Pracownicy ujawniają poufne informacje

Podczas niedawnej konferencji DefCon przeprowadzono interesujący eksperyment - zaproszeni hakerzy próbowali na żywo, przed publicznością, wyłudzać poufne informacje od pracowników 17 wielkich amerykańskich firm. Byli niezwykle skuteczni - rozmawiali przez telefon ze 135 osobami i tylko 5 nie zgodziło się podać żadnych informacji.

Na scenie umieszczono specjalne stanowisko z telefonami, z których uczestnicy konferencji dzwonili na oczach publiczności do biur 17 różnych firm. Wybrano duże, amerykańskie korporacje - m.in. Wal-Mart, Symantec, Cisco, Microsoft, Pepsi, Ford oraz Coca-Cola. Po uzyskaniu połączenia z pracownikami, hakerzy próbowali uzyskać od nich najróżniejsze poufne informacje dotyczące ich firmy - od szczegółów działalności biznesowej, po dane dotyczące zabezpieczeń informatycznych.

"Eksperyment okazał się nadspodziewanie udany. Tylko z jednej firmy nie udało nam się uzyskać żadnych przydatnych dla hakera czy szpiega informacji - i to tylko dlatego, że nie udało nam się "złapać" żadnego jej pracownika" - mówi Chris Hadnagy, jeden z organizatorów konferencji.

Większość dzwoniących podawała się za pracownika działu administracji lub przedstawiciela firmy audytorskiej, gromadzącego informacje do raportu na temat firmy. Niektórzy udawali też ankieterów i między zupełnie niewinnymi kwestiami przemycali pytania dotyczące kluczowych aspektów działalności firmy.

Pracownicy odpowiadali nadspodziewanie chętnie - bez większych oporów ujawniali informacje, które absolutnie nie powinny być przekazywane komuś nieupoważnionemu. W sumie "przesłuchano" w ten sposób 135 osób i tylko 5 z nich poczuło, że coś jest nie tak i natychmiast przerwało rozmowę. Co ciekawe, były to wyłącznie kobiety.

"Te rozmowy były podobne - było wyraźnie słychać, że po kilkunastu sekundach kobiety orientowały się, że rozmówca nie jest tym, za kogo się podaje" - mówi Chris Hadnagy.

"Podstawowy wniosek z tego eksperymentu jest taki - pracownicy muszą zostać nauczeni, że poufne informacje mogą udostępniać przez telefon wyłącznie osobom, które znają. Niezmiernie ważne jest też sprawdzenie i potwierdzenie tożsamości wszystkich rozmówców wypytujących o firmowe sprawy" - skomentował Christopher Burgess, specjalista ds. bezpieczeństwa z firmy Cisco.


Zobacz również