "hit". Un giorno, ho sentito per caso un collega che mi chiedeva: "Ho appena ricevuto un allegato chiamato QJWFWKKKK, che cosa devo fare?" - E mentre pensavo "Oh no, ne ha uno vero - e che idiota chiedere cosa fare!", ho sentito il suo compagno piangere, "Per l'amor di Pete non fare clic su di esso! Cancella immediatamente! È sicuramente uno di quelle cazzo di trappole che Serni continua a mandarci! "
Bene, si tratta di domande sulla sfida come LSemi ha menzionato per libri di sceneggiature, libri di esercizi, ecc. Potresti anche avere token di sfida tramite autenticazione a più fattori che gli operatori possono inviare. Se stai cercando un addestramento formale contro gli attacchi di social engineering e possibilmente alcuni casi di utilizzo di frodi, SANS ha un programma di formazione sulla consapevolezza della sicurezza . Ed essendo SANS, non è gratuito.
Ci sono modi per identificare se qualcuno è quello che afferma di essere senza usare spille e password. Aziende come questa hanno credenziali di alcuni utenti come numero di identificazione nazionale, codice fiscale, numero di previdenza sociale. ecc. Numeri univoci che le persone normalmente mantengono "al sicuro". Quindi, i dipendenti della società devono attenersi al manuale e seguire tutti i passaggi di identificazione che l'azienda applica. La maggior parte degli addetti all'ingegneria sociale ha successo a causa di ciò. Le persone cercano di essere d'aiuto, causando meno problemi possibili ai clienti e alcune volte portano a un attacco di successo.
Leggi altre domande sui tag social-engineering