Крадіжка клієнтських баз даних, основні області застосування соціальної інженерії, глава 2 приклади

Крадіжка клієнтських баз даних

Примітка Причина того, що надбанням гласності стає лише малий відсоток таких розкрадань в тому, що фірми, природно, не бажають псувати свою репутацію, зізнаючись у власну безпечність.

Найбільш просто добути клієнтські бази даних - це скористатися безпечністю співробітників, що працюють на підприємстві. Нерідко рахунки фактури та інші документи валяються на столах у співробітників, які ще мають звичку виходити зі свого кабінету хвилин на 10 - 30, так що, якщо і не треба, з нудьги все переглянеш. У деяких магазинах, припустимо з продажу офісної техніки, меблів і т. Д. Багато продавців оформляють рахунки, відвернувшись до свого комп'ютера, а то, що я, наприклад, можу бути співробітником конкуруючої фірми, і мені ніщо не заважає постояти за спиною і подивитися список клієнтів, це нікого не хвилює. Одного разу одній жінці, яка занадто довго оформляла мою покупку (в комп'ютерному магазині), я сказав: "Дівчина, я бачу, що ви ще не дуже освоїлися з 1С-підприємством, давайте, я вам допоможу". Дівчина із задоволенням прийняла моє прохання, встала з-за комп'ютера і ... взагалі пішла на 15 хвилин. Ймовірно, пити чай. Що ще цікавіше, жоден із співробітників, які туди-сюди снували повз мене (її комп'ютер стояв у центрі магазину), не поцікавився, чого це власне я (стороння людина) за ним сиджу.

Випадки, коли викрадаються клієнтські бази даних, користуючись безпечністю працюють на підприємстві кадрів, дуже нерідкі.

Наприклад, для початку можна представитися співробітником фірми, яка встановлює бази даних, і, проникнувши таким чином за комп'ютер, або просто запитавши у співробітників, дізнатися, які бази даних вже встановлені на призначених для користувача машинах. А якщо пощастить, то заодно їх і завантажити.

Можна вчинити так, як було в одній енергетичної компанії Харкова (цей випадок ми описували в главі 1), коли людина, представившись другом хворого співробітника (системного адміністратора), сказав, що друг попросив його сьогодні замінити. Хоча з'ясувати, друг попросив або хтось ще, можна дуже просто: зателефонувавши своєму співробітникові і перевіривши інформацію. Правда, можна поступити хитріше і дійсно зробити так, що один підтвердить цю інформацію. Можна ж просто стати на деякий час одним системного адміністратора. Нехай і не кращим. Головне, щоб цієї дружби було досить для того, що коли він справді захворіє (або просто з якихось причин не зможе прийти на роботу), він звернувся за допомогою до кого потрібно. До друга, тобто, який тільки цього і чекає. Або не просто чекає, а намагається форсувати ситуацію. Наприклад, вам раптом несподівано прийшла повістка до військкомату, і, треба ж який збіг, в той вечір, коли ви виявили її в своєму ящику, ви якраз йшли до себе додому разом з другом попити пивка.

- Ой, е ..., - говорите ви "другові", - мені ж завтра обов'язково потрібно бути на роботі. Чого ж робити те ...

А один він на те і друг, щоб підстрахувати товариша в потрібну хвилину.

- Та дурниці, - каже він вам, - справ-то на три копійки. Давай я завтра замість тебе сходжу і все зроблю. Подзвони своєму босові, попередь, що, так, мовляв, і так, у мене така ситуація і замість мене прийде мій хороший товариш.

І, радіючи, як вдало все вирішилося, ви разом з "другом" зі спокійною душею йдете пити пиво.

Можна на місяць влаштуватися у фірму, у якій треба вкрасти бази, менеджером зі збуту. І піти з неї на другий день, сказавши, що не влаштував колектив взагалі і директор зокрема.

Примітка Один з найпростіших способів поцупити потрібну базу даних. Таким чином одна московська годинникова майстерня поцупила клієнтську базу даних у свого конкурента. Ціна питання склала близько $ 1500..

Як же захиститися від крадіжки клієнтських баз? Найпростіше - дотримуватися тих правил захисту, про які ми говорили в попередньому розділі, доповнивши їх ще кількома. Отже.

• Жоден із співробітників підприємства не повинен знати більше, ніж йому належить знати за посадою.

• У трудовому контракті з співробітником обов'язково повинен бути прописаний пункт про те, що за розголошення комерційної інформації співробітника чекає відповідальність аж до кримінальної.

• Сторонні люди не повинні мати простого доступу в офіс.

• Якщо в кімнаті знаходяться сторонні, співробітники ні за яких умов не повинні виходити з кімнати.

• Нерідко буває так, що доступ до клієнтської бази має практично будь-який співробітник, так як база лежить на загальному Doc-сервері, до якого не має доступу хіба що прибиральниця. Звичайно, такого бути не повинно. Доступ до клієнтської бази даних повинні мати тільки ті службовці, яким це належить за посадою. Це всім відоме правило, згідно з яким, чим менше осіб має доступ до конфіденційної інформації, тим менше ймовірність, що ця сама інформація "піде на сторону".

Зауваження Багато експертів в області конкурентної розвідки призводять ще правило, згідно з яким всі комп'ютери, які мають доступ до клієнтської бази, не повинні мати виходу в Інтернет, бути без дисководів, приводів CD- і DVD-ROM, USB-входів, з них не можна нічого роздрукувати і т. д. На наш погляд, це правило, по-перше, не реальне, так як подібні заходи просто дуже сильно ускладнять роботу, а, по-друге, ні до чого не приводить, оскільки в цьому випадку комп'ютери тоді повинні бути ще й без моніторів, щоб не можна було перефотографувати інформаці ію з екрану монітора. В даний час деякі експерти схиляються до того, що зменшити втрати від злодійства клієнтських баз з комп'ютерів допоможе впровадження систем CRM (систем управління та обліку взаємовідносин з клієнтами).