...
Примечание Один из самых простых способов своровать нужную базу данных. Таким образом одна московская часовая мастерская своровала клиентскую базу данных у своего конкурента. Цена вопроса составила около $1500.
Ну и, наконец, самый распространенный тип кражи баз данных, это их "уход" с предприятия вместе с сотрудниками, как это произошло некоторое время назад с одной московской фирмой по продаже мебели, когда все ключевые менеджеры ушли и открыли свое дело. Аналогичная ситуация случилась недавно в Санкт-Петербурге у крупной компании, занимающейся продажей сотовых телефонов. В обоих случаях только умение директоров договариваться с партнерами, которым они объяснили ситуацию, помогло спасти дело. Известен случай в Новосибирске, когда из компании, занимающейся корпоративной поставкой компьютеров, ушли ключевые менеджеры и создали собственную фирму, естественно, под работу с теми клиентами, которых они обслуживали, трудясь в прежней организации. Примеры приводить можно долго.
Как же защититься от воровства клиентских баз? Самое простое - соблюдать те правила защиты, о которых мы говорили в предыдущем разделе, дополнив их еще несколькими. Итак.
• Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности.
• В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной.
...
Примечание Еще раз повторимся, что этот пункт является одним из самых важных в защите компании от подобных случаев. В трудовом договоре с сотрудником должно быть четко прописано, во-первых, что является предметом коммерческой тайны, и, во-вторых, какие неприятности ожидают сотрудника, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Сотруднику нужно четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона "О коммерческой тайне" работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые по мнению работодателя составляют предмет коммерческой тайны предприятия, и за разглашение которых он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона сотрудник обязан будет возместить причиненные фирме убытки, возникшие в результате разглашения им конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Специально же для тех, кому этого мало, можно влезть в юридическую казуистику и пояснить, что клиентскую базу данных, вообще-то, можно рассматривать как средство производства, которое является собственностью работодателя. Из чего следует, что воровство этой базы можно уже рассматривать как воровство чужого имущества, что является предметом соответствующей статьи уже Уголовного кодекса (ст. 159 УК РФ). Кроме того, можно сообщить сотруднику, что при большом желании за хищение базы данных вы можете инициировать его судебное преследование аж по четырем статьям Уголовного кодекса: уже упомянутой ст. 159 ("Кража"), ст. 272 ("Несанкционированный доступ к компьютерной информации"), ст. 183 ("Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну") и ст. 146 ("Нарушение авторских и смежных прав"). Практика показывает, что когда перед людьми появляется возможность за кражу информации получить уголовное преследование, они становятся намного осмотрительнее в своих действиях.
• Посторонние люди не должны иметь простого доступа в офис.
• Если в комнате находятся посторонние, сотрудники ни при каких условиях не должны выходить из комнаты.
• Нередко бывает так, что доступ к клиентской базе имеет практически любой сотрудник, так как база лежит на общем Doc-сервере, к которому не имеет доступа разве что уборщица. Конечно, такого быть не должно. Доступ к клиентской базе данных должны иметь только те служащие, которым это положено по должности. Это всем известное правило, согласно которому, чем меньше лиц имеет доступ к конфиденциальной информации, тем меньше вероятность, что эта самая информация "уйдет на сторону".
...
Замечание Многие эксперты в области конкурентной разведки приводят еще правило, согласно которому все компьютеры, которые имеют доступ к клиентской базе, не должны иметь выхода в Интернет, быть без дисководов, приводов CD- и DVD-ROM, USB-входов, с них нельзя ничего распечатать и т. д. На наш взгляд, это правило, во-первых, не реальное, так как подобные меры просто очень сильно затруднят работу, а, во-вторых, ни к чему не приводящее, поскольку в этом случае компьютеры тогда должны быть еще и без мониторов, чтобы нельзя было перефотографировать информацию с экрана монитора. В настоящее время некоторые эксперты склоняются к тому, что уменьшить потери от воровства клиентских баз с компьютеров поможет внедрение систем CRM (систем управления и учета взаимоотношений с клиентами).
Фишинг Фишинг на сегодняшний день является одним из самых распространенных видов социальной инженерии. По сути фишинг это выведывание информации для доступа к банковским счетам доверчивых пользователей. Он распространен в тех странах, где пользуются популярностью услуги интернет-банкинга. Чаще всего "фишеры" используют поддельные электронные письма, якобы присылаемые банком, с просьбой подтвердить пароль или уведомление о переводе крупной суммы денег.
...
Примечание Само слово "фишинг" происходит от английского fishing, что, в свою очередь, переводится как рыбалка. Такое название этому виду мошенничества дали потому, что он на самом деле очень напоминает рыбалку, так как фишер по сути забрасывает наживку (вернее, несколько сотен наживок) и ждет, пока на нее кто-то "клюнет".
Суть фишинга сводится к следующему. Злоумышленник заставляет пользователя предоставить ему какую-либо секретную информацию: информацию о банковских счетах, кредитных картах и т. д. Самое важное в том, что жертва совершает все эти действия абсолютно добровольно, - фишеры хорошие психологи и действуют четко.
Выделяют три основных вида фишинга:
• почтовый;
• онлайновый;
• комбинированный.
Почтовый фишинг появился первым, - об этом виде мошенничества общественность узнала еще в 1996 году.
...
Примечание Тогда сразу несколько тысяч клиентов провайдера America Online получили электронные письма от "представителя компании" с просьбой выслать логин и пароль для входа в систему. И многие выслали.
Суть почтового фишинга в том, что жертве отправляется электронное письмо, в котором содержится просьба выслать те или иные конфиденциальные данные. К примеру, от имени интернет-провайдера с похожего (или идентичного) почтового адреса отправляется письмо, в котором написано, что по провайдеру нужно узнать логин и пароль для доступа в Интернет указанного пользователя, так как сам провайдер по тем или иным техническим причинам (база "рухнула") этого сделать не может. Более интересный пример связан с одним известным американским банком, клиенты которого однажды получили сообщения о том, что на их счет пришло большое перечисление (допустим несколько десятков тысяч долларов), и в соответствии с договором, так как сумма перечисления превышает сумму в $1000, им для подтверждения получения перевода необходимо пройти по ссылке, приведенной в конце письма, и ввести всю необходимую информацию для подтверждения перевода. В противном случае перевод будет отправлен назад. Мало кто смог побороть свою жадность, и несколько тысяч клиентов банка стали объектом фишинг-атаки.
...
Примечание Это как раз тот случай, когда социальные хакеры блестяще сыграли на одном из людских пороков - жадности.
Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя (или то же самое, только в другой зоне), и создается идентичный дизайн.
...
Примечание В качестве приманки (аттракции) товары в этих поддельных интернет-магазинах продаются практически по демпинговым ценам, что неудивительно, ведь никто ничего на самом деле реально не продает.
Дальше происходит примерно следующее. Решив совершить в магазине покупку, пользователь вводит свои логин, пароль и номер пластиковой карты, после чего все эти данные становятся известными злоумышленнику. После чего мошенник незамедлительно "обнуляет" кредитную карточку жертвы.
...
Примечание Данный вид фишинга иногда еще называют имитацией бренда (brand spoofing).
Комбинированный фишинг является объединением двух предыдущих видов фишинга. Его появление вызвано тем, что почтовый и онлайновый фишинг уже достаточно устарели, да и пользователи стали грамотнее в части информационной безопасности. Поэтому фишеры придумали другую тактику. Так же как в онлайновом фишинге создается поддельный сайт, а потом как в почтовом фишинге пользователям отсылаются письма с просьбой зайти на этот сайт.